Guten Abend zusammen,
ein guter Freund von mir möchte auch einen Teil seines zuhause automatisieren hat aber in Sachen Computer zwei linke Hände. Deshalb möchte ich ihm gerne helfen.
Was ich bisher getan habe:
- Raspi 3 gekauft + Pi - HM-MOD-RPI-PCB Funkmodul
- Meine 32GB Karte auf eine neue 32GB Karte kopiert (image)
- 4 Homematic Raumthermostate und 4 Homematic Schalter auf sein System adaptiert
- TeamViewer zur Fernwartung installiert
Funktioniert alles tadellos.
Jetzt möchten wir auch noch Alexa anbinden da fällt mir auf, die benutzt ja jetzt meine Zugangsdaten (Alexa proxyKey)....
Das ist natürlich suboptimal und ich vermute das ist nur das erste Problem auf Seiten der Sicherheit.
Jetzt die Frage an Euch Spezialisten:
Was muss ich alles beachten wenn ich mein Vorhaben umsetzte? Was muss ich tun damit das neue System nicht mit meinen Sicherheitseinstellungen unterwegs ist?
Vielleicht gehe ich zu blauäugig an das Thema ran und ich sollte das ganze System neu für meinen Freund aufsetzten. Vielleicht ist alles aber auch ganz einfach und ich mache mir nur zu viele Sorgen...
Im Netz habe ich bezüglich meines Problem leider nichts aussagekräftiges gefunden.
Ein Anfang wäre im alten Thread mit der selben Fragestellung weiterzumachen statt hier. ;)
ZitatTeamViewer zur Fernwartung installiert
Bist Du Dir wirklich Sicher mit Server udn Grafischer Oberfläche?
SSH ist da besser und kann mehr, sogar Portforwarding ...
Bei den wenigen Dingen wäre eine Neuinstallation und dann die paar Sachen neu einrichten (verm.) schneller (und weniger "fehleranfällig") als einen Clon zu adaptieren...
Weil du kannst ja z.B. die Homematic-IO per raw definition übertragen und evtl. auch einige andere Dinge...
Die Geräte selbst musst du ja eh anlernen...
Und alexa-fhem mit dem Connector ist doch bei passender Basis (also nodejs installiert) in 3min erledigt...
Und ein frisches Buster LITE!! auf eine SD zu schreiben dauert sicher kürzer (verm. sogar inkl. der Ersteinrichtung) als 32GB hin und her zu schieben ;)
EDIT: und klar LITE! Weil da kann ich Wernieman nur zustimmen!! Evtl. dann gleich piVPN auf den fhem PI und dann kommst du ganz einfach per vpn drauf (habe ich bei meiner Freundin so gemacht)...
Nur meine Meinung...
Gruß, Joachim
Habe bei meinen Eltern "nur" SSH auf einem SSH-Fremden Port .... war (für mich) einfacher als VPN ;o)
Zitat von: Wernieman am 27 Januar 2020, 08:26:43
Habe bei meinen Eltern "nur" SSH auf einem SSH-Fremden Port .... war (für mich) einfacher als VPN ;o)
Das ist nat. einfacher ;)
Und dann fail2ban dahinter? Oder einfach so, weil "Schutz" durch "ungewöhnlichen" Port?
Oder Zertifikat, also nix "Login"!?
Wobei vpn mit piVPN ja wirklich nicht schwer ist...
...eher schon rauskriegen wie die WAN-IP ist oder halt dynDNS etc.
Zu dynDNS hatte ich (auch) keine Lust, da ich dort nur selten ("Notfall") "drauf" muss...
...ich habe ein HTTPMOD für die Abfrage der externen WAN-IP und lasse mir die dann per Telegram schicken ;)
Mal sehen was der TE noch äußert...
Gruß, Joachim
Egal ob VPN oder SSH, fail2ban (oder ähnliche Produkte) sollte man grundsätzlich berücksichtiegen.
1. Schutz vor Brude Force des Passwortes
2. DoS Schutz durch 1.
ob Du jetzt dynDNS (nicht schwierig) oder andere Technik für die Übermittlung der IP ist eigentlich nebensächlich. Habe bei mir
1. DynDNS durch anderen Anbieter und FritzBOX
2. Bei Änderung der IP Eintrag in meine öffentliche Webside (keine Normalverlinkte Datei)
3. Bei Änderung der IP Eintrag in lokale Datenbank (nur für Dokuzwecke)
OT-Beginn
ersteres macht fail2ban ja...
Und bei ssh sogar "out-of-the-box"...
Und für den Zugang zu meinem Heimnetz habe ich ja dynDNS (aber von "woanderst" ;) )...
...nur für den "Notfallzugang" hatte ich keine Lust...
...bzw. viel mehr hat mich interessiert, ob es nicht auch anders geht...
-> geht :)
OT-Ende
Gruß, Joachim
Vielen Dank für die zahlreichen Antworten, auch wenn die nicht direkt mit meiner Frage zu tun haben.
Ich lese aus Eurer Konversation, das eine Neuinstallation ratsam ist, um meine beschriebenen Probleme zu umgehen.
Zum Thema SSH: Vielleicht stehe ich auf dem Schlauch. Ich benutze die SSH Verbindung ausschließlich für kurze Befehle... Start / Stop FHEM, Programminstallationen oder andere administrative Aufgabe.
Wie komme ich denn auf die /8083 Fhem Oberfläche?
Bisher benutze ich die Desktop Oberfläche, deswegen TeamViewer.
VG
Zitat von: rhoffm34 am 28 Januar 2020, 12:25:57
Vielen Dank für die zahlreichen Antworten, auch wenn die nicht direkt mit meiner Frage zu tun haben.
Ich lese aus Eurer Konversation, das eine Neuinstallation ratsam ist, um meine beschriebenen Probleme zu umgehen.
Zum Thema SSH: Vielleicht stehe ich auf dem Schlauch. Ich benutze die SSH Verbindung ausschließlich für kurze Befehle... Start / Stop FHEM, Programminstallationen oder andere administrative Aufgabe.
Wie komme ich denn auf die /8083 Fhem Oberfläche?
Bisher benutze ich die Desktop Oberfläche, deswegen TeamViewer.
VG
Hmmm, ich bin ja nicht sicher was du da genau meinst aber:
http://IP-von-fhem:8083/fhemDazu muss (ist aber Standard) das FHEMWEB mit "global" definiert sein:
define meinWeb FHEMWEB 8083 globalsonst geht nur "localhost"...
ABER: das geht (nat.) NUR aus dem LOKALEN Netzwerk!
Ansonsten (wie bei deinem ssh!?) Port öffnen und forwarden...
...UND: allowed-Device etc.
ABER: da besser vpn oder reverse-Proxy etc.!!
Wie gehst du mit ssh drauf!?
"Nur" lokales Netzwerk...
...oder über Internet!? <- lassen!! (siehe oben)
Ich betreibe ja so einige fhem Instanzen (Hauptsystem, Test-Systeme und eines bei meiner Freundin) und habe noch NIE nirgendwo ein OS mit grafischer Oberfläche gehabt/gebraucht!
Wenn ich remote drauf will/muss: vpn.
Gruß, Joachim
Hallo Joachim,
VPN nutze ich um auf mein System zu kommen, zum Beispiel übers Handy und http://IP-von-fhem:8083/fhem
Die VPN Verbindung läuft dann über mein Fritz Box. Das möchte ich bei meinem Freund aber nicht machen, weil ich dann in seinem Netzwerk bin und da habe ich nichts verloren. Deswegen die Lösung über TeamView.
LG
Du kannst über eine SSH-Verbindung alle Port "Tunneln". Da ich nicht weiß, was für einen SSh-Client Du verwendest ...
Bei Putty z.B. über das Options Menü. Kannst Du sogar nach Aufbau der Verbindung einrichten.
Bei Unix beim Aufbau mit Kommandozeilenparameter, oder während der Verbindung mit ~ .....
Näheres, wenn ich Deinen Client weiß...
Ich benutze PUTTY um eine SSH Verbindung aufzubauen.
Das geht aber soweit ich das verstanden habe nur Lokal, nicht außerhalb meines Netzwerkes. Oder?
NEIN .. putty ist ein SSH-Cient und das geht Weltweit, wenn die Pakete nicht geblockt/ und geroutet werden.
Wenn natürlich Dein PI auf dem ssh-Port nicht extern erreichbar ist, DANN ... kannst Du es extern nicht verwenden