Schau mal hier: https://knx-user-forum.de/forum/%C3%B6ffentlicher-bereich/knx-eib-forum/1504152-openvpn-mit-gira-x1

Grundsätzlich ist es schwierig ohne Details eine Aussage zu treffen.
Hast Du Dyndns eingerichtet?
Welchen Router nutzt Du? Ist Portforwarding eingerichtet und funktioniert?

Hallo,
Danke für deine Antwort.
Der Router ist Huawei LTE CPE E5186.

Ich denke, das ist aufgrund meiner Internetverbindung nicht möglich. Ich habe den Gira-Support bereits kontaktiert. Sie sagten mir, es müsse eine vollständige IPV4-DSL-Verbindung sein. Wenn ich mein Netzwerk überprüfe, wird IPV4 + IPV6 angezeigt.

Ich kann den Port in den Router-Einstellungen öffnen, aber da ich über ein 4G-Mobilfunknetz verfüge, glaube ich nicht, dass ich von außen darauf zugreifen kann (überprüft mit der App „Port Forward Network Utilities“). Wobei ich nicht weiß, welche LAN-IP-Adresse ich hier schreiben muss (siehe Anhang). Die Router-Adresse ist 192.168.8.1 (kann hier aber nicht geschrieben werden). Die X1-Adresse ist unterschiedlich und ändert sich ständig.

Läuft es bei irgendjemandem im Mobilfunknetz?

Der Gira-Support teilte außerdem mit, dass die Verbindung nur mit S1 möglich sein wird, da mit IPV4 + IPV6-Verbindung gearbeitet wird.​

Screenshot-2024-05-04-at-13.47.56.jpg

Hi, ich habe auf einem Raspberry einen Wireguard Server eingerichtet und meine mobilen Devices als Clients. So habe ich immer einen VPN auf das Heimnetz aktiviert und kann somit auch auf den X1 zugreifen. Den Server kann man auf fast allen Linux-basierten Geräten einrichten (NAS, MiniPC, Raspberry...) und läuft in einem Docker Container.

Tja, bei dir ist aber nicht der Raspberry samt dem Netz ein "Mobiles Gerät" und somit funktioniert der einfache Ansatz nicht. Hierbei ist es auch egal, ob du dann nur den X1 oder noch ein Zusatzgerät hast (oder ob das Wireguard oder OpenVpn ist).

Das ist halt die einfachste Variante und auch die, bei der Gira was verdient. Nur logisch, dass der Gira-Support die vorschlägt. Was aber nicht heißen soll, dass die Variante schlecht wäre.

Eine Alternative ist die FIP-Box. Es gibt sie in verschiedenen Varianten (auch zum selber installieren), im Gegensatz zum S1 hat das dann aber laufende Kosten (23€ im Jahr). Habe sie selber noch nicht benutzt, aber vom Gefühl her ist es etwas mehr Aufwand (mit Wissen was man tut) notwendig, als beim S1.

Eine andere Alternative würde einen V-Server vorraussetzen (der auch laufend Geld kostet) und noch mehr Wissen.


Sich ständig ändern sollte eigentlich nicht sein. Meist bekommt ein Gerät, welches nur ab und zu neu gestartet wird, immer die gleiche IP. Aber davon unabhängig kannst du den X1 über den GPA auch auf eine statische IP setzen. Hierzu solltest du aber wissen, in welchem Bereich dein Router automatisch die IPs vergibt (DHCP-Bereich) und eine freie IP außerhalb benutzen.

Das ist nur die halbe Wahrheit: Der Router hat zwei Schnittstellen, jede mit einer eigenen IP:

1. Die innere Schnittstelle ist das hauseigene Netz, hier passt die IP = 192.168.8.1
2. Die äußere Schnittstelle gehört dem Internet Provider, die IP dieser äußeren Schnittstelle wird vom Internet Provider vergeben und typischerweise jede Nacht geändert. Diese sich ändernde IP ist entscheidend:
   * Ein Gerät außerhalb vom hauseigenen Netz (Fernzugriff) kann nur über die IP der äußeren Schnittstelle zugreifen
   * diese IP ändert sich, nicht die IP des X1. Sie ist nicht direkt, aber indirekt für den Fernzugriff auf den X1 nötig.
   * der Router muss die Zugriffe auch weiterleiten
   * erlaubte Zugriffe von außen nach innen durch den Router sind ein potentielles Sicherheitsrisiko.

Die FIP Box aus # 5 geht erfrischend gut und ist relativ schnell und einfach einzurichten. Ich verleihe sie teilweise meinen Kunden in der Anfangszeit, bis deren Home-IT eingerichtet ist. Einfach irgendwo ans Netz anstecken und schon kann ich darauf zugreifen. Nach 10 Jahren Laufzeit habe ich erst die Hälfte der Kosten eines S1 erreicht.
Gruß Florian

Vielleicht habe ich es auch falsch verstanden. So wie ich es verstanden habe nutzt 0utf1t als Internetzugang einen 4G-Router statt DSL, Glasfaser, was auch immer. Wieso kann er dann nicht einen Tunnel in sein Netzwerk aufbauen, wenn er z.B. auf einem Raspberry Wireguard hosted? Ich bin kein Netzwerkexperte, deshalb kläre mich auf.

Es ist egal, ob Du über LTE, DSL oder eine anderes Medium ins Internet gehst. Auch über LTE erhältst Du eine öffentliche IP. Diese kannst Du über Deinen PC/Laptop/Smartphone beispielsweise über folgende Website abrufen: https://whatismyipaddress.com/
Welche IP bekommst Du denn angezeigt, wenn Du die Seite aufrufst?

Was Du dann brauchst, ist "dynamic dns" (dyndns), damit Deine u.U. täglich wechselnde öffentliche IP IMMER auf 1 dauerhaften Namen ge-mapped wird.
Freie DynDNS-Anbieter gibt es zur Genüge (zum Beispiel: no-ip.com, Dynu DNS, deSEC).

Du trägst dann in der OpenVPN-Config für Deine Clients (smartphone) NICHT die IP, sondern den DynDNS-Namen ein.

So habe ich mir das eben auch gedacht. Das muss doch egal sein. Und dann ist die Anschaffung eines Raspberry 3 für 50€ inkl. Netzteil eine kostengünstige Lösung. Und dann ist aber Wireguard Imho die bessere Alternative zu Openvpn

Es gibt Provider, die stellen eine öffentliche IP für mehre Kunden zur Verfügung, die dann wie im Heimnetz dir eine persönliche IP in ihrem Netz geben. Deshalb ist es nicht egal, wie dein Internetzugang ist. Es ist das Gleiche wie wenn du in deinem Heimnetz die öffentliche IP von 2 Rechnern aus abfragst, da bekommst du auch die selbe IP sitzt aber an unterschiedlichen Rechnern.
Gruß Florian

Vielen Dank an alle für Vorschläge.
Der Router verfügt nicht über DDNS
Aber ich habe QNAP NAS TS 464. Es gibt mögliches DDNS.
Jetzt habe ich xx.myqnapcloud.com erstellt und öffnete Port 1194
Ist es möglich, dies mit OpenVPN zu kombinieren, um eine Verbindung mit X1 herzustellen?​

Wohin?


Ich hab selbst das VPN mit dem X1 noch nicht eingerichtet, so wie ich aber Gira kenne, wird da automatisch deine DynDNS-Adresse auf dem Gira-Server eingetragen. Ein separates DynDNS erübrigt sich damit.
Erzähle doch mal, welche IP dir angezeigt wird, wenn du auf https://whatismyipaddress.com/​ gehst. Evtl. bestätigt sich der Verdacht dann schon, dass du ohne weitere Hilfsmittel nicht von außen auf dein Netz kommst (was durch den Mobilfunk-Zugang schon zu vermuten ist).
Und wenn das so ist, benötigst du einen Server im Internet, über den die Verbindung erstellt wird. Ob das nun über den S1 passiert, die FIP-Box eine Eigenbaulösung oder ein anderer Dienst ist, spielt keine Rolle.
Ob die QNAP-Lösung dir einen VPN-Tunnel in dein Netz bereitstellen kann, bin ich überfragt. Kenne zwar QNAP, aber mit den Fernzugriffslösungen aus deren Haus habe ich mich nie beschäftigt. Falls ja, benötigst du keinerlei VPN-Lösung des X1 und würdest in der X1-App einfach nur die interne Adresse des X1 eingeben.

Ehrlich gesagt, bei deinem Wissensstand bezüglich Netzwerk würde ich dir empfehlen den S1 zu nutzen oder dir jemanden suchen, der dir das einrichtet (und nicht unbedingt irgendeinen Bekannten der Router buchstabieren oder sagen kann, was VLAN heißt). Alles andere sehe ich langsam als nicht möglich an, da es entweder nie funktionieren wird und/oder in einem offenen Scheunentor endet (also jeder in deinem Netzwerk spazieren gehen kann, ohne das du das mitbekommst). Und in diesem Fall, kann es dir schnell passieren, dass der S1 nur ein Taschengeld gekostet hätte, im Vergleich zu deinen Folgekosten (gibt hier ein paar Threads, die schon Erfahrung damit gesammelt haben).
Dass du Nachfragen zum Teil ignorierst und dann einfach irgendwas einstellst, macht die Sache dabei nicht besser.

Ja, mein Netzwerkwissen ist begrenzt, deshalb frage ich hier sachkundige Leute. Ich habe hier bereits gelesen, dass letztes Weihnachten jemand gehackt wurde. Ich habe NAS myCloud bereits mit 2-Faktor-Verifizierung eingerichtet. Login + PIN über die QNAP-Authentifizierungs-App.

Dies wäre nur eine kurzfristige Lösung über QNAP NAS (wenn überhaupt möglich), da ich später in diesem Jahr Glasfaser-Internet bekommen werde. (Warten, bis sie mit den Arbeiten beginnen). Wenn dann VPN laut Gira-Handbuch nicht funktioniert, dann bekomme ich S1.

Im Anhang finden Sie hier einige Screenshots von NAS MyCloud und IP

Screenshot 2024-05-12 at 12.06.54.png Screenshot 2024-05-12 at 12.15.48.png Screenshot 2024-05-12 at 12.18.42.png .​

Also, lass uns mal Schritt für Schritt das Thema durchgehen.
Was Du brauchst ist:
1) eine DNS-Adresse
2) Port-Forwarding oder NAT auf dem Router auf den Gira X1 für VPN

zu 1)
ich habe verstanden, dass Dein QNAP-NAS DDNS anbietet. Deine IP mit 77.219.0.151 scheint hier korrekt zu sein. Wenn Du auf einem Client (PC) mal den Befehl "nslookup xx.myqnapcloud.com" in der Kommandozeile eingibst, wird auch die selbe IP angezeigt, die Du mit https://whatismyipaddress.com/​​ bekommst?

zu 2)
den Port auf dem NAS zu öffnen, wird Dir Nichts bringen. Du willst ja eine VPN-Verbindung von Außen über den LTE-Router auf den Gira Server. Hier müssen wir uns die Einstellungen im Router anschauen. Was Du hier benötigst ist eine Weiterleitung des Internet-Traffics zu Deinem LTE-Router auf Port 1194 auf die lokale IP-Adresse des Gira-Servers auf Port 1194. Was ist denn unter dem Menü-Punkt "NAT Settings" zu finden?

Bitte poste mal ein paar Screenshots zu den zwei Punkten hier