mecie21313
Goto Top

VPN mit Speedport v722 (Typ B) und HomeMatic CCU

Hallo liebe Forengemeinde,

ich habe folgendes, kleines Problem.

Ich bin Besitzer einer HomeMatic-CCU (mit fester IP und der Möglichkeit von VPN/DynDNS) hinter einem Speedport v722 (Typ B) an einem DSL 16000 Anschluss.

Die HomeMatic ist eine Zentrale mit einem Linux-Derivat, welches zur Gebäudeautomation dient. (Infos unter Homematic.com).

Ich möchte gerne per VPN von Außen auf diese HomeMatic zugreifen können. Per DynDNS klappt es schon, ist ja aber nun nicht so sicher.
Wie oder was muss ich machen, damit ich von Außen mit Windows (XP, Vista, 7), Linux (Ubuntu 10.10) oder meinem Smarphone (Android) eine VPN-Verbindung aufbauen kann- und somit auf die WebGUI der HomeMatic komme?

Ich habe extra beim Speedport 722 den Typ B angegeben, da ich schon auf anderen Plattformen gelesen habe, das ich den Speedport freetzen sollte. Das klappt aber beim Typ B nicht, da dieser nicht von AVM hergestellt ist.

Ich hoffe auf passende Antworten

Gruss
Mecie

Content-ID: 164252

Url: https://administrator.de/contentid/164252

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

kingkong
kingkong 09.04.2011 um 08:02:42 Uhr
Goto Top
Irgendein Gerät in der Kette muss eine VPN-Verbindung anbieten können. Da die vorhandenen das scheinbar nicht können bliebe Dir nur, noch ein zusätzliches Gerät mit ebendiesem Angebot zwischen die HomeMatic und den Speedport zu hängen. Das kann dann ein Windows- oder Linux-Gerät sein (wobei ich letzteres empfehlen würde). Dieses Gerät muss Routing aktiviert haben und per Portforwarding auf den richtigen Ports für die gewünschte Technik zu errreichen sein (machs Dir einfach, nimm OpenVPN; da brauchst Du nur einen Port)...
mecie21313
mecie21313 09.04.2011 um 11:50:54 Uhr
Goto Top
Also müsste ich einen kleinen Linux-Rechner zwischen schalten? Wenn ja, was muss der können?

Oder doch einen weiteren Router? Wer hat denn nen Tipp, welchen Router ich dann nehmen könnte? (Bis ca. 70Euro)

Bin mit den VPN-Dingen noch nicht so behaftet - bisher habe ich mit fertigen Lösungen gearbeitet *rotwerd*
aqui
aqui 09.04.2011, aktualisiert am 18.10.2012 um 18:46:25 Uhr
Goto Top
Wie immer einfach mal die Suchfunktion benutzen hier !
VPNs einrichten mit PPTP
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
usw. usw. usw. .....
Ansonsten wie immer den Speedport Schrott entsorgen und durch einen einfachen VPN Router wie Draytek, Fritzbox usw. ersetzen. Draytek hat den Vorteil das es nicht wie viele andere VPN Router rein auf das IPSec Protokoll fixiert ist sondern dir auch noch PPTP und L2TP bietet.
PPTP als VPN Protokoll hat den Vorteil das du damit so gut wie alle Onboard VPN Clients bei Winblows, Apple Mac, iPhone, Android usw. benutzen kannst ohne Fremdsoftware installieren zu müssen !
kingkong
kingkong 09.04.2011 um 16:53:59 Uhr
Goto Top
Ich will aber mal eine Lanze brechen für die meisten Speedports; genauer für die, die von AVM stammen. Die sind absolut akzeptabel. Und freetzen ist beispielsweise beim w701v so einfach, dass man fast nichts falsch machen kann.

Unabhängig davon würde ich, wenn es sicher sein soll, aber von PPTP abraten. Es ist zwar richtig, dass nahezu alle Betriebssysteme diesen Standard unterstützen, allerdings ist dieser löchrig wie ein Schweizer Käse. Besser ist da L2TP/IPSec - allerdings nicht unbedingt in der Einrichtung.
In aquis 2. Link ist von der pfSense die Rede. Diese ist eine exzellente Lösung, braucht allerdings eine eigene Hardware. Wenn Du einen alten Rechner hernehmen würdest, der 2 Netzwerkkarten besitzt, hättest Du quasi eine Nulltarif-Lösung, was die Anschaffung angeht, allerdings dann im Betrieb höhere Kosten als nötig. Besser wäre deshalb eine Embedded-Lösung wie ein Alix (ist in aquis Tutorial ebenfalls erwähnt). Das würde aber 120 - 130 Euro kosten.
Bei Deinen Preisvorstellungen wäre für Dich wohl wirklich ein gefreetzter Speedport W701V das richtige (das Freetzen dieses Modells ist wirklich einfach). Gebrauchte Speedports gibt es bei eBay für unter 20 Euro. Diesen kannst Du gleich beim Einrichten einen OpenVPN-Server mitgeben. Clients gibt es für Windows, Linux und Mac. Das wäre eine ebenso sichere Variante wie IPSec.
aqui
aqui 09.04.2011 um 18:57:36 Uhr
Goto Top
Dann muss man aber auch mal wieder eine Lanze für das oft geschmähte PPTP brechen. Der schlechte Ruf rührt von einem Angriff im Jahre 1998. Das ist ab da allerdings dann auch Schnee von gestern, denn MS (mit Hilfe von Cisco Systems) hat daraufhin das Challenge Handshake Authentication Protocol (v2) und auch das MPPE erheblich überarbeitet und alle Probleme damit vollständig beseitigt.
MPPE benutzt einen RC4 Algorythmus von RCA der pe se sehr sicher ist allerdings steht und fällt die Sicherheit mit der Qualität des verwendeten Passworts.
Das gilt aber generell für alle Schlüssel- und Chiffrier Anforderungen. Wird also ein sicheres Passwort verwendet ist PPTP als sicher anzusehen, da die Verschlüsselung der Produktivdaten im Tunnel als zuverlässig gilt.
"Löchrig" ist es also bei allem Verständnis keineswegs wenn man genau auf die Fakten sieht und die Passwort Sicherheit beachtet, die im übrigen auch für IPsec gilt.
Für die o.a. Anwendungen ist die Verwendung von PPTP also absolut problemlos !
mecie21313
mecie21313 09.04.2011 um 23:24:38 Uhr
Goto Top
Vielen Dank für die bisherigen Antworten.

Ja, das mit dem Frrtzen habe ich auch in Betracht gezogen, aber der Typ B kann nicht gefrezzt werden. Ist kein AVM...

Nun bin ich am Überlegen, ob ich nen 2. Router (d-Link oder Draytek) hinter den Speepdort schalte...

Was haltet Ihr von der Idee? Zu welcher Box würdet Ihr tendieren?
aqui
aqui 10.04.2011 um 15:29:16 Uhr
Goto Top
Draytek hat alles gleich schon mit an Bord. Damit bist du "ready ro go" mit ein paar Mausklicks.
Alternative ist wenn du Geld sparen willst ein preiswerter D-Link DIR-300 mit DD-WRT Firmware zu flashen und ein PPTP VPN einzurichten wie in dem o.a. Tutorial beschrieben !
Bei VPN onboard Routern solltest du von NetGear und D-Link besser die Finger lassen wie dir die zahllosen Leidensthreads hier ja beweisen. Zudem erzwingen die immer eine zusätzliche Client Software wie z.B. den freien Shrew_Client da sie auf IPsec basieren.
Es gibt viele Wege nach Rom....oder zum VPN...
kingkong
kingkong 10.04.2011 um 16:51:35 Uhr
Goto Top
Deswegen habe ich ja auch explizit vom W701V gesprochen, den es bei eBay für unter 20 Euro gibt. Schon klar, dass es mit dem 722 nicht möglich ist. Das Freetzen auf diesem Gerät habe ich übrigens selbst schon auf 3 verschiedenen Geräten gemacht - und es lief jedes Mal problemlos (sogar in einer virtuellen Maschine; d.h. Du brauchst fürs Freetzen nicht mal eine native Linux-Installation).

Auch ein DD-WRT-Gerät wäre eine Überlegung wert. Ich persönlich (aber das kann natürlich ein Einzelfall sein) habe mit dem DIR-300 allerdings keine besonders guten Erfahrungen gemacht. Lege Dir dann lieber einen WRT54GL von Linksys oder ähnliche Hardware zu. Damit bleibst Du trotzdem noch in Deinem preislichen Rahmen.
aqui
aqui 11.04.2011 um 09:44:17 Uhr
Goto Top
Richtig ! Der DIR-300 ist ein Billigstteil, dafür aber legendär preiswert. Besser ist es ein paar Eurornen mehr in einen Linksys WRT54GL zu investieren. Da fährt man auf alle Fälle besser mit.
Für Kleinstinstallationen ist aber auch ein DIR-300 absolut OK.
Man muss ja immer bedenken das man die üble D-Link Firmware entsorgt und dort auch ein DD-WRT zum Laufen hat. Nur ist der DIR-300 von der Hardware nicht ganz so leistungsfähig wie der Linksys, was fairerweise aber nur für die Revision A gilt !
Die neue aktuelle Revision B des DIR-300 ist ebenbürtig. Allerdings gibt es weitere kleine Einschränkungen wie die fehlende VLAN Fähigkeit usw. Aber wer das nicht braucht kann den DIR-300 (Rev.B) genausogut einsetzen.
Für einen kleinen PPTP Server bzw. VPN Router mit DD-WRT reicht es allemal !
mecie21313
mecie21313 11.04.2011 um 09:55:50 Uhr
Goto Top
Wie findet Ihr den DIR-600???
im Gegensatz zum 300er?
aqui
aqui 11.04.2011 um 11:46:18 Uhr
Goto Top
Zitat:
"Bei VPN onboard Routern solltest du von NetGear und D-Link besser die Finger lassen wie dir die zahllosen Leidensthreads hier ja beweisen."

Es sei denn du flashst DD-WRT drauf....