LAN-Netzwerk mit zwei Adressbereichen für CUxD Ping

[christian.mann88]

Hallo zusammen,

erstmal ist dies keine Fragestellung, die sich konkret auf die Homematic bezieht, sondern eher auf Netzwerktechnik - vielleicht kann mir trotzdem jemand weiterhelfen:

Ausgangssituation:
Das Haus meiner Eltern wird mit Festnetzinternet (mittels Modem/Router) versorgt und ist am selben Grundstück. Nun habe ich ein Netzwerkkabel zu meinem Haus gezogen und dort mit einem weiteren Router (fungiert momentan nur als Acesspoint ohne DHCP-Server) das Netzwerk bzw. WLAN verteilt. Also alles zusammen ist ein Netzwerk.
Router 1 (bei Eltern mit Internet): U-COM ADBB VV2200v2 (von Telekom zur Verfügung gestellt)
Router 1 (bei mir): D-Link DIR 635 (Altbestand - benutzt mit früherem Modem)

Problematik:
Da ich mittels Anwesenheitserkennung über CUxD Ping (mein Handy) bei Abwesenheit diverse Aktionen auslöse (zB Mail-Benachrichtigung wenn jemand die Hausglocke betätige) gibt es hier keine Unterscheidung ob ich im WLAN in meinem Haus bin oder vielleicht zB. gerade zum Mittagessen bei den Eltern. Mein Wunsch wäre es also zu unterscheiden, in welchem WLAN ich bin und entsprechend nur "anwesend" zu sein, wenn ich im eigenen WLAN bin. Da aber der DHCP-Server und daher auch die reservierte IP-Adresse in beiden WLANS gleich ist, ist hierbei keine Unterscheidung möglich.

Idee:
Meine Idee wäre also, zwei Subnetzwerke zu erstellen, also mit 2 Adressbereichen und jeweils einem eigenen DHCP Server mit entsprechender IP-Reservierung für das Handy. Die einzelnen Netzwerke sollten bzw. müssen aber trotzdem untereinander erreichbar bleiben.

Versuch 1:
2 DHCP-Server im grundsätzlich selben Netzwerk, nur mit jeweils unterschiedlichen Adressbereichen (zB erster Router 192.168.0.2 bis 192.168.0.99; zweiter Router: 192.168.0.101 bis 192.168.0.199
FAIL - es haben zwar beide Router eine IP-Adresse vergeben (lt. DHCP-Tabelle im Router selbst), aber die Clients haben die Adressen immer von Router 1 zuerst angenommen, auch wenn direkt mit dem WLAN von Router 2 verbunden wurde.

Versuch 2:
Komplett unterschiedlicher Adressbereich (also: erster Router 192.168.0.0; zweiter Router 192.168.1.0)
FAIL - jeder Router für sich hat natürlich ordnungsgemäß funktioniert und Adressen vergeben, jedoch keine Kommunikation untereinander möglich, daher auch kein Internet

Versuch 3:
Routernetzwerk 1 an WAN-Port von Router 2 und mit "Automatischer IP" als WAN-Zugangseinstellung (also ohne die klassischen Einwahldaten). Habe damit also vorgegaukelt, dass Router 1 der Internetserver ist, zu dem er sich verbinden soll.
HALBFAIL - in eine Richtung hat es gut funktioniert; bei Verbindung mit Router 2 war dementsprechend auch Gateway und DNS Server vom ersten Router eingetragen, Internet hat funktioniert, Zugriff auch auf die WAN-seitigen Netzwerkgeräte, aber leider war der umgekehrte Weg nicht möglich, daher auch kein Ping möglich. Irgendwie erscheint es logisch, dass der Router 2 keine Verbindungen "aus dem Internet" also dem WAN-seitigen Netzwerk ins Heimnetz zulässt. Habe es auch an den Firewall-Einstellungen versucht, leider erfolglos.

weitere Ideen?????
Gibt es Tipps oder Ideen von euch um das zu realisieren? Oder gibt es vielleicht einen anderen Weg der Anwesenheitserkennung vielleicht mit Unterscheidung der SSID? Apps am Handy (zB Tasker) möchte ich mir nach Möglichkeit sparen, wäre aber die Notlösung.

[Matthias K.]

Nun habe ich ein Netzwerkkabel zu meinem Haus gezogen und dort mit einem weiteren Router (fungiert momentan nur als Acesspoint ohne DHCP-Server) das Netzwerk bzw. WLAN verteilt.

Du hast hoffentlich ein Glasfaserkabel verwendet oder hast zumindest einen sehr guten Potentialausgleich zwischen den Gebäuden. Sonst wird dein Netzwerkkabel früher oder später sehr sehr dunkel und eher funktionslos werden (zusammen mit etlichen weiteren Komponenten und ggf. auch Haus, Einrichtung und Bewohnern), Stichwort Potentialunterschied...

Zum Thema: Es ist für einen Laien nicht so einfach zu erklären.
Die einfachste Lösung wäre vermutlich, wenn du den WAN-Anschluss deines Routers ins Lan deiner eltern hängst.
Das Masqerading/NAT muss aber an dem Router abgeschaltet werden.
Dann setzt du auf dem Router deiner Eltern eine Route, die als Ziel dein Netz hat und als Gateway die IP die dein Router am WAN-Interface hat.
So weiß der Router deiner Eltern, dass er dein Netz über die IP deines Routers in seinem Netz erreicht.

Problematisch könnte sein das all das auf solchen Comsumergeräten oft gar nicht eingerichtet werden kann.

[christian.mann88]

Danke für deinen Hinweis wegen dem Potentialunterschied - daran hätte ich als Laie nicht gedacht. Ist dieses Thema tatsächlich so dramatisch wie ich nach kurzer Recherche gelesen habe? Die beiden Häuser haben eine gemeinsame Stromzuleitung, aber separate Erdung ändert das etwas daran?

Zum Thema:
ich fürchte, der Mangel an Einstellungsmöglichkeiten beim "kastrierten" A1 Router ist tatsächlich das Problem. Hier sind anscheinend keine Routen einzustellen (oder ich habe die Funktion noch nicht gefunden) und der Router glaubt dass er mit der Anfrage an eine lokale (!) IP-Adresse (aus dem anderen Adressbereich) im Internet suchen muss (siehe Screenshot vom tracert).

Beim D-Link lässt sich NAT auch nicht komplett abschalten.

Gibt es andere Möglichkeiten bzw. Lösungsansätze, die Anwesenheit zu unterscheiden?

[Matthias K.]

Danke für deinen Hinweis wegen dem Potentialunterschied - daran hätte ich als Laie nicht gedacht. Ist dieses Thema tatsächlich so dramatisch wie ich nach kurzer Recherche gelesen habe?

Oh ja, definitiv. Ein verkokeltes Netzwerkkabel ist da u.U. noch dein kleinstes Problem.
Nicht ohne Grund wird auch im gewerblichen Bereich für die Gebäude-zu-Gebäude-Verkabelung ausschließlich Glasfaser verwendet selbst wenn es nur kurze Strecken sind.
Ein Glasfaser-Kabel und 2 Medienkonverter von Glas auf Kupfer kosten auch nicht die Welt...

Gibt es andere Möglichkeiten bzw. Lösungsansätze, die Anwesenheit zu unterscheiden?

Ich nutze Anwesenheit BT von blackhole (in einer für meine Zwecke modifizierten Variante), da Bluetooth nur ~10m weit kommt reicht das bei mir gerade so, um die Anwesenheit auf mein kleines Grundstück zu beschränken.
Je nachdem wie weit die Häuser bei dir auseinanderstehen könnte das klappen mit je einem (oder auch mehreren) RPi pro Gebäude, die dann unterschiedliche Systemvariablen befüllen. Man braucht halt zusätzliche Hardware dafür und du müsstest testen ob das für deine Zwecke klappt.
Hab das allerdings noch zu einer Zeit angefangen, zu der das Skript noch frei verfügbar war und man nicht per PN "betteln" musste...

[christian.mann88]

Oh ja, definitiv. Ein verkokeltes Netzwerkkabel ist da u.U. noch dein kleinstes Problem.
Nicht ohne Grund wird auch im gewerblichen Bereich für die Gebäude-zu-Gebäude-Verkabelung ausschließlich Glasfaser verwendet selbst wenn es nur kurze Strecken sind.
Ein Glasfaser-Kabel und 2 Medienkonverter von Glas auf Kupfer kosten auch nicht die Welt...

Ich habe gelesen dass auch ein LAN-Kabel "Isolator" oder "Überspannungsschutz" eingesetzt werden kann, was sagst du dazu? Möchte nur ungern nochmal das Kabel neu legen müssen, abgesehen davon, dass ich das Glasfaserkabel wahrscheinlich nicht selbst konfektionieren kann.

Ich nutze Anwesenheit BT von blackhole (in einer für meine Zwecke modifizierten Variante), da Bluetooth nur ~10m weit kommt reicht das bei mir gerade so, um die Anwesenheit auf mein kleines Grundstück zu beschränken.
Je nachdem wie weit die Häuser bei dir auseinanderstehen könnte das klappen mit je einem (oder auch mehreren) RPi pro Gebäude, die dann unterschiedliche Systemvariablen befüllen. Man braucht halt zusätzliche Hardware dafür und du müsstest testen ob das für deine Zwecke klappt.
Hab das allerdings noch zu einer Zeit angefangen, zu der das Skript noch frei verfügbar war und man nicht per PN "betteln" musste...

Die 10m mit der Bluetooth-Variante sind mir etwas zu wenig.
Ich könnte mich mittlerweile tatsächlich mit der Tasker-Variante am Handy anfreunden. Fraglich ist nur wie sich das auf die Akkulaufzeit auswirkt und wie ich damit die Abwesenheit melde - ist schwierig wenn ich schon außerhalb der WLAN-Reichweite bin; die VPN Verbindung habe ich auch nicht dauerhaft an

[Matthias K.]

Ich habe gelesen dass auch ein LAN-Kabel "Isolator" oder "Überspannungsschutz" eingesetzt werden kann, was sagst du dazu? Möchte nur ungern nochmal das Kabel neu legen müssen, abgesehen davon, dass ich das Glasfaserkabel wahrscheinlich nicht selbst konfektionieren kann.

Keine Ahnung, bin kein Elektriker, sondern Fachinformatiker.
Ich habe nur während meiner Ausbildung auch recht viel Kabel ziehen dürfen und den Fall mal live gesehen bei einem Kunden, wo der Chef sein Haus am Firmengelände hatte und zum Geld sparen selbst ein Netzwerkkabel rübergelegt hatte.

Ich könnte mich mittlerweile tatsächlich mit der Tasker-Variante am Handy anfreunden. Fraglich ist nur wie sich das auf die Akkulaufzeit auswirkt und wie ich damit die Abwesenheit melde - ist schwierig wenn ich schon außerhalb der WLAN-Reichweite bin; die VPN Verbindung habe ich auch nicht dauerhaft an

Tasker geht nach meiner Erfahrung nicht sehr stark auf den Akku.
Für die Abwesenheit könnte man eine Art Totmann-Schaltung machen, d.h. solange dein Handy im WLAN ist setzt es regelmäßig eine Sysvar, die per Programm nach einigen Minuten wieder zurückgesetzt wird. Oder alternativ einen Reverse Proxy mit vorgeschalteter Authentifizierung und Absicherung über ein Let's Encrypt-Zertifikat, aber das ist vermutlich eher was für Profis...

[christian.mann88]

Gibt es irgendeine Möglichkeit, selektiv nur bestimmte Informationen (zB setzen der Abwesenheit) über das Internet an die CCU zu schicken, ohne die ganze CCU mittels Portforwarding öffentlich zu machen?
Oder ist diese Reverse-Proxy Methode genau für das gedacht? Damit kenne ich mich tatsächlich zu wenig aus bzw. müsste ich noch recherchieren - nur fehlt mir der passende Suchbegriff.

Da ich VPN nur bei Bedarf aktiviert habe fällt diese Option für die Automatisierung aus.

[Matthias K.]

Nur selektiv geht nicht so ohne weiteres, obwohl man mit nem Reverse Proxy sicherlich auf bestimmte zulässige URLs filtern könnte, wenn man tief genug in die Config einsteigt...

Der Reverse Proxy ist quasi eine Vorschaltung vor die CCU, der den Traffic per HTTPS absichert und nach Möglichkeit auch noch eine Authentifizierung dazuschaltet.
Ist z.B. hier ganz gut beschrieben (wenn auch nicht mehr ganz taufrisch).

[christian.mann88]

Super, danke! Werd ich mir anschauen