jens123
Goto Top

Port nur für bestimmte IP-Adressen freigeben

Sehr geehrtes Forum,

habe folgende Frage und würde mich über jede Hilfe freuen!!

Wir haben in eine kleine PV-Anlage und Wärmepumpe.
Die Wärmepumpe ist an einem ISG (Internet Service Gateway) angeschlossen. Das ISG ist aber NUR über das lokale Netzwerk mit 192.168.188.38 erreichbar. Ist auch so gewollt von Stiebel Eltron.
Dazu habe ich mir einen Raspberry PI geholt auf dem der IOBROKER läuft. Die Daten der Stromzähler kommen über M-Bus die Daten vom ISG und den Wechselrichtern kommen über Modbus TCP und werden in einer InfluxDB Datenbank gespeichert.
Zur grafischen Darstellung der Daten habe ich auf dem Raspi GRAFANA installiert. Grafana ist ebenfalls nur lokal über 192.168.188.22:3000 zu erreichen.

Alles funktioniert wunderbar.

Nun zum Problem. Habe die Anlage mit meinem Nachbarn realisiert.
Beide nutzten die Wärmepumpe und die PV. Aber beide Haushalte haben eine eigenes lokales Netzwerk. (getrennte Internetanschlüsse)
Möchte meinem Nachbarn nun auch Zugriff auf´s ISG (192.168.188.38) und GRAFANA (192.168.188.22:3000) gewähren.
Mit DYNDNS über STRATO kann ich die beiden lokalen IP´s mittel Portforwarding über http freigeben. Das ist aber viel zu unsicher!!
HTTPS mit z.B. Zertifikat (letsencrypt + reverse Proxy) bekomme ich über die Fritzbox nicht hin. Die Fritzbox arbeitet als Router hinter einem Speedport Hybrid Pro.
Eine Alternative für Grafana wäre ein V-Server. Aber dann bleibt noch das ISG.

Die lokalen IP´s (ISG + Grafana) müssen nicht aus dem Internet erreichbar sein. Es reicht wenn mein Nachbar auch nur lokal Zugriff auf die beiden IP´s hat - möchte Ihm aber nicht einfach Zugriff auf mein Netz geben.
Gibt es nicht eine Möglichkeit einen Access Point zu „bauen“ mit dem sich mein Nachbar verbinden kann der aber nur die beiden IP´s freigibt? Oder ein VLAN oder ein VPN Gateway.

Leider bin ich ein Anfänger und wäre für jede Hilfe dankbar. An der Fritzbox hängt ein ubiquiti edgeswitch 16 xg der VLAN und Layer 3 könnte.

Danke!
Jens

Content-Key: 666259

Url: https://administrator.de/contentid/666259

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: 117471
117471 30.04.2021 um 11:17:47 Uhr
Goto Top
Hallo,

naja - vermutlich nutzt Du den HTTP-Authenticator von LetsEncrypt. Der geht nun mal über Port 80.

HTTPS bietet hier nur einen geringen Sicherheitsgewinn (Absicherung gegen MitM). Der korrekte Weg wäre ein VPN mit dem sich dein Bachbar in dein Netz tunnelt.

Den weiteren Zugriff schränkst Du dann in der Firewall deines VPN Gateways ein.

Gruß,
Jörg
Mitglied: Jens123
Jens123 03.05.2021 um 12:56:37 Uhr
Goto Top
Hallo Jörg,

vielen Dank für Deine Hilfe.
Momentan sieht meine Konfiguration so aus:
1. Speedport Hyprid (eigener IP-Adressbereich)
2. Fritzbox 7540 über WAN am Speedport mit eigenem Adressbereich
3. Ubiquiti edgeswitch 16 xg

In 2. Monaten bekomme ich einen FFTH Glasfaser Anschluss. Somit wird dann neu aufgebaut.

Was würdest Du empfehlen?

1. Ubiquiti UniFi Security Gateway PRO
oder
2. Ubiquite Ege Router

Bei unserem FFTH Glasfaseranschluss kommt die FFTH Dose in den Keller. Daneben kommt dann das FFTH Modem aus dem dann ein Kupfer Patch Kabel kommt. Wäre dann nicht der Ege Router die richtige Wahl? Und kann ich mit der Firewall genau nur die beiden IP´s über das VPN Gateway freigeben?

Wäre wirklich super nett wenn Du mir helfen könntest!!!

Danke!
Jens
Mitglied: 117471
117471 03.05.2021 um 16:55:48 Uhr
Goto Top
Hallo,

ich würde sagen - das hängt davon ab, was das für Produkte und Geräte sind. Die Bezeichnungen sagen mir nichts face-smile

Wenn sich dein Nachbar zu dir tunneln soll, wäre z.B. eine öffentliche IPv4-Adresse wichtig. In dem Fall etablierst Du bei Dir einen VPN-Dienst und beim Nachbar einen VPN-Client (...auf den Routern, auf dem Raspberry - je nachdem, was vorhandenen Geräte können). Ob die Geräte das können und die (Internet-)Anbindungen das zulassen - keine Ahnung. Das kann Dir nur der Hersteller beantworten bzw. es erfordert eine etwas tiefere Analyse. Die man natürlich nicht aufgrund der Gerätenamen liefern kann und für die man auch die Vor-Ort-Situation betrachten muss.

Gruß,
Jörg