habe ein Problem mit dem Hardware in fremdem Subnetz.
Folgende Ist-Situation:
-IPS in Subnetz A (Server bspw. auf 192.168.1.50)
-Homematic LAN-Adapter1 ebenfalls in Subnetz A (192.168.1.60)
-Homematic LAN-Adapter2 in Subnetz B (192.168.2.50)
IPS und LAN-Adapter1 funktionieren einwandfrei. Subnetz A und Subnetz B sind über ein VPN routend miteinander verbunden, alle Ressourcen lassen sich gegenseitig anpingen. Insbesondere kann ich problemlos vom IPS-Server den LAN-Adapter2 anpingen!
Aber: weder über den BidCos-Service noch über das Homematic-Konfig-Tool kann ich auf LAN-Adapter2 zugreifen. Das Testrun-Bidcos-Tool meldet immer „invalid hello message“. Hardware-Defekt kann ich ausschließen, da ich über einen Rechner, der testweise in Subnetz B aufgestellt wurde, vernünftig mit dem LAN-Adapter2 kommunizieren kann.
Ich werkel seit Tagen daran und komme keinen Schritt weiter. Ich sehe also nur noch folgende Workarounds:
a) in Subnetz B einen Rechner 24/7 rennen lassen, auf dem ein BidCos-Service läuft und den LAN-Adapter2 managed. Diesen zweiten BidCos-Service dann als zweiten Homematic-Socket in IPS einbinden.
b) anstatt dieses Rechners gleich den LAN-Adapter2 gegen eine CCU austauschen und diese dann in IPS einbinden.
Fragen also an die Community:
hat jmd ein ähnliches Problem und weiß warum das „invalid hello message“ kommt?
hat jmd eine Situation ähnlich der beiden Workarounds? Funktioniert ein zweiter Homematic-Socket in fremden Subnetz problemlos mit IPS?
Wer oder was stellt den Kontakt zwischen LAN A und LAN B her? Grundsätzlich muss das nämlich funktionieren - es sei denn die Antwortzeiten sind zu langsam.
Hi,
sorry, hätte ich noch erwähnen können:
es sind zwei PFSense-Router-Boxen. Wie gesagt, dort läuft ein funktionsfähiges VPN-Netz. Antwortzeiten müsste ich heute Abend oder morgen mal messen. IMHO aber in vernünftigem Rahmen, schätze 50-80ms.
@kronos: hab ich geprüft; sämtlicher udp und tcp-traffic wird durchgelassen
@dapor: ich bin zwar selbst immer vom lizenzkampf betroffen, aber in dem fall würd’ ich vom berg pissen es sind beides meine locations (die auch noch recht dicht aneinanderliegen). die tatsache, dass ich auf Grund technischer notwendigkeit mehr als ein 24er-subnetz brauche, dürfte lizenztechnisch /völlig/ irrelevant sein.
Klar, vor Ausführen des Tesrun-Tools war der Dienst natürlich beendet.
Um konkreter zu werden: funktioniert die Einrichtung eines zweiten BidCos-Services oder einer CCU? Wenn ich hier testweise einen zweiten Homematic-Socket anlege, kriege ich direkt die Meldung „could not bind - adress or port already in use“ (oder so ähnlich). Der Port lässt sich ja nicht auf einfachem Wege ändern - spielt aber auch keine Rolle, da wir ja eine komplett andere IP-Adresse haben.
Ohne wirklich Ahnung von Homematic oder Bidcos zu haben, mal so ins Blaue hineingedacht: Es klingt ein wenig so, als ob die Kommunikation (und sei es nur die erste Kommunikation) über Broad- oder Multicast geht. Das würde Dein Problem erklären: das geht nämlich genau bis zum Router und kein Stück weiter. Sniff doch mal mit,ob da Multi- oder Broadcast Adressen kommen…
Oder ignorier diesen Post, wenn es kompletter Unfug ist
@paresy: mit dem php-snippet ändere ich doch „nur“ den port des Ereignisservers (=IPS-Servers), richtig? D.h. meine beiden BidCos-Service könnten schon beide auf Port2001 sein, aber ich benötige zwei unterschiedliche Ereignisserver-Ports? Wie realisiere ich das auf einer Maschine?
@mcbelly: klingt logisch. Kann das jemand bestätigen? hier muss ich nämlich zugeben, dass ich nicht der totale Netzwerkprofi bin, müsste erstmal schauen, wie ich sowas sniffen kann. Ich weiß aber, dass mein pfSense-VPN zwar wunderschön routet, jedoch kein Multicast/Broadcast durchlässt.
Das wäre aber wirklich ein starkes Stück von eQ3. Bauen die Teile sogar mit Gateway-Unterstützung (lässt sich ja in der LAN-Adapter-Konfig durchaus eingeben), aber ohne Broadcast geht trotzdem nichts?!
Und wenn es so ist, kann man sowas umgehen? (außer das Netzwerk auch Multi-/Broadcasts transportieren zu lassen?)
Wenn es wirklich eine software-seitige Beschränkung geben sollte, dass es nur im gleichen Subnetz funktioniert, könntest Du das mit einem statischen NAT lösen.
Eine deiner PfSense-Boxen macht dann aus 192.168.1.50 in einem Subnetz B z.B. die 192.168.2.40. Somit hast Du einen IPS-Rechner „direkt“ im Subnetz B. Mit den gleichen Mitteln dann noch auf dem Rückweg aus der 192.168.2.60 eine 192.168.1.70 machen. Somit sieht es für den IPS-Rechner aus als wenn der 2. LAN-Adapter im Subnetz A steht. Jetzt sieht es für beide Systeme aus, wie wenn sie nur mit einem Subnetzt zu tun haben …
Ich hab jetzt leider keine PfSense-Box mehr am laufen, aber solche statischen NAT-Einträge sollten die können.
Zur Fehleranalyse kannst Du bei PfSense glaube ich das Logging für einzelne Firewall-Regeln einschalten. Also Regeln erstellen die den Traffic erlauben das Logging einschalten und mal auf beiden Boxen schauen ob auch wirklich alles ankommt.
Du kannst da mal mit Wireshark rangehen. Ist ein Sniffer Tool. Dort siehst du sofort ob da mit Broadcasts gearbeitet wird. Wenn ja, gäbe es hier wieder Möglichkeiten via Broadcast Proxys usw… hab ich selbst auch noch nie probiert. Würde mich echt wundern! Ich bekäme da auch ein Problem wenn ich mit HM beginne, hab sicher auch mal zwei verschiede Subnetze!! Bin gespannt was du noch rausfindest!
Den BidCos Service auf einer Maschine zwei mal zu starten geht soweit ich weiß nicht. Post 2001 darf es gerne 2x sein. Und die Aussage mit dem Ereignisserver ist auch korrekt.
Hallo,
Habe den LAN Adapter in der Firma via VPN mit der CCU Problemlos am laufen. @Home habe ich weitere 2 LAN Adapter mit der CCU gekoppelt. Funktioniert soweit Problemlos…
Es muss dann wohl an deinem VPN liegen…
Als Router setzte ich FLi4L ein.
Ein Ping ist nicht wirklich ein Nachweis, ob ein Gerät über einen gewissen Port erreichbar ist. Lediglich das beim Empfänger TCP/IP korrekt funktioniert. Ping nutzt ICMP.
Firewall zwischen VPNs ist nicht wirklich fein… Und IMHO unsinnig aber man weiß ja nie was die Routerbauer sich so alles ausdenken.
Kann auch die PC Firewall sein… Win7 unterscheidet in der Firewall zwischen LAN und WAN/MAN.
OT, aber ich muss es rauslassen Firewalling zwischen VPN’s ist absolut nichts unsinniges. Du kannst weiß Gott wieviele verschiedene Anbindungen über VPN realisieren und jeder VPN muss nicht dieselben Rechte inselbe Netz oder auf dieselben Hosts bekommen wie andere?! Das ist ein Feature auf das ich zum Beispiel sehnlichst bei der PFSense 2.0 gewartet habe, ich habe allerhand Leute in mein Netz eingebunden, die sollen sich aber untereinander nicht sehen oder nur bedingt, sie sollen auch nicht mein IPS bedienen können…also Firewall zwischen VPN’s ist alles andere als unsinnig…so jetzt ist’s raus
Jajaaaaa…
habt ja gewonnen
`ne Firewall zwischen VPN´s kann Sinn machen
Wobei ich VLAN bzw. getrennte Netze (auf Protokollebene) dann doch einfacher finde…
Schönen Sonntag noch und
LG
//Sven
es gibt Neuigkeiten: nachdem ich heute lokal in meinem Subnetz B auch nichtmehr zum LAN-Adapter verbinden konnte, musste ich erstmal schlucken und in tausend neue Richtungen denken. Irgendwann hab ich dann mal in den IP-Settings des Adapters die AES-Encryption abgeschaltet. Seitdem läuft es nicht nur lokal wieder, sondern sogar über den VPN-Tunnel von meinem IPS-Rechner im anderen Subnetz aus!
Äußerst komisch - die LAN-Adapter scheinen richtig zickige Biester zu sein. Ich denke jetzt doch drüber nach, ob es sich um einen Hardware-Defekt handeln könnte?
Sehe ich das richtig, dass die Verschlüsselung sich „nur“ auf die Ethernet-Ebene, also nicht auf den BidCos-Funk, bezieht? Wohl ist mir dabei trotzdem nicht…
es sind beides meine locations (die auch noch recht dicht aneinanderliegen). die tatsache, dass ich auf Grund technischer notwendigkeit mehr als ein 24er-subnetz brauche, dürfte lizenztechnisch /völlig/ irrelevant sein.
