Kein externer Zugriff auf fhem

[edition]

Hallo zusammen

Ich nutze fhem auf einem Raspberry und habe auf meiner Fritzbox 7490 einen DynDNS Zugang eingerichtet. Der Port 8083 wird an den Raspberry weitergeleitet. Trotzdem funktioniert der externe Zugriff auf fhem nicht. Weder mit dem Handy und der andFHEM app, noch über den Browser.
Mit meinem alten Handy konnte ich noch auf fhem zugreifen. Seit dem hat sich allerdings einiges geändert. Zum einen nutze ich nun ein neues Handy, habe auf der Fritzbox die Firmware 6.82 installiert, ich bin mit meiner fhem Installation auf eine neue SD Karte umgezogen und ich habe fhem aktualisiert.
Habe ich vergessen, etwas zu aktivieren, oder ist bei der Aktualisierung eine Neuerung mit eingeflossen, die ich übersehen habe?

Der Zugriff sollte doch über http://dyndnsadresse:8083/fhem funktionieren, oder?

Zusätzlich habe ich den Port 21 einmal an den Raspberry weitergeleitet. Da sollte ich doch mittels Filezilla unter Eingabe der DynDNSAdresse und des Ports 21 eine Verbindung herstellen können. Leider auch Fehlanzeige. Als Fehler wird ECONNREFUSED - Verbindung durch Server verweigert ausgegeben.
Wo muss ich den noch etwas einstellen. Kann mir jemand einen Tipp geben?

Gruß
edition

[Beta-User]

Die Forensuche hätte Dir mit "Hilfe, ich komme von außen nicht mehr auf mein FHEM" mindestens ein Stichwort geliefert:  csrfToken.

Das steht übrigens auch in den Änderungshinweisen zur Version 5.8 (oben rechts in rot...)

Also mal abgesehen von dem nicht vorhandenen Sicherheitskonzept, das Du ggf. mal überdenken solltest. Einfache Portweiterleitung ist ... wenigstens fahrlässig.

[hoppel118]

@edition Hast du schonmal über einen VPN-Tunnel zwischen deiner Fritzbox und deinem Handy nachgedacht?

So, habe ich Zugriff auf mein gesamtes Heimnetzwerk. Das ist kein Hexenwerk mit ner Fritzbox...

Gruß

[edition]

Ok, das hatte ich nicht erwähnt, aber sämtliche Passwörter und auch csrfToken sind zur Zeit deaktiviert, weil der Zugriff nicht gelingt. Der Fehler scheint wo anders zu liegen. Ich bekomme ja auch keinen Zugriff über FTP.
Ich wollte auch keine Diskusion über Sicherheit lostreten. Drüber mache ich mir Gedanken, wenn der "unsichere" Zugriff wieder funktioniert.

edition

[Beta-User]

...dann ist es vielleicht das:

Code Auswählen Erweitern

attr WEB allowfrom

https://forum.fhem.de/index.php?topic=23994.0

[mahowi]

Das scheint kein FHEM-Problem zu sein, wenn der Port für FTP auch nicht weitergeleitet wird. Es sei denn, Du hast auf dem Raspberry gar keinen FTP-Server laufen.

[edition]

Also allowfrom ist nicht definiert. Das kann ich wohl auch ausschließen.

Der Zugriff per FTP funktioniert intern problemlos. Das ist es wohl auch nicht.

edition

[hoppel118]

Hm..., bei der Portweiterleitung kann man ja eigentlich nicht viel verkehrt machen. Poste doch mal nen screenshot.

Wie dem auch sei..., ich bleibe dabei. Vergiss die Portweiterleitung und bau dir nen VPN-Tunnel. Das ist wesentlich geiler, sicherer, was auch immer. Da ist wirklich nichts dabei:

https://avm.de/service/vpn/uebersicht/

Hast du dir diese Seite mal angeschaut? Dort wird beschrieben, wie man den Tunnel zu IOS bzw. Android aufbaut. Easy, habe aber mittlerweile keine FB mehr.

Deine Dyndns-Domain löst die richtige IP auf?

Gruß Hoppel

[rudolfkoenig]

Der Zugriff sollte doch über http://DynDNSAdresse:8083/fhem funktionieren, oder?

Nicht, wenn man kein Passwort gesetzt hat (seit 2017-06-02).
Fuer die komplette Geschichte siehe https://forum.fhem.de/index.php/topic,72629.0.html

[edition]

Aahhh!
Jetzt geht es wieder. Ich habe für WEBphone das csrfToken auf none gesetzt und einen Benutzernamen und Passwort vergeben.

Dann werde ich mich mal mit csrfToken befassen und das Attribut none wieder rausnehmen.

@hoppel118: Den VPN Tunnel werde ich mir auch ansehen.

Danke für die Hilfe!

edition

[viegener]

@edition: Nur als Anmerkung und Wiederholung des Kommentars von oben: Port-Weiterleitung halte ich ebenfalls für fahrlässig. Meine Empfehlung ist solange Du Dir nicht klar bist, welches Risiko Du eingehst solltest dein FHEM auch nicht nach aussen öffnen.

[edition]

Ok, ich habe die Portweiterleitung erst einmal deaktiviert und begonnen mich mit dem VPN zu befassen.
Auf der Fritzbox ist jetzt ein zusätzlicher Benutzer eingerichtet und auf dem Handy die Verbindung erfolgreich eingestellt. Wie geht es aber weiter? Unter welcher Adresse erreiche ich fhem nun über die VPN Verbindung? Muss ich noch IPv4 Routen festlegen? Da muss ich noch ein wenig lesen.
Ich bleibe dran!

Gruß
edition

[CoolTux]

Sollte die selbe IP sein wie bei dir zu Hause. Es sei denn du hast bewusst eine DMZ eingerichtet.

[hoppel118]

Genau, sobald du dich in dem Fritz-VPN befindest, solltest du deinen FHEM-Server über die lokale IP erreichen.

Kann man bei einer Fritzbox eine DMZ einrichten?

Habe mittlerweile mein gesamtes Heimnetzwerk auf die Ubiquiti UniFi Produkte (Gateway, Switche, Access Points) umgestellt und kann nun über eine einzige Controller-Oberfläche alles zentral managen, bspw. per Knopfdruck ein VLAN auf alle Geräte provisionieren... Als ich noch die Fritzbox im Einsatz hatte, konnte ich glaube ich zumindest keine DMZ konfigurieren bzw. in den Howtos war das nicht enthalten.

Gruß Hoppel

[CoolTux]

Genau, sobald du dich in dem Fritz-VPN befindest, solltest du deinen FHEM-Server über die lokale IP erreichen.

Kann man bei einer Fritzbox eine DMZ einrichten?

Habe mittlerweile mein gesamtes Heimnetzwerk auf die Ubiquiti UniFi Produkte (Gateway, Switche, Access Points) umgestellt und kann nun über eine einzige Controller-Oberfläche alles zentral managen, bspw. per Knopfdruck ein VLAN auf alle Geräte provisionieren... Als ich noch die Fritzbox im Einsatz hatte, konnte ich glaube ich zumindest keine DMZ konfigurieren bzw. in den Howtos war das nicht enthalten.

Gruß Hoppel

Meine Fritzbox steht in einer DMZ, angeschlossen an einen BananaPi Router welcher mehrere VLAN's zur Verfügung stellt. Darauf sind eigene geschriebene iptables Firewall Regeln.