ETS3 über VPN-Tunnel

Hallo sEIBling,
kann sein, daß wir dieses Thema schon mal so ähnlich hier hatten. Ich hatte damals Dank des Forum für ein vergleichbares Problem eine Lösung gefunden.

http://www.eib-home.de/software/EIBn...ort_Manual.pdf

Die damals realisierte Konfiguration besteht aus zwei Stück Linksys BEFVP41 (Breitband-Router und VPN-Gateway) zwischen denen ein VPN-Tunnel aufgebaut wird. KNX-seitig ist eine Weinzierl 730 IP-Schnittstelle vorhanden.

Mit freundlichen Grüßen

Mirko

Hallo Mirko und sEibling,

wenn eine Hardware-VPN-Verbindung existiert (und daher Adressen nicht geNATed werden) und es auschliesslich um Programmierung geht, würde ich das Tunneling Protokoll bevorzugen. Hierbei ist kein NAT-Supporttool vonnöten, da ja die IP-Adressen der Endgeräte (ETS im Netzwerk 1 und IP-Router im Netzwerk 2) direkt über das VPN erreichbar sind und Routing ohne NAT erfolgt.

KNX-Routing würde ich nicht empfehlen, da beide VPN-Router Multicast unterstützen müssten und dieses auch Crossregistrieren müssen, damit die Pakete quer übermittelt werden. Das ist gerade bei den kleinen SOHO-Routern nicht immer möglich.

Mirko: Das von dir zitierte Manual realisiert die Verbindung über eine offene Internet-Leitung und Port-Forwarding des Routers zum EIB/IP-Router, daher ist da NAT-Support erforderlich.

So, jetzt habe ich ganz viel geschrieben, aber gerade erst mal gegooglet, was Hamachi ist. Ein Software-VPN, aha. Das Ding wird ein natives Routing zwischen VPN und realem LAN wahrscheinlich nicht unterstützen, also wahrscheinlich doch NAT-Support auf dem Rechner der am EIB-Netz hängt laufen lassen, da vom anderen PC über das VPN der EIB-Router möglicherweise nicht ansprechbar ist. Einfach mal testen, ob der EIB-Router vom via Hamachi angebundenen PC anpingbar ist.

mfg

Swen

Tunneling Protokoll

Swen,

Was genau meinst Du mit "Tunneling Protokoll" ? Ich kann dieses Protokoll nicht in der ETS (3.0f) bei den Schnittstellen unter Optionen/Kommunikation finden, sondern nur KNXnet/IP, KNXnet/IP Routing und IP(EIBlib/IP).

Ich möchte gerne aus der Ferne über eine VPN-Verbindung mit der ETS (3.0f) programmieren und nutze als VPN eine Lösung von AVM für den entfernten DSL-Router Fritzbox 3170 (VPN-Client Software "FRITZ! Fernzugang", die auf IPSec-Grundlage auf einen VPN-Server auf der Fritzbox 3170 zugreift). Über das VPN komme ich zwar auf die entfernte Fritzbox, aber nicht auf den dahinter liegenden KNX/IP Router (Weinzierl 750) und damit auch nicht auf den Bus. Ein Ping auf den KNX/IP Router bringt keine Rückmeldung.

Welche Einstellungen muss ich in der ETS vornehmen, um über den KNX/IP Router auf den Bus zuzugreifen ?

Gruß

Jan

@don-j: Die ETS 3.0f meint mit "KNXnet/IP" eigentlich "KNXnet/IP Tunneling", bei KNXnet/IP Routing kann die Konnex komischerweise ausschreiben, was gemeint ist Das ist IMHO eine Pest, weil es zusammen mit EIBlib/iETS einiges an Verwirrung stiftet..
Wenn kein Ping geht spielt das aber alles keine Rolle, dann ist entweder das VPN oder Gateway (=Fritzbox) am Weinzierl falsch eingestellt. Oder das hier schonmal angerissene Problem existiert wirklich mit dem Weinzierl 750, dann ist, sag ich jetzt mal ganz lapsig: sowieso der darin verwendete IP-Stack total kaputt und es sollte der Hersteller kontaktiert werden. Ergo würde ich den Ping mit demselben Rechner/OS erstmal aus dem LAN versuchen oder einen anderen Host im LAN übers VPN pingen.

Makki

makki,

vielen Dank für die Aufklärung zu "KNXnet/IP" ="KNXnet/IP Tunneling".

Mit dem selben Rechner innerhalb des LAN funktioniert der Zugriff auf den KNX/IP-Router (und darüber auch die Programmierung über die ETS) problemlos, nur eben nicht über das VPN. Was kann man denn alles beim VPN oder beim Gateway "falsch" machen ?

Vielleicht probiere ich statt der VPN-Client-Variante die von AVM ebenfalls angebotene "VPN-Verbindung" zweier LANs mit zwei Fritzboxen.

Jan

Wir haben da zwei mögliche Problembilder
- funktioniert der Ping aufs 750 im LAN ?
- Nein: -> via VPN anderen Host im LAN pingen und ggfs erstmal das VPN ans laufen bekommen
- Ja: Default-GW/Subnetzmaske am Weinzierl prüfen, sonst kann man da eigentlich wenig falschmachen.

-> Wireshark anschmeissen, sehen ob Pakete (Port 3671/UDP) hin und zurück kommen. (Wurde kürzlich ein Dissector für KNXnet/IP geschreiben,von Hand ab 1.0.6 nachzuinstallieren)
-> (Windows/Personal)-Firewall

Makki

Hallo Jan,

Makki's Tip mit dem default Gateway schliesse ich mich an. Ist ein heisser Kandidat, vorausgesetzt das VPN ist ein "richtiges", also routingbasierte Netzkopplung. Das sollte allerdings der Ping-Test vom PC im LAN1 auf PC im LAN2 aufdecken.

mfg

Swen

PS: Das Ping-Problem am Weinzierl ist ja wirklich interessant. Grad mal getestet: Bei mir am 750er funktioniert der Ping nur bis (einschließlich) 32 Nutzbyte, der native Linux-Ping mit 56 Byte geht in die Hose. Selbiges von Windows, nur ist eben da der default-Ping immer nur 32-Nutzbytes lang....

Hallo,
ich möchte dieses Thema mal hoch holen, da ich das gleiche Problem wie don-j habe.
Ich möchte mit dem Tool Fritz!Fernzugang per VPN auf mein System zugreifen. Mit dem Experten und dem HS-Monitor funktioniert dieses ohne Probleme. Leider nicht mit der ETS 3.0f
Als IP-Router verwende ich den Gira 1030 00. In diesem habe ich die IP-Adresse fest vergeben und als Standard-Gateway die IP-Adresse der Fritzbox.
In der ETS habe ich KNXnet/IP, Port 3671 eingestellt.
Den IP-Router kann ich über seine IP-Adresse anpingen. Alles soweit i.O..
Nur leider komme ich mit der ETS nicht auf den IP-Router.
In der Fritzbox habe ich eine Portfreigabe UDP/3671 gemacht. Woran könnte es noch liegen?

Hallo,
hast Dzu den NAT Modus bei der Schnittstelle in der der ETS angehakt ??

Wenn das ein richtiges VPN mit entsprechenden Einträgen in der Routing-Tabelle der Fritz-Box ist, braucht es eigentlich keinen NAT-Support weil kein NAT gemacht wird.

Der Ping geht durch, hm.... Sind denn irgendwelche Firewalls aktiv, die das blocken? Ist aus dem Netz der Fritz-Box mit einem zweiten PC ein Ping auf das Notebook im VPN möglich?

mfg Swen

Ping zum Laptop funktioniert.
Ich habe mal die Einstellung in der ETS angehängt, nicht das ich etwas vergessen habe
Was mir auch aufgefallen ist, dass unter cmd/ipconfig keine Netzweradresse vergeben wurde. Trotzdem funktioniert eigentlich alles, bis halt auf die ETS.
Wenn ich eine VPN-Verbindung mit Windows-Bordmittel auf meinen Server aufbaue, funktioniert auch die ETS

Kannst Du mal im Netz einen Wireshark mitlaufen lassen und den Connect Request monitoren? Möglicherweise setzt die ETS ihre Absende-IP-Adresse im Request nicht richtig.

Wie meinst Du das mit "keine Netzadresse/ipconfig"? Prinzipiell gibt es zwei Möglichkeiten: Dem Roadwarrior wird eine zusätzliche IP-Adresse (sozusagen VPN-Interface) zugewiesen, diese Adresse ist dem VPN-Router bekannt und er tunnelt allen Verkehr dorthin durch das VPN
oder
der Roadwarrior nutzt im VPN seine eigene WAN-Adresse und der VPN-Router trägt dynamisch eine Route zu diesem VPN-Partner ein.

Zumindest eine IP (die des WAN) sollte das Notebook doch haben, odrrr?

mfg

Hi swenga,
OK. Habe zwar von der Sache nicht viel Ahnung, aber mal sehen wie weit ich komme.

Hallo,
leider komme ich bei Wireshark nicht weiter.
Ich gehe per UMTS ins Internet. Hierbei wird die Verbindung per DFÜ gemacht. Diese DFÜ-Verbindung kann ich aber nicht in Wireshark auswählen, oder ich habe es einfach noch nicht gefunden.
Kann jemand mir hier weiter helfen?