FHEM/Raspberry nach außen im Internet absichern?

Begonnen von Rasprobby, 23 Oktober 2016, 23:54:26

Vorheriges Thema - Nächstes Thema

CBSnake

Stimmt das geht bei den Homematic nicht ;-) zu diesem Problem würde ich aber mal in nem separaten Thread fragen, hier geht die frage sicher unter

Gesendet von meinem SM-P605 mit Tapatalk

FHEM auf Debian 10, HM-Wlan, JeeLink-Wlan, Wlanduino, ConBee, TP-Link Steckdose, GHoma Steckdosen, Shelly Steckdosen

Benni

Zitat von: Rasprobby am 24 Oktober 2016, 13:34:57
Was ich noch problematisch bei FHEM auf dem Raspberry finde, ist, dass man nach einem Stromausfall die Stellmotoren für die Heizung wieder neu pairen muss, oder gibt es da einen Trick, wie sich das verhindern lässt?

Ziemlich krasser Themenwechsel :o

RaspiCOC

Zitat von: Rasprobby am 24 Oktober 2016, 14:16:50
Hallo CBSnake,

ich habe ein paar FHT8v: http://www.fhemwiki.de/wiki/FHT_8v_direkt_ansprechen

Meinst du es liegt am Gerät?

Um den krassen Themenwechsel mal in den vermeintlich richtigen Thread umzuleiten, möchte ich gern mal auf diesen Thread verweisen: https://forum.fhem.de/index.php/topic,55774.0.html

Denke, das könnte einiges erklären...

Wernieman

Nur um mal zu ergänzen:

gerade die aktuellen Angriffe durch Kleinstgeräte zeigt, das Sicherheit, auch ohne externen Zugriff, immer nötig ist. z.B. gibt es schon  genug Angriffe "über die Bande", d.h. über inen PC (MAC etc.) im gleichen Netz. Der muss nicht mal selber betroffen sein, sondern "nur" ein Browserscript ausführen ... also JEDES Gerät im Netz sollte "up to date" sein.

Habe bei mir aktuell "nur" 3 Möglichkeiten von außen zuzugreifen:
1. SSH-Zugriff (aktuell und zusätzlich Fail2Ban)
2. FritzBox-VPN (leider kein Fail2Ban möglich :o( )
3. HTTPS-Proxy weiterleitung ... aber eigentlich könnte ich auf die verzichten ;o)
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

Hollo

Zitat von: chris1284 am 24 Oktober 2016, 13:15:30
...da find ich den reverseproxy und den einfachen aufruf einer gesicherten website per standard http/https schon einfacher und angenehmer
Kannst Du da etwas mehr zu sagen/schreiben?

Hast Du dazu einen separaten Webserver auf dem "Raspberry" laufen?
Standardmäßig kommt FHEM ja mit dem "internen" Webserver und Authentifizierung aus.
Somit gäbe es nur ja oder nein.

Ich will auf folgendes Szenario hinaus:
- Zugang von extern per https auf Server  -  vorh.
- Webserver mit virtual_hosts und Authentifizierung bei externem Zugriff (intern darf direkt)  -  vorh.
- ReverseProxy auf FHEM-Raspi (somit ohne FHEM-eigene Authentifizierung)  -  wie?

(Bisher separate direkte Portweiterleitung von Fritzbox auf FHEM-Rechner mit FHEM-Authentifizierung  -  soll weg)

Ideen, Alternativen, Vorschläge?
FHEM 6.x auf RPi 3B Buster
Protokolle: Homematic, Z-Wave, MQTT, Modbus
Temp/Feuchte: JeeLink-Clone und LGW mit LaCrosse/IT
sonstiges: Linux-Server, Dreambox, "RSS-Tablet"

Wernieman

Wenn Du einen laufenden, internen erreichbaren Webserver hast, kannst Du diesen als Reverseproxy verwenden. Am besten mit Autentifizierung im Webserver, d.h. ohne Authentifizierung bekommt fhem nichts davon mit.

Hintergrund:
Die Authentifizierung im Webserver ist "von Experten" geprüft .....

Da ich nicht weiß, welchen Webserver Du verwendest, kann ich Dir nicht sagen, wie Du es einrichtest....

- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

Tedious

FHEM auf Proxmox-VM (Intel NUC) mit 4xMapleCUN (433,3x868) und Jeelink, HUE, MiLight, Max!, SonOff, Zigbee, Alexa, uvm...

chris1284

Zitat von: Hollo am 25 Oktober 2016, 11:58:36
Kannst Du da etwas mehr zu sagen/schreiben?

Hast Du dazu einen separaten Webserver auf dem "Raspberry" laufen?
Standardmäßig kommt FHEM ja mit dem "internen" Webserver und Authentifizierung aus.
Somit gäbe es nur ja oder nein.

Ich will auf folgendes Szenario hinaus:
- Zugang von extern per https auf Server  -  vorh.
- Webserver mit virtual_hosts und Authentifizierung bei externem Zugriff (intern darf direkt)  -  vorh.
- ReverseProxy auf FHEM-Raspi (somit ohne FHEM-eigene Authentifizierung)  -  wie?

(Bisher separate direkte Portweiterleitung von Fritzbox auf FHEM-Rechner mit FHEM-Authentifizierung  -  soll weg)

Ideen, Alternativen, Vorschläge?

fhem auf server, apache als reverseproxy mit https und pw ( clientauth mit zertifikat funktioniert auch hervorragend!). der fhem webserver muss nicht angefasst werden. port 433 an den pc mit dem reverseproxy weitergeleitet