CCU2 extern steuern (Reverse SSH Tunnel / VPN)
Moderator: Co-Administratoren
-
- Beiträge: 257
- Registriert: 18.12.2014, 15:52
- System: CCU
- Hat sich bedankt: 4 Mal
- Danksagung erhalten: 1 Mal
Re: CCU2 extern steuern (Reverse SSH Tunnel / VPN)
Kannst statt IP/Port der CCU mal die IP/Port80 von deinem Router/FRITZ!Box nach außen leiten und gucken ob das klappt? CCU Firewall aktiv?
Bitte mal die Ausgabe von netstat bzw. ss mit und ohne aktiven SSH Tunnel auf dem vps posten.
Kannst mal testweise ohne Wireguard also direkt vom VPS die Verbundung testen (zB mit nmap auf dem vps) prüfen ob du über den SSH Tunnel an die CCU kommst? Du gibst leider keine Logfiles und man kann aus der Ferne schlecht sagen wo das Problem liegt (CCU Firewall, SSH Tunnel,Wireguard …).
Versuch mal den Weg in Einzelschritte zu zerlegen und zu prüfen wie weit du überhaupt kommst. Prinzipiell sollte es mit einem SSH Reversetunnel klappen.
Bitte mal die Ausgabe von netstat bzw. ss mit und ohne aktiven SSH Tunnel auf dem vps posten.
Kannst mal testweise ohne Wireguard also direkt vom VPS die Verbundung testen (zB mit nmap auf dem vps) prüfen ob du über den SSH Tunnel an die CCU kommst? Du gibst leider keine Logfiles und man kann aus der Ferne schlecht sagen wo das Problem liegt (CCU Firewall, SSH Tunnel,Wireguard …).
Versuch mal den Weg in Einzelschritte zu zerlegen und zu prüfen wie weit du überhaupt kommst. Prinzipiell sollte es mit einem SSH Reversetunnel klappen.
Ich übernehme keinerlei Haftung/Garantie für Tipps/Hinweise die ich hier gebe. Danke für euer Verständnis.
Re: CCU2 extern steuern (Reverse SSH Tunnel / VPN)
Sorry, ich bin (noch) nicht fit genug mit Linux, ich weiß nicht so recht, welche Logfiles interessant sind und wo ich sie finde, aber ich reiche gerne alles nach.
Meinst Du
?
Das meldet
Da sind die 3 Tunnels abgebildet: Port 3001 ist der Pi, Port 3002 ist der zur CCU und Port 3003 ist der, den ich testweise zum Router verlegt habe auf Deinen Wunsch.
Ohne Tunnels:
Danke für die Hilfe!
Ja, hat funktioniert, das Router-UI ist durch den Tunnel erreichbar.Kannst statt IP/Port der CCU mal die IP/Port80 von deinem Router/FRITZ!Box nach außen leiten und gucken ob das klappt?
Nein, habe ich komplett deaktiviert: Unter Einstellungen -> Systemsteuerung -> Firewall konfigurieren ist bei beiden Punkten "Vollzugriff" ausgewählt. Gibt es noch woanders Firewall-Einstellungen bei der CCU?CCU Firewall aktiv?
Mit nmap kann ich zwar umgehen, aber welche IP soll ich angeben, wenn man Wireguard deaktiviert? Der Router und die CCU2 haben ja gerade keine public IP. Da stehe ich irgendwie auf dem Schlauch.Kannst mal testweise ohne Wireguard also direkt vom VPS die Verbundung testen (zB mit nmap auf dem vps) prüfen ob du über den SSH Tunnel an die CCU kommst?
Meinst Du
Code: Alles auswählen
nmap -p [Tunnelport] 127.0.0.1
Das meldet
Code: Alles auswählen
open
Mit Tunnel(s):Bitte mal die Ausgabe von netstat bzw. ss mit und ohne aktiven SSH Tunnel auf dem vps posten.
Code: Alles auswählen
v1362411366 ~> sudo netstat -tlpe
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State username Inode PID/Program name
tcp 0 0 localhost:domain 0.0.0.0:* LISTEN systemd-resolve 16382 718/systemd-resolve
tcp 0 0 0.0.0.0:ssh 0.0.0.0:* LISTEN root 19142 823/sshd
tcp 0 0 0.0.0.0:3001 0.0.0.0:* LISTEN username 453340 27024/sshd: username
tcp 0 0 0.0.0.0:3002 0.0.0.0:* LISTEN username 470214 29631/sshd: username
tcp 0 0 0.0.0.0:3003 0.0.0.0:* LISTEN username 489700 1905/sshd: username
tcp6 0 0 [::]:ssh [::]:* LISTEN root 19156 823/sshd
tcp6 0 0 [::]:3001 [::]:* LISTEN username 453341 27024/sshd: username
tcp6 0 0 [::]:3002 [::]:* LISTEN username 470215 29631/sshd: username
tcp6 0 0 [::]:3003 [::]:* LISTEN username 489701 1905/sshd: username
Ohne Tunnels:
Code: Alles auswählen
v1362411366 ~> sudo netstat -tlpe
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State username Inode PID/Program name
tcp 0 0 localhost:domain 0.0.0.0:* LISTEN systemd-resolve 16382 718/systemd-resolve
tcp 0 0 0.0.0.0:ssh 0.0.0.0:* LISTEN root 19142 823/sshd
tcp6 0 0 [::]:ssh [::]:* LISTEN root 19156 823/sshd
Danke für die Hilfe!
Re: CCU2 extern steuern (Reverse SSH Tunnel / VPN)
Spaßeshalber habe ich noch mal weitere Tunnel gebaut, z.B. zum SSH-Port von meinem PC und zum GUI vom Drucker.
Alle Tunnel funktionieren sofort und einwandfrei.
Also meiner Meinung nach muss es also an der CCU liegen. Gibt es da irgendwo sonst noch mögliche Sperren, die ein Aufruf von externen IP-Adressen unterbinden?
Alle Tunnel funktionieren sofort und einwandfrei.
Also meiner Meinung nach muss es also an der CCU liegen. Gibt es da irgendwo sonst noch mögliche Sperren, die ein Aufruf von externen IP-Adressen unterbinden?
-
- Beiträge: 257
- Registriert: 18.12.2014, 15:52
- System: CCU
- Hat sich bedankt: 4 Mal
- Danksagung erhalten: 1 Mal
Re: CCU2 extern steuern (Reverse SSH Tunnel / VPN)
Stell mal die Firewall in der CCU auf eingeschränkt und gib dann den internen IP Bereich deines LAN‘s frei. Rein technisch funktioniert der Reverse SSH Tunnel. Greifst du im internen LAN per https oder http zu? Ggfs auch mal 443 der CCU2 getunnelt? Drucker, CCU2 und pi sind alle im gleichen Netzwerk, also keine Unterteilung zB mit VLAN?
Meines Wissens gibt es sonst keine weiteren Blockeinstellungen außer die schon angesprochene Firewall auf der CCU2.
Meines Wissens gibt es sonst keine weiteren Blockeinstellungen außer die schon angesprochene Firewall auf der CCU2.
Ich übernehme keinerlei Haftung/Garantie für Tipps/Hinweise die ich hier gebe. Danke für euer Verständnis.
Re: CCU2 extern steuern (Reverse SSH Tunnel / VPN)
Normalerweise greife ich über http zu. Habe es jetzt noch über https versucht (funktioniert im internen LAN) und 443 getunnelt. Auch da: Kein Zugriff.
Alle Geräte sind im gleichen Netzwerk und IP range, kein vlan o.ä.
Auch der "eingeschränkte Zugriff" mit allen denkbaren IPs, auch der externen vom vServer und dem Wireguard-Bereich, brachte nichts.
Vielleicht ist die CCU insoweit defekt. Es ist das einzige Teil, das keinen Zugriff erlaubt.
Alle Geräte sind im gleichen Netzwerk und IP range, kein vlan o.ä.
Auch der "eingeschränkte Zugriff" mit allen denkbaren IPs, auch der externen vom vServer und dem Wireguard-Bereich, brachte nichts.
Vielleicht ist die CCU insoweit defekt. Es ist das einzige Teil, das keinen Zugriff erlaubt.
-
- Beiträge: 257
- Registriert: 18.12.2014, 15:52
- System: CCU
- Hat sich bedankt: 4 Mal
- Danksagung erhalten: 1 Mal
Re: CCU2 extern steuern (Reverse SSH Tunnel / VPN)
CCU mal neugestartet? Wie greifst du dann auf die CCU zu? Einfach per Browser oder per App?
Ich übernehme keinerlei Haftung/Garantie für Tipps/Hinweise die ich hier gebe. Danke für euer Verständnis.
Re: CCU2 extern steuern (Reverse SSH Tunnel / VPN)
Ja, schon mehrfach neu gestartet (Stecker raus/rein). Über den Browser, direkt über die IP-Adresse. Firmware-Version 2.57.5 (aktuell).
Trotzdem muss es irgendetwas geben auf der CCU, das den Zugriff verweigert. Bin alle Menüs zigmal durchgegangen, aber es gab nichts passendes. Verrückt!
Da ich im Wesentlichen einen Aktor von unterwegs steuern möchte, könnte ich es (umständlich) versuchen, über Wireguard auf den Pi zuzugreifen, der dann einen bestimmten HTML-Link (XML-API) aufruft? Mit der XML-API habe ich mich bisher nur noch gar nicht befasst.
Trotzdem muss es irgendetwas geben auf der CCU, das den Zugriff verweigert. Bin alle Menüs zigmal durchgegangen, aber es gab nichts passendes. Verrückt!
Da ich im Wesentlichen einen Aktor von unterwegs steuern möchte, könnte ich es (umständlich) versuchen, über Wireguard auf den Pi zuzugreifen, der dann einen bestimmten HTML-Link (XML-API) aufruft? Mit der XML-API habe ich mich bisher nur noch gar nicht befasst.
-
- Beiträge: 257
- Registriert: 18.12.2014, 15:52
- System: CCU
- Hat sich bedankt: 4 Mal
- Danksagung erhalten: 1 Mal
Re: CCU2 extern steuern (Reverse SSH Tunnel / VPN)
Bei mir läuft auf einem pi nginx mit ner kleinen WebGUI die per XML API meine CCU steuert. Ist einfacher und schneller als sich immer auf der CCU2 anzumelden. Wenn du dann den HTTP Port des pi‘s per ssh tunnelst sollte die Steuerung klappen. Die Anweisungen kommen ja dann aus deinem internen Netzwerk. Prinzipiell sollte aber der HTTP bzw HTTPS Zugriff direkt auf die CCU2 durch den Tunnel ebenfalls funktionieren.
Ich übernehme keinerlei Haftung/Garantie für Tipps/Hinweise die ich hier gebe. Danke für euer Verständnis.
Re: CCU2 extern steuern (Reverse SSH Tunnel / VPN)
Auf dem Pi läuft schon Apache, aber wo hole ich die Web GUI für den Pi her? Hast Du die selber gebaut?
-
- Beiträge: 257
- Registriert: 18.12.2014, 15:52
- System: CCU
- Hat sich bedankt: 4 Mal
- Danksagung erhalten: 1 Mal
Re: CCU2 extern steuern (Reverse SSH Tunnel / VPN)
Selber bauen… kleine php Seite auf dem pi erstellen und dann die Zustände/Variablen/Programme auf der CCU2 mit curl aufrufen…. Wenn ich die Tage mal wieder mein Notebook vor mir habe, kann ich mal ein Beispielaufruf posten. Mit‘m kleinen Smartphone geht’s leider nicht.
Alternativ mal hier im Forum suchen, da findest du auch die Beispielaufrufe.
Alternativ mal hier im Forum suchen, da findest du auch die Beispielaufrufe.
Ich übernehme keinerlei Haftung/Garantie für Tipps/Hinweise die ich hier gebe. Danke für euer Verständnis.