Hallo,
ich werde jetzt mal das machen was ich im ersten Thread erledigt haben sollte: eine vollständige Beschreibung abgeben (Asche über mein Haupt).
Es geht um meine Heiminstallation, vorhanden sind EibPc und Wago 750-849. Der EibPc geht mittels KNX/IP über den Wago auf den Bus. Zum Zugriff per ETS nutze ich KNX/IP Tunneling da ich anscheinend zu blöd bin mit Routing Geräte zu programmieren. Ich bekomme bei Lokalzugriff mit Routing Telegramme über die ETS gesendet aber nicht Geräte programmiert, aber das ist ein anderes Thema.
Ich habe in meinem Router (Comtrend) unter "NAT-Virtual Servers" die Ports 80,1194 und 4805 an den EibPc, und den Port 3671 an den Wago 750 weitergeleitet.
Gehe ich jetzt von aussen mit Browser auf meine dyndns-Adresse, so komme ich auf meine EibPc "Visu", gehe ich mit der ETS (bei vom Bus getrenntem EibPc) über meine dyndns-Adresse mit Tunneling auf den Bus klappt das auch. Ferner kann ich von aussen über meinen dyndns-Account die aktuelle Heim-IP in Erfahrung bringen, diese im Eib-Studio eintragen, und so auf den EibPc zugreifen und vom Bus trennen.
Nur eben über VPN klappt es nicht. Openvpn habe ich nach einigem Meckern von Win7 auch installiert bekommen, und m.E. nach auch korrekt konfiguriert. Nach Verbindung kommt nach einer gewissen Zeit "...Handshake failed...". Kann es sein dass mein Router kein VPN erlaubt?

Ganz schlecht. Damit kann jeder bei Dir rein! Also Port 80 und 4805 wieder sperren. Port 443 weiterleiten und ein HTTPS passwort vergeben. In Zukunft auf die Visu mit https zugreifen.Kannt Du mal alle Meldungen angeben? Hast Du einem VPN User angelegt und diesen mit dem EibPC gestartet (wie oben angegeben)?
EDIT: Der Router muss kein VPN können, das ist ja der Witz, dass der EibPC das macht. Du must aber Portweiterleitung des UDP 1194 auf den EibPC legen! Achtung: Die Router können das sowohl für TCP und UDP. Wenn Du nur TCP angibst, dann geht nix.

OK, auch wenn ich keine Bank betreibe, ist es wohl besser das ganze etwas mehr abzuschotten. Das habe ich erledigt.
Die Meldung bei Verbindung über Open VPN ist folgende:

Sun Feb 20 15:10:27 2011 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Sun Feb 20 15:10:40 2011 Control Channel Authentication: using 'tls-auth.key' as a OpenVPN static key file
Sun Feb 20 15:10:40 2011 UDPv4 link local (bound): [undef]:1194
Sun Feb 20 15:10:40 2011 UDPv4 link remote: XX.XXX.XX.XXX:1194
Sun Feb 20 15:11:40 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Feb 20 15:11:40 2011 TLS Error: TLS handshake failed
Sun Feb 20 15:11:40 2011 SIGUSR1[soft,tls-error] received, process restarting
Sun Feb 20 15:11:42 2011 Re-using SSL/TLS context
Sun Feb 20 15:11:42 2011 UDPv4 link local (bound): [undef]:1194
Sun Feb 20 15:11:42 2011 UDPv4 link remote: XX.XXX.XX.XXX:1194
Sun Feb 20 15:12:42 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Feb 20 15:12:42 2011 TLS Error: TLS handshake failed
Sun Feb 20 15:12:42 2011 SIGUSR1[soft,tls-error] received, process restarting
Sun Feb 20 15:12:44 2011 Re-using SSL/TLS context
Sun Feb 20 15:12:44 2011 UDPv4 link local (bound): [undef]:1194
Sun Feb 20 15:12:44 2011 UDPv4 link remote: XX.XXX.XX.XXX:1194

Offenbar bekommt openvpn keine Antwort.
Geht https? Damit wäre schon mal gewährleistet, das der EibPC einen Schlüssel generiert hat.
Wenn Du mit Wireshark arbeitest, siehst Du dann, dass Pakete zurückkommen? Oder kannt Du am Router noch überprüfen, ob von außerhalb eine Anfrage kommt, die an den EibPC weitergeleitet wird?

Ja, https geht. Den Rest werde ich dann später angehen, da ich erst mal lernen muss wie man mit Wireshark umgeht. Ich hatte ja schon früher im Thread angemerkt, dass das nicht so mein Thema ist.
Micha, es ist Sonntag und zumindest hier ist das Wetter heute freundlich, d.h. ich gehe jetzt mit den Kids Fussball spielen (richtig, und nicht nur Tipp-Kick ). Danke für die Mühen und schönen Sonntag noch.

Ach er braucht schon Sonne - 0°, trüb ist doch auch ganz schön. Und ein bischen Kinderfasching...

Siehe meinen Post ziemlich am Anfang:
Und wie schon richtig erwähnt: Keinesfalls Port 80 und 4805 an den EibPC weiterleiten.
Außerdem wichtig:
* Das VPN verbindet quasi dein Heim-LAN (wo der EibPC ist) mit deinem Remote-LAN (wo du mit deinem EibStudio sitzt). Je nach Konfiguration kannst du dann auch auf alle Geräte in deinem Heim-LAN zugreifen.
* Dein Heim-LAN und Remote-LAN müssen verschiedene Netzwerkadressen haben. Dazu kurz: Die Netzwerkadresse wird durch die Subnetzmaske bestimmt. Zu 99% sind deine Subnetzmasken in Heim- und Remote-LAN 255.255.255.0. Das heisst deine IP-Adressen in Heim und Remote-LAN müssen sich an der ersten, zweiten oder dritten Stelle unterscheiden (Heim-LAN: 192.168.10.x, Remote-LAN: 192.168.20.x). Wer es genauer wissen will, dem empfehle ich Wikipedia oder ein TCP/IP-Buch

Ich denke, das ist wohl eine gute Idee .

Sollte aber nicht nötig sein, die einfache Erklärung sollte zum Erfolg führen. Ich wollte nur vorbeugen, damit es nicht heißt ich erkläre hier zu oberflächlich Hoffe du bekommst es jetzt hin. Wenn nicht, stehe ich gern weiter zur Verfügung

EDIT: In dem Video gibt's auch noch ein paar Infos: http://www.youtube.com/watch?v=4u9mWx7tsYg (die EibStudio Konfiguration ist in dem Video nicht mehr aktuell, die wurde inzwischen vereinfacht)

Hallo,
jetzt ist wieder WE und ich bin das Ganze noch mal angegangen. Ich habe alles plattgemacht und noch mal neu installiert / konfiguriert, das Video habe ich mir auch noch zweimal gegönnt . Keine Änderung, es klappt einfach nicht. Dann habe ich mal Wireshark installiert, und nach meiner Interpretation (da kann man allerdings nicht viel drauf geben) ist das Problem im Router. Ich hänge mal zwei Dateien an, "Remote capture" ist mit dem Laptop gemacht worden, der über ein iphone über VPN auf meine Heiminstallation zugreifen möchte, und "Local capture" vom einem PC im lokalen Netzwerk. Zudem hänge ich mal einen Screenshot der Portfreigaben im Router an, evtl habe ich da ja den Bock geschossen.

Hallo,
in der Local Capture sieht man keine Anfragen an den EibPC. Wahrscheinlich benutzt du einen Switch, da bekommt der PC dann sowieso nichts von den Anfragen an eine andere IP mit.
Allerdings sieht man auch in der Remote Capture, dass auf die VPN-Verbindungsanfragen an die IP 90.165.24.137 immer ein "Destination unreachable" folgt. Ich würde daraus schließen, dass entweder A) der VPN-Dienst nicht läuft, B) dein Router den Port nicht weiterleitet oder C) du eine falsche IP ansprichst.

zu A: du hast das VPN im EibPC Code mit startvpn() gestartet?
zu B: an deinem Screenshot sehe ich, dass du 2x den gleichen externen Port (ETS, Wago) weiterleitest. Das sollte nicht so sein. Außerdem sind diese Verbindungen ja nicht geschützt. Ich würde sie daher komplett abschalten.
zu C: deine aktuelle IP im Heim-LAN kannst du dir zB bei Wie ist meine IP-Adresse? anzeigen lassen. Wenn die VPN-Verbindung eine andere IP anspricht, dann ist dein DynDNS nicht aktualisiert.

Du könntest auch mal posten, was der OpenVPN Client beim Verbindungsversuch im Statusfenster ausgibt.

Hallo,
zu A) wie kann man checken, ob alles ordnungsgemäss läuft? Den Befehl dazu habe ich durch copy and paste aus Michas Thread eingefügt (User habe ich natürlich angepasst)
zu B) OK, das ist das Resultat meines krampfhaften Versuchs KNX/IP Routing hinzubekommen. Wenn ich das Forwarding für die ETS herausnehme, komme ich ja nicht mehr auf meine Installation. Und das ist ja nun mal der Sinn der ganzen Sache.
zu C) dyndns läuft und aktualisiert korrekt, das habe ich gecheckt. Zugriff über https und der o.g. Zugriff mit ETS funzt ja.

Fehlernachricht des VPN-Clients in Post #18.

Das kann man über EibStudio nicht abrufen. Allerdings sehe ich keinen Grund, warum der VPN nicht laufen sollte.

Das sollte dann ja über das VPN laufen, sobald das funktioniert. Wenn du das so mit dem Port Forwarding machst, dann hat jeder Zugriff auf die ETS.

OK, dann können wir das schonmal ausschließen.

Deutet auf das gleiche Problem hin: keine Verbindung zum VPN Daemon möglich.