Zitat von: Tueftler1983 am 16 September 2021, 10:07:42
Ich habe mein Fhem web mit Password und selbst signierten Zertifikat geschützt. Diese Kombi würde ich gerne auch für die websocket Connection nutzen um auch von unterwegs ohne VPN Zugriff zu haben.
Geht das und wenn ja was muss ich wie und wo einstellen?
Wenn du Fhem ins Inet lässt, solltest du einen Reverseproxy benutzen (Apache/Nginx). Fhem ist nicht auf Sicherheitslücken getestet!!
Fürs Internet empfehle ich dir ein Zertifikat von Letsencypt (kostenos), selbstsignierte werden immer weniger akzeptiert.
Trotz allem, das Zertifikat musst du auf Betriebssystemebene installieren (Inetsuche), in Fhemnativ brauchst du, ausser Benutzerdaten und SSL, nichts einzustellen.
Wo ich das in der App einstelle ist mir klar. Aber in Fhem muss ich da in dem websocket device Attribute setzen und wenn ja welche und wie müssen die definiert sein?
Zitat von: Tueftler1983 am 16 September 2021, 13:52:33
Wo ich das in der App einstelle ist mir klar. Aber in Fhem muss ich da in dem websocket device Attribute setzen und wenn ja welche und wie müssen die definiert sein?
Ich habe Fhemweb auf websocket stehen.
Das websocketdevice kenne ich nicht, vermutlich brauchst du dazu ein alloweddevice...
So ein allowed device mit attr valid for websocket habe ich damit klappt die basicAuth aber mit der SSL Verschlüsselung stehe ich auf dem Schlauch wie ich was einstellen muss.
Zitat von: Tueftler1983 am 16 September 2021, 17:51:09
So ein allowed device mit attr valid for websocket habe ich damit klappt die basicAuth aber mit der SSL Verschlüsselung stehe ich auf dem Schlauch wie ich was einstellen muss.
Es müsste ein Attribut SSL im websocketdevice geben.
Hast du Mal ein help Websocket in der Befehlszeile eingegeben?
Ja das attr SSL gibt es aber was muss da dann eingetragen werden?
Ein help Websocket führt nur zur Ausgabe: No help found for module: websocket
Deswegen, finde leider wenig Doku dazu.
Zitat von: Tueftler1983 am 16 September 2021, 21:09:32
Ja das attr SSL gibt es aber was muss da dann eingetragen werden?
Ein help Websocket führt nur zur Ausgabe: No help found for module: websocket
Deswegen, finde leider wenig Doku dazu.
Versuche es analog zu Fhemweb und setzte das Attr auf 1.
Im Modulcode ist am Ende eine Hilfe, daher bin ich davon ausgegangen, dass sie mit Help angezeigt wird.
Hey,
Also so einfach scheint es nicht zu sein, mit einer 1 im attr SSL und in der App mit dem harken sichere Verbindung geht nix.
Nach löschen des attr SSL muss Fhem erst neu starten um über den websocket wieder erreichbar zu sein.
Zitat von: Tueftler1983 am 16 September 2021, 22:11:29
Hey,
Also so einfach scheint es nicht zu sein, mit einer 1 im attr SSL und in der App mit dem harken sichere Verbindung geht nix.
Nach löschen des attr SSL muss Fhem erst neu starten um über den websocket wieder erreichbar zu sein.
Laut Doku von Websocket braucht SSL kein Argument.
Kannst du vom Betriebssystem (Fhemnativ) mit dem Browser auf Fhemweb mit dem Zertifikat zugreifen und wird dieses dann vom Browser akzeptiert oder gibt es eine Warnung?
Also mit dem Browser Greiner ich nur via https:meine-Adresse.com:6557 auf mein Fhem zu habe dann aber die Warnung das es ein selbstsigniertes Zertifikat ist und ob ich die Seite trotzdem aufrufen möchte.
Zitat von: Tueftler1983 am 17 September 2021, 08:44:12
Also mit dem Browser Greiner ich nur via https:meine-Adresse.com:6557 auf mein Fhem zu habe dann aber die Warnung das es ein selbstsigniertes Zertifikat ist und ob ich die Seite trotzdem aufrufen möchte.
Das könnte schon das Problem sein...mein selbstsigniertes wird anerkannt ( ohne Warnmeldung).
Wenn du es im Inet benutzt, muss auch deine Zertifizierungsstelle entsprechend erreichbar sein.
Ich habe mal den Thread geteilt.
Zum Thema SSL gibt es sicher einige Interessenten ;)
Zitat von: Syrex-o am 17 September 2021, 10:45:52
Ich habe mal den Thread geteilt.
Zum Thema SSL gibt es sicher einige Interessenten ;)
OK, passt.
Verweise aber bitte im ursprünglichen Thread darauf. Ich hatte schon vermutet dass du die Posts gelöscht hast....
Ich dachte auch das es gelöscht wurde,
Also ich benutze für Fhem ein selbst signiertes SSL Zertifikat, in Chrome wird immer gesagt das das Zertifikat nicht geprüft werden könnte und ob ich die Webseite trotzdem öffnen möchte.
Das selbige Zertifikat würde ich jetzt gerne für die FhemNativ websocket Verbindung nutzen.
Mache es dir einfacher und benutze Letsencrypt. Beim Zertifikat geht es um Sicherheit, gerade wenn du ins Internet gehst!
Ein selbstsignierts Zertifikat zu erstellen, das akzeptiert wird, ist nicht einfach und, wie geschrieben, deine Zertifizierungsstelle muss auch erreichbar sein!
Naja was ich bis jetzt gelesen habe.... Einfach ist anders.
Ich habe eine ddns bei noip.com, geht aber nicht bei letsencrypt.
Ich habe keinen Apache Server installiert.
Und ne gescheite Anleitung von a bis z für das Vorhaben habe ich auch noch nicht gefunden.
Vielleicht hilft dir das
https://forum.fhem.de/index.php/topic,96461.30.html
(https://forum.fhem.de/index.php/topic,96461.30.html)
Ich würde Fhem, ohne vernünftige Absicherung nicht ins Internet lassen.
Ich selbst benutzte VPN und das ist bei Nichtgebrauch abgeschaltet (kann ich von außen schalten).
Leider nicht, war froh das ich mein Fhem mit dem selbst signierten Zertifikat ans laufen bekommen habe. Aber damit scheint es in FhemNativ ja nicht zu klappen.
Da dein selbstsignierte Zertifikat nicht akzeptiert wird, funktioniert es mit Fhemnativ nicht. Da sich Fhemnativ hier auf das Betriebssystem verlässt!
Wenn du dich nicht in der Lage siehst, Letsencrypt zu benutzen, dann bleibe bei VPN.
So habe mein Fhem web nun auf Reverse Proxy mit letsencrypt Zertifikat geschützt.
Brauche also nur noch meine-Domain.zapto.org eingeben und bin in meiner Fhem Oberfläche.
Im Web device habe ich das attr Longpool auf websocket gestellt aber in FhemNativ bekomme ich mit den Einstellungen keine Verbindung hin egal ob ich Port 80, 443 oder gar nichts Einträge.
Was kann ich noch tun?
ZitatBrauche also nur noch meine-Domain.zapto.org eingeben und bin in meiner Fhem Oberfläche.
Ich hoffe mit Passwort o.Ä. ... sonst können alle User des Internets auf Dein FHEM ....
Ja mit Passwort und Benutzer Name, beides mit Groß/klein Schreibung, Sonderzeichen und zahlen war es vorher auch schon gesichert, ist in Fhem auch base64 verschlüsselt hinterlegt.
Zitat von: Tueftler1983 am 22 September 2021, 00:21:31
So habe mein Fhem web nun auf Reverse Proxy mit letsencrypt Zertifikat geschützt.
Brauche also nur noch meine-Domain.zapto.org eingeben und bin in meiner Fhem Oberfläche.
Im Web device habe ich das attr Longpool auf websocket gestellt aber in FhemNativ bekomme ich mit den Einstellungen keine Verbindung hin egal ob ich Port 80, 443 oder gar nichts Einträge.
Was kann ich noch tun?
Hast du den Verbindungstyp auf Fhemweb, den Port vom Reverse-Proxy und User/Passwort ohne Leerzeichen?
Ja habe Fhem web und als Port 80, 443 und nix versucht klappt alles nicht.
Ein anderer Port dir eine andere webinstanz die keine SSL hat funktioniert. Liegt also wieder nur an der ssl
In dem Fall, das du Fhemweb benutzt, musst du den gleichen Port angeben, den du auch für den Zugriff die Fhemweb-Oberfläche benutzt.
Wenn der Zugriff fehlerfrei auf die Oberfläche funktioniert ( von aussen), sollte das mit Fhemnativ auch so sein.
Hmm also Port 80 oder 443 da diese Ports auf mein Fhem durch den Proxy weitergeleitet werden.
Für den webzugriff rufe ich einfach. meine-Domain.zapto.org/Fhem auf
Hast du die Domain in Fhemnativ genauso eingetragen, mit /fhem?
Ansonsten habe ich keine Idee mehr.
Vielleicht hat Syrex-o noch eine?
Ja habe ich
Hat das hier jemand mit SSL am laufen???
Hallo zusammen, nachdem es bei mir jetzt ziemlich lange mit SSL lief ( mit Apache2 Server, Reverse Proxy und Zertifikat von Let's Encrypt) kann ich nur wieder nicht via Internet und SSL verbinden.
Ich habe meinen Raspberry von Jessie auf buster geupdatet und seid dem funktioniert es wieder nicht.
Ich habe aber keine Ahnung ob es an Native liegt oder am PI
Mein verschlüsselter zusang über Internet und Browser via
" meine-Adresse.zapto.com/fhem" läuft weiterhin ohne Probleme.
Mag jemand bei der Fehlersuche helfen?