CCU2 extern steuern (Reverse SSH Tunnel / VPN)

[jotrocken]

Moin,

seit Tagen versuche ich verzweifelt, auf sichere Weise von extern (also von außerhalb des heimischen LAN) auf die WebUI der CCU2 zuzugreifen. Zig Möglichkeiten habe ich ausprobiert, leider ohne Erfolg. Der Zugriff von innerhalb des eigenen Netzwerks funktioniert problemlos.

Aus anderen Gründen nutze ich einen vServer, der als Wireguard VPN-Server genutzt wird und einen Raspberry Pi (für andere Zwecke) zugänglich macht. Da mein Provider keine IP-Adressen vergibt, die von außen zugänglich sind (NAT oder DS-Lite, vermute ich), baut der Raspi einen SSH Reverse Tunnel zum vServer auf, sodass ich über die vServer-IP auf ihn zugreifen kann.

Am liebsten würde ich es bei der CCU2 ähnlich machen, aber die CCU selber kann ja nicht als Wireguard Client fungieren. Mir wäre es sehr lieb, wenn man einen SSH-Reverse Tunnel von der CCU zum vServer aufbauen könnte, war dabei aber erfolglos. So einen Tunnel konnte ich zwar vom Router, an dem die CCU hängt, aufbauen, aber der Zugriff scheitert immer. Auch habe ich versucht, vom Router aus eine VPN-Verbindung aufzubauen. Das funktioniert zwar auch, aber ich erhalte keinen CCU-Zugriff.

Hat jemand eine Idee, wie ich einen Lösungsweg finde (ohne kostenpflichtige Services wie CloudMatic)?

Gruß
jotrocken

[Baxxy]

Hi,
direkte WireGuard Implementierung gibt es momentan nur bei RaspberryMatic. Mit anderen Zentralen-Derivaten die ein vollständiges Linux als Unterbau nutzen geht's natürlich auch.

Wenn der

Raspberry Pi

in deinem heimischen LAN sitzt und von dort aktiv einen Tunnel zum vServer aufbaut und hält, dann könntest du diesen doch so konfigurieren das er den Zugang zu den lokalen LAN-Geräten erlaubt.

[Micky]

Mahlzeit,

wenn du eh schon einen Reversetunnel von innen nach außen hast, solltest du problemlos die Ports der CCU mittunneln können. Poste mal bitte deinen Command vom Reversetunnel.

Grüße M.

[jotrocken]

Moin,

danke für Eure Nachrichten!

Mahlzeit,

wenn du eh schon einen Reversetunnel von innen nach außen hast, solltest du problemlos die Ports der CCU mittunneln können. Poste mal bitte deinen Command vom Reversetunnel.

Der Pi baut wie folgt einen Tunnel auf:

Code: Alles auswählen

autossh -i [keyfile] -N -f -R [remote Port]:localhost:[local-Port] user@[VPS-IP]

Gruß
Jotrocken

[Micky]

Probier mal:

Code: Alles auswählen

autossh -i [keyfile] -N -f -R [remote Port]:localhost:[local-Port] -R [remote PortCCU]:IPderCCU:[localPortCCU] user@[VPS-IP]

[jotrocken]

Danke, werde ich gleich nachher ausprobieren!
Für den Zugriff auf das WebUI braucht es nur den localport 80 bzw. 443 auf der CCU, richtig?

[Micky]

meine alte CCU2 läuft nur intern, daher wäre bei mir Port 80 ausreichend / musst halt anschließend gucken dass du den RemotePort für den Zugriff über den VPS nur über Wireguard Clients mit Hilfe von iptables/nftables erreichbar machst … nicht das du Hinz und Kunz über deinen VPS auf deine CCU tunnelst

[jotrocken]

Leider wieder das gleiche Ergebnis, was ich seit Tagen bei allen Versuchen hatte:

Netzwerk-Zeitüberschreitung. Der Server xxx braucht zu lange, um eine Antwort zu senden.

Der SSH-Tunnel ist aufgebaut und auf dem vServer auch als established ausgewiesen, die Server-Firewall ist entsprechend konfiguriert für den neuen Tunnel, aber es fließen keine Daten durch den Tunnel zur CCU.

[Micky]

Blöde Frage, aber Ist der Remoteport auf dem VPS denn frei? Nicht dass du dort auch Port 80 nimmst und dort nginx/Apache auf dem gleichen Port laufen?

Hast mal die offenen Ports auf dem vps angeschaut?

Noch ne Idee, ist in der sshd_config die Gateway Option aktiviert?

[jotrocken]

Ja, Port ist frei, da sind ohnehin kaum welche genutzt. Hatte auch unterschiedliche ausprobiert.
GatewayPorts ist on, das war ohnehin schon für den Tunnel zum Pi erforderlich.

Es ist, als würden die Anfragen an die CCU im Nirwana landen, aber im lokalen Netzwerk funktioniert es einwandfrei.