Vorschlag: Zugriff von außen

Begonnen von pcbastler, 27 Februar 2018, 20:10:41

Vorheriges Thema - Nächstes Thema

pcbastler

Hallo zusammen,
da mein privater Gerätezoo dazu genügend Anregung gab, versuche ich mal eine Zusammenstellung der externen Zugriffsmöglichkeiten mit Vor-und Nachteilen anzufangen. Evtl. wird das dann mal ein kompletter Wiki-Artikel (oder gibt es so etwas schon?)

Mögliche Zugangsarten:
- Portweiterleitung
Vorteil: einfache Einrichtung
Nachteil: Absicherung von FHEM erforderlich (Nutzer/Passwort)
technisch: öffentliche IP-Adresse erforderlich (kein DS-lite)

- VPN
Vorteil: sicher, für weitere Anwendungen nutzbar
Nachteil: tlw. komplexe Einrichtung (in Abhängigkeit vom Router)
technisch: öffentliche IP-Adresse erforderlich (kein DS-lite)

- Apple Homebridge
Vorteil: gute Integration
Nachteil: Apple-TV oder IPad im Heimnetz erforderlich, nur für IOS verfügbar, Anbindung an FHEM erfordert Linuxkenntnisse
technisch: Übermittlung per iCloud, daher für alle Anschlüsse geeignet

mögliche Steuerungsmöglichkeiten:

FHEM-Web: Browser (beliebiges OS) mittels Portweiterleitung/VPN
Vorteil: keine zusätzliche Konfiguration erforderlich
Nachteil: das FHEM-UI ;)

Tablet-UI, SmartVisu, FloorPlan, u.ä : Browser (beliebiges OS) mittels Portweiterleitung/VPN
Vorteil: anpassbare Oberfläche
Nachteil: zusätzliche Konfiguration der GUI erforderlich

Elgato EVE: App über Homebridge
Vorteil: intuitiv
Nachteil: siehe Homebridge

Ist das schon brauchbar oder bin ich hier auf dem Holzweg?
Auf die Details bin ich jetzt bewußt nicht eingegangen, den Beitrag hätte dann wohl keiner mehr gelesen ;)

EDIT: wg. Tippfehler

JudgeDredd

Nur mal so als Hinweis.  Auch DS-Lite hat eine öffentlich routbare IP. Wenn auch IPv6. Da kannst Du aus einem IPv6 Netzwerk analog zu IPv4 zugreifen.

Mein Vorschlag waere ja auf dem WAN Gateway einen Reverse proxy (z.B. Squid) zu installieren und es ueber den Domain-Namen steuern.
Router: Eigenbau (pfSense)
FHEM: Hyper-V | Debian 12 (VM)

slor

Bitte noch explizit auf das Risiko von portfowarding hinweisen. Fhem ist noch dafür gemacht Brute Force Attacken etc standzuhalten.
Fhem auf Raspberry Pi 4
CCU3 mit RaspberryMatic mit HMCCU an FHEM
HMCCU, Telegram, Conbee2 und Hue/Tradfri/Osram Lampen AQARA Sensoren, HomeConnect

majorshark

Mögliche Zugangsarten
SSL Reverse Proxy mit/ohne Authentifizierung auf Apache oder Nginx oder Squid

Vorteil
Ein offener Port in das www
Authentifizierung übernimmt der Proxy
SSL Last wird vom Gerätezoo auf den Proxy ausgelagert
Grüße aus Dewitz

VM auf Synology DS718+ mit FHEM 5.9 auf Debian 9.5/32-Bit (stretch)
Nächster Leipziger Stammtisch:

pcbastler

Zitat von: JudgeDredd am 27 Februar 2018, 20:41:58
Nur mal so als Hinweis.  Auch DS-Lite hat eine öffentlich routbare IP. Wenn auch IPv6. Da kannst Du aus einem IPv6 Netzwerk analog zu IPv4 zugreifen.
Das erfordert dann wohl etwas mehr Konfiguration :(

Zitat von: JudgeDredd am 27 Februar 2018, 20:41:58
Mein Vorschlag waere ja auf dem WAN Gateway einen Reverse proxy (z.B. Squid) zu installieren und es ueber den Domain-Namen steuern.
Da muss das WAN-Gateway aber mehr als ein Speedport sein ;)

Vom Prinzip her Platz für 2 neue Anleitungen, dazu noch die Verwendung von SSL (mit automatischer Aktualisierung der Zertifikate von Let'sEncrypt).
Das ist dann wohl die komplexeste Variante.

Persönlich würde ich von einfacher Portweiterleitung Abstand nehmen, aber der Vollständigkeit halber gehört das (mit allen Risiken) mit auf die Liste.


Wernieman

Naja ... Portweiterleitung auf Proxy und schon brauchst Du auf Deinem router keine Zusatzsoftware ... so habe ich es jedenfalls gelöst.

Vorteil: Möglichst wenig Software auf dem Router und damit einfachere Automatische Updates (Wichtig für ein Frontsystem)

Nur mal als Ergänzung zu VPN: Es gibt es auch als "light" über ssh-PortForwarding oder ssh-sock-proxy.  Wenn es einmal eingerichtet/verstanden ist, sehr einfach ...
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

JudgeDredd

ZitatDa muss das WAN-Gateway aber mehr als ein Speedport sein ;)
Naja, mit den rundumglücklich Plasktik Geschenkt-Boxen vom Provider kommt man in der Regel nie besonders weit.  :o
Router: Eigenbau (pfSense)
FHEM: Hyper-V | Debian 12 (VM)

CoolTux

Zitat von: Wernieman am 28 Februar 2018, 12:48:44
Nur mal als Ergänzung zu VPN: Es gibt es auch als "light" über ssh-PortForwarding oder ssh-sock-proxy.  Wenn es einmal eingerichtet/verstanden ist, sehr einfach ...

Da muss man nicht mal viel verstehen.

ssh user@server -D 12345


Und danach einen Socks v5 Proxy im Firefox einstellen auf localhost Port 12345 DNS über Proxy erlauben.
Fertig
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Fixel2012

#8
Zitat von: CoolTux am 01 März 2018, 12:53:24
Da muss man nicht mal viel verstehen.

ssh user@server -D 12345


Und danach einen Socks v5 Proxy im Firefox einstellen auf localhost Port 12345 DNS über Proxy erlauben.
Fertig

Sehr interessant! Habe mich hier mal kurz eingelesen, vielleicht sucht jemand ebenfalls nähere Infos.  :)

Die Frage ist dann nur noch ob nun web (http/https) oder SSH sicherer ist. Denn beides muss dann nach außen geöffnet werden, je nach dem was man nutzen möchte.
Fhem 5.8 auf Raspi 3, HMLAN und 868MHz CUL mit einigen Komponenten, Z-Wave Rollladenaktoren, Tablet UI, 433 MHz CUL mit Baumarktsteckdosen und Temp Sensoren, Amazon Echo, Echo Dot, 2x SONOS  play1, 1x SONOS Connect AMP,  presence, HUE, Lightify

Elektrolurch

Hallo,

ich würde auf alle Fälle openvpn favorisieren. Mitterweile gibt es genügend funktionierende Anleitungen im Netz. Und wenn man den Server auf TCP und 443 konfiguriert, kommt man auch aus jedem Hotelnetz, was vermeintlich meint Dienste sperren zu müssen, heraus.
Zitat:
Nur mal so als Hinweis.  Auch DS-Lite hat eine öffentlich routbare IP. Wenn auch IPv6. Da kannst Du aus einem IPv6 Netzwerk analog zu IPv4 zugreifen.
Das erfordert dann wohl etwas mehr Konfiguration :(

Für ipv6 ist allerdings openvpn etwas knifflig, da sich
a) In Deutschland der prefix täglich ändert
b) und da auf ipv6 kein nat gemacht wird, sondern ein forwarding, muss man den geänderten prefix in die Regeln von openvpn übernehmen. Das ist etwas Bastelarbeit.
Außerdem muss man den Kernel dazu bringen, forwarding für ipv6 zu unterstützen und gleichzeitig aber die Adresszuweisung vom Router für ipv6 - Adressen zu aktzeptieren.

Dafür halte ich aber die Lösung noch für die sicherste, da sie auf einem Zertifikat für die Authentifizierung basiert, die Datenpakete auch noch zusätzlich sichert und der openvpn nach dem Start ein user-privilege downgrade macht.

Die Sicherheit über einen cloud-Dienst zu realisieren.... da habe ich halt einen Alu-Hut auf... :-)

Elektrolurch
configDB und Windows befreite Zone!

Wernieman

Also wenn SSH unsicher währe ... würde das "Netz" ein Problem haben. Praktisch alle Server im Netz werden über ssh gewartet. Aber nicht alle haben einen Webserver ;o)
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

Elektrolurch

ssh wird aber in manchen Netzen geblockt. Da wird nur Port 80 und 443 durchgelassen. Obwohl das ja etwas schizo ist, denn in den Verkehr über 443 kann man ja nur mit Hilfe eines man-in-the middle hineinschauen und wenn man das mit den Zertifikaten richtig macht, geht auch man-in-the-middle nicht.
War letztes Jahr in Ostasien und die haben da fast alles geblockt, bis auf 443. Da war ich froh, dass ich das per openvpn gelöst hatte, denn darüber, oh Wunder, konnte ich sogar telefonieren.

Elektrolurch
configDB und Windows befreite Zone!