Zugriff auf VPN von außen mit Speedport und UniFi [anscheinend erfolgreich]

andies · 23 Dezember 2025, 22:35:16

Ich brauche mal Eure Hilfe. Bisher hatte ich folgende Lösung. Ich habe ein FHEM, das meinen Alltag im Haushalt extrem bequem macht (Kaffeemaschine anschalten, Lichter an/aus, Warmwasser einschalten/abschalten, Heizung kontrollieren, Wasser im Keller?, Temperaturen überwachen...). Andere Lösungen haben mich nicht überzeugt.

Wichtig war mir aber auch, dass ich außerhalb meines Netzes zugreifen kann. Daher habe ich mir eine vernünftige FTUI3-Webseite angelegt sowie einen Telegram-Bot beschafft. Mit der Webseite schalte ich Lampen/Heizung/Kaffeemaschine..., der Bot informiert mich regelmäßig und unaufgefordert über Temperaturen/ausgelaufenes Wasser... Das ganze wurde über eine Fritzbox mit VPN abgesichert.

Nun habe ich die Struktur aus zwei Gründen ändern müssen. 1) wollten die Kinder mehr als 30MBit/s und die Telekom bietet das Hybrid (mit 5G) an, dabei muss ich aber das Speedport Smart 4 der Telekom nehmen, sonst geht hybrid nicht. 2) Habe ich inzwischen mit 100 Geräten im Netz Schwierigkeiten mit DHCP (manchmal doppelte IPs, fixe IP nicht gemerkt etc.), so dass ich ein UniFi Gateway gekauft und als neuen DHCP-Server nutze. Zuhause ist der Aufbau der Seiten viel schneller und stabiler, das hat sich wirklich gelohnt und, na ja, die ca sechsfach höhere Geschwindigkeit finden alle super. Saugen und so.

Jetzt kommt das Problem. Durch meine Konstruktion (DHCP hinter Speedport) kann ich das Speedport-VPN nicht mehr nutzen, um auf meine Seiten zuzugreifen. Jedenfalls gelingt mir das nicht, ich versuche das schon seit zwei vollen Tagen (und ChatGPT redet nur Mist). Anscheinend geht das technisch nicht, weil exposed host nicht erlaubt und Portweiterleitung so eingeschränkt ist, dass nicht klappt, was ich brauche. Also suche ich Ausweichlösungen.

Hat jemand eine? Eine Variante wäre, die Befehle alle über den TelegramBot zu managen, das geht sicher auch. Eine andere Variante ist UniFi-DHCP wieder aufzugeben, das möchte ich aber nicht - da hatte ich solche Kopfschmerzen. Was kann ich denn noch probieren?

MadMax-FHEM · 24 Dezember 2025, 00:00:07

Hmm, so ganz weiß ich nicht wo genau das Problem liegt bzw. wenn du eine IP4 Adresse hast und zumindest einen Port weiterleiten kannst, dann einfach auf einem PI oder VM oder "fhem-Rechner" pi-vpn installieren.

Habe ich an 2 Orten und läuft, zusammen mit z.B. einem DNS-Eintrag über Cloudflare (kostet nix), die liefern ein Update-Script usw.

Wenn es mit öffentlicher IP4 ein Problem gibt (klingt so, weil Hybrid?) oder eben ein VPN Port nicht weitergeleitet werden kann, dann nat. problematisch.

Wenn du nur einzelne Dienste von Rechnern (also z.B. FTUI) weiterleiten/zugreifbar haben willst, ist evtl. TaleScale was.
Wollte ich schon immer mal probieren, ist aber halt kein richtiges "vpn" (also für mich kein "vpn-Killer"), sondern eine schöne Art einzelne Dienste/Ports nach außen zu geben, ohne eben Ports weiterleiten zu müssen...

https://www.youtube.com/watch?v=i-MENilfZRM
https://www.youtube.com/watch?v=JQLXMNibLHs

Oder evtl. auch das interessant:
https://www.youtube.com/watch?v=1lZ3FQSv-wI

Gruß, Joachim

Otto123 · 24 Dezember 2025, 01:03:35

Hi,

nach meiner Erfahrung bekommst Du mit Funk wegen CGNAT keine Verbindung, über ein VPN auf dem Router, "nach drinnen". Eventuell über IPv6 wenn es ganz sauber läuft, habe ich aber über Hybrid auch noch nicht probiert.

Was Du mMn machen kannst ist sowas: https://heinz-otto.blogspot.com/2025/09/das-internet-ist-ausgefallen.html
Den VPN Knoten im Internet gibt es bei diversen Anbietern auch zum mieten.

Gruß und schöne Weihnachten
Otto

Nobbynews · 24 Dezember 2025, 05:18:54

Da kann ich @Otto aus meiner eigenen Erfahrung heraus bestätigen.
Für unsere Tochter habe ich einen 5G Tarif (kein Hybrid) als Internetanschluß gebucht. Dabei gibt es keine Chance, von draußen eine Verbindung aufzubauen, da der Anschluß keine öffentliche IP (weder v4 noch v6) hat.
Meine Recherche ergab, dass es wohl von Provider und Tarif abhängig ist, ob man für einen einmaligen Obolus (hatte etwas von 50€ gelesen) für diesen Service freigeschaltet werden kann.
Wird aber von dem von mir gewählten Provider für den gewählten Tarif nicht angeboten

andies · 24 Dezember 2025, 07:55:20

Vielen Dank, das schaue ich mir alles mal an. Mein Problem ist (jedenfalls noch) nicht die fehlende öffentliche IP, die habe ich über selfhost und da ich Festnetz behalte, hoffe ich, dass die weiterhin vorhanden ist.

Mein Problem ist das eigene DHCP. Dadurch entstehen bei mir zwei Netze: einmal das von Speedport aufgebaute, das die öffentliche IP besitzt und VPN erlaubt (192.168.1.X). Dahinter (genauer hinter dem DHCP Gateway von UniFi) entsteht nun ein zweites Netz, mit eigenem DHCP Server (192.168.2.X). Mir gelingt es nicht auf dem Speedport, den Traffic vom 1er Speedport Netz zum 2er UniFi Netz weiterzuleiten. Hinzu kommt noch, dass ich kein Netzwerkprofi bin.

andies · 24 Dezember 2025, 08:06:44

Ach so: und VPN auf dem zweiten Netz (von UniFi, 2er Netz) kann ich zwar installieren, das aber hat dann keine öffentliche IP mehr - die hat nur das Speedport 1er Netz und "gibt sie nicht weiter".

PS Also genauer beschrieben dank Euch: Ich will das UniFi-VPN nutzen und bekomme dafür keine öffentliche IP, weil die vom Speedport nicht weitergegeben wird.

Nobbynews · 24 Dezember 2025, 08:18:24

Zitat von: andies am 24 Dezember 2025, 07:55:20nicht die fehlende öffentliche IP, die habe ich über selfhost und da ich Festnetz behalte, hoffe ich, dass die weiterhin vorhanden ist.

Nur mal noch eine Frage: Hast Du die IP mal überprüft? Im 5G-Router steht da irgendetwas von 10.10.XYZ.
Dann nützt Dir auch selfhost oder andere DynDNS-Dienste nix.

Kannst Du im Speedport den DHCP nicht abschalten und dem Teil eine IP vom Unifiy verpassen?

Beta-User · 24 Dezember 2025, 08:22:34

Bestimmt doofe Frage eines Netzwerk-DAU:
Den Port für die vpn-Anfrage an die UniFy weiterzuleiten geht nicht?
Ggf. einen anderen Port zu nehmen, damit daneben auch von auf den Speedport möglich wäre?

andies · 24 Dezember 2025, 08:33:52

Zitat von: Nobbynews am 24 Dezember 2025, 08:18:24Nur mal noch eine Frage: Hast Du die IP mal überprüft?

Ja, ist ok: 84.140.60.192

Zitat von: Nobbynews am 24 Dezember 2025, 08:18:24Kannst Du im Speedport den DHCP nicht abschalten und dem Teil eine IP vom Unifiy verpassen?

Das hatte ich auch probiert, dann komme ich nicht mehr ins Internet. ChatGPT hat mir das so erklärt, dass mein UniFi-Gateway dann nicht mit dem Speedport reden kann (denn das Speedport ist nicht im DHCP von UniFi) und so keine Verbindung nach außen möglich ist.

Zitat von: Beta-User am 24 Dezember 2025, 08:22:34Bestimmt doofe Frage eines Netzwerk-DAU:
Den Port für die vpn-Anfrage an die UniFy weiterzuleiten geht nicht?

Bin doch selber DAU

Genau das geht nicht (kann ich nicht), das habe ich gestern mehrere Stunden erfolglos probiert.

(Bis zu einem gewissen Grad ist bei solchen komplexen Fragen ChatGPT wirklich hilfreich. Irgendwann fing das Modell aber an Mist zu erzählen, dann kann man nur abschalten.)

andies · 24 Dezember 2025, 08:53:23

Es ist genau diese Stelle im UniFi Setup. Er gibt mir die "öffentliche" IP, die aber vom Speedport vergeben wurde, weil das außerhalb des UniFi-Netzes, vor dem eigentlichen Internet, ist. Und da muss die 84er Adresse hin und die kann ich nicht (dynamisch) eintragen.

JudgeDredd · 24 Dezember 2025, 09:28:22

Da ich die Netztopoligie hier bbisher nicht verstanden habe, kann ich erstmal keine Lösung skizzieren, aber ich sehe auch, das hier offensichtlich ein Missverständnis von öffentlichen IP-Adressen besteht, hier mal die Übersicht der privaten IP-Adressen nach RFC1918

Code Auswählen

10.0.0.0 bis 10.255.255.255 (10.0.0.0/8)
172.16.0.0 bis 172.31.255.255 (172.16.0.0/12)
192.168.0.0 bis 192.168.255.255 (192.168.0.0/16)

Auf diese kann natürlich NICHT aus einem öffentlichen Netz (Internet) zugegriffen werden.

MadMax-FHEM · 24 Dezember 2025, 09:39:27

Zitat von: andies am 24 Dezember 2025, 08:06:44Ach so: und VPN auf dem zweiten Netz (von UniFi, 2er Netz) kann ich zwar installieren, das aber hat dann keine öffentliche IP mehr - die hat nur das Speedport 1er Netz und "gibt sie nicht weiter".

PS Also genauer beschrieben dank Euch: Ich will das UniFi-VPN nutzen und bekomme dafür keine öffentliche IP, weil die vom Speedport nicht weitergegeben wird.

Genau das habe ich auch bzw. ähnlich, so ich richtig verstehe.

FB nach außen, macht nur Internet.
Netzwerk "intern" mache ich mit Unifi.
DHCP ist bei mir halt piHole (sollte aber egal sein?).
EDIT: bzw. für meine vLAN macht es sogar Unifi.
Dann eben auf einem PI (bei mir der piHole PI aber auch das sollte egal sein?) piVPN installiert.
EDIT: ha sollte/ist, bei einer Installation ist das direkt der fhem PI.

Auf beiden piVPN dann noch fail2ban, sollte sicher (genug) sein...

VPN Port von FB zu Unifi, in Unifi dann eine Weiterleitung zum piVPN.
Also VPN Port geöffnet und an den Unifi Controller weitergeleitet (andere "Rechner" sieht die FB ja auch nicht), dann eben vom Unifi Controller denselben VPN Port weitergeleitet an den piVPN "Rechner"...

Zugriff dann per vpn und meiner öffentlichen IP per DNS Eintrag Cloudflare...

Funktioniert tadellos...

Ich nutze halt nicht das vpn von Unifi.
Hatte schon mal überlegt, würde mir den PI sparen...
...da der aber noch andere Dinge tut, würde ich dann doch nichts gewinnen...

EDIT: bei piVPN kannst du auch wireshark oder beides wählen...

Gruß, Joachim

Otto123 · 24 Dezember 2025, 10:02:26

Also DHCP ist mit Sicherheit nicht das Problem.
Wenn dein VPN auf dem ersten Router endet, kommst Du erstmal nur auf dessen Netz.

Wenn der zweite Router wie ein typischer "Internet Router" arbeitet, also NAT macht, könntest Du dein zwischen Netz wie Internet behandeln und dein FHEM auf dem zweiten Router als exposed Host in das zwischen Netz freigeben.
Oder Du machst ein VPN auf dem zweiten Router und machst auf dem ersten Router ein Portforwarding für das VPN. Funktioniert bei Wireguard einwandfrei, bei einem anderen VPN Typ kann es funktionieren muss aber nicht.

Im zweiten Fall hast Du dann ein VPN in Dein Zielnetz, das was Du willst.

Was für ein VPN kann der Unify Router?

andies · 24 Dezember 2025, 10:08:38

Zitat von: MadMax-FHEM am 24 Dezember 2025, 09:39:27FB nach außen, macht nur Internet.

Das ist schon mal der erste Unterschied: Ich habe die FB abgeben müssen und nehme Speedport. Letzteres ist wesentlich unflexibler. Beispielsweise kann ich nicht "exposed host" einstellen, was vieles einfacher machen würde.

Zitat von: Otto123 am 24 Dezember 2025, 10:02:26dein FHEM auf dem zweiten Router als exposed Host in das zwischen Netz freigeben.[/li][/list]

Genau das geht mit dem (dussligen) Speedport nicht, siehe oben.

Zitat von: Otto123 am 24 Dezember 2025, 10:02:26Was für ein VPN kann der Unify Router?

UniFi kann Wireguard.

Zitat von: Otto123 am 24 Dezember 2025, 10:02:26Oder Du machst ein VPN auf dem zweiten Router

Ich denke, dass das die Lösung sein wird.

Otto123 · 24 Dezember 2025, 10:42:50

Zitat von: andies am 24 Dezember 2025, 10:08:38Genau das geht mit dem (dussligen) Speedport nicht, siehe oben.

Falsch verstanden:
VPN - Speedport - zwischen Netz - Unify Router - Dein Host

Für den Unify ist zwischen Netz ein Internet und deshalb kannst Du dort exposed Host machen? Dann gehst Du per VPN auf den Speedport und sprichst den Unify anstatt Deines Hostes an.

Ich habe keine Ahnung ob der Speedport Port forwarding macht, wenn ja: mach wireguard

Es ist etwas komplizierter, aber wireguard geht auch komplett über IPv6. Ich habe immer noch nicht verstanden was selfhost für eine Rolle spielt. Kenne es einfach nicht. Ich weiß nur: über CGNAT kommst Du mit IPv4 nicht nach innen, auch nicht wenn Vodafone Business dir eine öffentliche IP verkauft hat. Zumindest habe ich es nie hinbekommen und "das Netz" hat es mir im Prinzip bestätigt.

Ich habe das genauso am laufen, nur mit FB und Openwrt Router, seit einer Zeit als die FB noch kein Wireguard konnte.