In dieser Anleitung zeige ich euch, wie ihr für eure Domain (Beispiel: stueben.org) ein Wildcard-Zertifikat erstellt. Der große Vorteil: Ein einziges Zertifikat deckt automatisch alle zukünftigen Subdomains ab (z. B. test.stueben.org, huhu.stueben.org). Ihr müsst also nicht für jeden neuen Dienst mühsam ein separates Zertifikat anfordern.
Die Ausgangslage: Dynamisches DNS (DDNS)
Da sich die heimische IP-Adresse meist täglich ändert, nutzen wir einen DDNS-Dienst (hier: stueben.selfhost.eu). Unser Ziel ist es, dass alle Anfragen an *.stueben.org automatisch an diese Adresse weitergeleitet werden.
Schritt 1: Vorbereitung bei IONOS (Wildcard-CNAME)
Zuerst müssen wir sicherstellen, dass eure Domain weiß, wohin sie Anfragen senden soll. Dafür richten wir einen Wildcard-CNAME-Eintrag ein:
Loggt euch bei IONOS ein und navigiert zu Domains & SSL.
Wählt eure Domain stueben.org aus und klickt auf den Reiter DNS.
Klickt auf Record hinzufügen und wählt den Typ CNAME aus.
Füllt die Felder wie folgt aus:
Hostname:* (Das Sternchen dient als Platzhalter für alle Subdomains).
Zeigt auf (Value):stueben.selfhost.eu
TTL: 1 Stunde (oder 3600 Sekunden).
Klickt auf Speichern.
Hinweis: Durch diesen Eintrag werden nun alle Aufrufe – egal ob test.stueben.org oder huhu.stueben.org – direkt an eure aktuelle Heim-IP weitergeleitet.
Schritt 2: Portweiterleitung am Router
Damit der Nginx Proxy Manager (NPM) die Anfragen aus dem Internet empfangen kann, müsst ihr an eurem Router (z. B. FRITZ!Box) folgende Portfreigaben einrichten:
Port 80 (HTTP) -> weiterleiten an die IP des NPM (Port 80)
Port 443 (HTTPS) -> weiterleiten an die IP des NPM (Port 443)
Schritt 3: IONOS API-Zugriffsschlüssel erstellen
Um ein Wildcard-Zertifikat via DNS-Challenge zu erhalten, muss NPM beweisen können, dass euch die Domain gehört. Das geschieht über einen API-Schlüssel.
Erstellt einen neuen Zugriffsschlüssel (z. B. Name: „Lets Encrypt“).
Wichtig: Kopiert euch den Präfix und das Secret (Verschlüsselung) sofort heraus. Sobald ihr das Fenster schließt, wird das Secret nie wieder angezeigt!
Schritt 4: Zertifikat in NPM erstellen
Nun wechseln wir in die Weboberfläche des Nginx Proxy Manager.
Navigiert zum Reiter SSL Certificates und klickt auf Add SSL Certificate -> Let’s Encrypt.
Domain Names: Tragt zuerst stueben.org ein und bestätigt mit Enter. Tragt danach *.stueben.org ein und bestätigt erneut.
Aktiviert die Option Use a DNS Challenge.
Wählt als DNS Provider den Eintrag Ionos aus.
Im Feld für die Konfiguration ersetzt ihr die Platzhalter durch eure Daten:
Akzeptiert die Nutzungsbedingungen von Let’s Encrypt und klickt auf Save.
Der Vorgang kann 1–2 Minuten dauern, da NPM über die API einen temporären DNS-Eintrag bei IONOS schreibt, um die Inhaberschaft zu verifizieren.
Fertig!
Das Zertifikat ist nun einsatzbereit. Wenn ihr jetzt einen neuen Proxy Host in NPM anlegt (z. B. für nextcloud.stueben.org), könnt ihr unter dem Reiter „SSL“ einfach das soeben erstellte Wildcard-Zertifikat auswählen.
Ich habe meine Fritzbox 7490 durch ein DrayTek Vigor 167 DSL Modem ersetzt um doppeltes NAT zu verindern.
Im Einsatz habe ich ein UCG Ultra, mehrere Switches und Access Points . Bis auf das DrayTek Modem sind alle Geräte von Unifi. Als IPTV Receiver habe ich die Telekom Receiver MR401 und MR301 im Einsatz.
Nach der Anleitung aus Björns Techblog habe ich die Unifi Geräte für MagentaTV eingerichtet. Das funktionierte erst einmal super. Das anfängliche einfrieren des TV Bildes nach ein paar Sekunden konnte ich damit unterbinden. Nur leider hatte, ich jetzt das Problem, dass das TV Bild manchmal nach mehreren Minuten (zwischen 5 und 60 Minuten) aus unerfindlichen Gründen für mehrere Sekunden einfror. Nach ein paar Sekunden ging es dann normal weiter. Ab und an half aber nur, den Telekom Receiver an-/auszuschalten. Danach konnte ich wieder mehrere Minuten störungsfrei Fernsehen schauen, bis das Spiel von vorne losging.
Ich war schon kurz davor das DrayTek Modem wieder durch die Fritzbox 7490 zu ersetzen und die Telekom Media Receiver direkt mit der Fritzbox zu verbinden. So funktionierte es jahrelang wunderbar.
Ich habe jetzt mehrere Wochen alles mögliche versucht, bis ich für mich die Lösung gefunden habe. Im Unifi Controler (UniFi Network Application 8.3.32) auf dem UCG Ultra habe ich unter den Internet Setting für WAN1 (PPPoE Verbindung zum DrayTek Modem), IPTV Streaming (IGMP Proxy) nur für mein IPTV VLAN aktiviert habe. Weiterhin habe ich Multicast Filtering (IGMP Snooping) unter den globalen Netzwerkeinstellungen deaktiviert und das IPTV VLAN aus den IoT Auto-Discovery (mDNS) entfernt. Weiterhin habe ich zusätzlich zu den Firewallregeln aus Björns Techblog noch zwei weitere Firewallregeln hinzugefügt, um zu verhindern, dass andere VLANs mit dem IPTV VLAN kommunizieren können.
Nachfolgend einmal meine komplette Konfiguration. Das meiste davon, ist identisch zu denen beschrieben in Björns Techblog.
Folgende Virtuelle Netzwerke (VLANs) gibt es. Betrachtet wird hier hauptsächlich nur das VLAN70 für MagentaTV.
Virtuelle Netze
IP Range
Beschreibung
VLAN1
192.168.1.0/24
Management Netz
VLAN5
192.168.5.0/24
DrayTek Management Netz
VLAN20
192.168.20.0/24
Privates Netz (Familie)
VLAN25
192.168.25.0/24
IoT Netz für Smarthome Geräte
VLAN70
192.168.70.0/24
IPTV Netz für MagentaTV
VLAN100
192.168.100.0/24
Gästenetz
Als erstes ist auf dem DrayTek Vegor 167 sicherzustellen, dass der VLAN Tag auf 7 gestellt ist. Alternativ kann das Tagging auf auf der Unifi UCG in den Internet WAN Einstellungen vorgenommen werden. Dieser muss aber auch hier unbedingt auf 7 gestellt werden. Mit diesem VLAN Tag werden die Daten von der Telekom bereitgestellt.
Als nächstes ist das VLAN für MagentaTV anzulegen. Hierbei muss IGMP Snooping umbedingt deaktiviert werden. Ist IGMP Snooping aktiv, friert das Bild nach mehreren Minuten für ein paar Sekunden ein. Prüfe vorsichtshalber, dass auch in den globalen Netzwerkeinstellungen Multicast Filtering (IGMP Snooping) deaktiviert, bzw. das VLAN70 nicht eingetragen ist.
Als nächstes sind die Firewall Regeln aus Björns Techblog zu übernehmen. Ich habe diese hier nochmals aufgeführt.
Im ersten Schritt sind für MagentaTV folgende 3 IP-Groups unter Profils auf dem Unifi Controler anzulegen.
Profile Name
Type
Address/Port
IPTV-Destination
IPv4 Address/Subnet
232.0.0.0/16 224.0.0.0/4
IPTV-Source
IPv4 Address/Subnet
87.141.215.251
IPTV-Port
Port Group
10000
Die IP-Gruppen sehen dann wie folgt aus:
Nun sind die vier Firewallregeln (Advanced) für MagentaTV einzurichten. Diese müssen umbedingt so wie im Screenshot erstellt werden. Es gibt die 2 Regeln „IPTV“ und „Allow IGMP to LAN“ vom Type „Internet In“ und 2 Regeln „IPTV“ und „IGMP Proxy“.
Nun gibt es noch eine zustäiche Firewallregel (Simple), die sicherstellt, dass keine Daten aus anderen VLANs in das VLAN70 (MagentaTV) und umgekehrt gehen.
Die Ports an den Switches für das MagentaTV VLAN70 sind wie folgt zu konfigurieren. Alles VLANs bis auf das VLAN70 sind zu blocken.
Weitere Einstellungen waren nicht notwendig. Alles konnte über den Unifi Controller (UniFi Network Application 8.3.32) konfiguriert werden.
Meldet man sich mit dem iPhone und iPad mit iOS 11 und iOS 12 am Unifi Accesspoint an, kann es zur Fehlermeldung „falsches Passwort“ kommen. Der Fehler tritt nur an einem meiner 3 Unifi Accesspoints auf.
Der Grund für den Fehler ist die WiFi-Verwaltung auf iOS-Geräten. Die Standardeinstellungen für den Unifi-Bereich sind nicht mit denen von iOS 11 und iOS 12 kompatibel. Der „DTIM-Modus“, der aufgrund von Stromsparmaßnahmen mit der Beacon Timing Einstellung zu tun hat, steht bei den Unifi WiFi-Geräten auf 1, es wird jedoch empfohlen, diesen Wert für Apple Geräte auf 3 oder höher zu setzen.
Melde Dich am Unifi Controller an. Öffne die Administrationsoberfläche, gehe auf die Einstellung und wähle den Bereich WiFi (Wireless Networks) aus. Wähle das WLAN aus an dem sich die iOS-Geräten der Fehler „Falsches Kennwort“ auftritt. In diesem Abschnitt kannst Du die Konfigurationsschritte folgendermaßen anwenden:
Öffne die 802.11-Raten- und Beacon-Steuerung Deaktiviere das Kontrollkästchen DTIM-Modus für Standardwerte verwenden Stelle das DTIM-Timing für 2G und 5G auf 3 ein
Diese Konfiguration funktioniert besser mit den Energiesparfunktionen von iPhone- und iPad-Geräten in einem WiFi-Netzwerk, das mit Ubiquiti Unifi Wireless Access Points betrieben wird.
Radfahren tue ich schon seit Ewigkeiten mit meinem iPhone in Verbindung mit der Garmin Forerunner 920XT und der Garmin Connect App. So kann meine Frau mich im Notfall finden. Auch bin ich den Hamburg Marathon so gelaufen. Meine Familie und meine Freunde konnten immer genau sehen wo ich mich gerade befand. Das war und ist nicht gerade die optimale Lösung. Das iPhone wiegt auf Dauer zu viel, ist zu sperrig und die Akkuleistung ist begrenzt. Auch sind bei einigen Wettkämpfen Smartphones berechtigterweise verboten. Daher habe ich mich auf die Suche nach einer anderen Lösung gemacht und bin über den winzigen GPS-Tracker RF-V16 von ReachFar gestolpert. Dieser ist gerade mal 4,00 cm x 3,40 cm x 1,40 cm groß und wiegt gerade mal 27 Gramm. Abhängig in welchen Abständen die aktuelle GPS Position übermittelt wird, hält der Akku bis zu 12 Tage.
Der ReachFar GPS-Tracker RF-V16 erhält man bei Amazon schon für 26 EUR. Zusätzlich muss man noch eine GSM Micro SIM Karte erwerben damit die aktuelle GPS Position online übertragen werden kann. Ich habe mich für eine Prepaid Karte von Congstar für 10 EUR entschieden. Auch diese ist bei Amazon erhältlich. Es geht aber natürlich auch jeder andere D oder E Netz Provider. Wichtig, die SIM Karte bzw. der Mobilvertrag (Prepaid Vertrag) muss unbedingt für Daten freigeschaltet sein. GPRS (Edge) ist ausreichend, da 3G oder LTE vom Tracker nicht unterstützt wird. Das Datenvolumen zur Übermittlung der aktuellen GPS Position hält sich in Grenzen, daher halten sich die Kosten im Rahmen.
Vereinfacht dargestellt ist ein GPS-Tracker ein GPS Empfänger und ein Handy in einem Gerät. Der GPS Empfänger ermittelt die Koordinaten des aktuellen Standortes anhand von Satelliten. Der Standort (Koordinaten) wird dann anschließend über das Mobilfunknetz übermittelt.
Was kann der GPS-Tracker RF-V16 alles
Der GPS-Tracker kann in regelmäßigen Abständen die aktuelle Position übertragen die man entweder im Internet unter dem Link http://www.gps123.org oder mit der iPhone AnyTracking oder der Android AnyTracking App. sich anzeigen lassen kann. Der Abstand muss mindestens 1 min betragen. Wählt man einen Wert zwischen 1 und 2 Minuten, geht der Tracker nicht in den Standby Mode. Bei einem Wert über 3 Minuten, wird die aktuelle Position übertragen und der Tracker geht bis zur nächsten Übertragung in den Standby Modus. So hält der Akku mehrere Tage. Im anderen Fall nur ein paar Stunden! Sollte man sich im Gebäude befinden oder der GPS Empfang schlecht sein, wird der aktuelle Ort anhand des GSM Netzes ermittelt. Das ist gegenüber der Standortbestimmung per GPS sehr ungenau. Da kommen schon einige 100 m an Abweichung zustande. Die Genauigkeit des GPS liegt meiner Erfahrung nach ungefähr bei 10 m.
Zusätzlich zur App. oder dem Internet kann die aktuelle GPS Position auch jederzeit per SMS abgefragt werden. Hierfür schickt man eine SMS an den Tracker mit dem Inhalt dw# . Als Antwort erhält man eine SMS mit einem Link mit der aktuellen Position in Google Maps. Nicht wundern, es kann ein paar Minuten dauern, bis man den Google Maps Link per SMS erhält. Das ist der Fall, wenn der Tracker sich im Standby Modus befindet.
Zusätzlich zur GPS Position übers Internet, per App oder als SMS kann man auch mit dem GPS-Tracker telefonieren. Dafür können bis zu 5 Notrufnummern hinterlegt werden. Wenn eine dieser Notrufnummern den Tracker anruft, klingelt dieser. Je nach Einstellung nimmt der Tracker das Gespräch eigenständig an und man kann dann miteinander sprechen. Auch andersherum geht es. Der GPS-Tracker hat 3 Tasten. S, 1 und 2. Drückt man die Tasten 1 oder 2 ca. 5 Sekunden lang, wird die SOS1 oder SOS2 hinterlegte Telefonnummer angerufen. Drückt man die Taste S ca. 5 Sekunden, wird ein Notruf an alle bis zu 5 hinterlegten SOS Teilnehmer initiiert und eine SMS mit der aktuellen Position (Google Maps Link) verschickt. Sehr viel Technik für so ein kleines Gerät!
Die ersten Schritte / Konfiguration des ReachFar RF-V16
Man kann den Tracker entweder über das Internet, App. oder per SMS konfigurieren. Die Konfiguration per App oder Internet hat bei mir leider überhaupt nicht funktioniert. Daher hier die Kurzanleitung der Konfiguration per SMS. Als erstes ist die Micro SIM Karte in den Tracker einzulegen. Die POWER-Taste ist für 3-4 Sekunden zu drücken, der Tracker klingelt und die LEDs leuchten. Wichtig, die SIM Karte darf nicht PIN geschützt sein und muss fürs Internet sowie SMS freigeschaltet sein.
Blaue LED (GPS Status)
Gelbe LED (GSM Status)
Langsames Blinken
sucht GPS Signal
sucht GSM Signal
Schnelles Blinken
GPS Signal gefunden
GSM bereit
Aus
GPS im Schlafmodus oder Signal nicht gefunden
GSM im Schlafmodus oder Signal nicht gefunden
Nun werden SMS an die Telefonnummer des GPS-Trackers mit folgenden Kommandos unten verschickt. Jede SMS wird mit # beendet. Als Antwort erhält man jeweils eine Bestätigungs SMS vom Tracker. Das Auslieferungspasswort ist 123456.
Master bzw. SOS1 Telefonnummer Als erstes muss die Master bzw. SOS1 Telefonnummer festgelegt werden. Über diese Telefonnummer können dann per SMS die Einstellungen des RF-V16 vorgenommen werden. <Passwort>,sos1,<Telefonnummer># Beispiel: 123456,sos1,+4917547114711#
Englische Sprache Um die Sprache anzupassen, SMS mit folgendem Inhalt versenden: lag,2#
Weitere SOS Telefonnummern Es können bis zu 5 Nofallnummer hinterlegt werden. Diese, nur diese dürfen mit dem GPS-Tracker kommunizieren. <Passwort>,sos[2|3|4|5],<Telefonnummer># Beispiel für die Notfallnummer 3: 123456,sos3,+4917208150815#
Zeitabstand zwischen Hochladen der Position Hiermit wird festgelegt in welchen Zeitabständen in Minuten die GPS Position übermittelt wird. tim,<Minuten># Beispiel für alle 3 Minuten: tim,3#
Hochladen der Ortungsdaten Ein- und Ausschalten Die regelmäßige Übertragung der GPS Position kann Ein- bzw. Ausgeschaltet werden. Einschalten: gon# Ausschalten: gofff#
Position Anfrage per SMS Um die Position als Google Maps Link als SMS zu erhalten ist folgende SMS an den Tracker zu schicken. dw#
Status des GPS-Trackers Den Status kann man mit folgendem SMS Kommando abfragen dsp#
Weitere SMS Tracker Kommandos Oben sind die wichtigsten SMS Kommandos aufgeführt. In der folgenden Tabelle sind alle mir bekannten Kommandos zusammengefaßt.
SMS Kommando
Funktion
<Passwort>,sos1,<Nummer>#
Master bzw. SOS1 Telefonnummer festlegen
sos2(3,4,5),<Nummer>#
SOS 2(3,4,5) Nummern festlegen
von,<Wert>#
Vibrationssensor Alarm gegen Einbruch einschalten ( Stufe 1 – sehr empfindlich und Stufe 4 – am wenigsten empfindlich)
voff#
Vibrationssensor Alarm gegen Einbruch ausschalten
non#
Schallsensor Alarm gegen Einbruch einschalten
ntim,<Wert>#
Schallsensor Alarmlänge einstellen
mod,1#
Alarm Methode einstellen: 1 – Anruf + SMS
mod,2#
Alarm Methode einstellen: 2 – nur Anruf
mod,3#
Alarm Methode einstellen: 3 – nur SMS
dw#
Position Anfrage per SMS
dsp#
Situation Anfrage per SMS
lag,1#
Sprachwechsel zu Chinesisch (Werkseinstellung)
lag,2#
Sprachwechsel zu Englisch
lag,3#
Sprachwechsel zu Französisch
tim,<Wert>#
Zeitabstand zwischen Hochladen der Position einstellen
gon#
Hochladen der Ortungsdaten einschalten (Werkseinstellung)
Access Point Name (APN, auch „Zugangspunkt“) um das Gateway zwischen dem Backbone des Mobilfunknetzes (z. B. GPRS, 3G oder 4G) und einem externen paketbasierten Datennetz, häufig dem öffentlichen Internet festzulegen
ip,<IP-Adresse>,port,<Port>#
IP-Adresse und Port eines externen Tracking Anbieter
surl,<DNS-Name>,port,<Port>#
Wie das Kommando ip, aber hier kann man statt der IP-Adresse den FQDN vom Server angeben. Perfekt wenn man z.B. über DDNS den GPS-Dienst erreichen möchte. Bsp. surl,my.gps.dyndns.de,port,4711#
Eine deutsche Anleitung zum GPS-Tracker RF-V16 findest Du hier!
