Ethernet Mess- Steuermodul über 2 Router von aussen erreichen

Michael75

Newbie
Registriert
Juni 2020
Beiträge
4
Hallo,

Ich habe ein Ethernet Mess- Steuermodul um Sensoren abzufragen bzw. Relais zu steuern. Dieses habe ich erstmal zu testzwecken besorgt.
Es soll später in einem anderem Gebäude zur Temperaturabfrage / Heizungssteuerung etc. eingesetzt werden.
Hier im Haus habe ich 2 Router in betrieb. Es ist einmal die Fritzbox 6591 Cable und ein Asus Router.
Den Asus Router habe ich gekauft weil das WLAN von der Fritzbox in einem entfernten Raum zu schwach ist.
Angeschlossen ist es wie folgt:
(Internet)--->([WAN]Fritzbox) [LAN1]--->([WAN]Asus Router)--->[LAN1]--->(PC) / [LAN2]---(Mess/Steuermodul) [WLAN]--->TV

Konfiguration:
Fritzbox
DHCP aktiv, Adressbereich von 192.168.178.20 bis 192.168.178.200

Asus-Router
DHCP inaktiv Adresse: 192.168.1.5

Steuermodul
192.168.1.10

PC:
192.168.1.200


Wenn ich mich per Handy ins WLAN des Asus Routers einlogge, ist das Messmodul auch ansprechbar. Ebenso kann ich per PC
das Modul ansprechen. Es ist quasi nur im Asus Netz ansprechbar.

Nun möchte ich jedoch das Modul von jedem anderen PC / Handy (Mobilfunknetz) ansprechen können.
Was muss ich tun um dies zu erreichen? Ich denke das es über VPN bzw. Portweiterleitung geht. Ich weis aber nicht genau
wie das zu ändern ist.
Ich vermute auch mal das der (WAN) Anschluss des ASUS auch nicht richtig ist, obwohl alles funktioniert.
Bevor ich in der Fritzbox etwas ändere frage ich hier nach, nicht das hinterher die FB nicht mehr erreichbar ist.
Über die Fritzbox läuft das Internet und das Telefon.

Danke schon mal für die Hilfe.
 
Ich denke, das dürfte kein Problem sein. Der Asusrouter ist meiner Meinung nach auch mit seinem WAN Port dort richtig.
Du wirst einfach ein bisschen mit den jeweiligen NATs kämpfen müssen. Stichwort Port forwarding. bringt dich das weiter ?
 
Michael75 schrieb:
Ich vermute auch mal das der (WAN) Anschluss des ASUS auch nicht richtig ist, obwohl alles funktioniert.
Genau, du hast eine Routerkaskade mit Doppel-NAT gebaut. Wenn man nicht weiß was man da tut, ist das eine schlechte Idee. Schließe den Asus via LAN-Port an die Fritzbox und konfiguriere ihn als Access Point. Deaktiviere den DHCP im Asus, gib dem Asus am LAN eine freie IP aus dem Netz der Fritzbox 192.168.178.x. PC und Steuermodul müssen dann selbstverständlich auch eine 192.168.178.x IP haben / bekommen.

In dieser Konstellation hast du dann erstmal nur noch EIN Netzwerk und nicht zwei wie es aktuell der Fall ist.


Anschließend machst du bitte keine Portweiterleitung auf das Messmodul(!), sondern richtest in der Fritzbox das FritzVPN ein. Damit kannst du dich dann verschlüsselt von außen in dein Heimnetzwerk verbinden und das Messmodul abfragen. Bei einer direkten Portweiterleitung auf das Modul, setzt du dein Netzwerk einer unvorhersehbaren Gefahr aus, weil jeder Hans und Franz aus dem Internet dann bei dem Modul anklopfen und es angreifen kann - mit der Folge, dass im worst case dein komplettes Netzwerk kompromittiert ist.


*edit
Da es sich um einen Kabel-Anschluss handelt, muss natürlich auch erstmal sichergestellt werden, dass du eine eigene IPv4 hast. Normalerweise wird Kabel-Internet mit DS-Lite umgesetzt und damit ist man ausschließlich via IPv6 von außen erreichbar.
 
  • Gefällt mir
Reaktionen: brainDotExe
Auch nen Plan ;)^^
 
Okay,
werde das erstmal so abändern. Ja momentan sind es 2 Netze. Hatte ja gedacht das man quasi eine Portweiterleitung vom Asus-Netz in das Fritzboxnetz machen könnte.
Meine IP Adresse ist eine IPv4 (88.153.xx.xx)
 
Michael75 schrieb:
Hatte ja gedacht das man quasi eine Portweiterleitung vom Asus-Netz in das Fritzboxnetz machen könnte.
Kann man auch, aber bei Doppel-NAT brauchst du dann zwei Portweiterleitungen. In der Fritzbox eine auf die IP des Asus und im Asus eine weitere auf das Messmodul.

Wenn es keinen Grund für eine Routerkaskade mit Doppel-NAT gibt, sollte man auch keine aufbauen. Meistens passiert dies schlicht ud ergreifend, weil der Anwender es nicht besser weiß.


Ich rate aber wie gesagt von einer direkten Weiterleitung auf das Messmodul ab, egal ob im aktuellen Setup mit Doppel-NAT oder dem vorgeschlagenen Setup mit Asus-Als-AP. Geräte, die nicht explizit für das Internet vorgesehen sind, stellen ein massives Sicherheitsrisiko dar. Sofern das Messmodul also nicht im Handbuch ganz konkret diesen Weg empfiehlt (*), ist es bandgefährlich, das so zu machen.

(*) Wobei man hier vorsichtig sein muss. Es ist keineswegs sichergestellt, dass eine Funktion, die im Handbuch beschrieben wird, auch tatsächlich sicher ist. Hersteller von Sensoren, etc. haben nicht zwingend umfangreiches KnowHow im Bereich der IT-Security. Da werden gerne auch mal unverschlüsselte Verbindungen genutzt, Standard-Logins und dergleichen. Daher sollte man es sich wirklich sehr gut überlegen, solche Geräte direkt aus dem www zugreifbar zu machen.
 
Ich werde es dann doch eher per FritzVPN machen, hier zu Hause zu Testzwecken.
Das gleiche werde ich dann wohl auch im "echten" Betrieb machen, sobald in dem
Gebäude (Wanderhütte) Internet vorhannden ist. Evtl. muss ich dann eine anderen VPN
Anbieter (NordVPN) etc. nutzen. Ich weis ja nicht welches Modem wir da hin bekommen...
 
FritzVPN und NordVPN sind zwei Paar Schuhe. Das einzige, was sie gemein haben, sind die drei Buchstaben V, P und N.

Das VPN in der Fritzbox dient der Vernetzung zweier Fritzboxxen untereinander (=Standortverbindung) sowie der Verbindung eines Clients von außen in das Netzwerk der Fritzbox (das Szenario, das du anstrebst).

NordVPN ist hingegen ein VPN-Dienstleister, über den man zB aus einem Internetcafé eine verschlüsselte Verbindung ins Internet herstellen kann, also ein komplett anderes Szenario. Daher ist NordVPN nicht dazu geeignet, sich von außen ins eigene Heimnetzwerk einzuwählen.


Wenn man zur Einwahl ins Heimnetzwerk nicht das FritzVPN nutzen möchte oder kann, lässt sich der dafür nötige VPN-Server im heimischen LAN auch über ein separates Gerät realisieren, zB einen Raspberry PI mit wireguard oder OpenVPN.
 
  • Gefällt mir
Reaktionen: brainDotExe und snaxilian
Ich habe es nun über die FritzVPN eingerichtet. Es läuft soweit. Man muss sich nun über die MyFritz-App einloggen um auf das Messmodul zu kommen wenn man von aussen zugreifen möchte.
Die App die zu dem Modul gehört funktioniert nur im heimischen WLAN.
Wie ich die App dazu bekomme das die auch von unterwegs drauf zugreift weis ich nicht genau.
Habe es zwar mal mit Portfreigabe probiert, funktioniert aber nicht.
Heimische Adresse: 192.168.xxx.xxx // Portfreigabe Adresse (Angabe in FB) 88.xxx.xxx.xx Port:80
Habe also die 88.xxx.xxx : 80 in die Einstellungen der APP eingegeben, aber wie gesagt läuft es nicht.
Wäre zwar schön wenn es auch über die APP ginge, es reicht im Moment auch der Zugang über die
MyFritz App.

Danke für die Hilfe!
Ergänzung ()

Ich habe gerade noch was festgestellt.
Das Messmodul erscheint nicht immer in der FritzVPN Liste. Dann muss ich erst auf den ASUS
Router gehen und mich dann ins Modul einloggen. Woran liegt das nun wider? Der ASUS ist als
Acesspoint eingestellt.
 
Zuletzt bearbeitet:
Zurück
Oben