Konfig Fritzbox 7590 am NT der DG

    Zitat von mbo77

    ... was ist das Ziel? Die Alarmanlage soll auf einer öffentlichen Adresse erreichbar sein? Sie beherrscht aber kein IPv6?

    Welches Protokoll denn gesprochen? HTTP(S)?

    Genau so sieht's aus.

    Die Erreichbarkeit der Alarmanlage ist seit Umstellung des Internetzuganges der Immobilie nicht mehr direkt möglich. Vorher beim DSL von der Telekom war mit IPV4 in der Fritzbox 7590 mit zugeordneter MyFRITZ!-Adresse einfach eine Portfreigabe für die Alarmanlage ausreichend. Seit auf FTTH von der deutschen Glasfaser umgestellt ist kein Zugriff mehr wie davor möglich.

    Ob die Kommunikation per http oder https läuft ist mir unbekannt. Wie und an welcher Stelle könnte ich herausfinden mit welchem Protokoll gesprochen wird?

    Zitat von mbo77

    ... kenne ich deren Lösung einfach zu wenig, aber ich finde deren Dokumentation nicht sonderlich vertrauenswürdig.

    Ich will sie auch nicht schlecht reden, gerade weil ich keine eigene Erfahrung damit habe.

    Erklärend dazu, dass ich nicht in der Immobilie wohne in der die Alarmanlage mit entsprechender Sensorik installiert ist, aber damit aus der Ferne eben z.b. im Blick zu behalten ist ob sich unberechtigte Personen Zugang von außen durch die Türen oder Fenster verschaffen.

    Die neue Generation der Alarmanlagen des Herstellers wäre wohl ohne eine Fip-Box aus dem www erreichbar. Dafür nötige Investitionen wären aber erheblich, da auch sämtliche der vorhandenen Sensoren ausgetauscht werden müssten weil die natürlich nicht mehr mit der neueren Technik kompatibel sind. 🙈

    Unterwegs nutzt du eine App für den Zugriff?

    Wie teilst du der denn mit, mit welcher Alarmanlage sie sprechen soll?

    Wie hast du in der Vergangenheit die Portfreigabe konkret eingerichtet?

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    In der Vergangenheit mit dem DSL-Anschluss der Telekom war ausschließlich ein von Eimsig vorgegebener Port mit der MyFRITZ-Adresse in der 7590 freigegeben und diese Kombination in der App eingetragen.

    Jetzt ist in der App auf dem Smartphone die von der COSIMO GmbH erhaltene Adresse eingetragen die im Portal (Feste-IP.net) für dort von mir eingerichtete Fip-Box bei "Extern erreichbar über" inklusive dem Port automatisch vorgegeben worden ist.

    Bei "Lokales Ziel" habe ich beim Erstellen der Fip-Box im Portal die per 7590 im Heimnetz erhaltene IP der Alarmanlage mit dem von Eimsig vorgegebenen Port eingetragen.

    In der 7590 ist zum von Eimsig vorgegebenen Port unter Freigaben für IPv4 und IPv6 entsprechend eingetragen worden. Bei der IPv4 ist dabei automatisch ein ganz anderer Port von der FB gesetzt worden. Dabei kam der Hinweis: "Für diese Freigabe wurden andere Ports extern vergeben als von Ihnen gewünscht."

    Das habe ich aber ignoriert, da mit aktuellen Einstellungen alles wie gewünscht funktioniert. Avm schreibt dazu: https://avm.de/service/wissen…hnen-gewunscht/

    Kannst du bitte die alte Konfig beschreiben? Welcher Port, welches Ziel?

    Ich bin der Meinung, dass du gar keine öffentliche IPv4 benötigst. Also keine Fip-Box, sondern das recht einfach selbst mit einer Linux-VM im eigenen Netz lösen kannst.

    Dazu brauche ich aber etwas mehr Info, wie es vorher war.

    Zitat von ftth

    In der 7590 ist zum von Eimsig vorgegebenen Port unter Freigaben für IPv4 und IPv6 entsprechend eingetragen worden.

    Warum? Wenn du über die IP der FIP Box gehst, brauchst du keine Freigabe mehr in der Fritzbox. Deren IP sprichst du ja gar nicht mehr an.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von mbo77

    Kannst du bitte die alte Konfig beschreiben? Welcher Port, welches Ziel?

    Ich bin der Meinung, dass du gar keine öffentliche IPv4 benötigst. Also keine Fip-Box, sondern das recht einfach selbst mit einer Linux-VM im eigenen Netz lösen kannst.

    Dazu brauche ich aber etwas mehr Info, wie es vorher war.

    Die Freigaben in der Fritzbox am DSL-Anschluss sind bei der 1. Inbetriebnahme für die Alarmanlage genauso wie in der folgend verlinkten Beschreibung zu 1.7, 1.8, 1.9 und 1.10 vorgegeben eingetragen worden.

    Link 👉 https://www.eimsig.de/sites/default/…7-02-21_red.pdf

    OK, also eine einfache Portfreigabe auf Port 9770/tcp.

    Ich gehe davon aus, dass die App IPv6-fähig ist, denn neuere Modelle unterstützen das ja wohl in der HW. Daher sollte die App das unterstützen.

    Du könntest dich mit einer Linux-VM bei dir im Heimnetz behelfen.

    Diese machst du von außen auf IPv6 erreichbar (inkl. DDNS), zum Beispiel als aa.irgendeineddnsdomain.org zum Port 9770.

    In der VM nutzt du dann "6tunnel". Dieses Tool kann eine eingehende Verbindung auf IPv6 entgegen nehmen und zu einem Ziel (IPv4 oder IPv6) tunneln.

    So brauchst du keine externe Hilfe.

    Vorausgesetzt du kannst unterwegs auf dem Smartphone IPv6 nutzen, was aber bei allen üblichen Mobilfunkanbietern Standard ist.

    Zitat von frank_m

    Warum? Wenn du über die IP der FIP Box gehst, brauchst du keine Freigabe mehr in der Fritzbox. Deren IP sprichst du ja gar nicht mehr an.

    So wie es aussieht hast Du Recht! Trotzdessen, dass jetzt sämtliche Freigaben in der 7590 gelöscht sind funktioniert der Zugriff per App auch von unterwegs. 👍

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Das hört sich extrem interessant an. Eine VM mit frisch aufgesetztem Debian 12 hätte ich auf dem NAS bei mir im Heimnetzwerk sogar direkt dafür verfügbar.

    Ob die App auf dem Smartphone mit IPv6 funktioniert kann ich dann testen. 👍

    Hier mal ein stark vereinfachtes Beispiel, wie das auf der VM aussehen könnte:

    Code
    sudo 6tunnel -4 -6 443 10.20.30.40 443 -d -v
resolving 10.20.30.40
resolved to 10.20.30.40
resolving local address default
resolved to ::
local: default,443; remote: 10.20.30.40,443; source: default
<4> connection from 2003:e1:a:b:cd::,47872
<4> connected to 10.20.30.40,443
<4> connection closed
child process exited

    6tunnel soll demnach zu einem IPv4-Ziel hin arbeiten (-4), selbst sich aber auf IPv6 (-6) binden. Ich habe es mit einem Webserver auf Port 443 hinter der lokalen IP 10.20.30.40 probiert. -d und -v sind jetzt nur dafür da, dass ich in der Konsole einen passenden Output bekomme.

    Von einem externen System habe ich dann einen Verbindungsversuch mit nc oder curl gemacht, z.B.:

    Code
    curl https://aa.irgendeineddnsdomain.org
<Ausgabe des Webservers...>

    Du wirst dich vermutlich mit DDNS/ddclient auf der VM beschäftigen müssen, da ich nicht weiß, ob eine MyFritz!-Freigabe für den Port 9770 (URI-Schema..) möglich ist.

    Einen einfachen Test kannst du aber mit der aktuellen IPv6-Adresse der Debian-VM machen. In der App musst du die Adresse ggf. in eckige Klammern "[2a00:a:b::cd]" setzen, das hängt aber von der App ab.

    Für den Anfang würde ich dir 6tunnel mit -d und -v empfehlen, dann siehst du die eingehende Verbindung. Den Port wirst du in der FB aber auf jeden Fall für das Ziel zulassen müssen.

    Eine für mich verständliche Anleitung zum 6tunnel habe ich vorhin gefunden: https://www.heimnetz.de/anleitungen/so…eichen-6tunnel/

    Aber nun ist mir aufgefallen, dass in der 7590 möglich wäre den VPN-Tunnel z.b. ausschließlich an den Lan Port 2 zu schalten. An diesem Port könnte das Netz der 5590 eingestellt werden und daran ein Wlan-Accespoint gepatcht werden an dem die Alarmanlage dann doch per Wlan am Telekom FTTH mit IPv4 in das Internet verbunden wäre. 🤔

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Es wird daran scheitern, dass du am WAN des Telekom-Anschlusses nicht auf ein fremdes LAN natten kannst. Und ich wüsste jetzt auch nicht, dass sich in der FB L2-VPNs realisieren lassen.

    Bedenke zudem die Komplexität: Abhängig von zwei Anschlüssen und festgenagelt auf die Fritzboxen.. Willst du so ein wackliges Konstrukt ernsthaft??

    Hast du mal einen Test mit 6tunnel gemacht? Das wäre die deutlich weniger komplexe Lösung.

    Zitat von mbo77

    ... 6tunnel ...

    Moin, ich habe mich daran versucht.

    Beide Fritzboxen (Netz A = 5590 und Netz B = 7590) sind fix per Side-to-Side VPN (IPSec) verbunden und die auf dem NAS in Netz A mit Debian 12 aufgesetzte VM, auf der 6tunnel läuft, hat eine feste IP4 bekommen. Netz A ist per Telekom-FTTH mit öffentlicher IPV4 und IPV6 im Internet verbunden. Netz B per DG nur mit IPV6 am Internet angebunden. Die Alarmanlage hat in Netz B eine statische IP. In der 7590 ist bei der Alarmanlag benötigte Freigabe mit Port zur MyFRITZ-Adresse für IPV4 und IPV6 eingerichtet.

    6tunnel habe ich einmal mit der MyFRITZ-Adresse und Port (per copy+paste aus der 7590) sowie dem Port und der in Netz B für die Alarmanlage vergebenen festen IP4 konfiguriert. In der 5590 sind für den Server Freigaben eingerichtet.

    Mit der App auf dem per Wlan im Netz A verbundenen Gerät ist die Alarmanlage zu steuern. Sobald das Gerät ausschließlich per mobile Daten verbunden ist kann die Alarmanlage derzeit (soweit für mich nachvollziehbar ist in der Mobilfunkzelle IPV4 und IPV6 verfügbar) ebenfalls bedient werden. Ich werde berichten ob auch alles wie gewünscht funktioniert wenn das Smartphone unterwegs nur mit IPV4 im Internet verbunden ist. 🍀👍

    Moin,

    bei meiner Recherche dazu, dass ich ein VPN von der 7590 direkt zu einem VPS anstatt dem aktuell zwischen beiden Fritzboxen bestehenden VPN realisieren können möchte hatte ich in der Anleitung (https://www.theatarian.de/k-ubuntu-22-04…d-avm-fritz-box) den Hinweis gefunden: "Durch diesen Befehl wird die Verbindung erstellt und auch gleich dauerhaft aktiviert. Letzteres ist nicht unbedingt erwünscht, da es im heimischen Netz zu einer nicht funktionierenden Verbindung führt."

    Damit wäre nun für mich nachvollziehbar warum bei den bisherigen Tests nicht möglich war im Netz der Fritzbox 7590 bzw. der Alarmanlage mit dem per Wlan verbundenen Smartphone per App auf die Alarmanlage zugreifen zu können.

    Im Netz der 5590 funktioniert der Zugriff problemlos bei abgeschalteten mobilen Daten in der App des per Wlan gekoppelten Endgerätes.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.