Temperaturüberwachung in verschiedenen Netzwerken Fhem2Fhem ungenau

frank · 21 Oktober 2020, 20:17:56

ZitatIm prinzip könnte ich doch einfach die 230 v diode und Widerstand und direkt auf einen Eingang, nagut das sie nicht pulst noch nen kondensator dazu aber das müsste doch auch gehen. Nur hab ich immer irgendwas im Internet gefunden von wegen erstmal trafo und dann mit der kleinen spannung oder gleich ein einfaches 5 v netzteil etc.

oha, lass bitte die finger davon.

zum glúck ist die feuerwehr nicht weit.

Magnia · 31 Oktober 2020, 11:06:25

So hab mich mal wieder dem Projekt etwas gewidmet.

Hab jetzt mal mit Tailscale die Rechner in ein VPN Netzwerk gebracht.

Anmeldung ist über Google Account und dann fertig.
Auf dem Windows PC das Programm laden und installieren und über Google Account anmelden.
Auf dem Pi nach anleitung wie auf der Homepage beschrieben installieren. den link den der Rechner dann ausgibt einfach am Windows pc aufrufen und anmelden fertig

so einfach bekommt man die Rechner untereinander vernetzt. Auch wenn jeder irgendwo anders steht, quasi über die Stadt verteilt oder wenn man in seinem Ferienhaus auch einen pi hat bzw als beispiel von der Homepage selbst seinen Hund zuhause beobachten möchte.

Hat alles problemlos funktioniert.
Die IP Adressen die man dann hat sind so 100.93.124.28 mit fhem2fhem war das auch kein problem, hab die einfach eingegeben und er zieht munter weiter seine daten.

was allerdings nicht geklappt hat ist das webfrontend aufzurufen. Also vom anderen Rechner im Mesh VPN die 100.83.23.195:8083 da schreibt er blos das er keine reaktion bekommt. Eine Verbindung über SSH ist problemlos möglich.

bei der Hundekamera wird über port 8081 zugegriffen und das läuft.
Leider hab ich von der Materie keinen schimmer und weiss nicht wo ich da weiter ansetzen soll. Port 83 bis 85 hab ich durchprobiert ohne änderung.

Im Prinzip hat mich das so doch schon weiter gebracht, da ich die Sensoren über die Stadt verteilt in die Kühlschränke hängen kann, ins Gästewlan und über Tailscale verbinden. Der Server bekommt alle Daten.
Leider kann ich dann eben nicht über vpn auf den frontend zugreifen um die daten zu sehen was schon auch gut wäre.

Aber vielleicht hab ich damit auch schon mal jemanden geholfen, denn soweit ist Tailscale eine Prima sache und wirklich einfach zu handhaben. und für einen Nutzer auch kostenlos

Vielen Dank soweit schon mal

Otto123 · 31 Oktober 2020, 11:21:37

Hi,

einfache Erklärung aus der Doku:

ZitatAttribute

allowFrom - Regexp der erlaubten IP-Adressen oder Hostnamen. Wenn dieses Attribut gesetzt wurde, werden ausschließlich Verbindungen von diesen Adressen akzeptiert.
Achtung: falls allowfrom nicht gesetzt ist, und keine gütige allowed Instanz definiert ist, und die Gegenstelle eine nicht lokale Adresse hat, dann wird die Verbindung abgewiesen. Folgende Adressen werden als local betrachtet:
IPV4: 127/8, 10/8, 192.168/16, 172.16/10, 169.254/16
IPV6: ::1, fe80/10

Gruß Otto

Wernieman · 31 Oktober 2020, 11:35:34

ZitatDie IP Adressen die man dann hat sind so 100.93.124.28

Sind es wirklich solche IP Adressen, also Öffentliche IP-Adressen?

Magnia · 31 Oktober 2020, 12:18:52

Danke Otto du bist eine wahre Hilfe!!!

habs jetzt eingetragen mit der ip adresse vom Handy.
Habs wlan ausgeschaltet und über Internet ohne Probleme darauf zugegriffen.

Klappt, allerdings konnte ich dann von zuhause nicht mehr drauf zugreifen, nun ist es wieder raus.

Wenn ich die ganze reihe freigeben möchte wie muss das dann aussehen?

attr WEB allowfrom 100.85.136.103
gibt mir nur das handy frei über tailscale.

wie muss das aussehen wenn die 192.168 auch funktionieren sollen und die anderen auch aus tailscale?

attr WEB allowFrom 100.85.136.103|100.73.87.87|192.0.0.0

das sollte der laptop, das handy und der gesamte hausbereich sein.

aber hat nicht geklappt, wie wird das getrennt? mit semikolon gehts auch nicht

und ja, die gesamten ip adressen von tailscale sind über 100.xxx.xxx.xxx verfügbar man kann sich die aber noch etwas zurechtbiegen

Ergänzung
Fehlerteufel!!
attr WEB allowfrom 100.85.136.103|100.73.87.87
funktioniert für Handy und Laptop und mit 192.168.xxx.xxx dann auch wieder intern vom Laptop aus. Allerdings würde ich 192.168 ganz gerne für alle frei lassen.
aber 192.168/16 oder sowas klappt nicht, wie muss ein bereich definiert sein?

Wernieman · 31 Oktober 2020, 12:27:34

Mannomann .. mal wieder was gelernt. Kannte den Adressraum und deren Verwendung so noch nicht. Ich glaube nur nicht, das der komplette 100.X.X.X verwendet werden kann. Da sind Teilweise RiCHITGE Adressen darunter ;o)

ZitatNetRange: 100.64.0.0 - 100.127.255.255
CIDR: 100.64.0.0/10
NetName: SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle: NET-100-64-0-0-1
Parent: NET100 (NET-100-0-0-0-0)
NetType: IANA Special Use
OriginAS:
Organization: Internet Assigned Numbers Authority (IANA)
RegDate: 2012-03-13
Updated: 2016-04-11
Comment: This block is used as Shared Address Space. Traffic from these addresses does not come from IANA. IANA has simply reserved these numbers in its database and does not use or operate them. We are not the source of activity you may see on logs or in e-mail records. Please refer to http://www.iana.org/abuse/
Comment:
Comment: Shared Address Space can only be used in Service Provider networks or on routing equipment that is able to do address translation across router interfaces when addresses are identical on two different interfaces.
Comment:
Comment: This block was assigned by the IETF in the Best Current Practice document,
Comment: RFC 6598 which can be found at:
Comment: http://tools.ietf.org/html/rfc6598
Ref: https://rdap.arin.net/registry/ip/100.64.0.0

Siehe auch https://tools.ietf.org/html/rfc6598

Otto123 · 31 Oktober 2020, 12:33:53

Naja so wirds nix, damit hast Du eingeschränkt. Du kannst 100.85.136.103|100.73.87.87|192.168.* verwenden?
Bin nicht sicher, habe nicht getestet.

Schau mal hier https://forum.fhem.de/index.php?topic=107892.0
also vielleicht auch (100.85.*|100.73.*|192.168.*)

Ich bin nicht so sattelfest im regExen

Aber je schärfer je besser - also falls Du da wirklich "bunte" 100.x.x.x Adressen hast:
(100.85.136.103|100.73.87.87|192.168.178.*) bzw. Dein exaktes Subnetz

Magnia · 31 Oktober 2020, 12:50:42

also einfach mit * hat geklappt, hab jetzt die 192.168.1.* und die paar adressen aus tailscale 100.x.x.x einzeln drin

somit kann ich mit meinen Handy Laptop von überall drauf zugreifen.

mehr muss ja auch nicht.
Meine Eingabegeräte über Tailscale sind frei alles andere muss draussen bleiben und eben zuhause darf auch mitspielen.

Hatte mir ein paar Seiten im Internet durchsucht dadurch bin ich dann auch die 192.168/16 und sowas in der art gekommen, dachte er macht mir dann 16 adressen aus dem bereich frei.
So ist besser und es klappt.

Same procedure as everytime

Danke Otto

Otto123 · 31 Oktober 2020, 13:11:17

Zitatalso einfach mit * hat geklappt

Achtung Trugschluss

Es klappt wegen .* siehe auch.

Und interessant der Beitrag https://tailscale.com/blog/how-tailscale-works/
sowie der Link von Werner https://tools.ietf.org/html/rfc6598

Für die Nachwelt

Wernieman · 31 Oktober 2020, 13:19:54

Und darauf achten, das FHEM abgesichert ist. Bin mir jetzt nicht sooo über die Sicherheit des Anbieters informiert.

Danke an Otto für den Link. Man lernt nicht aus.

Otto123 · 31 Oktober 2020, 13:33:16

Und jetzt wo ich den Link von Werner nochmal lese der Hinweis/Frage: Hat man denn wirklich feste Adressen? Oder bekommt man bei jeder Verbindung einen neue?
Wenn letzteres: Dann sollte man das regEx dem Netzwerk 100.64.0.0/10 anpassen - das wird etwas komplizierter (aber irgendwo gab es da hier schon Beispiele)
Und auf alle Fälle FHEM Zugang weiter absichern. Es ist ein shared VPN ...

Magnia · 31 Oktober 2020, 14:11:18

Doc von der Homepage:

What are these 100.x.y.z addresses?
Tailscale assigns each node on your network a unique 100.x.y.z address. This address stays stable for each node (a device or a server), which means it should not change, no matter where the device moves to in the physical world.

More specifically, we assign addresses in the 100.64.0.0/10 subnet (from 100.64.0.0 to 100.127.255.255). This is called the "Carrier Grade NAT" (CGNAT) address space, reserved by RFC6598, IANA-Reserved IPv4 Prefix for Shared Address Space.

There are a few reasons to use this address space in particular:

It doesn't conflict with the commonly-used private addresses your network might already use (10.0.0.0/8, 192.168.0.0/16, etc).

The addresses are intended to be used for intermediate NATted traffic that is neither on your LAN nor on the public Internet. When a device on this network wants to reach the public Internet, they are expected to be NATted once more. This matches how Tailscale uses the addresses.

The addresses are supposed to be used by Internet Service Providers (ISPs) rather than private networks. Philosophically, Tailscale is a service provider creating a shared network on top of the regular Internet. When packets leave the Tailscale network, different addresses are always used.

We are considering using other unused address ranges, including the otherwise wasted 0.x.y.z (where x.y.z != 0.0.0) subnet. So far, is unclear whether this will create problems with older operating systems.

Last updated 2020-05-25

RELATED ARTICLES
Connecting to external services with IP block lists via Tailscale
VPN reviewer's guide
DNS in Tailscale

Wenn es da nicht an meinem Englisch scheitert, dann wenigstens an meinem Fachwissen

Wernieman · 31 Oktober 2020, 14:25:22

Es ist mehr oder weniger genau das, was wir bisher gesagt haben.

Sie verwenden das Netzwerk 100.64.0.0/10 (from 100.64.0.0 to 100.127.255.255), was laut RFC6598 erlaubt ist.
Es sind keine Öffentlichen Adressen

Aber .. es steht nicht drin, das dieses VPN nicht von woanders auch erreichbar ist. Deshalb (s.o.) sicherheitshalber absichern ...

Magnia · 31 Oktober 2020, 14:37:26

Das ganze ist quasi eine Wireguard VPN

https://tailscale.com/kb/

da kann man sich das durchlesen

Otto123 · 31 Oktober 2020, 14:43:19

ZitatThis address stays stable for each node (a device or a server), which means it should not change, no matter where the device moves to in the physical world.

Irgendwie fällt es mir schwer zu glauben, dass die nicht analog zu DHCP eine "Leasetime" haben - sonst sind doch irgendwann die Adressen alle?

Ich wollte den Fakt nur anmerken. Sonst machst Du jetzt allowfrom und in einem halben Jahr weiß Du nicht mehr warum es dann plötzlich nicht mehr geht.

Oder Rudi liest mit und passt das default Filter mal an die RFC6598 an - wenn er sowieso an der Stelle ist