Zugriff auf VPN von außen mit Speedport und UniFi [erfolgreich]

kadettilac89 · 24 Dezember 2025, 11:01:53

Zitat von: andies am 23 Dezember 2025, 22:35:16Hat jemand eine? Eine Variante wäre, die Befehle alle über den TelegramBot zu managen, das geht sicher auch. Eine andere Variante ist UniFi-DHCP wieder aufzugeben, das möchte ich aber nicht - da hatte ich solche Kopfschmerzen. Was kann ich denn noch probieren?

Teste mal Tailscale direkt auf deinem RPi installiert. Dann brauchst du keine Ports umbiegen. App für Android, IOs oder Desktops vorhanden.

https://tailscale.com/security

andies · 24 Dezember 2025, 12:51:34

Danke für die Tipps, das schaue ich mir definitiv an (insbesondere Tailscale, hatte Otto ja schon angemerkt). Irgendwie habe ich es anscheinend dennoch hinbekommen, danke ChatGPT:

ZitatDas ist der Beweis, dass:
   •   der WireGuard-Tunnel steht
   •   Routing bis zum UXG-Lite funktioniert
   •   Hybrid-5G kein Hindernis mehr ist

Ich musste dazu in der Konfigurationsdatei Angaben ändern und den DynDNS eintragen; in Unifi selbst ergaben sich da falsche Serveradressen. Man konnte das aber in der WireGuard.conf verändern (auf dem Handy). Jetzt geht die Seite immer noch nicht, aber das sind eindeutig Routingprobleme innerhalb von Unifi, das kriegt Chat sicher auch noch hin.

Otto123 · 24 Dezember 2025, 12:56:21

Zitat von: andies am 24 Dezember 2025, 12:51:34Das ist der Beweis, dass:

Vorsicht mit solchen Aussagen

Diese KI Typen sind sehr selbstsicher, die Möglichkeit, dass sie selbst einen Fehler gemacht haben wurde irgendwie nicht mit programmiert.

andies · 24 Dezember 2025, 12:57:05

Zum mitschreiben, falls das jemand auch braucht. Man ruft im Handy in Wireguard die Konfiguration auf. Dort steht "Serveradresse" und wenn man die conf mit UniFi erzeugt hat, steht da Unsinn (bei mir 127.0.0.1). Das habe ich in meine DynDNS-Adresse geändert, bei mir habe ich den Domainname meines DynDNS eingegeben (xxxxx.selfhost.bz war das). Danach gab es den Handshake und die aktuelle public IP wurde angezeigt.

Insgesamt bemerke ich immer wieder ein Problem, das uns bei FHEM ja auch plagt: Die Dokumentationen. Ich kenne das von mir selber. Da schreibt man Code, endlich läuft es und innerlich sagt man sich "jetzt habe ich schon so viel geleistet, das muss reichen". Aber das reicht nicht. Und bei UniFi läuft das nicht anders. Deren Doku ist nicht schlecht, aber wie zum Teufel können die auf einer Webseite zweimal die gleichen Worte "DHCP-Bereich" nehmen und in beiden Fällen kann man unterschiedliche Dinge eintragen?! Und das alles ohne Erläuterung. Wie gesagt: Bei sowas hilft Chat ungemein. Aber man muss höllisch aufpassen und jeden Satz überprüfen. "Otto123, sagen Sie einfach Bescheid!"

andies · 24 Dezember 2025, 12:58:33

Zitat von: Otto123 am 24 Dezember 2025, 12:56:21Viele Grüße aus Leipzig ⇉ nächster Stammtisch an der Lindennaundorfer Mühle

Wann gibt es den nächsten Stammtisch? Ich überlege aus Berlin zu kommen und einen Freund aus Amelshain dazuzuholen, der sich seit Monaten FHEM einrichten will. Gibt es schon Planungen?

Otto123 · 24 Dezember 2025, 13:27:12

Nein einen Plan gibt es noch nicht, wir haben uns erst vor 4 Wochen getroffen. Ich denke Anfang März wird es wieder was geben. Wenn Du Dich in unseren Termin Thread mit einträgst bekommst Du ja Bescheid

Ich mach seit unserem letzten Treffen ein bisschen mit Copilot und dem sage ich nachdem es funktioniert immer: Bitte mach mir eine Doku dazu, die auch ein anderer versteht - das klappt ganz gut. Man muss die dann bloß gut ablegen

MadMax-FHEM · 24 Dezember 2025, 14:57:53

Zitat von: andies am 24 Dezember 2025, 10:08:38Das ist schon mal der erste Unterschied: Ich habe die FB abgeben müssen und nehme Speedport. Letzteres ist wesentlich unflexibler. Beispielsweise kann ich nicht "exposed host" einstellen, was vieles einfacher machen würde.

Im anderen Setup habe ich auch einen Speedport.

Also habe ich folgendes Setup (und egal ob FB oder nicht)...
...und NIRGENDS habe ich exposed Host!

FB/Speedport: Port für vpn (habe ich auch mit wireshark ausprobiert: ging genauso) "geöffnet" und an den Unifi Controller weitergeleitet (habe ja in beiden Fällen keine andere Möglichkeit, der Rest des Netzes ist ja "hinter" dem Unifi Controller und somit nicht "sichtbar")

Im UnfiController: vpn Port (quasi das was von der FB/Speedport kommt bzw. einfach Port von "überall" <- kann ja nur FB/Speedport sein) an meinen piVPN PI weitergeleitet

Aber eigentlich müsste das doch genauso gehen, wenn der Unifi Controller selber der vpn-Provider ist. Dann brauchst du halt die Weiterleitung vom Unifi Controller nicht...

Eine Portweiterleitung müsste doch (auch von deinem) Speedport gehen?
Bei mir geht das (noch)...
...wenn das mal nicht mehr geht, fliegt was immer mir die Telekom gibt einfach raus!

EDIT: ok nicht weiter/weit genug gelesen

Läuft ja inzwischen...

Gruß, Joachim

MadMax-FHEM · 24 Dezember 2025, 15:03:24

Zitat von: andies am 24 Dezember 2025, 12:57:05Man ruft im Handy in Wireguard die Konfiguration auf. Dort steht "Serveradresse" und wenn man die conf mit UniFi erzeugt hat, steht da Unsinn (bei mir 127.0.0.1).

Evtl. kann man das bei Unfi auch wo einstellen?

Bei der Installation von piVPN wird man gefragt, über welchen "Host"/IP man erreichbar ist.
Es wird die aktuelle (externe) IP angeboten, man kann aber auch einen Namen angeben.

Macht man das hier nicht (oder falsch), hat man dasselbe Problem...
...welches sich genauso lösen lässt (aber lästig ist).
Und immer, wenn die Zertifikate abgelaufen sind, muss man das ja neu anpassen...
...und ja, man kann auch lange (3Jahre/5Jahre usw.) angeben (zumindest bei piVPN) aber auch das geht oft schneller als man denkt

Gruß, Joachim

andies · 24 Dezember 2025, 18:12:23

So, ich habe mit Chatties Hilfe hier weitergemacht und dann kam der Weihnachtsmann und hat mir Glück gebracht. Ich habe den Aufruf der Seite mitgeschnitten und erhalte auf meinem Heimnetz folgendes Bild:

Code Auswählen

 sudo tcpdump -ni end0 host 192.168.5.2 and port 8083
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on end0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
17:54:15.823507 IP 192.168.5.2.56474 > 192.168.2.57.8083: Flags [SEW], seq 449957357, win 65535, options [mss 1220,nop,wscale 6,nop,nop,TS val 1506693562 ecr 0,sackOK,eol], length 0
17:54:15.823608 IP 192.168.2.57.8083 > 192.168.5.2.56474: Flags [S.E], seq 3692316859, ack 449957358, win 31856, options [mss 1460,sackOK,TS val 3987650324 ecr 1506693562,nop,wscale 7], length 0
17:54:15.850521 IP 192.168.5.2.56474 > 192.168.2.57.8083: Flags [.], ack 1, win 2058, options [nop,nop,TS val 1506693616 ecr 3987650324], length 0
17:54:15.854421 IP 192.168.2.57.8083 > 192.168.5.2.56474: Flags [F.], seq 1, ack 1, win 249, options [nop,nop,TS val 3987650355 ecr 1506693616], length 0
17:54:15.877368 IP 192.168.5.2.56474 > 192.168.2.57.8083: Flags [P.], seq 1:395, ack 1, win 2058, options [nop,nop,TS val 1506693628 ecr 3987650324], length 394
17:54:15.877447 IP 192.168.2.57.8083 > 192.168.5.2.56474: Flags [R], seq 3692316860, win 0, length 0
17:54:15.885498 IP 192.168.5.2.56474 > 192.168.2.57.8083: Flags [.], ack 2, win 2058, options [nop,nop,TS val 1506693652 ecr 3987650355], length 0
17:54:15.885537 IP 192.168.2.57.8083 > 192.168.5.2.56474: Flags [R], seq 3692316861, win 0, length 0
17:54:15.891267 IP 192.168.5.2.56474 > 192.168.2.57.8083: Flags [F.], seq 395, ack 2, win 2058, options [nop,nop,TS val 1506693652 ecr 3987650355], length 0
17:54:15.891299 IP 192.168.2.57.8083 > 192.168.5.2.56474: Flags [R], seq 3692316861, win 0, length 0
17:54:15.893387 IP 192.168.5.2.56475 > 192.168.2.57.8083: Flags [SEW], seq 2408576915, win 65535, options [mss 1220,nop,wscale 6,nop,nop,TS val 1332787201 ecr 0,sackOK,eol], length 0
17:54:15.893435 IP 192.168.2.57.8083 > 192.168.5.2.56475: Flags [S.E], seq 3079046907, ack 2408576916, win 31856, options [mss 1460,sackOK,TS val 3987650394 ecr 1332787201,nop,wscale 7], length 0
17:54:15.920642 IP 192.168.5.2.56475 > 192.168.2.57.8083: Flags [.], ack 1, win 2058, options [nop,nop,TS val 1332787233 ecr 3987650394], length 0
17:54:15.924156 IP 192.168.2.57.8083 > 192.168.5.2.56475: Flags [F.], seq 1, ack 1, win 249, options [nop,nop,TS val 3987650424 ecr 1332787233], length 0
17:54:15.929875 IP 192.168.5.2.56475 > 192.168.2.57.8083: Flags [P.], seq 1:395, ack 1, win 2058, options [nop,nop,TS val 1332787234 ecr 3987650394], length 394

Das soll (durch die F[IN] und R[eSeT]) anzeigen, dass FHEM das selber blockiert. FHEM schaltet also anscheinend bei Abfragen aus einem anderen Netz ab und erlaubt das nicht; Wireguard und das Routing intern scheint dagegen zu laufen. Es liegt also inzwischen weder an Speedport noch an UniFi, wenn das richtig von ChatGPT interpretiert wird.

andies · 24 Dezember 2025, 18:34:21

So, alles klar. Fehler gefunden:

Code Auswählen

defmod WEB FHEMWEB 8083 global
attr WEB allowfrom ^192\.168\.2\.([1-9]|[1-9][0-9]|1([0-9][0-9])|2([0-4][0-9]|5[0-4]))$|127.0.0.1

und da unten muss stehen

Code Auswählen

attr WEB allowfrom ^192\.168\.[2|5]\.([1-9]|[1-9][0-9]|1([0-9][0-9])|2([0-4][0-9]|5[0-4]))$|127.0.0.1
                                ^
                                |

damit auch das 5er Netz zum Zuge kommen kann. Läuft alles und danke nochmal, dass Ihr mir geholfen habt!

andies · 24 Dezember 2025, 18:37:04

Zitat von: MadMax-FHEM am 24 Dezember 2025, 15:03:24Evtl. kann man das bei Unfi auch wo einstellen?

Das war mir nicht gelungen und der support hat meine gesamte Konfiguration, weil die sich auch gewundert hatten. Läuft jedenfalls...