FHEM von außen VPN?

[peble]

Hallo FHEM Fachleute,

bei mir läuft seit ca. einem halben Jahr FHEM auf einem Raspi
soweit alles perfekt.
Doch schon von Anfang kommt mir immer wieder mit der Gedanken FHEM von auserhalb meines Netzwerkes zu erreichen,
vorerst nur um Dinge abzufragen,
habe einige 1 Wire Sensoren und Counter im Haus,
Dinge schalten muss nicht unbedingt gehen.
Die Suche im Forum brachte bei mir immer wieder nur Verrwirrung so das ich mich noch nicht an das Thema rangetraut habe.
Hier nochmal meine Config:

FHEM auf Raspi
Router Fritz Box 7270
FHEM nutze ich von Zuhause aus über die Weboberfläche IP 8083 oder 8084 oder 8085 je nach Gerät

Mein Wunsch:

von Unterwegs zB von einem Android Handy die Oberfläche 8084 zu erreichen
oder von einem anderen PC die Weboberfläche zu erreichen.

Was ist denn eine sichere und einfache Variante um das zu realisieren?

brauch ich Dynymic DNS
geht das mit myFritz
geht das mit einer APP alleine
brauch ich VPN

Evtl. hat einer von euch mir einen Tipp wie ich vergehen muss damit ich wenigstens eine Richtung habe und nicht wild in alle Richtungen suche und verschiedene Sachen mische.

Gruß an Alle

[Klaus Rubik]

Hi,

einen DYNDNS Service, damit Du deinen Router vom Internet aus findest und dann auf der Fritzbox noch VPN einrichten und los .

Wenn Du dich dann vom Handy oder jedem anderen Endgerät aus dem Internet über VPN zu deinem Netz verbindest, kannst Du FHEM genauso verwenden wie zuhause.

Viele Grüße

Klaus

[Rince]

Hi,
AVM bietet für diesen Zweck myfritz.net an. Damit kannst du schön VPN Netzwerke aufbauen.
Wenn dir das nicht so gefällt, dann könntest du einen Dienst wie selfhost nehmen.
Ebenfalls kostenlos.

Benutze beides, bin sehr zufrieden.

[peble]

super,
ich danke euch beiden für die Infos
werde mich heut abend mal dranwagen

[joshi04]

Hallo,

brauch ich Dynymic DNS

Jo, es seid denn Du hast eine Dir bekannte feste IP. Bei DSL-Zugängen ist das aber nicht gebräuchlich und ich vermute, Du hast keine eigene Standleitung, oder?

brauch ich Dynymic DNS
geht das mit myFritz

Dynamic DNS und myfritz machen prinzipiell das gleiche. Wie Klaus schon geschrieben hat, stellt der Dienst die Verbindung zwischen Deiner temporär sich bei jeder Einwahl Deines Router verändernden IP mit einer Dir bekannten URL her.
Dyndns.org ist leider seit einigen Tagen kostenpflichtig geworden. Als reiner dyndns-Service bietet sich derzeit noch kostenlos z.B. duckdns an. Ich bin allerdings auf myfritz umgestiegen.
Obwohl, ich habe nach der Anmeldung erst einmal alle Freigaben und Zugänge der Benutzer wieder gelöscht, da ich nicht wollte, dass meine Box außer über VPN aus dem Netz erreichbar ist. Die VPN-Zugänge habe ich dann per separater Software (Fritz Fernzugang, asbach und leider nur für Windows, läuft aber) erzeugt und in die Box importiert. Damit sind die VPN-Accounts sauber von den Fritz-Box und -sonstwas-Accounts getrennt und dürfen außer VPN aufbauen, sonst weiter nix.

geht das mit einer APP alleine

Bei meinem Smartphone bekannter Marke darf nur das OS VPN-Verbindungen aufbauen, daher ist der VPN-Tunnel vor Gebrauch einer passenden App aufzubauen.

brauch ich VPN

Das wäre zu empfehlen. Da sonst zumindest der Port von FHEM aus dem Netz direkt erreichbar wäre. Sicherheit und so... 

Schöne Grüße und viel Erfolg,
John

[Deudi]

Bei meinem Smartphone bekannter Marke darf nur das OS VPN-Verbindungen aufbauen, daher ist der VPN-Tunnel vor Gebrauch einer passenden App aufzubauen.

Gerüchten zufolge soll sich das mit dem nächsten Update des Betriebssystems eines Herstellers aus der Obstbranche automatisieren lassen. Mit einer Einstellung wie "App braucht VPN". Ist eigentlich für Firmenkunden gedacht, sollte aber dann auch für FHEM einsetzbar sein.

[P.A.Trick]

Also ich habe den Zugang VPN vom ipad realisiert und greife so Remote auf FHEM zu! funktioniert super und ist auch relativ einfach zu konfigurieren!

[joshi04]

Gerüchten zufolge soll sich das mit dem nächsten Update des Betriebssystems eines Herstellers aus der Obstbranche automatisieren lassen.

Da bin ich ja voller Hoffnung und gespannt. Den kannte ich noch nicht.
Danke für die frohe Aussicht.
John

Edit:
Oh je, iOS 7 ist ja schon drauf und sollte schon mit dabei sein. Bin mit den Nummern durcheinander, schäm...
Das schaue ich mir mal an.

[Deudi]

Edit:
Oh je, iOS 7 ist ja schon drauf und sollte schon mit dabei sein. Bin mit den Nummern durcheinander, schäm...
Das schaue ich mir mal an.

Neee, das soll erst mit iOS 8 kommen. Ich weiß aber nicht mehr wo ich das gelesen habe. Also such dich nicht in iOS 7 tot...

[peble]

Hallo,

so habs gestern abend hinbekommen:

myfritz eingerichtet
VPN mit Fernzugang einrichten erstellt
auf Fritzbox übertragen
und läuft mit Handy aus dem Telefonnetz
wenn ich ein anderes WLAN Netz verwende geht es nicht!

dazu noch eine Frage

irgendwo hatte ich gelesen, wenn beide WLAN Netze einen Fritzbox Router haben, sollte man bei einer Fritzbox die IP Adresse ändern, darf nicht 192.168.178.1 sein
liegt daran das Problem das es aus dem 2ten Wlan (auch Fritzbox) nicht geht?

wenn man bei einem bestehenden Netzwerk die IP Adresse der Fritzbox ändert können dann alle Geräte Wlan oder Lan immer noch aufs Internet zugreifen oder muss man da noch mehr ändern?

Gruß

[Deudi]

Man sollte zuhause immer eine sich vom Default unterscheidende Netzadresse verwenden. Sonst gibt das mit dem VPN Probleme. Ich war mal in einer Ferienwohnung, da hatte das WLAN die gleiche Netzadresse wie zuhause und VPN hat nicht funktioniert.
Nach Ende des Urlaubs habe ich dann zuhause alles auf eine "schräge" Netzadresse umgestellt. Die Wahrscheinlichkeit, dass die zufällig irgendein Hotel auch verwendet ist dann doch sehr sehr gering.

Und ja, nach Änderung der (Netz-)Adresse der Fritzbox muss man zumindest alle Geräte mit statischer IP (ohne DHCP) anpassen.

[joshi04]

Neee, das soll erst mit iOS 8 kommen. Ich weiß aber nicht mehr wo ich das gelesen habe. Also such dich nicht in iOS 7 tot...

So ganz losgelassen hat es mich nicht, da ich beim ersten oberflächlichen suchen doch schon was für iOS 7 gefunden hatte:
Quelle: http://support.apple.com/kb/DL1682?viewlocale=de_DE

Natürlich nur als Enterprise Funktion, so dass man das entsprechend konfigurieren muss.
Quelle: https://developer.apple.com/library/ios/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html

Es soll zwei unterschiedliche Möglichkeiten geben, einen VPN-Tunnel aufbauen zu lassen.
Quelle: http://www.matrix42.de/forum/viewtopic.php?f=123&t=13022
Eine Möglichkeit, "Per-App VPN", bei der das wohl in der App selbst schon aktiviert worden sein muss. D.h. damit das funktioniert, muss dies vom Entwickler der App berücksichtig worden sein. Dabei weiss ich nicht, ob das bei FHEMMobile und Co. oder gar Safari der Fall ist. Kann ich mir nicht vorstellen

Eine weitere Möglichkeit, "VPN on Demand", lässt sich wohl auch ohne App-Zutun konfigurieren.
Anleitung: http://www.derman.com/blogs/Setting-Up-iOS-OnDemand-VPN

Für wen das interessant ist, der möge das mal ausprobieren. Mir ging es erstmal nur darum, zu wissen, ob es grundsätzlich funktionieren soll. Probiert habe ich das noch nicht. So häufig habe ich doch keinen Bedarf, von außen auf mein FHEM zuzugreifen. Mir reicht das erstmal, wenn es manuell und überhaupt läuft.
Vielleicht wird das mit iOS 8 ja auch noch ein bisschen komfortabler zu konfigurieren und dann bin ich auf alle Fälle wieder mit dabei.

Man sollte zuhause immer eine sich vom Default unterscheidende Netzadresse verwenden. Sonst gibt das mit dem VPN Probleme.

Eigentlich sollte es bei der Erstellung des Profils, das man auf seine Fritzbox läd, möglich sein, zu bestimmen, ob sämtlicher Trafic oder nur der für das fremde Subnetz durch den Tunnel geht. Darüber läßt sich steuern, ob die Adressen im lokalen Netz, bei aufgebautem Tunnel noch erreichbar sind oder nicht. Wenn die Routen dann beim aufbauen des Tunnels neu gesetzt werden, sollten die Adressen hinter dem Tunnel eigentlich immer erreichbar sein, die lokalen nicht unbedingt.
Wenn das entfernte Netz bei aufgebautem Tunnel nicht erreichbar ist, stimmt mit dem Routing etwas nicht und die Anfragen "biegen" schon vor dem Tunnel ab.

Auf der anderen Seite gebe ich Deudi vollkommen recht. Man sollte unterschiedliche Netze verwenden. 'Macht das Lebel leichter, da man auch selbst nicht mit den Nummern durcheinander kommt. Außerdem ist das troubleshooting dann auch deutlich einfacher.
Darüber hinaus bin ich auch kein freund von Default-Netzwerkadressen. Aber letzteres ist sicher Ansichtssache.

Viel Erfolg,
John

[Deudi]

Wenn das entfernte Netz bei aufgebautem Tunnel nicht erreichbar ist, stimmt mit dem Routing etwas nicht und die Anfragen "biegen" schon vor dem Tunnel ab.

Du kannst kein Routing aufsetzen, mit dem du in zwei verschiedene Netze mit der gleichen Adresse (z.B.: 192.168.1.0/24) kommst. Auch dann nicht, wenn die Konfiguration vorgibt, dass der komplette Traffic durch den Tunnel soll. Woher soll der Access-Point des WLANs in dem du mit dem iPhone eingebucht bist wissen welches gemeint ist. Das geht meines Wissens nicht. Ich lasse mich aber gerne fortbilden. 

Die Links sind recht interessant. Die schaue ich mir mal an.

Grüße

[kingmathers]

Alternativ gibt es auch die Möglichkeit den entsprechenden Port freizugeben.

Dazu wird ebenfalls myfritz mit einer festen Adresse benötigt. Anschließend kann man den Port 8083 auf der Fritzbox auf sich selbst freigeben (Googlen, Freigaben auf die Fritzbox müssen per Telnet eingepflegt werden).

Somit kann man dann auch ohne VPN von jedem Gerät die entsprechende myfritz-Adresse verwenden (xyz.myfritz.net:8083).

Kann dann natürlich jeder der die Adresse kennt.

[joshi04]

Du kannst kein Routing aufsetzen, mit dem du in zwei verschiedene Netze mit der gleichen Adresse (z.B.: 192.168.1.0/24) kommst.

Ja, das ist natürlich richtig. Ich habe mir schon gedacht, dass ich das nicht gut genug beschrieben habe.

Auch dann nicht, wenn die Konfiguration vorgibt, dass der komplette Traffic durch den Tunnel soll. Woher soll der Access-Point des WLANs in dem du mit dem iPhone eingebucht bist wissen welches gemeint ist.

Jetzt wird's aber auch bei mir theoretisch, da ich eigentlich kein Netzwerker bin. Also gefälliges Halbwissen mit Potential von einem, der es besser weis korrigiert zu werden:
In meiner Vorstellung bekomme ich mit dem Aufbau des VPN-Tunnels ein neues Interface am Gerät, auf das der gesamte Trafic oder halt nur der Trafic für das entfernte Netz geroutet wird, je nach Konfiguration. Dieses ist nach meiner Erfahrung die erste Route, die abgefragt wird.

Ist die Verbindung also so konfiguriert, dass der gesamte Trafic groutet werden soll, wird halt alles eingepackt, verschlüsselt und durch den Tunnel in das andere Netz geschickt und dort geroutet. Daher sollte das entfernte Netz bei dieser Konfiguration eigentlich immer erreichbar sein, nicht aber das lokale, unabhängig von den Netz-Adressen. Das lokale Netz bekommt davon eigentlich nur die verpackten Pakete des Tunnels mit und die laufen ja zur öffentlichen IP des VPN-Servers, daher kein Problem.

Ist die Verbindung so konfiguriert, dass nur das entfernte Netz geroutet werden soll, werden alle Adressen, die das lokale Netz betreffen am Tunnel vorbei an das zweite, normale Interface geschickt. Anfragen ins Internet gehen dann natürlich auch am Tunnel vorbei.
Das funktioniert solange, bis die Netz-Adressen gleich sein. Dann sollte zwar das entfernte Netz erreichbar sein, nicht aber die Adressen des lokalen Netzes, da die Route des Tunnels ja denkt, es wäre alles für das entfernte Netz. Bis zum Interface in das lokale Netz kommt es nicht mehr, da die Regel für die Route in den Tunnel vorher greift.
Wenn man z.B. bei bestehendem Tunnel noch lokal auf einen Netzwerkdrucker drucken möchte, müssen beide Netz-Adressen zwingend unterschiedlich sein.

Ich lasse mich aber gerne fortbilden. 

Das gilt für mich natürlich auch. Daher verbessert mich bitte, wer besser über Routing und Interfaces in Zusammenhang mit VPN bescheid weiß. Ich bin dafür immer dankbar.
Und Sorry für die laienhafte Umschreibung. 

Alternativ gibt es auch die Möglichkeit den entsprechenden Port freizugeben.
...
Kann dann natürlich jeder der die Adresse kennt.

Das ist für mich definitiv keine Alternative. Wer mal ein wenig geschaut hat, was so an Anfragen von irgendwelchen Scanner an seiner temporären IP reinkommen, verwirft diese Möglichkeit ziemlich schnell wieder. Es sei denn, man ist Spezialist und was man tut. Sorry für die deutlichen Worte.


Schöne Grüße,
John