wie realisiere ich einen Fernzugriff auf FHEM (FB7390)

[M aus B.]

Hallo,

nachdem die Suchfunktion mich auch nicht schlauer gemacht hat, nochmal die Frage:

Ich erreiche per HTTPS meine FritzBox-Oberfläche von überall, aber nicht FHEM. Im eigenen Netz funktioniert alles wunderbar.
Muss ich einen Port freigeben ? Die FritzBox läßt Portfreigaben mit der eigenen IP nicht zu.

Vielen Dank

Michael

[Ralph]

http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?portal=VPN

[upsbomber]

Hi
Einfach über VPN machen
Klappt wunderbar von überall aus, nutze ich auch

Gruß jürgen

[Puschel74]

Hallo,

VPN über die FritzBox ist genial - wenn die FritzBox nicht als IP-Client im Netzwerk hängt sondern als Router :-(

Wir haben ein Kabel-Modem das die Verbindung aufbaut und damit hat sich der AVM-VPN-Modus erledigt.
Gibt es evtl. noch eine Möglichkeit über einen RasPi im Netzwerk einen VPN-Tunneln auf zu bauen?

Grüße

[Ralph]

Du könntest die FB im Kabelmodem als Exposed Host erklären.

[crissiloop]

Hallo Micha,

ich habe es mit Hilfe dieses Wiki Eintrages gelöst: http://www.fhemwiki.de/wiki/FritzBox_Webzugriff_absichern
Der Vorteil ist, dass man dazu keinen VPN-Client benötigt. Und im unteren Teil ist auch der Link zur Anleitung zwecks interner Portweiterleitung.

@Puschel74: Wenn du zufällig bei KabelDeutschland bist: die Bridgefunktion kennst du? Damit wird der KD Router ein "dummes" Modem und deine Fritzbox fungiert richtig als Router und dann geht auch VPN.

Gruß
Christian

[Puschel74]

Hallo,

@Puschel74: Wenn du zufällig bei KabelDeutschland bist:

Nein. Wir sind bei Kabel-BW.
Ich weiß aber nicht ob das da auch geht.

Grüße

[ujaudio]

Hallo, ich habe das wie beschrieben (http://www.meintechblog.de/2012/08/fritzbox-interne-portweiterleitungen-einrichten/) durchgeführt und es funktioniert. Nur seitdem geht meine Webcam nicht mehr richtig, die auch mit einer Portfreigabe arbeitet. Diese kann ich nur noch lokal über die 192.168.178...Adresse sehen, aber nicht mehr über die URL. Könnte da ein Zusammenhang bestehen?

Unabhängig davon habe ich es in 3 Stunden geschafft FHEM auf der Fritzbox7390 zum Laufen zu bringen und auch andFHEM läuft auf meinem Smartphone.

Frage am Rande: ich habe für's erste die Labor-SW von AVM eingespielt (das ist auch die Version 5.5) - was muss ich tun, damit ich auf die "unabhängige" Version komme?

Einen lieben Gruß
Jürgen

[Puschel74]

Hallo,

vorher lesen oder die Suchfunktion nutzen.

FHEM komplett von deiner FB entfernen und nur und ausschliesslich die Version von fhem.de installieren.

Grüße

[Pr3mut05]

Ich habe FHEM auf einen RasPi, welcher an einer FRITZ!Box Fon WLAN 7390 hängt

Jetzt verzweifle ich jedoch am Fernzugriff
Wenn ich Port 22 für SSH freischalte, funktioniert alles
Via "IP-Adresse im Internet" oder die URL xyzxyz.myfritz.net von myFritz

Also sollte ja die Grundsätzliche Konfiguration korrekt sein

Wenn ich Port 8083 für das Webinterface freischalte bekomme ich jedoch immer ein "Diese Website ist nicht erreichbar"

Welche Einstellungen muss ich noch prüfen?!

[chris1284]

Gibt es evtl. noch eine Möglichkeit über einen RasPi im Netzwerk einen VPN-Tunneln auf zu bauen?

ohne portfreigaben nicht. ansonsten openvpn auf pi und portforward auf diesen. wird von android und ios supported und ist schnell installiert. den offenen port könnte man noch durch portknocking sichern (hab ich selbst aber nie probiert), wird zumindest of t im netz empfohlen

[CoolTux]

Ich habe FHEM auf einen RasPi, welcher an einer FRITZ!Box Fon WLAN 7390 hängt

Jetzt verzweifle ich jedoch am Fernzugriff
Wenn ich Port 22 für SSH freischalte, funktioniert alles
Via "IP-Adresse im Internet" oder die URL xyzxyz.myfritz.net von myFritz

Also sollte ja die Grundsätzliche Konfiguration korrekt sein

Wenn ich Port 8083 für das Webinterface freischalte bekomme ich jedoch immer ein "Diese Website ist nicht erreichbar"

Welche Einstellungen muss ich noch prüfen?!

Schau doch mal bitte ins FHEM Log. Eventuell steht da ja was.

https://forum.fhem.de/index.php/topic,72717.html

[Wernieman]

Hinweis bezüglich ssh-Sicherheit:
Es wird heute automatisch versucht, sich in jeden erreichbaren ssh-Server anzumelden. Habe vor 4 Wochen beruflich einen Server aufgesetzt, der innerhalb der ersten 10 Mintuen schon 10 "böse" auf dem ssh-port aussperren musste ( Stichwort fail2ban)

Kurzfassung:
Sichere Dein SSH durch eines:
a) Auf einen anderen Port (auf der Fritte) legen
b) einen Sperrdeamon, der nur X Falschversuche erlaubt (z.B. fail2ban, gibt aber auch andere)

[Otto123]

Hallo Pr3mut05,

mach doch stattdessen besser ein VPN zur Fritzbox auf, die kann das doch ganz easy.

Alles andere ist unsicher 

Gruß Otto

[Wernieman]

Naja .. SSH ist nicht unsicherer als VPN .. wenn man es "richtig macht" ;o)

Diese Diskussion hatten wir aber schon mal ;o)

[Otto123]

Er will aber einfach http

Wenn ich Port 8083 für das Webinterface freischalte bekomme ich jedoch immer ein "Diese Website ist nicht erreichbar"

Grusel 

[Wernieman]

DAS .. ist auch noch ein Thema ...

[Papaloewe]

Nur so mal zur Abschreckung.

Kennt ihr dieses Portal?
https://www.shodan.io/

Ganz einfach mal nach fhem suchen...

Gruß
Thomas

[zgadgeter]

Nur so mal zur Abschreckung.

Kennt ihr dieses Portal?
https://www.shodan.io/

Ganz einfach mal nach fhem suchen...

Gruß
Thomas

Hmmm, also doch nur via VPN? Meine Ports habe ich gerade alle zu gemacht!
Weiß jemand von einer app/Programm die schnüffelt welche Ports bei mir zuhause alle auf sind, bzw. aufgemacht wurden durch die verschiedene Gerätschaften?

[CoolTux]

Was du suchst nennt man portscanner. Nmap wäre so einer.

[Papaloewe]

Hmmm, also doch nur via VPN?

Gut erkannt. 

[Papaloewe]

Es gibt auch diverse Online-Portscanner z.B.:
http://www.subnetonline.com/pages/network-tools/online-port-scanner.php

[screetch82]

blöde frage. wenn ich ein VPN auf die Fritzbox habe. wie sehe ich denn dann die FHEM oberfläche auf dem Raspi?  Daheim habe ich von meinem tablet/PC einen Remote desktop auf den Raspi oder editiere per Browser die FHEM confi.

[CoolTux]

Einfach den Webbrowser auf rufen. Sollte über die selbe IP gehen wie bisher. Bist ja in Deinem eigenen Netzwerk.
Aber bitte nicht die config editieren. Sowas macht man nicht. Du kannst alles wunderbar über das Frontend machen. Ohne editieren

[Wernieman]

warum sollte man denn den " Remote desktop" nutzen, wenn FHEM eine html-Oberfläche hat?

Mal wieder einen Server mit GrafischerOberfläche aufgesetzt?

[zgadgeter]

Ja, aber macht Mann von von einem Firmen Rechner wo keine zusätzliche Software installiert werden kann? Gibt es ein weg von zu machen mit einer portable App bzw Programm?

Sent from my SM-N920C using Tapatalk

[Otto123]

einer portable App bzw Programm?

Smartphone -> VPN -> FHEMWEB

[zgadgeter]

Smartphone -> VPN -> FHEMWEB

Hi und danke. Ja, das funktioniert. Aber ich wollte auch ueber einen firmenrechner gehen.....

[Otto123]

Smartphone -> VPN -> FHEMWEB -> WakeOnLAN
Teamviewer im Support Modus -> Internet ->  Rechner zu Hause mit Teamviewer als Dienst -> FHEMWEB

[CoolTux]

Das muss der Firmenrechner ein von zu dir nach Hause aufbauen können. Eher unwahrscheinlich

[CoolTux]

Smartphone -> VPN -> FHEMWEB -> WakeOnLAN
Teamviewer im Support Modus -> Internet ->  Rechner zu Hause mit Teamviewer als Dienst -> FHEMWEB

Von hinten durchs Auge in die Brust.

[zgadgeter]

Smartphone -> VPN -> FHEMWEB -> WakeOnLAN
Teamviewer im Support Modus -> Internet ->  Rechner zu Hause mit Teamviewer als Dienst -> FHEMWEB

ok, guter tipp...probiere ich mal. Ginge das auch ueber Android tablet was zuhause immer an ist?

[Otto123]

https://www.teamviewer.com/de/download/android/ sieht so aus.
Aber ich habe das mit Android Steuerung nie probiert 

Wobei dann eben Android rund um die Uhr per Teamviewer erreichbar ist - das muss man auch mögen. Dann auf alle Fälle starke Konten bei Teamviewer anlegen und regelmäßig Passwörter wechseln.

[Wernieman]

Was für mich gerade der Grund wäre, es nicht zu machen!

Da ist mir ein https Zugang, über einen guten Proxy mit passender Sicherung, lieber ...

P.S. Du schriebst, das Du nichts installieren kannst, aber putty z.B. kann man auch ohne Installation laufen lassen ... und darüber geht definitiv tunneln, wenn ssh erlaubt ist (nicht überall freigeschaltet)

[zgadgeter]

Was für mich gerade der Grund wäre, es nicht zu machen!

Da ist mir ein https Zugang, über einen guten Proxy mit passender Sicherung, lieber ...

P.S. Du schriebst, das Du nichts installieren kannst, aber putty z.B. kann man auch ohne Installation laufen lassen ... und darüber geht definitiv tunneln, wenn ssh erlaubt ist (nicht überall freigeschaltet)

Ja, stimmt...PuTTY portable funktioniert....muss aber schauen ob das geht.

Sent from my SM-N920C using Tapatalk

[fiedel]

Beste Lösung für die Arbeit ist wirklich ein Reverse-Proxy. Ich habe auch erst getunnelt. Das fällt den Admins aber eher auf, als eine offene Webseite im Browser. Irgendwann ging es nicht mehr und jetzt benutze ich NGINX. Der ist einfach einzurichten (gibt hier ne WIKI- Seite dazu) und sauschnell. Wenn du dann noch einen portablen Browser nimmst, der vom Stick läuft bist du optimal "arbeitskompatibel". 
Zum Absichern des NGINX gegen Wörterbuchangriffe wäre dann noch fail2ban zu empfehlen. Dazu gibt es Anleitungen im Netz in Verbindung mit NGINX. 

Sowas macht man nicht.

Da kommt wohl der Papa durch... 

[zgadgeter]

Beste Lösung für die Arbeit ist wirklich ein Reverse-Proxy. Ich habe auch erst getunnelt. Das fällt den Admins aber eher auf, als eine offene Webseite im Browser. Irgendwann ging es nicht mehr und jetzt benutze ich NGINX. Der ist einfach einzurichten (gibt hier ne WIKI- Seite dazu) und sauschnell. Wenn du dann noch einen portablen Browser nimmst, der vom Stick läuft bist du optimal "arbeitskompatibel". 
Zum Absichern des NGINX gegen Wörterbuchangriffe wäre dann noch fail2ban zu empfehlen. Dazu gibt es Anleitungen im Netz in Verbindung mit NGINX. 
Da kommt wohl der Papa durch... 

Hi und danke. Kurz durchgelesen...scheint nur oder am besten auf einem Linux System zu funktionieren? Ginge da ein Raspberry? Oder sogar ein Synology Nas?

Sent from my SM-N920C using Tapatalk

[fiedel]

NAS ist immer schwierig. Da geht meist irgendwas nicht so, wie man es sich vorstellt. Besser Raspi oder ähnlicher Linuxrechner. Gern genommen wird auch Intel NUC oder das Äquivalent von Zotac. Falls sowas in Frage kommt, bitte noch mal im Forum suchen welcher Typ genau, denn die Stromverbräuche unterscheiden sich je nach Proz. und Chipsatz zum Teil deutlich.

[screetch82]

also soll ich ngix auch noch auf dem fhem raspberry installieren?

[Wernieman]

Kommt darauf an, was Dein RasPi noch so alles macht, d.h. ob er genug Ressourcen hat. Aber DAS kannst nur Du beantworten

[fiedel]

also soll ich ngix auch noch auf dem fhem raspberry installieren?

Zumindest bei mir geht das so. Und mein Dreamplug hat gegen den aktuellen Raspi wohl nichts mehr zu melden.
Installiere dir "htop" in der Shell und behalte die Prozessor- und Speicherauslastung etwas im Auge. Zuerst bei frisch aufgesetztem Linux und dann wie es sich beim Aufbau des Wunschsystems verändert. Auch die Reaktion der FHEM- Oberfläche ist ein Kriterium, ob der Rechner überlastet ist. Meist kann man viel mehr parallel installieren, als man denkt. Linuxe ohne grafische Oberflächen sind ziemlich ressourcenschonend.

[zgadgeter]

Nachdem ich hier alles gelesen habe, habe ich alle ports bei mir zu gemacht. Aber, bevor ich NGINX ans laufen bekomme habe ich keinen Zugriff mehr auf FHEM.
Frage ist, gibt es einen einfachen Weg doch noch zwischen durch Zugriff auf zu machen? Ich kann ja die Ports auf/zu machen über myfritz, nur kurz so das ich trotzdem kurz Zugriff habe.
Aber, das scheint auch nicht mehr zu funktionieren, oder? Hat FHEM diesen Weg (über Ports) komplett zu gemacht?
danke.

[fiedel]

Portfreigaben der FB aus der Ferne öffnen und schließen könnte übers Handy mit "myFritz" gehen.
FHEM hat einige neuere Funktionen die verhindern, dass ohne geeignetes PW + SSL kein Fernzugriff möglich ist.
Dazu bitte mal ins Logfile gucken (ggf. "shutdown restart" machen, dabei kommen solche Hinweise gern mit), oder nochmal im Forum wühlen.

[zgadgeter]

geeignetes PW + SSL kein Fernzugriff möglich ist.

Hallo und danke. Was meinst Du genau damit? PW (password?) ist schon lange drin, aber was meinst Du mit SSL? Ist das eine extra FHEM einstellung die mann jetzt braucht? Es ginge ja vorher mit demselben FHEM.
danke.

[fiedel]

Das hier musst du bei dir prüfen. SSL scheint nicht zwingend zu sein, ist aber quasi zwingend wenn man nach außen aufmacht. Ja, PW ist Passwort und mit SSL meinte ich HTTPS. Das wird ähnlich wie Passwort im FHEMWEB eingerichtet. Sieh dir mal das Attribut "HTTPS" an.   

[zgadgeter]

Mir ist ein anderer Gedanke gekommen....ich habe ja auch ein Synology zuhause laufen...und der kann eine Version von VPN womit mann mit Windows local VPN vebinden kann....
Da bin ich auch dabei es einzurichten, allerdings komme im Moment nicht weiter.
Eine Frage ist, beim windows client muss man ja die "ip addresse" des servers eingeben. Da ich ja von aussen zugreife habe ich da die myfritz addresse eingegeben...das funktioniert nicht.
Weiter sagt ja die Synology Anleitung das mann folgende ports aufmachen muss: 1701, 500 und 4500. Diese habe ich der IP Adresse des synology Servers zugeleitet.
Hat jemand sowas schon gemacht und kann hier helfen?
Welche Adresse fuer den server soll ich eingeben?
Kann ich die Fritzbox VPN parallel laufen lassen? Ich hatten irgendwo gelesen das Fritzbox VPN die selben ports braucht wie synology?
danke

[WoodstockFHEM]

Moin liebes Forum,

ich klinke mich mal in den Thread mit ein, da ich ein komisches Problem habe wo ich einfach wie Ochs vorm Berg stehe.

Ich habe per Portfreigabe über die FB einen Zugang von Ausserhalb auf FHEM. Seid einiger Zeit funktioniert dieser Zugriff nur noch über die direkte IP (externe) aber nicht mehr über die IP unabhängige MyFritz Adresse (https://nameraspi.myfritz.net:8083/fhem). Wo liegt der Fehler?!
An Einstellung habe ich auf Raspi und FB nichts geändert.

Gruß

Flo

[fiedel]

Klingt nach Namensauflösung oder geschlossenem Port.
Pinge mal

Code Auswählen Erweitern

ping NameRaspi.myfritz.net
das sollte dann gehen, genau wie

Code Auswählen Erweitern

ping www.google.de
Geht das nicht, überprüfe mal den DNS- Server- Eintrag im PC oder die myFRitz- Einstellungen.

Geht das, aber du kommst trotzem nicht drauf könnte der Port im fremden Netzwerk zu sein.
Dann hilft in der FB die Portfreigabe auf einen anderen ext. Port zu legen und diesen zu probieren.
oft geht der SSH (22). 

Aber da du ja sagst, es geht mit der direkten IP, sollte es ein DNS- Problem sein.

[Wernieman]

Aslo IP geht, DNS-Name nicht ... da sollte man überprüfen, ob denn der DNS-Name=IP

Code Auswählen Erweitern

host <dns-name>

Und Windows sollte man "ping" nehmen .... ansonsten  siehe Vorschreiber

[zgadgeter]

Das hier musst du bei dir prüfen. SSL scheint nicht zwingend zu sein, ist aber quasi zwingend wenn man nach außen aufmacht. Ja, PW ist Passwort und mit SSL meinte ich HTTPS. Das wird ähnlich wie Passwort im FHEMWEB eingerichtet. Sieh dir mal das Attribut "HTTPS" an.

Ich denke ich habe alles richtig bei mir, so wie ich es verstanden habe. Aber, es war auch vorher schon so alles eingestellt und funktionierte. Also PW muss eingegeben werden, Port weitergeleitet. Totzdem nichts. Habe das von zwei Rechnern probiert. Ich habe auch die direkte externe IP eingegeben, funktioniert aber auch nicht....jetzt weiss ich nicht mehr weiter...offen fuer weiter Hinweise...danke

[fiedel]

jetzt weiss ich nicht mehr weiter...offen fuer weiter Hinweise...danke

Fällt mir auch nur noch ein, dass ggf. an der FHEMWEB Instanz das "global" Attr. nicht gesetzt ist.

[zgadgeter]

Fällt mir auch nur noch ein, dass ggf. an der FHEMWEB Instanz das "global" Attr. nicht gesetzt ist.

Ok, das pruefe ich spaeter wenn ich zuhause bin. Danke.

[zgadgeter]

Hallo,
Zugriff von aussen funktioniert wieder.
Da ich sowieso dabei bin einen NUC FHEM server aufzubauen, der noch sehr wenige Konfigurationen hat, habe ich den Zugriff bei diesem probiert. Da habe ich schnell herausgefunden das es nur geht wenn ich tatsaechlich eine ID/Password Kombi setze:
define WEB FHEMWEB 8083 global
attr WEB basicAuth { "$user:$password" eq "Hallo:Leute" }
Nachdem ich das gemacht habe, und den Port in der Fritzbox fuer diesen FHEM aufgemacht habe, funktionierte der externe Zugriff.
Dann habe ich das gleiche gemacht bei dem urspruenglichem FHEM Server...funktioniert!
Uebrigens, bei dem zweiten Server habe ich den WEB port geaendert von 8083 auf 8082, und somit kann ich auf beide FHEM Server von aussen jetzt zugreifen.
danke alle!

[Wernieman]

Bitte sei Dir klar, das ein Direkter Zugriff auf FHEM von außen unsicher ist .....