Port nur für bestimmte IP-Adressen freigeben

Mitglied: Jens123

Jens123 (Level 1) - Jetzt verbinden

30.04.2021 um 09:25 Uhr, 455 Aufrufe, 3 Kommentare

Sehr geehrtes Forum,

habe folgende Frage und würde mich über jede Hilfe freuen!!

Wir haben in eine kleine PV-Anlage und Wärmepumpe.
Die Wärmepumpe ist an einem ISG (Internet Service Gateway) angeschlossen. Das ISG ist aber NUR über das lokale Netzwerk mit 192.168.188.38 erreichbar. Ist auch so gewollt von Stiebel Eltron.
Dazu habe ich mir einen Raspberry PI geholt auf dem der IOBROKER läuft. Die Daten der Stromzähler kommen über M-Bus die Daten vom ISG und den Wechselrichtern kommen über Modbus TCP und werden in einer InfluxDB Datenbank gespeichert.
Zur grafischen Darstellung der Daten habe ich auf dem Raspi GRAFANA installiert. Grafana ist ebenfalls nur lokal über 192.168.188.22:3000 zu erreichen.

Alles funktioniert wunderbar.

Nun zum Problem. Habe die Anlage mit meinem Nachbarn realisiert.
Beide nutzten die Wärmepumpe und die PV. Aber beide Haushalte haben eine eigenes lokales Netzwerk. (getrennte Internetanschlüsse)
Möchte meinem Nachbarn nun auch Zugriff auf´s ISG (192.168.188.38) und GRAFANA (192.168.188.22:3000) gewähren.
Mit DYNDNS über STRATO kann ich die beiden lokalen IP´s mittel Portforwarding über http freigeben. Das ist aber viel zu unsicher!!
HTTPS mit z.B. Zertifikat (letsencrypt + reverse Proxy) bekomme ich über die Fritzbox nicht hin. Die Fritzbox arbeitet als Router hinter einem Speedport Hybrid Pro.
Eine Alternative für Grafana wäre ein V-Server. Aber dann bleibt noch das ISG.

Die lokalen IP´s (ISG + Grafana) müssen nicht aus dem Internet erreichbar sein. Es reicht wenn mein Nachbar auch nur lokal Zugriff auf die beiden IP´s hat - möchte Ihm aber nicht einfach Zugriff auf mein Netz geben.
Gibt es nicht eine Möglichkeit einen Access Point zu „bauen“ mit dem sich mein Nachbar verbinden kann der aber nur die beiden IP´s freigibt? Oder ein VLAN oder ein VPN Gateway.

Leider bin ich ein Anfänger und wäre für jede Hilfe dankbar. An der Fritzbox hängt ein ubiquiti edgeswitch 16 xg der VLAN und Layer 3 könnte.

Danke!
Jens
Mitglied: altmetaller
30.04.2021 um 11:17 Uhr
Hallo,

naja - vermutlich nutzt Du den HTTP-Authenticator von LetsEncrypt. Der geht nun mal über Port 80.

HTTPS bietet hier nur einen geringen Sicherheitsgewinn (Absicherung gegen MitM). Der korrekte Weg wäre ein VPN mit dem sich dein Bachbar in dein Netz tunnelt.

Den weiteren Zugriff schränkst Du dann in der Firewall deines VPN Gateways ein.

Gruß,
Jörg
Bitte warten ..
Mitglied: Jens123
03.05.2021 um 12:56 Uhr
Hallo Jörg,

vielen Dank für Deine Hilfe.
Momentan sieht meine Konfiguration so aus:
1. Speedport Hyprid (eigener IP-Adressbereich)
2. Fritzbox 7540 über WAN am Speedport mit eigenem Adressbereich
3. Ubiquiti edgeswitch 16 xg

In 2. Monaten bekomme ich einen FFTH Glasfaser Anschluss. Somit wird dann neu aufgebaut.

Was würdest Du empfehlen?

1. Ubiquiti UniFi Security Gateway PRO
oder
2. Ubiquite Ege Router

Bei unserem FFTH Glasfaseranschluss kommt die FFTH Dose in den Keller. Daneben kommt dann das FFTH Modem aus dem dann ein Kupfer Patch Kabel kommt. Wäre dann nicht der Ege Router die richtige Wahl? Und kann ich mit der Firewall genau nur die beiden IP´s über das VPN Gateway freigeben?

Wäre wirklich super nett wenn Du mir helfen könntest!!!

Danke!
Jens
Bitte warten ..
Mitglied: altmetaller
03.05.2021 um 16:55 Uhr
Hallo,

ich würde sagen - das hängt davon ab, was das für Produkte und Geräte sind. Die Bezeichnungen sagen mir nichts :-) face-smile

Wenn sich dein Nachbar zu dir tunneln soll, wäre z.B. eine öffentliche IPv4-Adresse wichtig. In dem Fall etablierst Du bei Dir einen VPN-Dienst und beim Nachbar einen VPN-Client (...auf den Routern, auf dem Raspberry - je nachdem, was vorhandenen Geräte können). Ob die Geräte das können und die (Internet-)Anbindungen das zulassen - keine Ahnung. Das kann Dir nur der Hersteller beantworten bzw. es erfordert eine etwas tiefere Analyse. Die man natürlich nicht aufgrund der Gerätenamen liefern kann und für die man auch die Vor-Ort-Situation betrachten muss.

Gruß,
Jörg
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Unterschiedliche IP-Adressbereiche im Netzwerk
achkleinVor 1 TagFrageLAN, WAN, Wireless17 Kommentare

Hallo, ich stehe vor einem Problem mit der WLAN-Verbindung zum Router (Fritzbox Cable 6490). Das verbundene Notebook hat die Adresse 192.168.0.164, Gateway ist 192.168.0.149: ...

Off Topic
Microsoft und der (leidige) Datenschutz
Franz-Josef-IIVor 1 TagAllgemeinOff Topic18 Kommentare

Hello Ich möchte vorausschicken, daß ich rein prinzipiell nichts gegen Microsoft habe, eher gegen die US-amerikanische Politik 😊 Microsoft bietet die Datenverarbeitung in der ...

Off Topic
32 bit Problem
brammerVor 1 TagAllgemeinOff Topic9 Kommentare

Hallo, also das ist mal ein Problem das ich auch haben möchte eine Aktie ist mehr Wert als das die Börsensoftware darstellen kann. brammer

Hardware
Thin- oder Zero-Client für RDP und Dual-Monitor im LAN gesucht
FestplattenaufzieherVor 1 TagFrageHardware9 Kommentare

Hallo, Kurzfassung meiner Frage: Ich suche Thin/Zero-Clients (4 Stück) mit Dual-Monitor-Unterstützung für den RDP-Zugriff auf PCs in einem LAN - idealerweise lautlos und relativ ...

Windows Server
Lizenzen für Virtualisierungshost
TakworianVor 10 StundenFrageWindows Server15 Kommentare

Hallo, ich werde demnächst einen HA-Cluster aus 3 x HP DL580 in Betrieb nehmen. Der Cluster wird unter Proxmox betrieben und es sollen diverse ...

Windows 10
Windows 10 2021-04 end of life?
gelöst Paedi12Vor 1 TagFrageWindows 103 Kommentare

Hi Leute! Ich bin gerade auf der Suche, wie lange die Windows Version 2021-04 unterstützt wird. Kann aber nichts finden. Hat jemand eine Ahnung, ...

Switche und Hubs
Netgear Switch Problem bei VLAN Konfiguration
gelöst meltersVor 1 TagFrageSwitche und Hubs15 Kommentare

Hallo, ich habe einen Netgear XS716T Switch zum Testen in Betrieb genommen, komme aber mit der VLAN Konfiguration nicht so ganz klar. Bislang habe ...

Router & Routing
Suche Tipps für Selfmade-Load-Balancing-Router auf HP MicroServer Gen10+
gelöst MagicChris86Vor 1 TagFrageRouter & Routing7 Kommentare

Hi Leute, ich habe einen HP MicroServer Gen10+ Performance übrig, der bei einer Kundin rausgeflogen ist, weil sie mehr Power brauchte für Desktopvirtualisierung für ...