[gelöst] Zugriff von IPV6 auf FHEM Web

Hotbird · 18 Januar 2018, 22:33:46

kann man das denn testen auf der Fritzbox? Portscanner?
Ja, IPV4 und 6...
Kann es bei 2 Freigaben bei dem selben Gerät vielleicht probleme geben?

Gesendet von iPhone mit Tapatalk Pro

Hotbird · 19 Januar 2018, 07:41:38

Ich habe heut Morgen nochmal bei feste IP den Port 21 zum Raspi eingerichtet. Dort sagt er Firewallsperre ( da keine Weiterleitung in der Fritzbox eingerichtet ). Bei Port 8083 sagt er direkt "Port nicht erreichbar".
Irgendetwas muss ich bei der Absicherung übersehen haben. Kann der nicht abgesicherte Telnet Port vielleicht der Grund sein? Diese Meldung bekomme ich nämlich immer auf der Startseite...

P.S. nochmal wegen der Absicherung. Das wird ja im Security Check angezeigt. Den basicAuth habe ich ja gesetzt, https noch nicht. Auf der Startseite wird auch nur Telnet moniert.

Ich werde heut Abend nochmal Telnet absichern und erneut testen. Wenn es dann immer noch nicht klappt, werde ich noch ne https Verbindung einstellen. Falls es dann immer noch nicht funktioniert werde ich mich betrinken

Wernieman · 19 Januar 2018, 09:24:12

Alternativvorschlag: Baue Dir einen proxy auf (z.B: nginx). Ist auch besser für die Absicherung .... und das Debugging ist einfacher. Also erstmal Erreichbarkeit des Webservers extern prüfen, dann erst Proxy einrichten, step by step

MadMax-FHEM · 19 Januar 2018, 10:04:44

Der nicht abgesicherte Telnetport (der vermutlich auf der fhem-Webseite "angemosert" wird) hat mit dem Problem nichts zu tun...

Aber noch eine Anmerkung zur Absicherung: ein einschalten von BasicAuth ohne https ist nicht so wirklich sicher, da dabei User/PW im Klartext übertragen werden und somit "ausgelesen" werden können...

Du kannst auch unterschiedliche Portnummern bei feste IP und intern bei dir haben (habe ich ja bereits mal ausgeführt: den aktuell funktionierenden Port für alexa-fhem kurz "umbiegen").

Beispiel:

Port 21 (oder 3000 oder was auch immer) stellst du bei der Weiterleitung auf feste.ip ein.

Portweiterleitung in der Fritzbox dann "öffentlicher Port 21" und bei "privater Port" 8083 (oder wo immer dein fhem erreichbar ist) und bei priv. IP nat. die IP des Rechners auf dem fhem läuft.

Eine Anfrage "von außen" muss dann nat. http://user:passwort@WasDuBeiFesteIPEingestelltHast:21/fhem (oder eben wie empfohlen https und nat. was auch immer du für Ports genommen hast).

D.h. die Anfrage kommt auf Port 21 (in dem Beispiel) bei der FB aus dem Internet an (öffentlich) und die leitet die Pakete dann an die eingestellte interne IP und den eingestellten "privaten Port" 8083 (oder wo auch immer fhem ei dir läuft) weiter...

Und dann trotzdem noch mal: und fhem muss mindestens mit BasicAuth/allowed abgesichert sein, wenn du nur Portweiterleitung machst, sonst ist fhem vielleicht erreichbar weigert sich aber zu antworten

Entfällt mit ReversProxy etc. da dann die "Anfrage" bei fhem bereits aus dem privaten Netz kommt...

Gruß, Joachim

Hotbird · 19 Januar 2018, 10:33:34

Zitat von: MadMax-FHEM am 19 Januar 2018, 10:04:44

Aber noch eine Anmerkung zur Absicherung: ein einschalten von BasicAuth ohne https ist nicht so wirklich sicher, da dabei User/PW im Klartext übertragen werden und somit "ausgelesen" werden können...

Aus dem vorherigen Link von Dir habe ich ja erfahren, dass FHEM seit 5.8 selbst dicht macht, wenn es das "Gefühl" hat, nicht sicher genug zu sein ( laienhaft für mich selbst übersetzt ).

Aufgrund meines Tests heute Morgen ( Meldung bei feste IP Port 21 = Firewallsperre, bei Port 8083 nicht erreichbar ), schließe ich für mich da quasi draus, dass FHEM mit meiner bisherigen BasicAuth Absicherung noch nicht zufrieden ist/war. Port 21 hat ja nichts mit FHEM zu tun, ergo gehe ich zur Zeit davon aus, dass das Problem bei FHEM liegt ----> liege ich so weit richtig?

Mein Gedanke war jetzt, dass der nicht abgesicherte Telnet Port dran schuld ist.. Da hast Du ja oben geschrieben das FHEM deswegen nicht "nach außen dicht macht".. Mein bisheriger Ansatz liegt zur Zeit darin, FHEM jetzt erst einmal so weit zu bringen, dass es nicht mehr automatisch sperrt, um dann zu schauen, ob ich bei feste-ip durchkomme.
Gibt es irgendwo im Board eine "Mindestvorraussetzung" die ich für den externen Zugriff brauche?

Wissensstand zur Zeit
- Raspi ist von außen erreichbar ( siehe Port 21 und 3000 )
- FHEM macht dicht, weil es der Meinung ist ( und wahrscheinlich recht hat ), es ist nicht genug abgesichert nach draußen

Test heut Abend
- HTTPS einschalten ( ich hoffe, dass ich mir damit nicht die Einstellungen bei Amazon für Alexa zerhaue )
- Port 3000 in der Fritzbox mal auf Port 8083 umbiegen und schauen was passiert

MadMax-FHEM · 19 Januar 2018, 11:14:43

Leg doch für diesen Test eine neue FHEMWEB-Instanz an!

Dann zerhaust du dir nichts, maximal eben die neue Web-Instanz und die kannst du (entweder "zerstört rumliegen" lassen oder) einfach wieder löschen...

~~Du kannst ja für einen ersten schnellen Test einen simplen Usernamen und ein simples Passwort verwenden, dann muss du auch nichts "encoden" (Stichwort: urlencode / Base64 / ...)~~:

Code Auswählen


define TestWeb FHEMWEB 8088 global

Code Auswählen


define allowedTestWEB allowed
attr allowedTestWEB validFor TestWeb
attr allowedTestWEB basicAuth { "$user:$password" eq "admin:passwort" }

Für diesen einfachen Test brauchst du ja auch kein https einschalten.

Da müsstest du ja dann nach 5min wissen, ob es geht und wenn es so geht, dann ist irgendwas an deinem fhem nicht so eingestellt, dass es passt...
...geht es auch damit nicht, dann: 1. sofort die Instanz löschen! Bzw. Portweiterleitung in der FB deaktivieren! und 2. liegt der Fehler dann wohl eher irgendwo anders: feste.ip oder doch FB

ABER WIRKLICH NUR KURZ FÜR EINEN SCHNELLTEST UM WEITERE FEHLER ERST MAL AUSZUSCHLIEßEN

DIE TEST FHEMWEB-INSTANZ MÖGLICHST SCHNELL WIEDER LÖSCHEN ODER MIT VERNÜNFTIGER ABSICHERUNG VERSEHEN!!

EDIT: bzw. sollte es egal sein, was bei basichAuth eingetragen ist, also kann durchaus auch ein "starkes" Passwort sein, es reicht für den Test ja schon, wenn überhaupt ein Login-Fenster kommt. Ob dann das Einloggen klappt ist ja für diesen Test erst mal egal... Bzw. beim Einloggen per Browser wird da ja entsprechend encoded übertragen (mein Denkfehler)...

EDIT2: obiges Beispiel sollte die "Mindestvoraussetzung" erfüllen. Aber: auch nicht mehr! Daher nur für einen simplen Test, ob es daran liegt/lag oder doch woanders weiter gesucht werden muss...

Gruß, Joachim

Bapt. Reverend Magersuppe · 19 Januar 2018, 11:33:57

Zitat von: rabehd am 18 Januar 2018, 22:30:19
Du hast auch wirklich bei IPv6 die Freigabe eingetragen?

Die Fritz ist da etwas eigen, da muss der Name mit dem PC-Namen übereinstimmen und nicht nur die IP.

rabehd · 19 Januar 2018, 13:58:18

ZitatPort 3000 in der Fritzbox mal auf Port 8083 umbiegen und schauen was passiert

Im meiner Fritzbox kann ich bei IPv6 nur freigeben, aber nicht umbiegen. Oder habe ich was übersehen?

Hotbird · 19 Januar 2018, 14:01:22

Zitat von: rabehd am 19 Januar 2018, 13:58:18
Im meiner Fritzbox kann ich bei IPv6 nur freigeben, aber nicht umbiegen. Oder habe ich was übersehen?

kannst doch Port 21 am Gerät und Port 0815 nach aussen machen

Gesendet von iPhone mit Tapatalk Pro

Hotbird · 19 Januar 2018, 16:49:07

define TestWeb FHEMWEB 8088 global

auch kein Zugriff über feste-ip.net .... Ich versteh es nicht... Dann ist mein FHEM so sicher, dass ich selber von außerhalb nicht drauf komme *g*
Ich glaub, ich versuch dann mal nen openVPN auf den Raspi zu bekommen..

JensS · 19 Januar 2018, 16:52:18

Der Sinn von IPv6 ist doch, dass mehr Adressen zur Verfügung stehen als bisher. Daher bekommt man i.a. nicht nur eine einzelne Adresse, sondern einen riesigen Adressbereich zugewiesen. Die Fritzbox fungiert dann als Gateway mit Firewall. Wenn in der Fritzbox der DHCP6-Server aktiviert ist (DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen) und der FHEM-Server per DHCP6 eine öffentliche Adresse zugewiesen bekommt (fängt i.a. mit 2x an) kann FHEM direkt angesprochen werden. FHEM hat dann eine eindeutige öffentliche IPv6-Adresse. Die Freigabe im Router sollte dann lediglich den Port am Gateway freigeben. Portweiterleitungen sind eher was für IPv4. Gib doch mal den Port 8083 frei und rufe die IPv6-Adresse des FHEM-Servers auf. Diese sollte mit ifconfig zu ermitteln sein und mit 2 beginnen.

Gruß Jens

p.s. Habe selbst kein IPv6. Daher ist der Beitrag rein theoretisch und hoffentlich praktisch richtig.

Hotbird · 19 Januar 2018, 19:48:18

hab jetzt mal nen direkten Portscan über die IPV6 Adresse gemacht ( http://www.ipv6scanner.com ) .... 3000 ist erreichbar, 8083 nicht.. Ich versteh es nicht...
Host name: raspberry.xxxxxxx.myfritz.net
IPV6: 2a02:xxxx:181:xxxxxxxxx
IPV4: not found
OPEN   An application is listening for connections on that port
CLOSED   No application listening on that port
FILTERED   The port is blocked by firewall or other network obstacle
TCP Port   IPV6 State   Service
8083   CLOSED   us-srv

ich versuch morgen mal nen OpenVPN Server zu installieren, vielleicht bekomm ich es ja mit http://www.pivpn.io/ hin. Muss dann eben nur alles auf IPV6 ändern

Danke für Eure Hilfe!

JensS · 20 Januar 2018, 15:06:49

Ich denke, die Lösung gefunden zu haben.

define WEB FHEMWEB IPV6:8083 global

Den Rest wie hier https://forum.fhem.de/index.php/topic,82956.msg751925.html#msg751925 und hier https://forum.fhem.de/index.php/topic,82956.msg751508.html#msg751508 beschreiben. Oder des einfachen Zugriffs wegen, per feste-ip.net.

Gruß Jens

Hotbird · 20 Januar 2018, 15:34:59

Hammer ! @dirigent
So funktioniert es

Anderer Port, Weiterleitung bei feste-ip und der Port ist erreichbar! OPneVPN hat nämlich nicht geklappt, aber so funktioniert es *freu*

JensS · 20 Januar 2018, 15:36:44