Absicherung fhem von aussen

dennis_n · 22 Februar 2019, 08:13:29

Hi,

ich hätte da mal eine Frage zur Absicherung von fhem.

Zur Situation:
Bei mir zu Hause steht ein Raspberry mit fhem, den ich zur Auswertung von Feuerwehralarmen nutze. Die Kammeraden geben dann im Alarmfall Rückmeldung, ob sie zu dem Einsatz kommen oder nicht. Die Auswertung lasse ich mir über TabletUI anzeigen.

Im Feuerwehrhaus steht ein Fernseher mit einem Raspberry im Kiosk-Mode, der quasi auf die TabletUI Ansicht des Pi bei mir zu Hause zugreift. Dieser bootet immer direkt in die Ansicht. Dazu habe ich ein Portforwarding auf 8083 eingerichtet und greife auf das fhem zu Hause zu.
Damit der Fernseher und der Pi im Kiosk-mode einwandfrei funktioniert und im Falle eines Alarms die Kollegen nicht erst ein Passwort eingeben müssen, um etwas zu sehen, kann ich ja in fhem kein Passwort vergeben.

Jetzt ist das aber sehr unsicher und ich suche nach Tipps, wie ich das sicherer machen kann.

Im Grunde muss ich nur auf eine einzige Ansicht der TabletUI zugreifen, auf den Rest brauche ich vom Feuerwehrhaus kein Zugriff.

Wie löse ich das am besten?

Danke euch
Gruss
Dennis

rudolfkoenig · 22 Februar 2019, 09:05:24

Vielleicht hilft Dir die folgende Anleitung: https://gist.github.com/gbirke/8608543
Ich habe es selbst nicht getestet, aber das Prinzip meine ich zu verstehen.

Otto123 · 22 Februar 2019, 09:19:43

Ich hätte noch Werner Anleitung mit Letsencrypt zu bieten:
https://forum.fhem.de/index.php/topic,96461.0.html

Gruß Otto

rudolfkoenig · 22 Februar 2019, 10:09:19

Die Letsencrypt Anleitung macht es moeglich, von jedem Browser ohne doofe Dialoge auf FHEM zuzugreifen, ein Passwort ist da aber weiterhin sinnvoll.
Bei der "SSL-Client-Zertifikat" Methode entfaellt die Notwendigkeit des Passwortes, weil der Server (in diesem Fall apache, weil FHEMWEB das nicht kann) statt Passwort das Zertifikat prueft.

dennis_n · 22 Februar 2019, 10:11:15

Vielen Dank für eure Hinweise. Ich tendiere zur Cert Lösung, da ich im Feuerwehrhaus auch keinen Zugriff auf die FritzBox habe.
Der Pi ist dort einfacher Client, der ins Internet darf.

Gruss
Dennis

Otto123 · 22 Februar 2019, 10:18:55

Zitat von: rudolfkoenig am 22 Februar 2019, 10:09:19
Die Letsencrypt Anleitung macht es moeglich, von jedem Browser ohne doofe Dialoge auf FHEM zuzugreifen, ein Passwort ist da aber weiterhin ~~sinnvoll~~.

notwendig!

Danke nochmal für die Klarstellung - so genau hatte ich das auf die Schnelle nicht durchschaut

Wernieman · 22 Februar 2019, 10:25:53

Meine Empfehlung:

1. Proxy, kapselt schon mal FHEM von außen ab
2. Authentifizierung. Ob jetzt mit User/Passwort oder SSL-Zertifikat ist nebensächlich.
Ein Pi imKioskmodus kann übrigens mit den Passenden Extension auch Autologin .. habe es hier mit einem Pi für Zabbix-Kiosk-Mode so gelöst
3. Wenn Du willst, das Deine Kameraden ein einfache komme/nichtkommen übergeben können, würde ich ein unabhängigen "Webdienst" aufbauen. Also Quasi eine Website mit Wer und ja/nein. Das dahinter liegende PHP (oder andere Programmiersprache) Script übergibt dieses dann an FHEM. Erledigt der Proxy "nebenbei". Wenn man im Script nocht passende Schutzvorrichtungen einbaut (Variablencheck), ist das relativ einfach und sicher umzusetzen. Braucht dann (für diese Seite) auch keine Authentifizierung.

FHEM direkt von außen ohne irgendeinen Schutz ..... bist Du Dir sicher, das Dein System noch "sauber"?

dennis_n · 22 Februar 2019, 10:35:07

Hi,

das System an sich steht ja. Die Kammeraden geben Rückmeldung und das wird auch alles so schon angezeigt.
Vorher stand der Pi mit fhem aber direkt im Gerätehaus. Bei dieser Lösung konnte ich aber keine Wartung, Updates usw. machen. Musste also immer ins Gerätehaus fahren dafür.
Bei der jetzigen Lösung kann ich das von zu Hause aus machen.
Der Pi im Gerätehaus greift quasi nur noch auf eine TabeletUI Seite bei mir zu Hause zu.

Die Eingabe des Passwortes im Gerätehaus ist nur dann ein Problem, wenn der Pi dort mal neu gestartet wurde. Sei es durch Stromausfall oder sonst was. Ich will einfach vermeiden, dass die Kammeraden nichts auf dem Monitor sehen, weil sie ein Passwort eingeben müssen.

Was benötige ich denn für Autologin?

Gruss
Dennis

Wernieman · 22 Februar 2019, 10:44:42

Was hast Du für ein Browser?

Also eine Browsererwei9trung für Aut0ologin ..sorry aber: "google ist Dein Freund"

Kommt auch darauf an, WIE Du den Kios-Modus implementiert hast ....

dennis_n · 22 Februar 2019, 10:48:43

Standard Browser im Debian Stretch Image, also Chromium.
Den kioskmode rufe ich mit --incognito auf.

Gruss
Dennis

Wernieman · 22 Februar 2019, 10:53:20

Chromium .. da kenne ich mich nicht mit aus. Sorry aber (s.o.) da mußt Du selber suchen. Habe es hiermit firefox-esr umgesetzt ....

Aber es gibt (sollte geben) auch für Chromium autologin module ...

Nur mal für Dich (und weil ich einen guten Tag habe):
Gesucht:
https://www.google.com/search?client=ubuntu&channel=fs&q=chromium+auto+login&ie=utf-8&oe=utf-8
Gefunden (erster Eintrag):
https://chrome.google.com/webstore/detail/auto-login/kjdgohfkopafhjmmlbojhaabfpndllgk

Alles ungetestet!

justme1968 · 22 Februar 2019, 10:53:30

mal eine ganz andere frage...

was ist an zwei pi (einer bei dir zuhause und einer bei der feuerwehr) einfacher oder zuverlässiger als an einem nur bei der feuerwehr?

dann hast du ein einziges abgeschlossenes system ohne zusätzliche abhängigkeit von aussen.

wartung und updates kann man doch problemlos remote per vpn machen.

und selbst wenn es aus irgend einem grund bei den zwei pi bleibt: selbst da würde ich über vpn gehen und den zugriff auf mehr als tabletui per firewall beschränken. so schön proxy und client zertifikate auf den ersten blick sind: weder das einrichten ist einfach wenn man nicht weiss was man tut noch aktualisieren. just say no to port forwarding

selbst mit proxy.

Wernieman · 22 Februar 2019, 10:57:52

Prinzipiell Stimme ich justme1968 zu ... aber auch mit VPN kann man "Mist" bauen ;o)

Man sollte auch berücksichtigen, das kein Internetanbieter in Deutschland für den Internetzugang eine Verfügbarkeit garantiert. Faktisch liegt diese in Deutschland (nach meinem letzten Wissen) bei 99,7%. Hört sich erstmal gut an, auf ein Jahr bezogen kann es aber über 3 Tage (ich glaube sogar länger) in Summe sein. Du hast bei der Lösung aber 2! Zugänge. Eine "Insellösung", d.h. alles Lokal in der Feuerwehr, aber keinen einzigen ...

dennis_n · 22 Februar 2019, 10:58:52

Na wenn ich das richtig verstanden habe, muss ich aber doch um VPN auf dem PI in der Feuerwehr einzurichten, Zugriff auf die FritzBox haben.
Den Zugriff habe ich aber in der Feuerwehr nicht.

Ach nee, warte mal.....
Ich muss ja auf den Pi zu Hause bei mir zugreifen und dort kann ich die VPN Verbindung ja in der FritzBox entsprechend einrichten.

Ok dann suche ich mal ne Anleitung, wie ich auf dem Client VPN einrichte. Habe ich bsiher noch nicht gemacht

Danke
Gruss
Dennis

Papaloewe · 22 Februar 2019, 10:59:01

Bei der Fragestellung und schilderung der IST-Situation fiel mir als Erstes
ein Site-to-site VPN zwischen den beiden Fritzboxen ein.
Vielleicht auch nicht so clever, aber ich stelle das einmal zur Diskussion.

MfG
Thomas