UDM - Begrenzte Portweiterleitung und VPN per L2TP

Hallo zusammen,

ich habe ein Problem mit meiner UDM, bei dem ich nicht weiter komme und Hilfe benötige.

Ich möchte eine Portweiterleitung einrichten, bei der ein Port nur bei Anfragen aus dem heimischen Netzwerk weitergeleitet werden soll.

Also habe ich in der Portweiterleitungsregel als "Von" Begrenzt gewählt und den Adressbereich 192.168.0.1/16 angegeben.

Funktioniert soweit auch, bis auf mein Handy, wenn es per VPN im Netzwerk ist.

Das Handy sagt, es hat die IP 192.168.179.X, diese kann ich aus einem anderen Subnetz auch anpingen.

In der Endgeräteauflistung der UDM taucht das Handy nur auf, wenn ich im WLAN bin, nicht wenn ich über VPN im Netz bin.

Anstatt des oben genannten Adressbereichs habe ich auch mehrere identische Regeln mit unterschiedlichen Adressbereichen (z.B. 192.168.60.1/24 & 192.168.61.1/24) ausprobiert. Auch eine Regel mit genau der einen IP des VPN Handys hat keinen Erfolg gebracht.

Habt ihr eine Idee wieso das mit der Portweiterleitung für das VPN Gerät nicht funktioniert und wie ich das Problem lösen kann?

Ich hatte befürchtet, dass es zu der Frage des Wozu kommen würde.

Folgendes Szenario:

Hier läuft Home Assistant, was für diverse Geräte Lovelace Dashboards zur Verfügung stellt. Innerhalb dieser Dashboards werden auch per IFRAME Diagramme aus einer per Home Assistand addon laufenden Grafana Installation.

Bisher ist HomeAssistant nur aus dem internen Netz bzw. per VPN erreichbar.

Um mit Google Assistant kommunizieren zu können, muss ich auf HomeAssistant SSL aktivieren und hier beginnt das Problem.

Portweiterleitung für HA klappt und ist über https://dyndns:PORT erreichbar.

Die IFRAMES zu Grafana müssen nun aber auch über HTTPS angesprochen werden, also Grafana auch für SSL konfiguriert. Funktioniert auch nach einer zweiten Portweiterleitung.

Die URL der IFrames musste ich ändern von http://IP:Port/.... nach https://dyndns:Port da das Zertifikat auf den DYNDNS Namen und natürlich nicht auf die IP ausgestellt ist.

Haken an der Sache: Um die Diagramme im HA Lovelace Dashboard sehen zu können, musste ich Grafana nur authentifikationslos konfigurieren.

Durch die Portweiterleitung kommt man von außen nun direkt auf das System. Möchte ich natürlich nicht.

Jetzt kommen wir zurück zum eigentlichen Thema. Ich dachte, über die begrenzte Portweiterleitung kann ich dafür sorgen, dass sie nur greift, wenn ich aus dem Netz oder per VPN zugreife und damit für alle anderen das nach außen offene Grafana schließe.

Tja, funktioniert soweit auch, nur eben für den Fall, dass ich von unterwegs per VPN mal einen Blick auf ein Dashboard werfen möchte nicht.

Ich hoffe die Erklärung war nicht zu verwirrend.

Gerne nehme ich auch Vorschläge das Problem anders zu lösen entgegen

Theoretisch ist es das, ja.

Ich verwende einen DynDNS Dienst dafür. Ein Addon in HomeAssistant erzeugt die Zertifikate mit lets encrypt und sorgt automatisch regelmäßig dafür, dass sie vor Ablauf erneuert werden.

Was ich bräuchte wäre ein Zertifikat für die IP, nicht die DynDNS Domain, welches ich nicht regelmäßig manuell neu signieren lassen muss.

Bekomme ich das mit deinem wildcard Zertifikat mit Let's Encrypt Vorschlag hin?

Aber vielleicht nochmal kurz zu meinem Lösungsansatz. Auch wenn Portweiterleitungen dazu natürlich eigentlich nicht erfunden wurden verstehe ich noch nicht, warum es mit meinem VPN Gerät nicht funktioniert...