IP und DNS abgleichen

[Oekel]

Moin,

ich habe einen Router mit 2x WAN.
Nun befinde ich mich gerade im Urlaub (eines Landes wo ich zwingend jeglichen Traffic über zu Hause (VPN) umleiten möchte.

Doch leider sind gerade jetzt beide ISPs extrem unzuverlässig und mein Router bekommt das Failover beim DNS registrieren nicht zuverlässig hin, falls nur EINE WAN ausfällt.

Nun habe ich ein Item, welches die aktuelle IP ermittelt (und diese wird onChange bei Telegram ausgegeben)
Doch da mein Router loadBalance betreibt und dies auch so bleiben soll, feuert er an diesem Item alle 3min ein "change" raus. Ich möchte einen Weg finden beide WAN-IPs zuverlässig zu speichern/dedektieren.

Meine Idee war, über eine Kontrollschleife die DNS Auflösung zu prüfen. Aber leider finde ist kein Tool in OpenHAB, um die IP von https://meinDNSinDE.net aufzulösen.

Hat Jemand eine Idee?

LG aus Ägyp

[udo1toni]

So ganz verstehe ich den Aufbau nicht... Wenn Du zwei WAN Zugänge hast, dann hast Du auch zwei öffentliche IP-Adressen. Entsprechend benötigst Du auch zwei Items für die beiden Adressen. Je nach Router sollte dieser die IP-Adressen auch selbst abliefern können - nach extern kann man das per DynDNS ja auch automatisieren.
Ich nutze hier OpnSense mit einem WAN Port, dort kann ich aber für weitere WAN auch passend konfigurieren, um genau so etwas zu erreichen. Im schlimmsten Fall müsste ich dann halt zwei DNS Einträge ausprobieren, wenn einer der WAN Ports gerade down ist.
Aber OpnSense unterstützt auch SNMP, darüber könnte man dann aus dem LAN heraus auch gezielt die öffentliche IP abfragen und notfalls über openHAB weiter verarbeiten. Andere Router bieten ähnliche Schnittstellen.

Das größere Problem wird aber vermutlich sein, dass komplett remote einzurichten. Das ist also eher eine Lösung für den nächsten Auslandsaufenthalt, nicht für den aktuellen...

[Oekel]

Das Thema OpenSense ist ja noch Mal eine riesige Büchse der Pandora.
Irgendwann wollte ich mir das auch mal ansehen. Bin mir aber nicht sicher, ob ein leichter Einstieg gelingt.

Hauptsächlich braucht man an der Stelle ja "nur" 10Gbit Anbindung bedingt durch einige VLANs (und die habe ich definitiv)

An welchen Stellen profitiere ich denn in openHAB von OpenSense?
Kannst du einige Bsp. nennen und wo wir gerade dabei sind Quellen denen man trauen kann, was performante Leistung angeht (im Idle natürlich sparsam)

LG

[udo1toni]

Hauptsächlich braucht man an der Stelle ja "nur" 10Gbit Anbindung bedingt durch einige VLANs

Das wäre mir neu

Ich nutze als Hardware eine "Micro Firewall Appliance" mit N100, 16GByte RAM (Overkill), 2xNVMe 500GByte (Over-Overkill) und 4x2,5GBit/s Ethernet Schnittstellen, allerdings ist mein LAN nur mit 1 GBit/s aufgebaut (und ich sehe ehrlich gesagt nicht, warum ich daran etwas ändern sollte) Das einzige, was ich an der Appliance vermisse, ist eine vollständige UART Schnittstelle (kein USB, echtes RS232!) um den externen GPS-Empfänger incl. Takt anschließen zu können...
Meine Verbindung zum Internet läuft (momentan noch) über VDSL2 Super Vectoring mit einem Draytek Vigor 167 Router (unkonfiguriert, läuft als reines Modem, Zugangsdaten sind in OpnSense hinterlegt).
Ich betreibe neben dem "Haupt-LAN" drei separate VLANs (nur WLAN über Ubiquiti U6+ und AC lite) für "vollen Zugriff", "Zugriff ausschließlich auf das Internet" und "Kein Zugriff auf das Internet".
Priorisierung für Media over IP habe ich bisher nicht gebraucht, das könnte ich natürlich als weiteres VLAN einbauen, ebenso wie Telekommunikationsdienste, aber es läuft mit 1 GBit/s völlig problemlos auch ohne weitere VLANs oder spezielle Priorisierung.
Im "Kein Internet" VLAN hängen alle IoT Geräte, die nicht zwingend auf das Internet angewiesen sind (Heizungsanlage und Küchengeräte, keine offene API, Zugang nur über die Klaut ~Kotz-Smiley~), also vor allem Tasmota, aber auch eine TC001 mit Awtrix3 und eine Wortuhr.
Die Geräte in diesem VLAN können nur mit dem mqtt Server sprechen, der in einem Container läuft, der Datenverkehr muss dazu aber durch den Router. Der Router liefert natürlich auch die genaue Zeit per NTP, in alle Subnetze.

10 GBit/s ist allenfalls im Firmenumfeld interessant, oder meinetwegen, wenn man viel 4k-Videos über Netzwerk schneidet, aber da sind wir dann definitiv weit außerhalb des Smarthome Bereichs.

Ansonsten habe ich mit OpnSense angefangen, weil IPFire kein IPv6 beherrscht und die Lernkurve war einigermaßen steil, aber für den interessierten Laien (so einer bin ich) zu bewältigen. Ich treibe nicht allzu viel auf dem Router, hauptsächlich das Management der VLANs, DHCP Server (alle bekannten Clients bekommen immer die gleiche IP-Adresse), lokaler DNS-Server, ClamAV, IDS, DynDNS-Updates, Wireguard, und das war eigentlich recht einfach zu konfigurieren.

Für die komfortable Verwaltung mehrerer WAN sehe ich keine echte Alternative (PFsense natürlich noch, aber OpnSense ist. nun ja... Open...).
Eventuell ist OpenWRT auf passender Hardware auch noch eine Option, da weiß ich aber nicht, wie komfortabel sich das inzwischen bedienen lässt.

Und natürlich gibt es noch "professionelle" Produkte, die aber meiner Erfahrung nach nur Nachteile bieten, entweder sie sind (sehr) teuer, oder sie sind schlecht konfigurierbar oder beides - neben dem offensichtlichen Problem, dass man auf Gedeih und Verderb dem Hersteller ausgeliefert ist.

Ich schwoff ab...

An welchen Stellen profitiere ich denn in openHAB von OpenSense?

Es kommt halt darauf an, was Du machen willst. Einen Benefit speziell in openHAB, speziell durch OpnSense gibt es ziemlich sicher nicht, aber es gibt natürlich viele Dinge, die man "ebenso gut" mit OpnSense lösen kann wie mit anderen Routern.
Ich nutze z.B. Wireguard zum Remote Zugriff, was sich sehr leicht einrichten lässt (vor allem verglichen mit IPSec, das war damals "der Horror" und ich habe es unter OpnSense nie richtig zum Laufen gebracht, aber mit Wireguard hatte sich das dann auch schnell erübrigt).
Die lokale Namensauflösung mit einem vollständigen fqdn mag ich auch sehr, weil ich auch diverse Container mit jeweils eigener IP betreibe, da verliert man schnell mal den Überblick, ist aber auch kein openHAB-spezifisches Ding.
Was ich bisher noch nicht umgesetzt habe, sind Zugriffsregeln für openHAB selbst, also dass openHAB nur solche Adressen im Internet erreichen darf, für die ich auch vorgesehen habe, dass sie erreichbar sind. Aber eigentlich macht openHAB keinen Unsinn, von der Seite...
OpnSense bietet auf Wunsch SNMP, worüber wiederum Dinge wie die aktuelle öffentliche IP, verfügbare Bandbreite usw. abrufbar sind, ist aber auch kein Alleinstellungsmerkmal von OpnSense.

[...] Quellen denen man trauen kann, was performante Leistung angeht (im Idle natürlich sparsam)

Puh, meine persönliche Empfehlung wäre bei Youtube sysopstv wobei
1) der Kanal sich lediglich "auch" mit OpnSense beschäftigt, mit einem recht eindeutigen Schwerpunkt auf Unternehmensumgebungen (z.B. wie richtet man einen Proxy für Let's Encrypt Anfragen ein, um gültige SSL-Zertifikate auf lokale, nur im LAN erreichbare Server zu bekommen...) und
2) der "Macher" Christian Zengel halt gerne und viel erzählt. Muss man mögen, aber inhaltlich bekommt man viel mit, auch weil sehr viele der Videos "Try and error" sind, und wie heißt es so schön? Der Kluge lernt aus seinen Fehlern, der Weise lernt aus den Fehlern anderer. Ab und zu bin ich schon bei klug angekommen...
Was die Leistung betrifft, siehe oben, leider habe ich keine separaten Messwerte, weil die Appliance gemeinsam mit Modem und zwei Switchen (einer PoE, der andere 28-Port mit 4 10-GBit/s Ports) angeschlossen ist, also quasi Infrastruktur gesamt (PoE für 2 WLAN AP, 4 IP-Telefone und knx/IP-Interface), das sind knappe 60 W, vermutlich sind davon etwa 30 Watt von der Router/Modem-Kombi aber wie oben erwähnt habe ich es bei der Appliance auch ein wenig übertrieben und es ginge für "weniger überkandidelt" auch deutlich kleiner. Das Schöne ist ja, OpnSense läuft auf Standard Hardware, die einzige Bedingung ist, dass man mehrere Ethernet Schnittstellen hat, und selbst das ist nicht mal zwingend, denn man kann OpnSense sogar als virtuelle Maschine betreiben, dort muss man dann halt virtuelle Schnittstellen bereitstellen. In großen Netzwerken evtl. eine Option, für den echten Internetzugang wohl eher nicht so gut. Jedenfalls wäre auch ein Board mit lediglich zwei 1/GBit/s Ethernet Schnittstellen ausreichend, vorausgesetzt, Du brauchst nur eine Ethernet Schnittstelle für WAN (und weitere WAN werden dann über USB angebunden), die zweite Schnittstelle führt dann alle internen LANs über VLAN auf einen Switch, der mit VLANs und getaggten Ports umgehen kann.

[Oekel]

Danke Udo für den mal weider sehr interessanten Input.
Ich weiß nicht, ob es nur mir so geht oder ob man schon sehr viel Interesse in diesen Bereichen haben muss, aber ich finde sehr viel davon bie mir wieder.
a) Als ich mit VLANs begonnen habe, trennte ich einfach max viel auf, was so geht.
Derzeit:
- Default != 1
- "vollzugriff" (backups)
- "privates WLAN" ( um die 200Mbits traffic)
- "Mieter WLAN+LAN" (schwankt)
- "offentliches WLAN" (stark gedrosselt)
- VoIP ((?? geht hier auch Videotelefonie, man weiß es nicht)
- IoT (60 Geräte, aber doch kaum Traffic)
- TV/Media (Ich streame das komplette Sat+Kabelangebot an mich, meinen Mieter und meine Eltern (VPN)

b)
- Mein Layer3 Switch ist von Ubiqui (auch nur wiel ich sehr günstig an Pro Serien gekommen bin und die Integration in OpenHab so nett fand)
- In dem Zuge habe ich dann auch alle 6 APs gegen AC-Lite /Pro getauscht. Allerdingt bin ich mit v5 noch recht zufrieden, was PreisLeistung angeht.
- Beim Router bin ich noch ganz zufrieden mit der Draytek 2865 Reihe. Und nun müsste ich überlegen, ob ich nur mir einen OpenSence hinstelle oder auch meinen Eltern, die zwecks einen zweiten OpenHab (gehostet bei mir) eine dauerhalfte VPN-Leitung "erwarten".

c)
- Ein Gedankenexperiment ist eh, sobald die Glasfaser hier angekommen ist, den kompletten Traffic (50/10Mbits meines Elternhaushaltes über meine Verbindung laufen zu lassen, um dann hier EINE solide Firewall zu betreiben.
- Wenn ich OpenSence auch in einem Docker läuft? (oder nur VM?) würde ich es gerne vorab testen. Wie schaut es dort denn mit der "einfachen" Sicherung der Konfiguration aus? --> Um sie dann ins produktivsystem zu spielen.
- Wäre wohl geneigt eine Hardware zu verwenden, die 2x SFP(+) kann, um dann gleich mit Glasfaser rein und SFP Patchkabel in den Switch zu gehen (hoffe die sind genormt; lagen meinem Bei)

Lese nun erst mal SNMP nach und gucke die empfohlen Videos...

[udo1toni]

Ja, das ist schon ein ordentlich großes privates LAN

Wenn Du allerdings schon so viel von Ubiquiti hast, dann schreit das eher nach einer UDM pro (oder vergleichbar...), einfach weil dann alles über den Controller extrem komfortabel konfiguriert werden kann. Ist natürlich nicht so cool wie eine OpnSense und die OpnSense ist wesentlich universeller, aber das, was Du brauchst, also Multi-WAN, VLAN, Separation, VPN (auch Wireguard...) ist alles in der Dream Machine enthalten.

By the way, es heißt wirklich OpnSense, nicht OpenSense... https://opnsense.org/

Zu b), letzter Punkt: Moment: Deine Eltern haben (auf dem gleichen Grundstück?) einen eigenen Internetzugang, aber das openHAB System für sie läuft bei Dir? Das ist ja quasi das Gegenteil von dem, wie man es eigentlich machen sollte... Besser (und nachhaltiger) wäre eine eigene openHAB Instanz bei Deinen Eltern und Du greifst bei Bedarf remote zu.
Zu c) Das wäre dann die nächste Ausbaustufe, und wenn eh der gesamte Datenverkehr komplett über Deinen Anschluss läuft, kann auch die zweite openHAB Instanz bei Dir stehen - ob nun in Form eines Pi oder als VM spielt dann keine Rolle.

Was SFP(+)-Module betrifft, so muss ich Dich zumindest etwas auf den Boden zurück holen es gibt massig verschiedene Module, die allesamt unterschiedliche Parameter abdecken, denn Glasfaser ist nicht gleich Glasfaser. Angefangen beim Anschluss, der von Telekom&Co. kommt, der (wenn nicht gerade extra Profi-Anschluss) mit ziemlicher Sicherheit GPON ist - eine Faser, die bidirektional genutzt wird (mit unterschiedlichen Wellenlängen). Das GPON-Modul hat ein komplettes Modem integriert und kommt gewöhnlich direkt vom Provider - man kann die aber auch hacken, und tatsächlich schreibt die Bundesnetzagentur vor, dass der Provider die Zugangsdaten zur Verfügung stellen muss. Es reicht auch bei Glasfaser nicht, ein Modem zum Kunden zu stellen und zu sagen: "Friss oder stirb!"
Innerhalb eines LAN sind hingegen unidirektionale Glasfaserverbindungen üblich (natürlich jeweils paarweise). Aber damit ist es nicht genug, denn es gibt nicht nur zusätzlich Multi-Mode und Mono-Mode Glasfasern, nein, es gibt (beide Sorten) auch noch mehrere Wellenlängen(-bereiche). Entsprechend gibt es auch jeweils passende SFP(+) Module, die bitte jeweils zur eingesetzten Hardware und zum Gegenstück passen sollten (welches seinerseits zur verwendeten Hardware passen muss). Und dann kommt noch die zu überbrückende Entfernung ins Spiel, aka die Sendeleistung und Empfindlichkeit des Empfängers (das SFP Modul ist ja Ein- und Ausgang in einem).
Innerhalb eines Gebäudes ist das Verlegen von Glasfaser noch aus anderen Gründen nicht ganz einfach, unter anderem, weil die Konnektoren schon an der Faser angebracht sind. Man muss also trotz wirklich dünner Leitung "riesige" Löcher bohren und muss außerdem aufpassen, den Lichtleiter nicht zu stark zu biegen, und unter keinen Umständen jemals zu knicken. Dennoch kann Glasfaser innerhalb eines Gebäudes - und auf jeden Fall gebäudeübergreifend auf einem Grundstück - die günstigste und sicherste Verbindung darstellen.
Steht der Switch direkt neben dem Router und beide haben einen SFP(+) Port, ist hingegen eine direkte Kupferverbindung sinnvoller https://www.google.com/search?q=sfp%2B+Kabel so eine Verbindung setze ich seit Jahren zwischen zwei Switchen ein (1 GBit/s, weil der eine Switch nur 1 Gbit/s unterstützt) und man spart sich den ganzen Stress mit dem Reinigen der Steckverbinder vor jedem(!) Steckvorgang und nach ein paar Jahren den Austausch der SFP Module wegen Alterung der Laser-Dioden.

[Oekel]

Zu SFP(+):
Also ich habe mich bewusst im Gebäude pro PoE und gegen Glasfaser entschieden.
Der Serverschrank steht im Keller direkt neben dem Leerrohr, wo Glasfaser rein kommen soll. Die OpnSense würde also auch direkt in dem Schrank wandern. Länge zum Glasfaser HÜP 2m. Zum Backbone Switch 30cm.

Zu meinen Eltern
Nein es ist nicht das gleiche Grundstück.Nichtmal das gleiche Bundesland. Daher fahre ich auch ungern für IT-Anfragen raus.
Selbstverständlich sind es zwei getrennte OpenHAB, die jeweils eigenes MQTT, zifbee2mqtt und zwave2mqtt fahren.
Die Docker dafür laufen auf meinem Server. Nur die Antennen befinden sich an jeweils einem pi und schaufeln zuverlässig die Daten via ser2net in mein Netz an meinen Server.
Klingt kompliziert ist aber aus meiner Sicht das modularste und ich könnte von heute auf morgen einen Server dort hochfahren.

[udo1toni]

Zu meinen Eltern
Nein es ist nicht das gleiche Grundstück.Nichtmal das gleiche Bundesland. Daher fahre ich auch ungern für IT-Anfragen raus.

Dann verstehe ich Deine Idee nicht. Du brauchst auf beiden Grundstücken einen Zugang zum Internet. Der geschieht immer über einen Router, den kannst Du nicht wegsparen. Und es ist keine gute Idee, sämtlichen Netzverkehr über eine VPN zu Dir zu tunneln, nur um eine zweite Firewall zu sparen. Mit Firmenstandorten kann so etwas sinnvoll sein, und zwar, wenn die Firma ohnehin ein eigenes Netz betreibt.
Sobald aber der Datenverkehr auch nur in die Nähe vom Internet kommt, braucht es so oder so an jedem Standort eine eigene Firewall. Verwalten kann man die prima auch aus der Ferne. Je nach Entfernung kann man sich überlegen, ob es sinnvoll ist, vor Ort Ersatz Hardware bereitzustellen, die dann nur angeschlossen werden muss, um schnellstmöglich wieder online sein zu können, und es bietet sich dann an, jemanden vor Ort zu haben, der das zuverlässig erledigen kann.

Selbstverständlich sind es zwei getrennte OpenHAB, die jeweils eigenes MQTT, zifbee2mqtt und zwave2mqtt fahren.
Die Docker dafür laufen auf meinem Server. Nur die Antennen befinden sich an jeweils einem pi und schaufeln zuverlässig die Daten via ser2net in mein Netz an meinen Server.

Und genau das ist ja nicht sinnvoll. Alle Daten müssen übers Internet, um auch nur aufgezeichnet zu werden, von Rules mal ganz zu schweigen.
Es kommt natürlich auch etwas darauf an, was openHAB erledigen soll. Solange es meinetwegen nur um die Erfassung der Temperaturen und entsprechende Steuerung, sowie Zeitsteuerung der Rollläden geht, mag das noch akzeptabel sein, ein Bewegungsmelder, dessen Bewegung registriert, dann übers Internet verschickt, verarbeitet, passende Befehle zurück geschickt schließlich zum einschalten des Lichts führen ist zumindest grenzwertig. Das mag in 99 % der Fälle innerhalb einer akzeptablen Zeit funktionieren, und dann funktioniert es plötzlich nicht. Dann kann man auch gleich den Cloud Dienst von Hersteller xyz nehmen oder openHAB in der Cloud hosten (bitte nicht).

Klingt kompliziert ist aber aus meiner Sicht das modularste und ich könnte von heute auf morgen einen Server dort hochfahren.

Sinnvoller wäre ein kleiner Server vor Ort (z.B. ein alter NUC) auf dem Du docker laufen lässt. Alles, was vor Ort gebraucht wird, läuft über diesen Server. Der Server lässt sich sehr komfortabel vom eigenen Schreibtisch aus managen, aber das Remote System funktioniert auch bei Internetausfall ohne Einschränkungen (sofern nicht auf Daten aus dem Internet angewiesen).
Ich habe hier seit einiger Zeit einen kleinen Server bei unserer örtlichen Kirchengemeinde aufgestellt (Stichwort ursprünglich: Digital Signage, inzwischen aber auch WLAN Verwaltung, Einbruchüberwachung...) und ich fahre nur vor Ort, wenn wir Geräte austauschen müssen (letztens alle AP getauscht, Switche gegen gemanagte Varianten getauscht, IP-Telefone auf PoE umgestellt... sowas halt), alles, was Wartung von Router, Firewall, WLAN usw. betrifft, mache ich von Zuhause, und das, obwohl ich gerade mal etwas über 500 m Luftlinie entfernt bin.

[Oekel]

Ja ich werde deinem Rat wohl folgen und einen Zweitserver ins Elternhaus verpflanzen.
Und OpnSense wird wohl auch dieses Jahr Einzug in mein Gebäude erhalten.
Ich tendiere dabei stark zu der Hardware, welche hier im Kommentartext steht: https://www.youtube.com/watch?v=XUN4gCs ... nel=AGTech

Ich es denn generell ratsam die OpnSense komplett alleine auf der Hardware laufen zu lassen, oder darf sich da noch die ein oder andere Software zu gesellen? (z.B. SmartHome oder Telefonanlage)

[udo1toni]

Ist es denn generell ratsam die OpnSense komplett alleine auf der Hardware laufen zu lassen, oder darf sich da noch die ein oder andere Software zu gesellen? (z.B. SmartHome oder Telefonanlage)

Router sind Router und wenn Du nicht extrem tief in der Materie drin steckst, würde ich generell die Finger davon lassen, weitere Anwendungen direkt auf dem Router laufen zu lassen (also abgesehen davon, was OpnSense da selbst anbietet).

Eine Alternative kann sein, die OpnSense virtualisiert auf einem Proxmox laufen zu lassen, allerdings bietet das seine ganz eigenen Probleme, und je nach gefordertem Durchsatz (Stichwort 10 GBit/s) dürfte es da auch recht schnell eng werden.