Zugriff mit tailscale

[satprofi]

eben, deshalb die frage. greife ich übers tailscale netz zu, denn dann müsste ja 100.* ja reichen.

[Bracew]

...denn dann müsste ja 100.* ja reichen.

Keine Ahnung, was "...müsste...", ich weiß nur, was bei mir funktioniert und das sind die Tailscale-IPv4 einzeln ausgeschrieben.

Vielleicht ersteinmal ohne 100.* eingeben, sondern mit konkreter Tailscale Adresse versuchen. Kannst es, falls es dann funktioniert, wieder mit 100.* einstellen und testen.

[passibe]

Vielleicht ersteinmal ohne 100.* eingeben, sondern mit konkreter Tailscale Adresse versuchen. Kannst es, falls es dann funktioniert, wieder mit 100.* einstellen und testen.

Naja, hier ist die Reihenfolge schon verkehrt herum.

satprofi hat schon Recht. Erstmal "breit" anfangen, damit man feststellt, ob es überhaupt funktioniert und danach auf die Geräte, die tatsächlich Zugriff haben dürfen, beschränken.

[FHEM-User22]

Moin an alle,
ich verfolge das hier mit.
Daher mal eine Frage, ist Tailscale eigentlich so unsicher? Ich gehe davon aus, das es VPN und damit sicher ist.
Ich habe im Heimnetz wie beschrieben die Routen freigegeben (in Tailscale Machines) und alles klappt. Ich komme aus anderen Netzen und Smartfones, die auch in mein Tailscale eingebunden sind, auf alle Geräte. Selbst 3 Netzwerke (jeweils unterschiedliche IP-Bereiche) habe ich so verbunden. Damit komme ich von jedem Computer in die 2 anderen Netze nur mit der IP des jeweiligen Gerätes als wäre ich im selben Netz. Selbst Samba und Win-Freigaben laufen damit, als wäre es nur ein Netz.
In den FHEM habe ich keine Einstellungen geändert, und in der Fritzbox konnte ich alle Verbindungen von aussen abgeschalten.

Schönen Sonntag

[satprofi]

hast du auf allen devices tailscale laufen, oder nur auf fritz ?
was ich nicht verstehe, auf homeassistant trag ich den namen ein der mir in tailscale angezeigt wird, in fhem muss ich irgendwas freigeben. ich komme mit allowed 100.* nicht auf fhem, ich tippe wegen dem port 8083. wo trage ich das bei tailscale ein ?

[Bracew]

hast du auf allen devices tailscale laufen, oder nur auf fritz ?

Ich verstehe die Frage nicht.

Tailscale läuft normalerweise nicht auf Fritz-Boxen. Der Standardweg ist, du installierst Tailscale auf einem Gerät, das ohnehin 24/7 in deinem Heimnetzwerk läuft (z. B. ein Raspberry Pi oder ein NAS). Ergebnis: Du kannst von unterwegs auf alle Geräte hinter der FRITZ!Box zugreifen, als wärst du zu Hause (VPN).

Über dieses VPN via Tailscale kannst Du unter anderem auch auf FHEM in deinem Heimnetzwerk zugreifen. Jedoch ist bei den meisten FHEM so eingestellt, dass es nur mit einer IPv4 aus dem regulären Heimnetz z. B. 192.178.1.x zu erreichen ist und nicht mit einer Tailscale IPv4 z. B. 100.100.100.100, es sei denn Du gibst die Tailscale IPv4 in FHEM zusätzlich frei mit u.a. "attr WEB allowfrom 192.178.1.*|100.100.100.100"

Dafür musst Du nichts in Tailscale eintragen, sondern in der FHEM Konfiguration.

Also, wenn Dein VPN via Tailscale von unterwegs in Dein Heimnetz unabhängig von FHEM funktioniert, ist Tailscale fertig konfiguriert. Dann musst Du nur noch in FHEM den Zugriff via Tailscale erlauben.

[FHEM-User22]

Moin,

hast du auf allen devices tailscale laufen, oder nur auf fritz ?

Über dieses VPN via Tailscale kannst Du unter anderem auch auf FHEM in deinem Heimnetzwerk zugreifen. Jedoch ist bei den meisten FHEM so eingestellt, dass es nur mit einer IPv4 aus dem regulären Heimnetz z. B. 192.178.1.x zu erreichen ist und nicht mit einer Tailscale IPv4 z. B. 100.100.100.100, es sei denn Du gibst die Tailscale IPv4 in FHEM zusätzlich frei mit u.a. "attr WEB allowfrom 192.178.1.*|100.100.100.100"

Dafür musst Du nichts in Tailscale eintragen, sondern in der FHEM Konfiguration.

Also, wenn Dein VPN via Tailscale von unterwegs in Dein Heimnetz unabhängig von FHEM funktioniert, ist Tailscale fertig konfiguriert. Dann musst Du nur noch in FHEM den Zugriff via Tailscale erlauben.

Auch das habe ich nicht in FHEM machen müssen. Ich habe 3 Netzte mit unterschiedlichen IP-Bereichen und 3 mal FHEM. Alles lief auf Anhieb. Ich habe nichts in FHEM einstellen müssen.

In den 3 Netzen kann ich mich bewegen wie in einem Netz, ohne das irgend etwas nicht klappt.

Beste Grüße

PS: Kann man in FHEM anzeigen, welche IP auf den FHEM zugreift? Nur mal Interessehalber?

[Bracew]

Vermutlich ist in Deiner FHEM Konfiguration keine "allowfrom" Einstellung enthalten, so dass es keine Restriktionen gibt. Mit anderen Worten: offen für alle Geräte und jeden in Deinem Heimnetz.

[RalfRog]

Hi
Lese hier gerade mit und hätte (hoffentlich) ne kurze Quer-Frage (sorry), da sich der ein oder andere offensichtlich mit tailscale auseinander gesetzt hat (ja/nein reicht).

Hilft der Service wenn man einen DSLite (Vodafone) Provider hat um sein Netz zu Hause zu erreichen, wenn man z.B. im Ausland nur IPv4 bekommt (war letztes Jahr im Dänemark so).

Gruß Ralf

[Bracew]

(ja/nein reicht)

Ja

[passibe]

Vermutlich ist in Deiner FHEM Konfiguration keine "allowfrom" Einstellung enthalten, so dass es keine Restriktionen gibt. Mit anderen Worten: offen für alle Geräte und jeden in Deinem Heimnetz.

Ohne allowedFrom ist FHEMWEB (zum Glück) auf RFC1918 beschränkt.

Die von Tailscale eingesetzten Adressen kommen aus dem für CGNAT gedachten Subnetz (RFC6598), also 100.64.0.0/10 (siehe hier). Das ist schon sinnvoll, weil man damit sämtliche Adresskollisionen mit RFC1918 vermeidet.

Wieso @satprofi hier immer noch Probleme hat, vermag ich nicht so ganz nachzuvollziehen. Hinzufügen von 100\. im allowedFrom-Attribut des FHEMWEB-Devices sollte eigentlich ausreichen.

@satprofi gib uns doch bitte mal ein list von deinem FHEMWEB-Device und ein paar mehr infos, z.B. welche IP-Adresse im Tailnet dein Client hat, welche IP Adressen (d.h. sowohl tailnet als auch im LAN) dein Server hat und welche URL du im Browser aufrufst. Damit kommen wir sicher zum Ziel.

(Daran, dass du den Port angeben musst, ändert sich eigentlich nichts. Den müsstest du ja auch aus dem LAN ohne Tailnet angeben. Es kann natürlich sein, dass du irgendeine andere Firewall-Konfiguration hast, aber davon gehe ich mal nicht aus. Wenn du dazu noch weitere Infos hast, gerne auch posten.)

[Bracew]

Was auch noch interessant wäre, ob Dein VPN via Tailscale überhaupt funktioniert? Kommst du mit einem Gerät von außerhalb deines Heimnetzwerk hinein, kannst etwas dort sehen oder Daten austauschen?

[satprofi]

Was auch noch interessant wäre, ob Dein VPN via Tailscale überhaupt funktioniert? Kommst du mit einem Gerät von außerhalb deines Heimnetzwerk hinein, kannst etwas dort sehen oder Daten austauschen?

Hallo. mit tailscale -up stell ich verbindung her, sehe auch im webif von tailscale die verbindung. ich komme aber mit der adresse , weder mit ip noch namen, auf den raspbi, fhem hat ja verbindung, noch dazu geht über fhempy nichts zum steuern.

Code Auswählen Erweitern

Internals:
   BYTES_READ 6699480
   BYTES_WRITTEN 1423369576
   CONNECTS   5193
   DEF        8083 global
   FD         5
   FUUID      65c3c765-f33f-3579-ccec-4b80060a13a2306d
   FVERSION   01_FHEMWEB.pm:0.283290/2023-12-31
   NAME       WEB
   NR         31
   NTFY_ORDER 50-WEB
   PORT       8083
   STATE      Initialized
   TYPE       FHEMWEB
   READINGS:
     2026-03-18 14:00:40   state           Initialized
Attributes:
   csrfToken  none
   editConfig 1
   longpoll   websocket
   room       System
   sortRooms  Home Vorzimmer Wohnzimmer Küche Schlafzimmer Buero Hobbyraum Bad Waschküche Heizraum Werkstatt Vorgarten Garten Pool Carport SolarEdge Structure Heizung Klima Temperatur Alarmanlage LED-Panel DOIF
   stylesheetPrefix dark


[Bracew]

Hmmmm... bevor wir über FHEM diskutieren, bist Du Dir sicher, dass Tailscale bei Dir funktioniert?

Ich habe zu Hause einen Raspberry Pi. Auf diesem startet Tailscale automatisch bei mir. Wenn ich Tailscale auf diesem Gerät händisch starten wollte würde ich:

Code Auswählen Erweitern

sudo tailscale up --advertise-routes=192.178.0.0/24 --advertise-exit-node --accept-routes=falseeingeben (Die IP könnte in Deinem Netz anders sein, sollte aber immer mit .0/24 enden, also xxx.xxx.xxx.0/24)
Auf der Tailscale Maschines Seite meines PC sehe ich dann meinen Pi mit Namen, IP, Version, Connected mit grünem Punkt.

Auf meinem Android-Smartphone nutze ich die Tailscale App ohne WLAN mit Mobilfunkverbindung. Sobald ich auf "Connect" dort drücke, sehe ich alle meine Maschinen auf der Smartphoneoberfläche von Tailscale. Die mit grünem Punkt sind verbunden. Gleiches auf der Tailscale Maschines Seite meines PC (Grüner Punkt hinter dem Handy Namen).

Zum Testen trage ich auf dem Smartphone eine IP Adresse aus meinem Heimnetz-Geräte-Zoo (z.B. Kamera, Webserver, Dateiserver, Schaltsteckdose, ...whatever z.B. 192.178.0.33) ein und sehe das jeweilige Webinterface des Geräts aus meinem Heimnetz. So weiß ich, das Tailscale funktioniert.

Bei mir sehe ich so, dass Tailscale funktioniert. Ist das bei Dir auch so?


Wenn nicht gib uns mehr Informationen, z.B.:

@satprofi gib uns doch bitte mal ein list von deinem FHEMWEB-Device und ein paar mehr infos, z.B. welche IP-Adresse im Tailnet dein Client hat, welche IP Adressen (d.h. sowohl tailnet als auch im LAN) dein Server hat und welche URL du im Browser aufrufst. Damit kommen wir sicher zum Ziel.

oder Bilder Deiner Tailscale Installationen, oder Ausgaben von

Code Auswählen Erweitern

tailscale version
tailscale status
sudo service tailscaled status
Geheime Daten kannst Du unkenntlich machen.

[satprofi]

tailscale app? kenn ich nicht, zwingend ? versteh nicht wie das home assistant anders macht, da genügt nur tailscale starten, und mit account zu connecten.
und ja,mein raspbi ist verbunden unter machines szch grüner punkt. ich werd mal nach deiner Beschreibung vorgehen.
list vom fhemweb ist oberhalb
lg