ElabNET Technik Forum

Hallo,

im Rahmen einer Vielzahl bislang erfolgloser Versuche, einen VPN-Remotezugriff auf mein Heimnetz zu realisieren

Ziel: Ermöglichen von Remote-Updates für mein KNX-System
Hindernis: Zugriff via Fritz!Box 7530 (inzwischen wieder mit echter IPV4-Adresse und nicht DS-Lite) und Unifi Dreammachine SE sowie Wireguard

hatte ich heute häufiger das Problem, dass ich nicht auf den Timberwolf-Server zugreifen konnte, da dieser die IP-Adresse nicht aktualisiert hat. Ich habe im Rahmen der heutigen Versuche auch die Subnetze, die IP-Adresszuweisungen oder auch den Anschluss des Timberwolf zwischen Fritz!Box und UDM SE gewechselt hatte. Eigentlich hätte ich jedem Fall die Fritz!Box oder die UDM SE in jedem Fall dem Timberwolf Server dann die jeweils neue IP-Adresse zuweisen sollen. Dies passierte jedoch nicht. Hierdurch verlor in jedem dieser Fälle die Möglichkeit des Zugriffs auf die Benutzeroberfläche des Timberwolf Servers. Erst durch einen harten Neustart des Timberwolf ist mir dies dann jeweils wieder gelungen.

Hierzu 3 Fragen:

1) Wie kann ich das Problem umgehen und den Timberwolf dazu "zwingen" möglichst umgehend eine neue IP-Adresse zu akzeptieren?

2) Wie führe ich eigentlich einen harten Reset des Timberwolf aus? Trennen vom Strom sollte nicht die Standard-Lösung hierfür sein. Aber der kleine Button oberhalb der PWR-LED scheint auch nicht die Lösung zu sein. Oder welche Funktion hat dieser bzw. wie ist dieser korrekt zu bedienen?

3) Einer meiner Lösungsansätze war, den TImberwolf-Server direkt an die Fritz!Box zu hängen. Eigentlich funktioniert der Wireguard-Zugriff in der Fritzbox ganz gut. Gleichwohl ist es mir auch bei diesem Ansatz, der den Komplexitätsfaktor UDM SE komplett umgeht, nicht gelungen, die Benutzeroberfläche des Timberwolf zu erreichen. Gibt es hier Erfahrungen? (Würde - solange ich die ETS nicht selbst programmiere - kurzfristige Updates meine KNX-Systems ermöglichen (in dem die Beleuchtungssteuerung gerade noch etliche nervige Bugs hat).

Viele Grüße,
Götz

Hallo Götz,

also,bei mir klappt der Zugriff auf den TWS über FritzBox WireGuard VPN sogar per DS-Lite (Deutsche Glasfaser) von Extern ohne Probleme. Der einzige Unterschied ist, es geht dann nur über die IP des TWS und nicht über timberwolf.local. Ich bin kein Netzwerk Experte, vielleicht kann man das irgendwie deichseln, ich komm aber auch so mit der IP gut klar. Ist das vielleicht schon die Ursache bei dir?

Ich nutze das allerdings nur für iPad und iPhone, also ETS per VPN habe ich noch nie probiert.

Hi Götz,

Glückwunsch zum Einzug.

zu 1. Wir wissen gar nicht, was Du wo eingetellt hast. Weder am Server noch an Deinen Boxen. Wenn ich raten sollte, dann könnte ich annehmen, dass alles auf DHCP und dynamische Adressierung eingestellt ist. Hier werden IP Adressen aber geholt, nicht gepusht, mithin ist eine schnelle "zwangsgeführte" Umstellung nicht technologisch vorgesehen. Bei DHCP versucht der Server beim Neustart sich um ein IP Setup zu bemühen, daher könnte der "Zwang" darüber ausgeführt werden.

zu 2. Der Power Taster dient zum sauberen Herunterfahren des Servers bei einmal kurz drücken, muss man halt warten, bis alles sauber abgeschlossen ist (Verhalten wie am PC). MIt langem Druck löst man einen harten Reset aus, der nicht als Standard-Bedienung empfehlenswert ist.

lg

Stefan

Hallo Stefan,

Deine These bzgl. DHCP ist korrekt, auch wenn ich in den Versuchen teilweise auch mit fester IP gearbeitet hatte. Damit bestätigt Du meine Annahme zur erneuten Adress"zuweisung". Mit dem richtigen Druck auf den Button kriege ich dies jetzt hin.

Danke,
Götz

Hallo Reimund,

Vielen Dank für die Überlegung, allerdings hatte ich es immer nur mit den jeweiligen IP Adressen direkt versucht.

Es heisst also noch etwas weiter zu experimentieren,
Götz

Hallo Götz,

aus welchem Grund möchtest Du denn IP-Adresswechsel / Neuzuweisungen erzwingen. Gerade bei Servern ist es nicht üblich mit wechselnden IP-Adressen zu arbeiten.

Du kannst entweder die IP-Adresse statisch setzen, odern wenn Fu DHCP nutzt am DHCP Server dieser MAC-Adresse (des TWS) immer eine vordefinierte IP-Adresse zuweisen lassen.

Wenn Du vorne eine Fritz nutzt (Provideranschluss) und dahinter dann einen weiteren Router/Firewall, dann solltest Du solides Netzwerk Know-How haben da es hier einige Fallstricke gibt, vor allem für inbound connections vom Internet auf ein bestimmtes Gerät. Daher macht es Sinn den TWS in das Netz der Fritz zu nehmen, das wie eine DMZ dann wirkt und optimal ist für Geräte die von aussen erreichbar sein sollen. Du kannst dann auch einen direkten Port für VPN zum TWS auf der Fritz „forwarden“ und die VPN Funktion des TWS verwenden.

Ohne Dein Setup und genaues Vorhaben zu kennen ist weitere Unterstützung aber schwierig. Mit dem Proxy in der TWS Cloud ab V4.x sollte es noch einfacher für dich werden.

Grüsse,

Uwe

Moderation: Der bisher hier platzierte Anteil des Threads wurde hierhin viewtopic.php?f=76&t=4336#p48131 abgespalten.

Erstmal vorweg: Wenn du den TWS über VPN nicht erreichst, hat das nichts mit dem TWS und dessen Einstellung zu tun sondern ausschließlich mit deiner Netzwerkinfrastruktur.

Vielleicht würde eine Zeichnung deiner Topologie dir selbst und anderen hier helfen das Problem zu lösen. Oftmals denkt man an bestimmte Details nicht bis man sie selbst aufzeichnet. Wichtig wären die Geräte und ihre Funktion, die Subnetze, ggf. Firewallregeln usw.

Idee zur Lösung: Als VPN User anmelden und diverse Tests machen: Welche IP (aus welchem Subnetz) bekomme ich über VPN? Welche wichtigen Geräte aus diesem und anderen Subnetzen sind (nicht) erreichbar? Falls Firewallregeln zwischen Subnetzen bestehen: diese zum Test auf "Durchzug" stellen um den Fehler einzugrenzen. Ist der IP-Bereich des Heimnetzes (über VPN) denn verschieden vom Netz in dem du gerade bist?

TWS über Hostname statt IP zu erreichen ist eine DNS Einstellung in deinem Router bzw. VPN-Gateway. Dort kann man oft für VPN getrennt einstellen, ob Namensauflösung von lokalen Adressen auch über ebendieses VPN erlaubt ist. Dies ist aber eher die "Kür", die erst dann Sinn ergibt, wenn die "Pflicht" (=Erreichbarkeit per IP) erledigt ist.

@Goetz
Besteht das Problem bei dir immer noch oder kann ich es auf gelöst setzen?