VPN-Zugang für FHEM

Aus FHEMWiki

Einleitung

Die meisten Anwender werden FHEM nicht nur von zu Hause, sondern auch unterwegs nutzen wollen. Hier ist man aber sehr gut beraten, den Zugang insoweit abzusichern, dass andere keinen Zugriff haben. Es gibt hierbei verschiedene Möglichkeiten. VPN ist eine davon und hier soll beschrieben werden, wie man einen VPN-Zugang einrichtet. Angenommen wird, dass eine Fritzbox die Verbindung ins Internet herstellt und FHEM auf einem Raspberry installiert ist.

DynDNS nötig?

Wenn man auf FHEM "von außen" zugreifen will, so muss man wissen, wie der RPi von außen erreichbar ist. Theoretisch ist dies eigentlich ganz einfach: Wenn der RPi auf das Internet zugreift, so erhält vom Internetprovider eine eindeutige Adresse, die so genannte IP. Würde man diese IP aufrufen und wäre der Port freigegeben (siehe unten), dann könnte man auf den Raspberry zugreifen. Dies ist nur theoretisch und leider nicht praktisch möglich, weil sich diese IP-Adresse mindestens im 24-Stunden-Rhythmus ändert. Diese Änderung müsste dem Anwender dann immer mitgeteilt werden.

Wenn man von einem Rechner auf FHEM zugreifen möchte, benötigt man also diese jeden Tag neu zugewiesene IP-Adresse. Eine sehr umständliche Möglichkeit besteht darin, sich ständig die IP per E-Mail zuschicken zu lassen. Ändert sie sich zwischen Versand und Zugriff, hat man ein Problem.

Eine bequemere Methode besteht darin, den Raspberry mit einem eindeutig zugewiesenen Namen zu identifizieren (zum Beispiel "maxmueller.selfhost.biz"). Hier sind jetzt zwei Dinge zu tun:

  • Man muss wissen, wie sich dieser eindeutige Name zusammensetzen soll.
  • Man muss dafür sorgen, dass die sich regelmäßig ändernde IP sofort mit dem Namen in Zusammenhang gebracht wird.

Beide Aufgaben übernehmen kommerzielle "DynDNS-Anbieter". DynDNS steht dabei für "dynamische DNS" und meint genau die Zuordnung der IP zu Namen. Ein möglicher Hoster ist etwa selfhost und daher wurde in dem Beispiel oben bereits dieser Provider verwendet. Andere Provider sind dyndns.org, no-ip.com und weitere. Einige Provider verlangen für die Bereitstellung des Namens und der Zuordnung der eigenen IP regelmäßige Beiträge, andere wiederum einmalige Kosten (selfhost verlangt einmalig Geld). Hier muss man sich entscheiden.

Die Angaben, die man dann vom DynDNS-Anbieter erhält, müssen zuletzt in die Fritzbox eingegeben werden, damit die IP (bei Änderung) aktualisiert wird. Bei einer FritzBox 7490 beispielsweise erfolgt der Eintrag im Menüpunkt Internet->Freigaben. Dort trägt man den von DynDNS oder einem anderen Anbieter erhaltenen Benutzernamen und das Passwort ein.

Screenshot DynDNS in FB

DynDNS ist vermutlich nicht nötig, wenn man FHEM ausschließlich vom eigenen iPhone oder iPad aus erreichen will.

Portfreigabe nötig?

FHEM läuft auf dem Port 8083 bis 8085. Für VPN ist eine Portfreigabe nicht nötig und nicht sinnvoll. VPN erlaubt einen (nach derzeitigem Stand der Technik sehr sicheren) Zugriff auf die hausinterne Installation und dazu müssen die Ports von FHEM nicht geöffnet werden. Der Reiter "Portfreigaben" in der FB muss also nicht verändert werden.

VPN-Zugang

Um nun endlich auf die hauseigene Installation zugreifen zu können, benötigt man einen VPN-Zugang. Man muss also der Fritzbox mitteilen, dass man selbst berechtigt ist, sich in das eigene Haus einzuwählen. Dazu ist es zuerst notwendig, einen Fritzbox-Benutzer einzurichten. Dieser Benutzer bekommt dann die Rechte des Zugriffs. Die Einrichtung selbst geschieht im Menüpunkt System->Fritzbox-Benutzer.

Fritzbox-Benutzer

Im dargestellten Screenshot wurde der Haken ganz unten für "VPN-Zugriff", wie in der Voreinstellung, noch nicht gesetzt. Dies muss natürlich geschehen, damit ein VPN-Zugriff möglich ist.

Zuletzt müssen die Daten dieser fertig eingerichteten VPN-Verbindung notiert werden. Dies ist möglich, weil nach der Einrichtung auf einmal ein neuer Link erscheint, der im Screenshot sichtbar ist.

Screenshot VPN-Details


VPN-Zugriff

Hier soll nun beispielhaft demonstriert werden, wie etwa mit einem Apple MacBook auf die hauseigene Installation zugegriffen werden kann. Dazu muss unter Systemeinstellung das Netzwerk geöffnet werden. Unten klickt man auf das kleine Plus und gibt die Einstellungen zu VPN, die der Fritzbox entnommen wurden, ein. Danach erscheint ein neuer Menüpunkt im MacBook und man kann sich direkt mit der eigenen Installation verbinden.

VPN-Menü in einem Mac-Book

(Wie das bei einem Linux/Windows-Rechner geht, weiß ich nicht.)

VPN-Zugriff bei iPhone und iPad

iPhone und iPad bieten die Möglichkeit, dass der VPN-Zugriff automatisiert erfolgt, wenn eine Webseite mit einem hauseigenen DNS-Namen aufgerufen wird. Beispielsweise ist es so, dass eine Fritzbox allen hausinternen Geräten neben der IP (üblicherweise im Format 192.168.x.y) auch einen Namen bekommt, etwa "FHEM-Rechner". Im hauseigenen Netz wäre dann dieser PC mit dem Namen FHEM-Rechner.fritz.box erreichbar. Ruft man diesen Namen außerhalb des eigenen Hausnetzes auf, erscheint eine Fehlermeldung.

Man kann nun ein iPhone so konfigurieren, dass bei einem Aufruf einer Adresse der Form ***.fritz.box immer die oben eingerichtete VPN-Verbindung automatisch gestartet wird. Hierbei handelt es sich um eine so genannte VPN-On-Demand-Verbindung. Neben den üblichen Google-Hinweisen können Details hier nachgelesen werden: [1]