OpenVPN "direkt" ins LAN Interface



  • Hallöchen zusammen,

    ich habe 1 PfSense Setup und an diesem einen Access Point mit 2 SSIDs (verschiede VLAN).

    Eines dieser VLANs bzw. WLANs soll für alle meine Smarthome Geräte dienen die ich vor habe mir anzuschaffen.

    Nun würde ich die Geräte und deren Funktion natürlich auch gerne von außerhalb nutzen ohne die jeweiligen Clouddienste der Hersteller zu nutzen.

    OpenVPN bietet sich ja dort an.

    Wie gehe ich da nun am besten vor? Eine Bridge ins LAN? Als Konfigurationsapp wird "KASA" benutzt bin für jede Hilfe dankbar.

    Liebe Grüße
    Martin



  • Ich habe nicht ganz genau Verstanden was du vorhast.
    Du willst mit deinen mobilen Geräten auf die Smarthome Geräte zugreifen?

    Also, wenn deine pfSense beide VLANs als Interne Netzwerke kennt und du den Datenverkehr zwischen diesen routest und erlaubst wäre es die halbe Miete. Du wirst ja für die Smarthome-Geräte einen "Controller" brauchen haben - entweder ein gekauftes Gerät oder z.B. ein Raspberry mit entsprechender Software.

    Da müsstest du von extern wahrscheinlich auf dessen Webseite zugreifen (die Apps in der regel auch).

    Einfach Lösung - falls diese SSL verschlüsselt ist - wäre einfach den Port per NAT von extern frei zu schalten.
    Willst du es unbedingt über OpenVPN - dann richte einen OpenVPN Server ein und lade dir auf dein Mobilgerät einen OpenVPN Client aus dem AppStore. Die Einrichtung findest du schnell per Google-Suche. Die meisten Apps für Smarthome Geräte können aber mit interner und externer Adresse gleichzeitig umgehen. Wenn es per https geht halte ich persönlich einen VPN für übertrieben - und für nicht "Ehefrau kompatibel)



  • @blinz said in OpenVPN "direkt" ins LAN Interface:

    Ich habe nicht ganz genau Verstanden was du vorhast.
    Du willst mit deinen mobilen Geräten auf die Smarthome Geräte zugreifen?

    Also, wenn deine pfSense beide VLANs als Interne Netzwerke kennt und du den Datenverkehr zwischen diesen routest und erlaubst wäre es die halbe Miete. Du wirst ja für die Smarthome-Geräte einen "Controller" brauchen haben - entweder ein gekauftes Gerät oder z.B. ein Raspberry mit entsprechender Software.

    Da müsstest du von extern wahrscheinlich auf dessen Webseite zugreifen (die Apps in der regel auch).

    Einfach Lösung - falls diese SSL verschlüsselt ist - wäre einfach den Port per NAT von extern frei zu schalten.
    Willst du es unbedingt über OpenVPN - dann richte einen OpenVPN Server ein und lade dir auf dein Mobilgerät einen OpenVPN Client aus dem AppStore. Die Einrichtung findest du schnell per Google-Suche. Die meisten Apps für Smarthome Geräte können aber mit interner und externer Adresse gleichzeitig umgehen. Wenn es per https geht halte ich persönlich einen VPN für übertrieben - und für nicht "Ehefrau kompatibel)

    Nein für die Funktionen die ich benutzen möchte (Zeitschaltuhr / Verbrauchsanzeige) muss ich bei den TP-LINK HS110 kein Hub / Controller bereitstellen. Genau deshalb hab ich mir die gekauft ;-)

    PfSense kennt beide VLANs und die App erkennt die Steckdose trotzdem nicht! Allerdings ist das auch erstmal sekundär! Primär ist es mir wichtig das OpenVPN so einzurichten, dass ich mich von extern direkt ins "Smarthome WLAN" einwählen kann. SSL kann man knicken, dass muss über OpenVPN oder aber über den Cloudaccount des Herstellers gemacht werden.

    Wenn mir dabei einer helfen könnte bzw. unterstützen könnte wäre das prima :--)



  • Du solltest erst einmal versuchen, dich lokal mit den Geräten zu verbinden. Da muss man eben probieren, dass was zum tatsächlichen Verhalten in der Anleitung steht, kann man sich nicht erwarten.

    Viele solche Heim-Sch... Geräte ermöglichen standardmäßig nur eine Verbindung aus dem eigenen Netzwerksegment, weil sie Multicast oder was dergleichen nutzen, das über einen Router nicht so ohne weiteres drübergeht.

    Daher versuch erstmal eine Verbindung lokal vom LAN oder vom anderen Netzsegment. Klappt das nicht, versuch es vom selben Netz.
    Das Ergebnis könnte einiges an Aufschluss geben.



  • @viragomann said in OpenVPN "direkt" ins LAN Interface:

    Du solltest erst einmal versuchen, dich lokal mit den Geräten zu verbinden. Da muss man eben probieren, dass was zum tatsächlichen Verhalten in der Anleitung steht, kann man sich nicht erwarten.

    Viele solche Heim-Sch... Geräte ermöglichen standardmäßig nur eine Verbindung aus dem eigenen Netzwerksegment, weil sie Multicast oder was dergleichen nutzen, das über einen Router nicht so ohne weiteres drübergeht.

    Daher versuch erstmal eine Verbindung lokal vom LAN oder vom anderen Netzsegment. Klappt das nicht, versuch es vom selben Netz.
    Das Ergebnis könnte einiges an Aufschluss geben.

    Vom gleichen Netz aus ist alles kein Problem.



  • Gibt es eine Möglichkeit, die Geräte per IP anzusprechen?
    Oder bist du darauf angewiesen, dass die App die Geräte findet, damit du dich verbinden kannst?



  • Vom gleichen Netz aus ist alles kein Problem.

    Wie @viragomann geschrieben hat funktionieren viele Geräte nur im gleichen Netzwerksegment (bei dir =VLAN).
    Meine Echo-Dots von Amazon finden auch nur Steckdosen bzw. die HABridge-Simulation im gleichen Netzwerk, die Echo-Geräte machen einen solchen Rundruf, z.B. die Philipps HUE Geräte beantworten diesen dann.

    Willst du solche Geräte direkt steuern so muss das alle sin ein Netzwerk. Für andere Netzwerke brauchst du ein Gateway für diese Komponenten. Dieses ist ebenfalls im gleichen Netz und hält die Verbindung nach Außen. Alternativ verbinden sich die Geräte immer mit einem Hersteller-Server im Internet und das ist dein Ansprechpunkt.

    Ich habe ich diverses im Einsatz, aber nichts davon würde über 2 LAN-Segmente hinweg funktionieren. manche Android-Apps z.B. für das Phillips HUE System erlauben die Angabe von IP-Adressen, eventuell wirst du mit denen Erfolg haben



  • @viragomann bin drauf angewiesen, dass die App die Dosen findet...

    Verstehe eure Einwürfe... Ist der Versuch die Geschichte für unterwegs per openvpn verfügbar zu machen auch sinnlos?



  • Das Problem ist schon, dass es dem Hersteller gar nicht interessiert, dass man anders an die Geräte rankommt als über seine Mittel. Und er macht nicht einmal Angaben zu den technischen Voraussetzungen oder den verwendeten Protokollen.

    Möglicherweise hat der Hersteller ein Gateway im Programm, dass dies ermöglicht.

    Wenn es Standard-Multicasts sind, über die die App die Geräte findet, kann möglicherweise auch der IGMP-Proxy der pfSense zum Erfolg verhelfen. Aber ohne Info über das System kann dir das keiner sagen.

    Eine andere (unschöne) Lösung wäre die VPN mit dem entsprechenden VLAN zu bridgen, aber zu diesem Thema gibt es hier mehr Fragen als Antworten.
    Du kannst ja deine Suchmaschine nach "pfsense openvpn tap mode" befragen.



  • @cptcowboy said in OpenVPN "direkt" ins LAN Interface:

    Verstehe eure Einwürfe... Ist der Versuch die Geschichte für unterwegs per openvpn verfügbar zu machen auch sinnlos?

    Was / Womit greifst du denn von Unterwegs darauf zu? Für den Zugriff auf das eigene Gateway - ok. Für den Rest nicht.



  • @blinz Womit? Mit einem Android Smartphone, brauche OpenVPN dann eigentlich nur für diese Smarthome Geschichte!

    Es muss doch einen Weg geben da ran zu kommen >.<

    @viragomann Werd ich tun , danke sehr!



  • @cptcowboy said in OpenVPN "direkt" ins LAN Interface:

    Mit einem Android Smartphone, brauche OpenVPN dann eigentlich nur für diese Smarthome Geschichte

    Bitte mal Konkret:

    • Welche App?
    • und welches Smarthome System zu Hause?


  • @blinz hi die App heißt Kasa und die Dose Hs110 von tp-link.

    https://www.softscheck.com/en/reverse-engineering-tp-link-hs110/

    Vielleicht hilft das?



  • Hab es jetzt mit einer anderen App hinbekommen, die Dose auch per VPN zu steuern! Wie kann ich jetzt den VPN Traffic lediglich an das VLAN von der Dose kommen lassen? Aktuell kann ich z.B. vom PC aus den VPN Client pingen ich will das VPN Clients nur aufs Smarthome Zugriff haben!



  • Versuch es mit einer Firewall Regel.
    Editier die aktuell, die alle Ziele erlaubt und wähle als Ziel dein Smarthome VLAN aus.