FHEM Forum

Hallo zusammen,

ich habe nach einer Möglichkeit gesucht mein FHEM von extern zu erreichen. Da ich (leider) bei Unitimedia bin und einen DSLight anschluss habe ist das wohl nicht
soooooooo einfach.

Ich habe gelesen, dass man mit einem VServer und 6Tunnel das wohl ganz gut hinbekommt.
VServer habe ich :) aber irgendwie funktioniert das ganze nicht so.

Ich habe auf meinem PI eine IPV6 Adresse und in meiner ConnectBox eine Portfreigabe eingerichtet.

Dazu habe ich die Adresse des PI als Zieladresse genommen, Protokoll TCP, Quellport 8083 und Zielport 8083, als Quelladresse alles.

auf meinem VServer habe ich 6tunnel installiert und laut Netz geht es dann wohl total einfach....

bekomme aber immer ein

6tunnel: unable to resolve host "und die IP des PIs"

Kann mir hier jemand helfen?

Danke :)

Hi,

Wenn Du in Deinem Netz IPv6 hast, dann kannst Du auch aus einem IPv6 Netzwerk mittels Portfreigabe zugreifen.
Das einzige was sich bei Unitimedia bei IPv6 nach reconnect ändert ist das Prefix in der Adresse. Dafür gibt es ja ggf. DDNS Provider.

Falls Du hier von IPv4 sprichst, brauchst Du ausserhalb Deines Netzes einen Portmapper.
Auch dafür gibt es mittlerweile verschiedene Provider.

Gruß,
JudgeDredd

Ich habe leider keine Ahnung von all dem :(

Ich wollte übers Handy/PC auf Fhem zugreifen wenn ich nicht zu Hause bin.

Über den VServer und Portmapper wollte ich das irgendwie einrichten :) aber wie gesagt... ich hab null Ahnung was IPv6 anbetrifft.
Vorher war das deutlich einfacher!

Zitat
Ich habe auf meinem PI eine IPV6 Adresse und in meiner ConnectBox eine Portfreigabe eingerichtet.

Dazu habe ich die Adresse des PI als Zieladresse genommen, Protokoll TCP, Quellport 8083 und Zielport 8083, als Quelladresse alles.

Wäre das zumindest man richtig?

Von welchem Client Du zugreifst spielt erstmal keine Rolle. Es kommt darauf an, ob dieser Client über eine IPv6 Adresse verfügt.

Gerade Clients die im Mobilfunknetz an das Internet angebunden sind, verfügen oft nur über eine IPv4.

Für einen ersten Test würde ich also erstmal von einem IPv6 Client den Zugriff probieren.
Der nächste Schritt wäre denn das IPv4 IPv6 mapping.

Ich selbst habe aus den genannten Gründen immer auf eine routbare IPv4 geachtet.
Daher sind meine Anmerkungen nur aus Netzwerkersicht und theoretischer Natur.

mit Client meinst du meinen PI?

Nur eine kleine Frage am Rande bevor du dein FHEM offen ins Netzt schmeißt: Wie gedenkst du denn FHEM abzusichern?

ZitatNur eine kleine Frage am Rande bevor du dein FHEM offen ins Netzt schmeißt: Wie gedenkst du denn FHEM abzusichern?

mit einem Passwort  :o

Zitat von: littleswabi am 06 August 2018, 10:20:27
mit einem Passwort  :o

Udo? Popcorn!!! Schnell, der Film fängt an.

schon klar, das man FHEM absichern muss. Das ist für mich erstmal zweitrangig. Bin mir sicher, dass es genug darüber zu lesen gibt. Das bekomme ich schon hin... wie so anderes auch.

Ich möchte erstmal rausfinden wie ich vom Handy/PC von extern darauf zugreifen kann bevor ich mir über andere Dinge gedanken mache :)

Zitatmit Client meinst du meinen PI?

Den Host, worauf Dein Fhem rennt (z.B. PI) UND die Maschine von dem Du aus Zugreifst (z.B. Smartphone, PC ausserhalb Deines Netzwerkes)

Zitatmit einem Passwort  :o

Die Kollegen spielen hier eher auf Begriffe wie SSL oder VPN an. Aber lass Dich überraschen  ::)

Grundsätzlich ein guter, erster Schritt  ;D

Aber gefühlt solltest du dich vielleicht noch mal näher mit der Thematik beschäftigen. Bevor dein FHEM/PI offen im Netzt ist und du, im schlimmsten Fall, dich für Straftaten verantworten muss.

Ich nutze z.B. auf meinem PI openPVN um mich mit diesem zu verbinden. Es gibt wohl auch Möglichkeiten dies per Fritzbox direkt zu machen.
Eine andere Möglichkeit wäre auch der Einsatz eines Reverseproxy (wobei ich hier auch raus bin).

Jetzt würdest du dein FHEM mit einem Password geschützt ins Internet stellen. Ich vermute mal mit dem Thema SSL ist da auch noch nichts? Somit würdest du dein Passwort offen über die Leitung schicken. Womöglich noch aus einem offenen WLAN-Zugang heraus...

Ist vielleicht ein wenig "Schwarzmalerei". Soll dir aber zeigen, dass es doch ein etwas komplexeres Thema ist.

Gruß

Edit:

ZitatDie Kollegen spielen hier eher auf Begriffe wie SSL oder VPN an. Aber lass Dich überraschen  ::)

Wie kommst du darauf  ;D

Zitatschon klar, das man FHEM absichern muss. Das ist für mich erstmal zweitrangig

Genau der Ansatz könnte zum Problem werden. Aber ich denke dazu ist von mir genug gesagt.

ZitatDen Host, worauf Dein Fhem rennt (z.B. PI) UND die Maschine von dem Du aus Zugreifst (z.B. Smartphone, PC ausserhalb Deines Netzwerkes)

mein PI hat eine IPV6 Adresse... es gab irgendwo eine Anleitung dazu. Hat funktioniert.

Mich via VPN zu verbinden vom Handy aus wäre natürlich ein Wunsch aber geht das mit der ConnectBox?

https://blog.sengotta.net/server-hinter-unitymedia-ds-lite-anschluss-betreiben/

Wo hängst Du denn?

Zitat von: darkness am 06 August 2018, 10:32:42
Eine andere Möglichkeit wäre auch der Einsatz eines Reverseproxy (wobei ich hier auch raus bin).

nota bene: Ein reverse proxy bringt keinen Sicherheitsgewinn, wenn er nicht zusätzlich für Authentifizierung und Transportsicherung sorgt.

ZitatMich via VPN zu verbinden vom Handy aus wäre natürlich ein Wunsch aber geht das mit der ConnectBox?

Also "ConnectBox" ist jetzt kein mir bekannter Netzwerkbegriff. Vermutlich meinst Du aber Deine RundUmGlücklichPlastikGeschenktBox vom Provider.
Ohne die zu kennen, wage ich mal die These: "Nein".

Wo Du Dein VPN letztendlich terminierst, spielt bei Dir vermutlich auch keine Rolle, da sowieso alle Clients im gleichen Subnetz sind.

Bleib halt erstmal beim ersten Schritt und stell mal einen IPv6 -> IPv6 Zugriff her.
Sei Dir aber bewusst, wie schon angemerkt, das Deine virtuelle Wohnungstür für die Dauer der Tests ungeschützt ist.

Zitat von: littleswabi am 06 August 2018, 10:35:55
Mich via VPN zu verbinden vom Handy aus wäre natürlich ein Wunsch aber geht das mit der ConnectBox?

Nein. Sei nett zu dir selbst und besorg dir eine eigene Cable-Fritzbox (oder ein anderes eigenes Gerät). Wenn du (den Support) lange genug nervst sorgen die auch dafür, dass du eine feste IPv4-Adresse bekommst, auch ohne Geschäftskundenanschluss. Dann kannst du einfach VPN machen und musst dein FHEM nicht ins Internet stellen.

ZitatSeht zu das euer VServer bereits für IPv6 eingerichtet ist.

@CoolTux da geht es schon mal los.... hab den VServer bei NetCup und in der Anleitung steht:

ZitatHinweis: Diese Anleitung ist ausschließlich bei KVM-Servern gültig und kann nicht bei den klassischen vServern angewendet werden.

und den KVM Server habe ich nicht....

KVM ist die Technik, NetCup der Anbieter. Zwei verschiedene Dinge.

Zeigt doch mal deine Anleitung (Link?) und wo es dann nicht weiter geht?

Hast du auf deinen Pi schon IPv6 eingerichtet?

auf dem PI läuft IPV6 schon...

mit ip addr bekomme ich

wenn ich google anpinge kommt

Zitat
PING google.com(fra16s25-in-x0e.1e100.net (2a00:1450:4001:825::200e)) 56 data bytes
64 bytes from fra16s25-in-x0e.1e100.net (2a00:1450:4001:825::200e): icmp_seq=1 ttl=56 time=20.4 ms
64 bytes from fra16s25-in-x0e.1e100.net (2a00:1450:4001:825::200e): icmp_seq=2 ttl=56 time=20.1 ms

Wenn ich bei NetCup unter Netzwerk die Einstellungen anschaue dann habe ich hier IPv4 Adresse mit IP / Gateway und rDNS mit einem Link
und unter IPv6 steht eine IP ein Gateway und Routing auf

https://blog.sengotta.net/server-hinter-unitymedia-ds-lite-anschluss-betreiben/ (https://blog.sengotta.net/server-hinter-unitymedia-ds-lite-anschluss-betreiben/)

ZitatSeht zu das euer VServer bereits für IPv6 eingerichtet ist.

das scheint es ja zu sein... über die Konsole und ip addr erscheint auch eine IPv6 Adresse.

Auf der ConnectBox habe ich eine PortFreigabe eingerichtet und als Zieladresse die IPv6 des PI
angegeben Quellport 80 (keine Ahnung) Zielport 8080 - 8083.

Als Quelladresse (?!) dann wohl die des VServers oder?

ich würde einen VPN Tunnel via IPV6 aufbauen und dadurch dann IP4 schicken ...

geht dann auch viel einfach von einer Firewall zu managen ... nur IPV6::VPN freigeben ... und eine 192.168/16er Adresse wird im Internet nicht gerouted

Ansonsten schaut das mal an: http://www.feste-ip.net
Läuft bei mit seit ich den UM-Anschluß habe (ca 3 Jahre) problemlos.
FHEM kannst du dann über Portfreigabe oder auch über VPN erreichen.

Oder halt einfach die 4,99€/Monat draufpacken und die Komfort-Telefon Option bestellen. Denn bekommst Du von UM eine FritzBox, 3 Rufnummern und IP V4 ;)

Zitat von: Tedious am 08 August 2018, 10:52:09
Oder halt einfach die 4,99€/Monat draufpacken und die Komfort-Telefon Option bestellen. Denn bekommst Du von UM eine FritzBox, 3 Rufnummern und IP V4 ;)

Seit wann das? Von IPv4 habe ich da nirgends was gelesen. Ich habe die Komfortoption - eine IPv4 konnte ich aber dennoch nicht bekommen?

Hmm.. dachte das sei Standard. Denn muss das "Bestandsschutz" sein, ich hab das so schon seit Jahren - bzw, wurde von V6 auf V4 umgestellt beim Switch auf Komfort damals. War damals ein Tip aus dem "Inoffiziellen Unitymedia Forum". Wenn das nicht mehr so sein sollte - mea culpa, das war zumindest mal so... Aktuell  176.199.XXX.XXX

% Information related to '176.199XXXXXXXXXXX'

route:          176.199.XXXXXXXXX
descr:          Liberty Global - UMKBW
origin:         AS6830
mnt-by:         AS6830-MNT
created:        2015-05-27T14:56:35Z
last-modified:  2015-05-27T14:56:35Z
source:         RIPE