UPGRADE IP 9 verfügbar!
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ

NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074

Kunden VPN auf dem Timberwolf Server

Dies ist das Unterforum für die Funktionen rund um OpenVPN und den internen Proxy
Forumsregeln
  • Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
  • Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
  • Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
  • Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln
Benutzeravatar

Ersteller
Judas_z
Elaborated Networks
Reactions:
Beiträge: 179
Registriert: Mo Aug 13, 2018 11:31 am
Hat sich bedankt: 392 Mal
Danksagung erhalten: 333 Mal

Kunden VPN auf dem Timberwolf Server

#1

Beitrag von Judas_z »

Einleitung

VPN bezeichnet ein virtuelles privates Kommunikationsnetz. Vereinfacht gesagt ermötlicht ein VPN den Zugriff auf ein anderes Netz oder teilnehmer davon.
  1. DDNS oder statische IP
    Um ein VPN einzurichten ist es Notwendig, das eurem entfernten Endgerät jederzeit die IP eures Heimrouters bekannt ist um ihn zu erreichen. Dies kann entweder dadurch erreicht werden, dass ihr eine feste IP habt, oder durch das sogenannte DDNS (dynamic domain name service). Vereinfacht gesagt sorgt DDNS dafür, das einem DNS-Server im Internet jederzeit die IP eures Routers bekannt ist und das Endgerät diesen erreichen kann. Für DDNS gibt es zahllose Lösungen und Anbieter. anbei zwei Beispiele
    • DDNS über MyFRITZ

      Zunächst zu den Einstellungen an der Fritzbox. In meinem Fall handelt es sich um eine Fritzbox 7560. Wenn man über keine statische IP verfügt, kann man problemlos ein Myfritzkonto als Dyndns alternative benutzen.
      Als erstes muss man sich auf das Webinterface der Fritz!Box unter http://fritz.box einloggen.

      Zum MyFritz!-Eintrag gelangt man über das Menü:

      Internet -> MyFRITZ! -> MyFRITZ!-Konto -> Zugriff auf die FRITZ!Box aus dem Internet einrichten

      Daraufhin gibt man seine Email sowie das gewünschte Kennwort ein:

      Benutzername (eigene Email)

      FRITZ!Box-Internetkennwort (neues Passwort)

      Wer daraufhin die Meldung

      "Fehlermeldung: Es ist ein Fehler aufgetreten.
      Fehlerbeschreibung: Es ist bereits eine Port-Weiterleitung für FTP eingerichtet. Zugriff aus dem Internet ist daher nicht möglich.
      Ihre Eingaben wurden möglicherweise nicht übernommen. Bitte geben Sie Ihre Daten noch einmal ein. Sollte der Fehler erneut auftreten, wenden Sie sich bitte an den AVM-Support."

      erhält, muss unter Internet -> Freigaben nach der Portfriegabe für den Port 21 suchen und den entsprechenden Eintrag deaktivieren. Danach wieder zurück zu Internet -> MyFRITZ! -> MyFRITZ!-Konto -> Status aktualisieren.

      Bild
    • DDNS über Docker Container

      Ein weiterere möglichkeit DDNS zu realisieren wenn man keine Fritzbox besitzt, oder Myfritz nicht nutzen will ist beispielsweise hier beschrieben.
      *Klick*
  2. Einrichten der Portweiterleitung am Router
    • Einrichten einer Portweiterleitung

      Als nächstes ist es notwendig an eurem Router eine Portweiterleitung einzurichten. Der externe Port kann beliebig gewählt werden, der Port der an den Timberwolf weitergereicht wird sollte intern fix 1194 sein.
      Leider können wir keine Anleitung für jeden einzelnen Hersteller von Routern zu Verfügung stellen, aber mithilfe von einer Suchmaschine sollte man problemlos Beispiele für den eigenen Hersteller finden. Im weiteren Beispiel wurde 32200 verwendet
    • Einrichten der Portweiterleitung am Beispiel einer Fritzbox
      Zunächst in der Fritzbox auf Internet -> Freigaben -> Gerät für Freigaben und dann den Timberwolf auswählen
      Als nächstes auf neue Freigabe klicken und Protfreigabe wählen. Port an gerät ist fix 1194. Den externen Port kann man frei wählen, in diesem Beispiel ist es 32200

      Bild
  3. NAT oder Routing?
    • NAT
      Wird NAT verwendet, so Verarbeitet der Timberwolf die Anfragen eures externen Gerätes, und sendet sie ans Heimnetzwerk. Ebenso erkennt der Timberwolf die Antwort und reicht sie an euer Engerät weiter.
      Für die Geräte in eurem Heimnetzwerk sieht es also so aus, als würden die Kommunikation der Geräte im VPN von eurem Timberwolf kommen.
      In diesem Fall reicht es die Portweiterleitung einzurichten
    • Routing
      Wenn ihr Routing verwenden wollt, so muss in eurem Router noch eine Route hinterlegt werden. In diesem Fall bekommt jedes Gerät in eurem VPN Netzwerk eine eigene IP zugewiesen, und die Anfragen erscheinen in eurem Netzwerk von einer IP aus dem 10.102.45.XXX Bereich.
      Leider ist die Einrichtung von Routen nicht an jedem Router möglich.
      Eingetragen werden muss auf jeden Fall:

      mit IPv4-Netzwerk: 10.102.45.0
      Subnetmask: 255.255.255.0
      Gateway: IP des verwendeten Timberwolf ETH Ports

      • Besitzer einer Fritzbox können sich an folgende Anleitung halten
        Unter:
        Netzwerk -> Netzwekeinstellungen -> IPv4-Routen -> Neue UPv4-Route
        eine neue Route anlegen

        Bild

        Das ganze sollte dann folgendermaßen aussehen:

        Bild
  4. VPN Konfiguration am Timberwolf

    Nun müssen wir uns auf unserem Timberwolf einloggen.

    Dann unter Einstellungen -> Remotezugriff -> Kunden VPN
    bei Externe Adresse euere DDNS Adresse oder feste IP eintragen, und unter Port den von euch verwendeten externen Port. Hier im Beispiel 32200.

    Bild


    Als Netzwerkzugriff könnt ihr nun
    • Zugriff auf lokales Netzwerk über eth0 mit Routing verwendet". Hierfür muss die IPv4 Route in eurem Router erstellt worden sein

      oder
    • Zugriff auf lokales Netzwerk über eth0 mit NAT auswählen
    Nun noch auf Speichern klicken und den VPN-Dienst starten.
  5. Anmeldeprofile erzeugen
    Um Anmeldeprofile zu erstellen muss nun einfach nur ein Username und ein optionales Password eingetragen werden. Durch hinzufügen wird das Profil erstellt.
    Am einfachsten ihr installiert Openvpn an eurem Endgerät und ladet das Profil am Endgerät direkt von eurem Wolf herunter wenn sich das Endgerät im Netz des Wolfes befindet.
Liebe Grüße,

Julian


Elaborated Networks GmbH
Hardware Entwicklung

timberwolf90, VPN offen, Reboot jederzeit

StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7632 Mal
Kontaktdaten:

#2

Beitrag von StefanW »

Sauber Julian, sehr gut

und spitzenmäßig formatiert !!! :clap: :clap: :clap:

lg

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

adimaster
Reactions:
Beiträge: 375
Registriert: So Apr 14, 2019 11:12 am
Hat sich bedankt: 203 Mal
Danksagung erhalten: 198 Mal

#3

Beitrag von adimaster »

Frage: Müssen bei Verwendung der LAN-Schnittstelle im MacVLAN-Modus zusätzliche Einstellungen vorgenommen werden?

Konkret meine ich folgendes Verhalten:
MacVLAN ist deaktiviert
  • Unter Kunden-VPN Netzwerkzugriff ist "Zugriff auf lokales Netzwerk über eth0 mit NAT" gewählt
    (Mir fällt gerade auf, dass Netzwerk im Dropdown-Menü überall ohne z geschrieben ist :whistle: )
  • alle notwendigen sonstigen Einstellungen vorgenommen --> VPN möglich
  • alle Netzwerkteilnehmer können über VPN erreicht werden
MacVLAN ist aktiviert
  • Kunden-VPN Netzwerkzugriff wie oben
  • keine Veränderung der obigen Einstellungen vorgenommen --> VPN möglich
  • die Netzwerkteilnehmer können nicht über VPN erreicht werden, lediglich der Zugriff auf den Wolf ist möglich :doh:
Die Release-Version hat dabei nie eine Rolle gespielt (bin aktuell bei V1.5RC11).
Reichen die Infos?
Grüße, Adi
TWS 2600 ID: 331, VPN geschlossen, Reboot nach Rücksprache

EarlBacid
Reactions:
Beiträge: 371
Registriert: So Aug 26, 2018 5:59 pm
Wohnort: Herborn
Hat sich bedankt: 134 Mal
Danksagung erhalten: 235 Mal

#4

Beitrag von EarlBacid »

ich könnte mir vorstellen, dass hier eine kleine Anpassung gemacht werden muss, da bei aktiviertem MacVLAN der Ausgang ins lokale NEtzwerk nicht mehr eth0 sondern vermutlich br0 sein wird. Meine vermutung ist, dass dies in den automatiscvh angelegten Regeln bisher nicht berücksichtigt wird.

VG
Earl
Wiregate#1504 + PBM -
Timberwolf 950Q #233 / VPN aktiv / Reboot OK
EFH mit KNX, 1-Wire, DMX, PV und Strom über MQTT
Docker: MQTT Broker, Unifi WLAN Controller, NodeJS, CometVisu

adimaster
Reactions:
Beiträge: 375
Registriert: So Apr 14, 2019 11:12 am
Hat sich bedankt: 203 Mal
Danksagung erhalten: 198 Mal

#5

Beitrag von adimaster »

Kann mir jmd. sagen, wo solch eine Anpassung vorgenommen werden müsste?
Grüße, Adi
TWS 2600 ID: 331, VPN geschlossen, Reboot nach Rücksprache

StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7632 Mal
Kontaktdaten:

#6

Beitrag von StefanW »

Wir prüfen das.

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

ms20de
Elaborated Networks
Reactions:
Beiträge: 974
Registriert: Sa Aug 11, 2018 9:14 pm
Hat sich bedankt: 280 Mal
Danksagung erhalten: 498 Mal

#7

Beitrag von ms20de »

@adimaster

Also grundsätzlich funktioniert das Kunden VPN inkl. NAT auch bei aktivierten MacVLAN.

Mir ist aber eine Unschönheit aufgefallen, in du vielleicht reingestolpert bist. :whistle:
Schaltet man MacVLAN in den Netzwerkeinstellungen ein und hatte vorher schon das Kunden VPN an, funktioniert der NAT-Modus nicht mehr.
Um das Problem zu beheben, einfach in der Kunden-VPN-Seite auf Speichern klicken.
Neustart würde es wohl auch tun.

Viele Grüße,
Matthias
[ Timberwolf Entwicklung ]

TWS 2400 ID:102 VPN offen, Reboot auf Nachfrage

adimaster
Reactions:
Beiträge: 375
Registriert: So Apr 14, 2019 11:12 am
Hat sich bedankt: 203 Mal
Danksagung erhalten: 198 Mal

#8

Beitrag von adimaster »

Matthias,
das VPN funktioniert prinzipiell einwandfrei. Das ist nicht das Problem!
(Hatte bereits Neustarts durchgeführt...)
Nur kann ich über VPN nicht mehr auf andere IP-Adressen zugreifen; einzig allein die Timberwolf-IP ist erreichbar.
Ohne MacVLAN kann ich mit denselben Einstellungen alle IP-Adressen erreichen.

Grüße
Adi
Zuletzt geändert von adimaster am Mi Dez 18, 2019 7:41 pm, insgesamt 1-mal geändert.
Grüße, Adi
TWS 2600 ID: 331, VPN geschlossen, Reboot nach Rücksprache

CHD
Reactions:
Beiträge: 302
Registriert: Fr Dez 14, 2018 9:32 pm
Wohnort: Gronau
Hat sich bedankt: 1026 Mal
Danksagung erhalten: 212 Mal

#9

Beitrag von CHD »

Guten Morgen.

Ich habe das jetzt auch mal bei mir getestet.

Mit aktiviertem MacVLAN kann ich mich anscheinend gar nicht über VPN mit dem TWS verbinden. Habe das VPN auch einmal gestoppt und wieder gestartet. Hat aber nichts an dem Verhalten geändert.

Dann MacVLAN ausgeschaltet, kurz gewartet und Verbindung getestet. Funktionierte zuhause sofort und auch heute kann ich aus dem Büro wieder eine Verbdindung aufbauen. Das funkionierte mit aktiviertem MacVLAN gestern nicht.

Noch zur Info: Mehr als eine Verbindung aufzubauen habe ich nicht getestet.

Gruß, Christian
Viele Grüße, Christian

Timberwolf Server 2600 #200 ULTRA842 / PBM #778 / PBM #779 / PBM #780 / Reboot erlaubt / VPN offen

gbglace
Reactions:
Beiträge: 3585
Registriert: So Aug 12, 2018 10:20 am
Hat sich bedankt: 1253 Mal
Danksagung erhalten: 1649 Mal

#10

Beitrag von gbglace »

Das MAC-VLAN kann man nicht einfach mal an /aus schalten, das hat so lange keine Wirkung bis dass der TWS vom DHCP eine neue IP-Adresse bekommen hat, also entweder der DHCP oder der TWS mal weg vom LAN war.

Schaltet man einfach nur um ohne eine neue IP-Adresse vom DHCP zu bekommen, kann dann natürlich einiges in der Netzwerkverwaltung durcheinander laufen.

Ich hatte es nicht probiert, aber nach dem ich MAC-VALAN aktiviert hatte, habe ich auch einfach neue VPN-Profile angelegt. Da ich relativ zeitgleich eh nen neues Handy am Start hatte, war das eh notwendig. Und da man ja eben nicht permanent oder zufällig zw. MAC-VLAN an/aus umschaltet ist das ja auch kein Problem wenn da die VPN-Profile neu angelegt werden sollten. Ob es so sein muss kann ich aber nicht sagen, da kenne ich mich nicht mit genügend aus.
Grüße
Göran

#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension
Antworten

Zurück zu „Timberwolf VPN & Proxy“