Das wird nichts mit dem S1; der S1 ist ein HTTPS-Proxy und kann ein VPN Gateway nicht ersetzten.

Die Beobachtung spricht schon dafür: Der S1 ist in dem Subnetz, das mit dem Internet verbunden ist, so dass er einen Tunnel zum Geräteportal = Server aufbauen kann. Der Schutz besteht darin, dass die Firewall - hier in der Fritzbox - alle Zugriffe von außen verhindertund mit ETS, GPA und Smart Home APP dennoch eine Verbindung von außen über das Geräteportal aufgebaut werden kann.

Du brauchst einen Router der zwischen den Netzen vermittelt. Welche Art VPN wurde bisher benutzt?

Sollte die Trennung nicht ein F1 machen können, oder ein ENA²?

oh wir haben August, ist der F1 inzwischen da?

Edit: jetzt steht da 10/2023... war das nicht mal 8/2023?

Ok, also ein Router könnte in diesem Fall Abhilfe schaffen ? Ich hatte gehofft, geht nur mit dem S1. Das versuche ich Mal. Würde mich zwar nicht als Laie in Sachen Netzwerk bezeichnen, aber auch nicht als Profi.
den F1 kannte ich auch noch nicht. Evtl. macht der genau das, was ich suche. Da hat sich das Fragen doch wieder gelohnt 👍

Das einfachste wäre vermutlich ein kleiner Mikrotik-Switch, den kannst völlig wild und frei konfigurieren...Damals haben die Dinger so um 35$ gekostet, aktuelle Preise habe ich nicht griffbereit.

Als Idee das 168.0 ins Gastnetzwerk der FRITZ!Box hängen und den WWW-Zugriff des Gastnetzes beschränken (müsste mit der FRITZ!Box gehen). Natürlich nur, wenn niemand anderes das Gastnetzwerk benutzt.
zur Bedienung ist das allerdings blöd, wenn du die Netzwerke wechseln musst um die Visu zu benutzen.

Wenn ich in der Fritzbox ein statisches Routing zwischen den beiden Netzen eintrage, sollte das doch auch gehen, oder ? Alle Geräte im 0er Subnetz kriegen dann die Fritzbox als Gateway eingetragen. Die könnten dann zwar ins Internet, aber solange ich keine Ports freigebe, kommt ja keiner rein.
Wenn die Fritzbox mal getauscht wird oder resettet oder sonst was, stellt trotzdem der S1 sicher, dass ich reinkomme und könnte jederzeit wieder das statische Routing in die Fritzbox eintragen, so dass ich zugriff auf das 0er Netz habe, oder ? Wäre das ein Weg ?
Oder muss ich im 0er Netz ein Gateway haben, dass in das 178er routet ?? Ja, ich befürchte nur so gehts,oder ?

Routen sind "Wegweiser", keine Gateways. Dementsprechend wird auch das angegeben: Zielnetz (inkl. Maske) - Gateway.

Ein Gateway hat auch immer eine Adresse in jedem Netz, das sie verbindet. Es ist also sinnlos einem Gerät im 0er-Netz als Gateway die Fritzbox aus dem 178er-Netz zu geben: Die Fritzbox hat keine IP aus dem 0er Netz und kann daher gar nicht erreicht werden.

​Vereinfacht ausgedrückt: Raum 7 erreichst du über die rote Tür. Wenn die rote Tür nicht existiert oder nur von innen (oder außen) auf die Wand geschraubt wurde, kannst du nicht durchgehen.

Und auch die Gegenstelle (oder ihr Standardgateway) muss wissen über welchen Weg sie antworten kann.
​Da wären wir dann bei deinem Problem mit dem Subnet:
Gerät 1 kennt das komplette 192.168er Netz, Gerät 2 nur das 192.168.0er. Gerät 1 versucht Gerät 2 nun direkt zu erreichen, was ja auch theoretisch funktioniert, wenn Gerät 2 nun antwortet, versucht es das über das Gateway, da Gerät 1 ja laut Maske nicht im eigenen Netz ist. Und ohne Gateway... Und nein, es probiert es erst gar nicht im lokalen physikalischen Netz, es "weiß" ja dass es da keine Verbindung bekommt.

Für die Nachwelt: es funktioniert alleine mit dem S1...etwas umständlich, aber für mich reicht das erstmal.
Istzustand: Subnetz 192.168.178.x kann ganz normal ins Internet. Dort hängt auch der S1 drin. Die von der Außenwelt abgetrennte Anlage ist im Subnetz 192.168.0.x
Diese Subnetz hat keinen Router und somit auch kein Gateway oder DHCP oder sowas.
Beide Netze müssen physikalisch verbunden werden. Da der S1 zwei Ports hat, kann das quasi damit passieren.
das 0er Netz kommt nicht raus und aus dem Internet kann auch keiner da rein. Aus dem 178er Netz kommt man da nur rein, wenn man sich selbst eine IP aus dem 0er Netz verpasst und DAS FUNKTIONIERT mit dem S1 !!
Stichwort Bridging bzw. TAP. Dafür muss im Geräteportal bei Gira den Zugangstyp auf "direkte Teilnahme" stellen sowie "Gesamten Datenverkehr über den Tunnel schicken"
image.png​
Die VPN Datei downloaden und dann im OpenVPN Tool importieren ("OpenVPN Connect" unterstützt TAP nicht ! Man muss das normale "OpenVPN mit GUI" nehmen)
In den Netzwerkeinstellungen in Windows gibt es dann eine virtuelle Netzwerkarte namens "OpenVPN TAP-Windows6". Dieser Karte kann man in jedes Subnetz schubsen, dass man braucht/will.
image.png

image.png



Und zack hat man Zugriff auf Geräte in Subnetzen, die sonst nicht erreichbar waren.​
Wie gesagt, keine Glanzlösung für jedermann, aber es klappt und hat mir gerade viel Fahrerei erspart.


MfG
Schmiddi

​

Mit VLAN hat das dann aber eigentlich gar nichts zu tun. Sind einfach 2 Netze auf dem Kabel.
Unabhängig davon, mit dem Smartphone wird es eher nicht funktionieren. Vielleicht noch unter Android, aber beim Apfel gar nicht.