CCU2 extern steuern (Reverse SSH Tunnel / VPN)

[Micky]

Kannst statt IP/Port der CCU mal die IP/Port80 von deinem Router/FRITZ!Box nach außen leiten und gucken ob das klappt? CCU Firewall aktiv?

Bitte mal die Ausgabe von netstat bzw. ss mit und ohne aktiven SSH Tunnel auf dem vps posten.

Kannst mal testweise ohne Wireguard also direkt vom VPS die Verbundung testen (zB mit nmap auf dem vps) prüfen ob du über den SSH Tunnel an die CCU kommst? Du gibst leider keine Logfiles und man kann aus der Ferne schlecht sagen wo das Problem liegt (CCU Firewall, SSH Tunnel,Wireguard …).

Versuch mal den Weg in Einzelschritte zu zerlegen und zu prüfen wie weit du überhaupt kommst. Prinzipiell sollte es mit einem SSH Reversetunnel klappen.

[jotrocken]

Sorry, ich bin (noch) nicht fit genug mit Linux, ich weiß nicht so recht, welche Logfiles interessant sind und wo ich sie finde, aber ich reiche gerne alles nach.

Kannst statt IP/Port der CCU mal die IP/Port80 von deinem Router/FRITZ!Box nach außen leiten und gucken ob das klappt?

Ja, hat funktioniert, das Router-UI ist durch den Tunnel erreichbar.

CCU Firewall aktiv?

Nein, habe ich komplett deaktiviert: Unter Einstellungen -> Systemsteuerung -> Firewall konfigurieren ist bei beiden Punkten "Vollzugriff" ausgewählt. Gibt es noch woanders Firewall-Einstellungen bei der CCU?

Kannst mal testweise ohne Wireguard also direkt vom VPS die Verbundung testen (zB mit nmap auf dem vps) prüfen ob du über den SSH Tunnel an die CCU kommst?

Mit nmap kann ich zwar umgehen, aber welche IP soll ich angeben, wenn man Wireguard deaktiviert? Der Router und die CCU2 haben ja gerade keine public IP. Da stehe ich irgendwie auf dem Schlauch.

Meinst Du

Code: Alles auswählen

nmap -p [Tunnelport] 127.0.0.1

?
Das meldet

Code: Alles auswählen

open

Bitte mal die Ausgabe von netstat bzw. ss mit und ohne aktiven SSH Tunnel auf dem vps posten.

Mit Tunnel(s):

Code: Alles auswählen

v1362411366 ~> sudo netstat -tlpe
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       username       Inode      PID/Program name    
tcp        0      0 localhost:domain        0.0.0.0:*               LISTEN      systemd-resolve 16382      718/systemd-resolve 
tcp        0      0 0.0.0.0:ssh             0.0.0.0:*               LISTEN      root       19142      823/sshd            
tcp        0      0 0.0.0.0:3001            0.0.0.0:*               LISTEN      username      453340     27024/sshd: username   
tcp        0      0 0.0.0.0:3002            0.0.0.0:*               LISTEN      username      470214     29631/sshd: username   
tcp        0      0 0.0.0.0:3003            0.0.0.0:*               LISTEN      username      489700     1905/sshd: username    
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      root       19156      823/sshd            
tcp6       0      0 [::]:3001               [::]:*                  LISTEN      username      453341     27024/sshd: username   
tcp6       0      0 [::]:3002               [::]:*                  LISTEN      username      470215     29631/sshd: username   
tcp6       0      0 [::]:3003               [::]:*                  LISTEN      username      489701     1905/sshd: username

Da sind die 3 Tunnels abgebildet: Port 3001 ist der Pi, Port 3002 ist der zur CCU und Port 3003 ist der, den ich testweise zum Router verlegt habe auf Deinen Wunsch.

Ohne Tunnels:

Code: Alles auswählen

v1362411366 ~> sudo netstat -tlpe
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       username       Inode      PID/Program name    
tcp        0      0 localhost:domain        0.0.0.0:*               LISTEN      systemd-resolve 16382      718/systemd-resolve 
tcp        0      0 0.0.0.0:ssh             0.0.0.0:*               LISTEN      root       19142      823/sshd            
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      root       19156      823/sshd  

Danke für die Hilfe!

[jotrocken]

Spaßeshalber habe ich noch mal weitere Tunnel gebaut, z.B. zum SSH-Port von meinem PC und zum GUI vom Drucker.
Alle Tunnel funktionieren sofort und einwandfrei.

Also meiner Meinung nach muss es also an der CCU liegen. Gibt es da irgendwo sonst noch mögliche Sperren, die ein Aufruf von externen IP-Adressen unterbinden?

[Micky]

Stell mal die Firewall in der CCU auf eingeschränkt und gib dann den internen IP Bereich deines LAN‘s frei. Rein technisch funktioniert der Reverse SSH Tunnel. Greifst du im internen LAN per https oder http zu? Ggfs auch mal 443 der CCU2 getunnelt? Drucker, CCU2 und pi sind alle im gleichen Netzwerk, also keine Unterteilung zB mit VLAN?

Meines Wissens gibt es sonst keine weiteren Blockeinstellungen außer die schon angesprochene Firewall auf der CCU2.

[jotrocken]

Normalerweise greife ich über http zu. Habe es jetzt noch über https versucht (funktioniert im internen LAN) und 443 getunnelt. Auch da: Kein Zugriff.

Alle Geräte sind im gleichen Netzwerk und IP range, kein vlan o.ä.

Auch der "eingeschränkte Zugriff" mit allen denkbaren IPs, auch der externen vom vServer und dem Wireguard-Bereich, brachte nichts.
Vielleicht ist die CCU insoweit defekt. Es ist das einzige Teil, das keinen Zugriff erlaubt.

[Micky]

CCU mal neugestartet? Wie greifst du dann auf die CCU zu? Einfach per Browser oder per App?

[jotrocken]

Ja, schon mehrfach neu gestartet (Stecker raus/rein). Über den Browser, direkt über die IP-Adresse. Firmware-Version 2.57.5 (aktuell).
Trotzdem muss es irgendetwas geben auf der CCU, das den Zugriff verweigert. Bin alle Menüs zigmal durchgegangen, aber es gab nichts passendes. Verrückt!

Da ich im Wesentlichen einen Aktor von unterwegs steuern möchte, könnte ich es (umständlich) versuchen, über Wireguard auf den Pi zuzugreifen, der dann einen bestimmten HTML-Link (XML-API) aufruft? Mit der XML-API habe ich mich bisher nur noch gar nicht befasst.

[Micky]

Bei mir läuft auf einem pi nginx mit ner kleinen WebGUI die per XML API meine CCU steuert. Ist einfacher und schneller als sich immer auf der CCU2 anzumelden. Wenn du dann den HTTP Port des pi‘s per ssh tunnelst sollte die Steuerung klappen. Die Anweisungen kommen ja dann aus deinem internen Netzwerk. Prinzipiell sollte aber der HTTP bzw HTTPS Zugriff direkt auf die CCU2 durch den Tunnel ebenfalls funktionieren.

[jotrocken]

Auf dem Pi läuft schon Apache, aber wo hole ich die Web GUI für den Pi her? Hast Du die selber gebaut?

[Micky]

Selber bauen… kleine php Seite auf dem pi erstellen und dann die Zustände/Variablen/Programme auf der CCU2 mit curl aufrufen…. Wenn ich die Tage mal wieder mein Notebook vor mir habe, kann ich mal ein Beispielaufruf posten. Mit‘m kleinen Smartphone geht’s leider nicht.

Alternativ mal hier im Forum suchen, da findest du auch die Beispielaufrufe.