externen Pi + UMTS-Stick wie absichern und wie Daten austauschen?

Begonnen von chris1284, 19 November 2017, 18:02:08

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

chris1284

19 November 2017, 18:02:08
Moin,

ich habe mal eine Frage. Wie betreibt ihr externe pis (mit UMTS Stick) sicher? Ziel ist es Daten anzugreifen die ein fhem bekommt (OCCU per HMCCU)
Möglichkeiten die mir in den Sinn gekommen sind:

-VPN: autom. VPN Verbindung zur Fritte , RFHEM zum Reading übertragen. So müsste der pi nichts schreiben was die sdcard schont und ggf. ein readonly pi ermöglichen würde. nachteil ist kapert einer den pi ist er per VPN im heimischen Netzwerk
-Daten regelmäßig per Mail (eigens dafür erstellter Mailaccount) senden, Mail irgendwie beim Hauptfhem abholen und die Daten "importieren". Problem:kommt einer auf dem pi könnte er evtl. mit dem mail-account unsinn treiben oder dem pi als solches
-Daten vom pi abholen per zb ftp oder was auch immer. Problem wieder: kommt einer auf dem pi könnte er mit dem pi unsinn treiben.

Wie sichert man sowas am besten ab? Zum einen eine Firewall (iptables?) und zum Anderen würde ich sagen Internetverbindung nicht dauerhaft laufen lassen (bestimmte Zeitfenster). Die VPN Variante empfinde ich als unsicherste. Wie macht ihr das?

Wernieman

#1
19 November 2017, 18:33:43
Was mir noch einfällt:
Pi "nur" per ssh erreichbar machen. Dann kann fhem per ssh auf dem Pi zugreifen und die Daten abholen.

Von der Sicherheit optimal, da die Verbindung von "Innen nach Außen", d.h. wenn jemand den pi kapert, kann er nur etwas mit der Hardware (und Software) machen, kommt aber nicht bei Dir ins Netz.

Wobei .. ein Pi nur mit SSH zu Kapern, solange der ssh immer aktuell gehalten wird, ist eigentlich praktisch unmöglich (Sofern gewisse "Vorbereitungen getroffen). Wenn derjenige an die Hardware kommt, ist es natürlich etwas anders, dann kannst Du mit einem Totalverlust der Hardware rechnen, das ist aber Softwaremäßig nicht zu vermeiden.

Die Frage ist jedoch eher, was willst Du damit machen?
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

chris1284

#2
19 November 2017, 19:02:22
Im Garten (kommt also niemand an die HW so einfach) soll ein PI auf dem aktuell eine CCU läuft sowie FHEM zum einen Daten loggen (Pflanzensensor per BT, Temp innen und außen, Fenstersensor HM, Feuermelder HM) und zum anderen Geräte schalten (aktuell eine Funksteckdose an die eine Webcam soll). Ich habe eine 100mb Netzclub SIM (danach wird gedrosselt), ein altes Smartphone sowie eine UMTS-Stick.

Die Internetverbindung wollte ich erst über das Smartphone machen (AP aufreißen und PI+Webcam daran anbinden). Ich habe auch Apps gefunden um das VPN auf dem Smartphone anderen Geräten bereit zu stellen (vpn tethering). Das Problem dabei ist dass das Handy dann ein eigenes Netz für die Clients aufbaut und ich nicht von intern über das Handy auf den Pi oder die Cam komme.

Nun habe ich noch den Stick (Webcam habe ich eh noch nicht) und wollte erstmal damit am PI testen (schließt auch das Handy als weitere Fehlerquelle aus). Dyndns auf dem Pi (sollte ja später mit dem Handy als AP auch gehen) um ihn stets ansprechen zu können. Jetzt würde ich erstmal einen Weg finden wollen die Daten der Sensoren in meine Heim-Instanz zu bekommen ohne großartig Ports öffnen zu müssen oder anders Tore zu öffnen. Dringende Meldungen würde ich per pushover aus fhem senden

Wernieman

#3
19 November 2017, 19:23:35 Letzte Bearbeitung: 19 November 2017, 19:25:40 von Wernieman
Wie schon geschrieben, würde den Umgekehrten Weg gehen. Anstatt von Außen zu "senden", von innen "holen". Allerdings müsste dazu der UMTS-Stick extern erreichbar sein, was nicht bei allen Systemen (Anbietern) der Fall ist.

Da Du dyndns (bzw. andere Dienste wie spdns.de..) schon verwenden willst, wäre dieses doch der Ideale Weg?

Edit:
Es sei denn, Du willst "schalten", d.h. es geht Dir nicht darum "Daten" nach innen zu bekommen, sondern "Schaltvorgänge". Dann willst Du natürlich die Latenzen minimieren ... das würde ich allerdings auch über einen ssh-Tunnel, der von innen gesteuert wird, machen. Stichworte "autossh, PortForwarding"
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

chris1284

#4
19 November 2017, 19:37:41
Schaltvorgänge sollten nicht notwendig sein da ich diese bereits automatisiert habe (BT-Tags für Anwesenheit -> FHEM im Garten schaltet HM-Steckdose mit Webcam).
Was evtl noch interessant ist wäre der spätere Zugriff auf die Webcam wobei die meisten, neuen, günstigen Webcams sich eh den Weg zum Hersteller suchen und per dann abrufbar sein sollten.
Bilder und Videos soll diese dann auf eine HDD/ eine Stick am Pi speichern (ftp). Diese kann ich eh nur vor Ort ansehen das aktuell die 100mb im Monat dafür nicht ausreichen werden.

pink99panther

#5
19 November 2017, 19:53:46
Ich hatte mal folgenden Aufbau im Einsatz:
Altes Handy mit USB tethering an einer Fritzbox
und die mit LAN LAN Kopplung per VPN eingerichtet.

Aufbau der Verbindung geht eigentlich immer nur vom Handy-Netz nach Hause,
wegen privater IP bei UMTS.
Hat aber immer funktioniert.

Klaus0815

#6
19 November 2017, 20:11:11
Du könntest die Daten über MQTT schicken?
Dazu entweder öffentlicher MGTT-Server oder "daheim" den entsprechenden Port öffnen

Drucken
Nach oben Seiten1
Benutzer-Aktionen