video und myopenhab

[rebell21]

Ich habe mehrere IP Kameras in openhab eingebunden (über das Binding ipcamera). Das sind RTSP Kameras und die Doorbird Kamera. Das item der Doorbird ist als MPEG Stream eingebunden, die items der IP Kameras als RTSP Stream.
Auf der Openhab Web Appliaktion (basic UI) im lokalen Netz funktioniert die Anzeige der Video Streams gut (aber nur über eine image-card, in der ich die items konfiguriere). Allerdings funktioniert das nicht auf meinem Handy bzw. über myopenhab.org. Dort werden die Videos nicht angezeigt.
Ein bisschen Suchen im Internet hat ergeben, dass es eigntlich über myopenhab.org gehen sollte.

Was muss ich tun, damit das funktioniert ? Wo soll ich mit der Fehlersuche ansetzen ?

[nw378]

Sicher, dass das (ohne Portfreigab)e funktioniert?

Ich würde (und ich habe) das über VPN lösen (gelöst). Zum Beispiel wireguard. Falls du eine FRITZ!box hast, ist das der simpelste und sicherste Weg. Dein Handy meint dann, im heimischen LAN zu sein…

[rebell21]

funktioniert wireguard gut und stabil ? welchen dynDNS Provider nutzt Du ? Gibt es kostenfreie dynDNS provider ? Ich habe einen Speedport Smart Router. Der hat unter "Netzwerk->Virtuelles Netzwerk" auch die Möglichkeit, ein wireguard VPN einzuschalten. Wo gibt es eine gute Anleitung, wireguard auf Debian zu konfigurieren ?
Alternativ gibt es noch OpenVPN ? Welches der Produkte ist besser ?

Muss ich bei wireguard auch noch einen VPN Anbieter (wie z. B. NordVPN oder CyberGhost) nutzen ?

[udo1toni]

Wireguard ist allgemein sehr gut und stabil. Wie sich die FRITZ!Box oder der Speedport hier schlagen, weiß ich aber nicht, ich nutze OpnSense.
Als Clients nutze ich Android, iOS und Windows, funktioniert super stabil.

Auf dem (debian) Server musst Du dazu gar nichts konfigurieren, wenn Dein Router es direkt unterstützt, der Witz bei Wireguard ist ja, dass es Dir einen VPN Zugang zum eigenen LAN ermöglicht.

Voraussetzung für das VPN: Du brauchst einen DNS Eintrag. Und da Du mit einem SPeedport unterwegs bist, benötigst Du zusätzlich noch einen Account bei einem DynDNS Provider, ich nutze dazu deSec.io, es gibt aber auch andere Anbieter, die teilweise ebenfalls kostenlos sind. AVM bietet einen eigenen DynDNS Dienst an (MyFritz), der ist natürlich den FRITZ!Boxen vorbehalten.

Weiterhin brauchst Du das eigentliche VPN, gleich ob IPSec, OpenVPN oder eben Wireguard, wobei Wireguard das bei weitem einfachste VPN ist (bezogen auf die Konfiguration).

Grundsätzlich benötigst Du ein Private/Public Key Paar, den PublicKey und den PresharedKey für den Peer und eben den DNS Eintrag. Die Keys sollte der Speedport auf Wunsch auch automatisch generieren können, genauso sollte er die Daten als Konfigurationssatz downloadbar bereitstellen, evtl. sogar als QR Code (keine Ahnung, wie weit die Telekom da ist, bei AVM und sogar bei OpnSense ist das inzwischen Standard) -dann reicht es, die App aus dem Store Deiner Wahl zu installieren und anschließend den QR Code zu fotografieren, schon sind die Einstellungen automatisch als "Einwahlprofil" angelegt.
Für Desktops kannst Du das Profil einfach als Datei herunterladen und im Wireguard Client öffnen.
Danach reicht ein Klick auf das Profil, um das VPN aufzubauen. Du kannst dabei auch vorher bestimmen, ob lediglich der Datenverkehr in Dein LAN geroutet werden soll oder auch andere Netze (das wäre dann gewöhnlich das gesamte Internet), so kann man dafür sorgen, dass der gesamte Datenverkehr immer über den heimischen Anschluss läuft, z.B. um Werbebanner zu blocken...

Das hat dann allerdings nichts mit MyOpenHAB zu tun, die openHAB App verhält sich dann so, als wärest Du mit Deinem Gerät im Heimnetz angemeldet. Um Medien über MyOpenHAB nutzen zu können, muss man meines Wissens einen Reverse Proxy einrichten, der den erweiterten Zugriff ermöglicht (mit allen Risiken, die damit verbunden sind . VPN ist hier deutlich sicherer).

[rebell21]

Hallo,

ich kriege wireguard nicht konfiguriert.

Mein Speedport smart hat einen wireguard VPN server. Den habe ich aktiviert. Vorher habe ich einen DynDNS Dienst abonniert (No-IP) Das hat auch geklappt. Der hat mir einen festen Domain Namen zugewiesen und ist im Speedport auch registriert. Es gibt nun ein VPN im Speedport Smart Router und ich nehme an, der Speedport ist der VPN Server.

Der Speedport hat mir auch einen QR Code zum Konfigurieren von wireguard vorgeschlagen. Außerdem eine wireguard.conf. Mit dem QR Code habe ich die wireguard app nach der Installation aus dem Playstore auf dem Handy konfiguriert. Jetzt habe ich auf dem Handy rechts oben einen Schlüssel als kleines Zeichen. Ist wohl von wireguard

Vom Handy ist meine DynDNS Domain auch mit den Pingtools erreichbar. Allerdings ist mein Handy beim allg. Internetzugriff (ntv.de, t-online.de) sehr sehr langsam geworden. Wie grenzt man den Zugriff auf den openhabserver alleine ein ?

Ich habe weiter den openhabserver als Client für wireguard konfiguriert. Dazu habe ich die Datei wireguard.conf vom Speedport heruntergeladen und wireguard im openhabserver mit

Code: Alles auswählen

sudo wg-quick up wg0

gestartet.

Ich habe die lokale IP Adresse des Openhab Servers bei allowed IPs eingegeben (192.168.2.182/24). Dann kann ich das Interface wg0 nicht mehr erzeugen (Warning allowed IPs contains non zero host). Auch 192.168.2.0/24 erzeugt diese Fehlermeldung. Ich weiß nicht was in AllowdIPs stehen soll.

Das hat ein Interface wg0 erzeugt. Aber ob es geht, weiß ich nicht. Ich kann zumindest vom openhabserver mit ping domian meine Domain erreichen

Hier ist das Interface

Code: Alles auswählen

[14:13:33] openhabian@openhab-server:~$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0@if59: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether bc:24:11:62:38:00 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 192.168.2.182/24 brd 192.168.2.255 scope global eth0
       valid_lft forever preferred_lft forever
5: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none 
    inet 10.200.200.1/24 scope global wg0
       valid_lft forever preferred_lft forever

Code: Alles auswählen

[14:19:26] openhabian@openhab-server:~$ sudo wg show
[sudo] password for openhabian: 
interface: wg0
  public key: q0ljHx45bqaP+IZz2N6HceHRTywKmATvbl3U66chPms=
  private key: (hidden)
  listening port: 36854
  fwmark: 0xca6c

peer: r3RIOyzr6HKko3lZR+//ETCWLhF59DsZMkCDHDNFKRY=
  preshared key: (hidden)
  endpoint: 192.168.2.1:53280
  allowed ips: 0.0.0.0/0
  latest handshake: 14 seconds ago
  transfer: 15.33 MiB received, 52.45 MiB sent
  persistent keepalive: every 21 seconds

Ich bin mir in Bezug auf die Schlüssel unsicher. Der QR Code und die Wireguard.conf verwenden ja wahrscheinlich die gleichen privaten Schlüssel. Ich weiß nicht ob zwei Clients mit identischen privaten Schlüsseln möglich sind. Ich habe für die wireguard.conf auch ein anderes Schlüsselpaar (private und public) erzeugt und damit das Interface wg0 wieder im openhabserver erzeugt. Das interface funktioniert überhaupt nicht. Mit dem neuen Schlüsselpaar ließ sich das Interface wg0 überhaupt nicht komplett erstellen.

Aber weder der Zugriff mit "lokaler-IP-openhab-server:8080/overview" noch mit meinem DynDNS Domainnamen "DynDNSDomain:8080/overview" funktionieren. Auf dem Handy gibt es den Fehler "Netzwerk Zeitüberschreitung" oder manchmal "Netzwerk unterbrochen" oder wenn ich auf "DynDNSdomain:808/overview" zugreifen will "Die Website ist nicht erreichbar". Vom openhabserver ist meine Domain mit ping erreichbar. Wie greife ich dann vom Handy auf openhab zu ?

"DynDNSDomain:8080/overview" oder "lokale-IP:8080/overview"

Ein UPD Port 51820 st in Routerfirewall freigeschaltet


WLAN hatte ich die ganze Zeit abgeschaltet, damit das Handy im Internet läuft und nicht im LAN

[udo1toni]

Punkt 1: Der openHAB Server ist kein Wireguard Client. Der openHAB Server ist ganz normaler Teilnehmer Deines LAN. (das hatte ich weiter oben schon erwähnt).
Punkt 2: Innerhalb der Konfiguration des VPN (wireguard.conf) bzw. innerhalb der App auf das Profil und dort in den Edit-Modus wechseln (Stift oben rechts) und im Bereich "Erlaubte IPs" Dein Subnetz eintragen, also z.B. 192.168.2.0/24 wäre das für private Netze reservierte Klasse-C Subnetz 2 (/24 -> Subnetzmaske 255.255.255.0 -> alle Adressen, die sich in den ersten 24 Bit nicht von der angegebenen Adresse unterscheiden, werden über Wireguard geleitet, also 192.168.2.1 - 192.168.2.254, weil 0 das Netz selbst und 255 die Broadcast Adresse ist).

Bedenke beim Ausprobieren, dass Dein Smartphone sich gewöhnlich innerhalb Deines LAN befindet, es sei denn, Du hast WLAN deaktiviert. Insbesondere wenn die erlaubten IPs auf 0.0.0.0/0 gesetzt sind, führt das unweigerlich zu Problemen, weil auch der Wiregaurd Tunnel selbst über Wireguard getunnelt wird...

[rebell21]

Heureka - ich habe es hingekriegt. Es läuft auf dem Handy über wireguard. Ich hatte zu lange versucht, zwei VPN Kanäle aufzubauen. Der interne Weg vom Openhab Server zum Router und den Weg vom Router zum Handy im Internet. Nachdem ich den internen Weg ausgeschaltet habe, hat es sofort funktioniert. Denkfehler. Nur die Strecke vom Router zum Handy im Internet muss eine VPN Verbindung sein. Zugriff geht nun über die lokale IP Adresse "192.168.2.182:/8080/overview" vom Handy.


Danke für Deine Hilfe