ElabNET Technik Forum

Hallo Hermann,

die IPv4-Adresse hätten wir jetzt gebraucht. Es ist ok, diese nicht öffentlich zu nennen.

Mach uns bitte ein Ticket unter service at elabnet dot de und poste dort

- was genau nicht funktioniert,
- den Screenshot vom Router ohne Schwärzung,
- die ID vom Server und
- Link auf den Thread
- und ob das VPN auch funktioniert

Dann kann ich das direkt an die Entwickler geben zum ansehen

lg

Stefan

Hallo Stefan,

Ich habe die Mail an die von Dir angegebene Adresse gesendet. Falls noch Infos fehlen bitte einfach kurz melden.

Danke und Grüße
Hermann

Hi Hermann,

danke. Anhand Deiner IP hat sich der Verdacht eines "Carrier-Grade-NAT" insofern bestätigt, als das diese Adresse zu einem von der IANA reservierten Bereich gehört (also nicht zum funktionierenden Internet).

Zitat:

x.x.x.x ist eine reservierte IP-Adresse, die von der IP-Adressverwaltungsagentur reserviert und nicht als öffentliche oder private IP zugewiesen wurde. Die reservierte IP wird in der Regel für spezielle Zwecke verwendet, z. B. für Software, private Netzwerke, Hosts, Subnetze, Dokumente, Konvertierungen, Multicast, Broadcast, lokale Kommunikation, Loopback, Relay, Link, Mapping, Tests und zukünftige Verwendung.

Kurz: Es ist keine richtige IP und es wird eine technischer Kniff (man könnte auch sagen "schweinerei") der Adressumrechnung beim Provider gemacht der vermutlich zu einer Portlimitierung führt.


Ich gebe es weiter, aber kurzfristig können wir das nicht ändern, weil es liegt an Deinem Provider. Ob es eine Lösung gibt (tunnel) müssen wir sehen.

Mein Rat: Bei einem Internet-Provider einkaufen, der eine richtige IP (von mir aus dreimal am Tag wechselnd) anbietet und keine ungültige (= nicht routebar).

lg

Stefan

Hi Stefan,

das ist leider der einzige Provider der hier 50MBit/s anbietet. Alle anderen können nur max. 6MBit/s. Deshalb habe ich den und leider auch keine Alternative. Dass ich damit keinen täglichen IP Adresswechsel habe ist mir erst danach aufgefallen. Ansonsten hat zum Glück bis jetzt alles funktioniert - bis auf das Problem mit dem TWS jetzt. Hätte nicht gedacht, dass es daran liegen könnte...

Wäre super wenn es einen anderen Weg geben würde das Zertifikat in den TWS zu bekommen.
Auf einen 6MBit/s Anbieter zurückwechseln ist irgendwie keine gute Option ...

Grüße Hermann

Moin

Nur damit es kein Missverständnis gibt: Es liegt nicht daran, dass deine IPv4 dauerhaft gleich bleibt! (Ich mag falsch liegen, habe dieses Missverständnis aber geglaubt zwischen den Zeilen zu lesen. )

Kurz gesagt ist das Problem, dass es inzwischen viel mehr Bedarf an IP-Adressen gibt, als eine 32-Bit-Zahl hergibt. 1981 dachte man nicht, dass IPv4 jemals so lange lebt und es so viele „Computer“ geben würde. Weil das aber irgendwann offensichtlich wurde, wurde 1998 IPv6 standardisiert. Aber „nichts hält länger als ein Provisorium“ und wie schwer sich die Menschheit mit Veränderungen tut wissen wir alle…
Die Adressknappheit von IPv4 und die „Trägheit der Masse“ beim Umstieg auf IPv6 sind der einzige Grund, warum überhaupt wechselnde IP-Adressen eingeführt und anschließend auch NAT erfunden wurden.

Und leider gibt es sogar 2024 noch immer ISPs (Internetanbieter), die es nicht für nötig halten ihren Kunden IPv6 zu geben. Osnatel, EWE-Tel
Sorry für den Wutanfall. Ich möchte nur versuchen, dass hier kein Missverständnis und kein falscher Eindruck entsteht: Weder statische IPs, noch IPv6 sind das Problem, sondern beide sind die verkannte Lösung für sehr viele Probleme des IPv4-Provisoriums.

Hallo und guten Abend

Parsley hat geschrieben: ↑Do Jan 18, 2024 5:58 pm Weder statische IPs, noch IPv6 sind das Problem, sondern beide sind die verkannte Lösung für sehr viele Probleme des IPv4-Provisoriums.

Du sprichst mir aus der Seele!

StefanW hat geschrieben: ↑Do Jan 18, 2024 1:19 pm Kurz: Es ist keine richtige IP und es wird eine technischer Kniff (man könnte auch sagen "schweinerei") der Adressumrechnung beim Provider gemacht der vermutlich zu einer Portlimitierung führt.

Vielleicht genauer, dass da keine Mißverständnisse aufkommen.
Die IP ist schon "richtig" in dem Sinne, dass der IP Stack auf den verschiedenen Geräten kein Problem damit hat.

Sie ist allerdings aus einem Adress-Bereich, der nicht ins öffentliche Internet geroutet wird so dass nochmal ein NAT gemacht werden muss auf Providerseite.
Das passiert an sich an so gut wie jedem IP-Anschluss mit dynamischen IP-Adressen (die meisten kennen ja die 192.168.*.* Adressen in ihrem lokalen Netzwerk).
Bei einem Großteil der Anschlüsse gibt es dann aber eine öffentliche und damit routebare IP-Adresse zum Provider hin.

Hier aber nicht, sodass der Provider eine weitere Network Address Translation (NAT) über viele Kundenanschlüsse hinweg machen muss, was weitere Ressourcenengpässe mit sich bringt.

Viele Grüße

Bernhard

Hallo zusammen,

vielen Dank für die zusätzlichen Erläuterungen zu dem Problem! Somit ist klar woran es liegt und dass es von Provider Seite sicher erst mal keine Lösung gibt. Scheint wohl doch bei ettlichen Anbietern noch länger gängige Praxis zu sein.

Da noch nicht sicher ist ob und wann das Problem z.B. durch tunneln (siehe Beitrag oben von Stefan) gelöst werden kann, hätte ich noch eine Grundsäzliche Frage zu den Zertifikaten.

Angenommen ich benötige keinen Zugriff auf dem Timberwolf aus dem öffentlichen Netz (z.B. keine Fernsteuerung/Visu über VPN) und wäre auch mit dem Softwarestand wie er ist zufrieden. Könnte ich ihn dann nicht einfach nur lokal betreiben (KNX + Heimnetz für Visu) und auf verschlüsselte Kommunikation und Zertifikate komplett verzichten? Und wenn diese Frage mit "ja" beantwortet werden kann - wo/wie lässt sich das "abschalten"?

Ein Vorteil wäre auf jeden Fall, dass ich keine Komponente in meinem Haus hätte, deren Wohlbefinden und Funktion von der Verbindung zu einer Cloud abhängt. Aber vielleicht sehe ich das mangels tiefgehender IT Netzwerkkenntnisse auch komplett falsch. Welche Nachteile hätte das die ich momentan nicht sehe?

Viele Grüße Hermann

P.S.: falls das Thema überhaupt nicht hier her passt bitte ich um Rückmeldung. Dann kann ich es auch woanders neu eröffnen.

Hallo Hermann,

der Timberwolf Server funktioniert grundsätzlich völlig autark und ohne Internet oder Cloud Verbindung.

Es gibt zusätzliche Leistungen, die über die Cloud dargestellt werden, die auf der Datenschutzseite aufgeführt sind und die man dort auch zu- oder abschalten kann.

Dass der Browser ein aktuelles Zertifikat vom Server möchte, lässt sich nicht am Server deaktivieren, aber je nach Browser kann man definieren, dass man trotzdem auf diesen "unsicheren" Server zugreifen möchte. Ich habe hier auch Endgeräte, bei denen ich zu Faul war, das ElabNET Root Zertifikat zu installieren und seit Jahr und Tag dann eben ohne Zertifikatsprüfung zugreife. War bislang kein Problem.

Was mit der Zeit schon ein Problem werden könnte, ist, dass Du auf dem Weg keine Upgrades bekommst. Das können wir auch nicht kurzfristig lösen. Du müsstest den Server dann temporär woanders (Bekannte, Familie, Arbeitsplatz soweit gestattet etc) anschließen, die Updates ausführen und dann wieder zuhause benutzen. Das ist jetzt auch kein guter Weg.

Eine Sache die mir einfällt ist, dass Du prüfst, ob Dein Router dahingehend konfiguriert werden kann, den gesamten Internet-Traffic per Tunnel über einen VPN Anbieter zu führen. Z.b. gibt es Router, die sind für NordVPN vorgerüstet. Damit hättest Du einen Tunnel über die Technik Deines Anbieters (damit muss dessen NAT nur noch für den Tunnel funktionieren).


lg

Stefan

Hallo Stefan,

Danke für die Rückmeldung und die hilfreichen Tipps! Dass ich bereits jetzt notfalls auf die Zertifikate verzichten kann war mir nicht klar.

Für den Zugriff auf EDOMI und die EDOMI Visu verwende ich Google Chome - da habe ich die Stelle zum Erlauben eines unsicheren Zugriffes noch nicht gefunden. Dann sehe ich mir das nochmal genauer an.
Für den Zugriff auf die normale Timberwolf Oberfläche verwende ich Fire Fox. Da konnte ich die Sicherheitsmeldung einfach weg klicken. Vielleicht lässt sich das auch dauerhaft einrichten.

Und wenn ich etwas mehr Zeit habe wie jetzt gerade versuche ich mal die Fritz Box zum Umrouten des gesamten Traffics auf einen VPN Anbieter zu bekommen - ich nutze auf meinen Endgeräten bei Bedarf aktuell Freedome.

Viele Grüße Hermann