Hi,
ich möchte FHEM gern über MyFritz aus dem Internet erreichen können. Klappt aber nicht. Hier https://anwass.de/fhem-mit-myfritz-aus-dem-internet-abrufen/#:~:text=Nun%20kannst%20du%20FHEM%20mit,du%20durch%20Anklicken%20aufrufen%20kannst. (https://anwass.de/fhem-mit-myfritz-aus-dem-internet-abrufen/#:~:text=Nun%20kannst%20du%20FHEM%20mit,du%20durch%20Anklicken%20aufrufen%20kannst.) fand ich den Hinweis, dass man erst die Sicherheitseinstellungen bei FHEM anpassen muss. Die SuFu hilft mir da nicht weiter. Hat jemand einen Tipp?
LG is2late
Hallo Is2late.
warum nutzt die nicht die VPN-Verbindung der Fritzbox?
Viele Grüße
Jürgen
Hallo Jürgen,
danke für den Tipp! Ich lese mich mal ein. Allerdings wäre damit wohl doch nur die Verbindung zur FritzBox hergestellt...und um von dort aus den Rasp und FHEM zu erreichen, müsste dafür nicht auch das Sicherheitseinstellungen-Problem gelöst werden?
LG is2late
ZitatAllerdings wäre damit wohl doch nur die Verbindung zur FritzBox hergestellt
Du solltest alle Geräte die an der Fritzbox sind ganz normal erreichen.
vpn nicht verstanden...
vpn (wenn richtig konfiguriert) "bringt dich ins eigene Netz"...
...ergo erkennt fhem nicht, dass du aus dem Internet zugreifst (weil du es für fhem und die anderen Netzwerkkomponenten [außer der FB bzw. deinem vpn-Eingangspunkt] auch nicht tust)...
vpn ist auch deultich einfacher einzurichten und daher (gerade für Anfänger) die bessere Wahl (meine Meinung)...
Ansonsten halt Port aufmachen, weiterleiten allowed Device anlegen...
...und hoffen...
...dass keiner PW knackt oder sonstwas bzw. du irgendwo etwas beim Konfigurieren nicht bedacht hast...
Und wenn schon von außen: https!
Dein System... ;)
EDIT: Anmerkung (was ich oft lese): och, dann kann er halt mal Lichter ein-/ausschalten... Nicht so schlimm, merke ich ja... NEIN! Er ist IN deinem Netz und kann per fhem auch System-Aufrufe machen! Und wenn fhem sudo "darf", dann ist er ROOT! Und wenn der "Angreifer" nicht will, dass du es merkst (da sind die "Lichtknipser" noch die "Netten" ;) )dann merkst das erst, wenn "alles zu spät ist"...
Gruß, Joachim
Zitat von: MadMax-FHEM am 07 Juli 2020, 20:07:50
vpn ist auch deultich einfacher einzurichten und daher (gerade für Anfänger) die bessere Wahl (meine Meinung)...
Ob einfacher als eine einfache Portfreigabe ist meiner Meinung nach Ansichtssache. Sind schon paar Parameter mehr, die (im Handy) eingestellt werden müssen um eine VPN Verbindung aufzubauen. Mir selbst ist es leichter gefallen die Portfreigabe einzurichtet und über Lesezeichen im Browser auf dem Handy auf FHEM zuzugreifen (vor allem deutlich komfortabler).
VPN hab ich natürlich dennoch auf laufen - und das ist mehr der Grund meiner Antwort:
Gibt es irgendeine komfortablere Möglichkeit vom Android-Handy die VPN-Verbindung aufzubauen, außer sich durch die Menüs zu tippen? Denn das ist schon etwas nervig. Am besten fände ich ein Widget auf einer Seite des Hauptbildschirms, das die VPN-Verbindung aufbaut. Gibts dafür eine App, oder kann man das mit Tasker realisieren?
Zitat von: swsmily am 07 Juli 2020, 23:02:10
Ob einfacher als eine einfache Portfreigabe ist meiner Meinung nach Ansichtssache.
Es ist auf jeden Fall einfacher, ein
sicheres VPN einzurichten, als eine
sichere Portfreigabe zu FHEM, die dein ganzes Hausnetzwerk nicht gefährdet
Ok, dann genauer: einfacher und SICHER!
Weil klar Port aufreißen und einfach "jeden" drauf lassen ist nat. einfach...
...aber bis das dann auch SICHER eingerichtet ist inkl. https (ohne die übliche Browser-Zertifikatsmeldung etc.)...
...und dann auch dabei KEINEN "FEHLER" gemacht zu haben...
Da sage ich dennoch noch mal: vpn ist einfacher... ;)
Entweder im Router (Fritzbox o.ä. hat ja mittlerweile fast jeder), dann meist ein Haken irgendwo, Konfig-Datei für Rechner/Handy runterladen und in die entspr. App einbinden: fertig...
Und auch ohne dass der Router das kann: piVPN, dauert 5min zu installieren, dann auch "Client-Zertifikate" anlegen (ein Befehl), Konfiguration aufs Handy -> fertig...
Und: kann sogar auf dem fhem Server (sofern PI) laufen...
Und wenn man dann noch mehr Sicherheit will: fail2ban...
Für openvpn gibt es fertige Profile...
EDIT: oder in Kurzform ;)
Zitat von: amenomade am 07 Juli 2020, 23:08:12
Es ist auf jeden Fall einfacher, ein sicheres VPN einzurichten, als eine sichere Portfreigabe zu FHEM, die dein ganzes Hausnetzwerk nicht gefährdet
Gruß, Joachim
Gerade in letzter Zeit ist es dank Wireguard ja fast ohne Konfigurationsaufwand möglich, ein VPN aufzubauen.
ZitatGibt es irgendeine komfortablere Möglichkeit vom Android-Handy die VPN-Verbindung aufzubauen, außer sich durch die Menüs zu tippen?
Du kannst dir einen Button in den System-Shortcuts anlegen (Das Menü zum runterziehen am Handy, über den Notifications)
Schneller gehts eigentlich (fast) nicht :)
lg, Stefan
PS: Ab Android 8 sollte sich Wireguard sogar per Automagic einschalten lassen. Theoretisch müsste es damit also zB auch möglich sein, dass du das VPN aktivierst, sobald du im Browser die FHEM-Seite aufrufst ^^
Moin,
ich lese hier auch mit.
Ist inzwischen das Problem gelöst, oder hat jemand eine Lösung, wenn man über DS-Lite angebunden ist? Ich habe 3 Standorte, die ich gerne verbinden möchte, aber alle 3 haben nur DS-lite.
So wie ich hier mitlese, bin ich der Einzige mit dem Problem oder habe ich nur die Lösung noch nicht gefunden?
Grüße
Miete Dir für ein paar Euro im Monat einen vServer und richte da einen VPN Server ein. Von Deinen DSLite Standorten wählt sich der Router dann als VPN Client ein. Je nach Konfig hast Du dann ein riesen Netz.
Hallo CoolTux,
das wollte ich auch.
Einen vServer habe ich schon (für MQTT). Leider fehlt mir jegliche Anleitung und (noch) das Wilssen für VPN. Weisst Du eventuell eine praktikable Anleitung, die auch für einen Anfänger passt? (Als Router habe ich https://www.fli4l.de/ (https://www.fli4l.de/)).
Dankeschön.
Eine Anleitung selber habe ich nicht. Würde ich auch nur im Netz suchen. Ich selbst habe als Firewal OPNSense bei mir im Einsatz und da kann man es bequem über das Webinterface machen. Aber ich bilde mir ein unter Linux direkt kann das auch nicht so das Drama sein.
Eine Suche nach linux VPN Wireguard einrichten erbrachte auf die schnelle für mich
https://www.bennetrichter.de/anleitungen/wireguard-linux/
Grüße
Hallo CoolTux,
ehe ich mich verrene, kann man das auch die Firewall OPNSense auf dem vServer installieren und damit die Clients über das Webinterface managen und verbinden?
Dankeschön.
Zitat von: FHEM-User22 am 08 Juli 2020, 17:54:47
Hallo CoolTux,
ehe ich mich verrene, kann man das auch die Firewall OPNSense auf dem vServer installieren und damit die Clients über das Webinterface managen und verbinden?
Dankeschön.
OPNSense ist eine eigene Distribution mit OpenBSD und kommt als fertiges CD Image.
Das geht leider nicht als Anwendung zu installieren.
Zitat von: Icinger am 08 Juli 2020, 04:50:35
Gerade in letzter Zeit ist es dank Wireguard ja fast ohne Konfigurationsaufwand möglich, ein VPN aufzubauen.
Du kannst dir einen Button in den System-Shortcuts anlegen (Das Menü zum runterziehen am Handy, über den Notifications)
Ahhh okay, also eine extra App und nicht das in Android eingebaute VPN-Nutzen? Oder gibts auch für das eingebaute VPN im Android eine Möglichkeit dieses per Widget oder sogar über Tasker/Automagic zu aktivieren?
Zitat von: MadMax-FHEM am 07 Juli 2020, 23:08:31
Ok, dann genauer: einfacher und SICHER!
Weil klar Port aufreißen und einfach "jeden" drauf lassen ist nat. einfach...
...aber bis das dann auch SICHER eingerichtet ist inkl. https (ohne die übliche Browser-Zertifikatsmeldung etc.)...
...und dann auch dabei KEINEN "FEHLER" gemacht zu haben...
Da sage ich dennoch noch mal: vpn ist einfacher... ;)
Entweder im Router (Fritzbox o.ä. hat ja mittlerweile fast jeder), dann meist ein Haken irgendwo, Konfig-Datei für Rechner/Handy runterladen und in die entspr. App einbinden: fertig...
Und auch ohne dass der Router das kann: piVPN, dauert 5min zu installieren, dann auch "Client-Zertifikate" anlegen (ein Befehl), Konfiguration aufs Handy -> fertig...
Und: kann sogar auf dem fhem Server (sofern PI) laufen...
Und wenn man dann noch mehr Sicherheit will: fail2ban...
Für openvpn gibt es fertige Profile...
EDIT: oder in Kurzform ;)
Gruß, Joachim
Zitat von: amenomade am 07 Juli 2020, 23:08:12
Es ist auf jeden Fall einfacher, ein sicheres VPN einzurichten, als eine sichere Portfreigabe zu FHEM, die dein ganzes Hausnetzwerk nicht gefährdet
Volle Zustimmung! Einfach ist ne Portfreigabe, kompliziert ist das Absichern, das stimmt!
Ich hab VPN über die Fritzbox am laufen, Zugriff übers Handy ins gesamte Netz funktioniert damit super.
Aber ich habe auch eine Porfreigabe mit HTTPS, FHEM-Passwortschutz und nicht Standard-Port aktiv. Bis jetzt (toi toi toi) kein unberechtiger Zugriff (nach zweitem fehlerhaften Loginversuch innerhalb einer halben Std. sendet FHEM eine Benachrichtung per Telegram - diese kam bisher nur durch mich selbst, wenn ich mich 2 mal beim Passwort vertippt habe).
Wenn vpn "super funktioniert"...
...warum machst du dann den fhem Port nicht (besser) zu!?
Gruß, Joachim
Zitat von: MadMax-FHEM am 08 Juli 2020, 23:04:49
Wenn vpn "super funktioniert"...
...warum machst du dann den fhem Port nicht (besser) zu!?
Gruß, Joachim
- schnellerer Zugriff via Browser vom Handy
- über Tasker automatisierte Daten und Befehle, die von extern an FHEM gesendet werden.
VPN ist eben nur bei Bedarf, und dann durch die Einstellungs-Menüs hangeln, bis ich endlich die VPN-Verbindung aufbauen kann.
Mit "Super" meinte ich nur, dass eben dann der Datenverkehr über Zuhause läuft, und ich Zuhause auf alle Geräte direkt zugreifen kann. Ich bin damit also remote trotzdem im Heimnetz. ;)
Zitat von: swsmily am 08 Juli 2020, 23:07:59
VPN ist eben nur bei Bedarf, und dann durch die Einstellungs-Menüs hangeln, bis ich endlich die VPN-Verbindung aufbauen kann.
Hmmm, ich hab die openVPN-App...
Die öffne ich und klicke auf verbinden -> fertig...
Ich habe aber auch kein FB-vpn sondern eben piVPN.
1x auf einem extra PI
und 1x auf dem fhem PI (bei meiner Freundin, da sollen nicht so viele "Käfer" rumstehen ;) Ich will/muss [bin froh, dass ich kann] ab und an mal was "nachsehen" ;) )...
2 Löcher sind halt 2 Löcher... ;)
Gruß, Joachim
Klar, am liebsten wäre es mir auch FHEM von außen nicht erreichbar zu haben.
Bisher fehlt mir eben die Möglichkeit komfortabel VPN aufzubauen um auf FHEM zuzugreifen. Dank des Threads scheint es ja Möglichkeiten zu geben, damit muss ich mich erstmal auseinander setzen.
Das nächste Problem sind die automatisierten Befehle die regelmäßg an FHEM gesendet werden. Da ist ein kurzer HTTPS-Befehl an eine DynDNS-Adresse leichter realisierbar, als dass erst eine VPN-Verbindung aufgebaut wird, der Befehl gesendet wird, VPN wieder abgebaut wird.
Bis jetzt bin ich von auch im Forum gemeldeten "Hack-Versuchen" verschont gelieben. Fail2Ban ist ebenso eingerichtet, sogar so, dass ich über Telegram IPs sperren kann. Meldungen kommen nach dem zweiten fehlgeschlagenen Login-Versuch. Damit denke ich bin ich schon auf der relativ sichern Seite, dass selbst durch die Portfreigabe keine große Gefahr besteht. 100% Sicherheit gibt es nicht - das ist mir klar. Jede Öffnung nach außen ist ein möglicher Angriffspunkt.
Mit iOS gibt es die Möglichkeit mit ,,VPN on demand", damit verbindet es den VPN automatisch bei Zugriffen auf bestimmte Netze. Gibt es sowas bei Android nicht?
Zitat von: Chris46damit verbindet es den VPN automatisch bei Zugriffen
Wohin baut er denn den Tunnel auf ?
Zitat von: Chris46Gibt es sowas bei Android nicht?
Meines Wissens nach geht das bei Android nur mit einer (festen)IP. Da er ja ansonsten die DNS Anfrage zum auflösen der VPN-URL ins unsichere Netz schicken muss.
Zur Fritzbox.
Für alle Anfragen zu netzwerkname.fritz.box (ist konfigurierbar) wird bei mir eine VPN Verbindung aufgebaut.
Hallo CoolTux,
Zitat von: CoolTux am 08 Juli 2020, 19:36:27
OPNSense ist eine eigene Distribution mit OpenBSD und kommt als fertiges CD Image.
Das geht leider nicht als Anwendung zu installieren.
Ok, verstehe. Ich habe noch einen anderen vServer, der es zulässt, ein eigenes Image meiner Wahl zu installieren. Würde ich es damit hinbekommen können?
Dankeschön
Zitat von: Chris46netzwerkname.fritz.box (ist konfigurierbar) wird bei mir eine VPN Verbindung aufgebaut.
Das ist schon klar, aber dazu muss ja zuerst eine DNS Anfrage in ein potentiell unsicheres Netz geschickt werden.
Zitatwarum nutzt du nicht die VPN-Verbindung der Fritzbox?
Das bekomme ich nicht hin. VPN ist eingerichtet auf der FB, aber eine Verbindung zum Handy/Tablet klappt nicht. Läuft das über MyFritz? https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-unter-android-einrichten/ (https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-unter-android-einrichten/)
Vielleicht mal noch ein etwas anderer Ansatz:
Irgendwo hatten wir mal eine (von vielen) ziemlich ähnlichen Diskussionen, in deren Verlauf sich dann auch Rudi mal gemeldet hatte und (sinngemäß) angemerkt hat, dass mit SSL+allowed eigentlich dieselben Mechanismen genutzt würden, wie sie letztlich auch bei einem vpn-Zugang oder dem Zwischenschalten einer apache-Instanz genutzt würden. (Vorab hoffe ich mal, das soweit richtig zitiert zu haben, ich finde grade leider nur den thematisch (und zeitlich kurz nach dem genannten entstandenen) damit zusammenhängenden Thread zur Entstehung von reportAuthAttempts (https://forum.fhem.de/index.php/topic,108420.msg1024027.html#msg1024027)).
Unterstellt, das wäre soweit mal korrekt, wäre mein Vorschlag, das Pferd andersrum aufzuzäumen und eine Anleitung zu basteln, die in etwa so ginge:
1. Überlege, ob es überhaupt sinnvoll ist, den FHEM-Server aus dem Internet erreichbar zu machen.
2. Wenn du meinst, das sei sinnvoll und wichtig: Mache dir eine Liste von den Dingen, die du unbedingt vom Internet aus tun können willst. Bedenke dabei, dass jeder andere, der die Zugangsdaten kennt (oder irgendwie errät oder mit kriminellen Methoden ermittelt), dasselbe tun kann. Wenn es dir also nur darum geht zu sehen, welchen Status manche Geräte haben, dann beschränke den Zugang auch entsprechend! Wenn du nur bestimmte Geräte unbedingt Ein- und Ausschalten können mußt, dann beschränke den Zugang auch entsprechend! Wenn ..., dann beschränke den Zugang auch entsprechend!
Das geht so:
3. Definiere eine eigene Instanz dafür:
define fhem_inet FHEMWEB 8088 global
4. Aktiviere für diese FHEMWEB-Instanz HTTPS und teste aus, ob das lokal funktioniert (sslCertprefix setzen, dann HTTPS-Attribut, Details siehe cref zu FHEMWEB...)
5. Nutze die entsprechenden Attribute bei der FHEMWEB-Instanz, um alles, was nicht benötigt wird auszublenden bzw. den Zugriff zu verbieten: forbiddenroom, hiddengroup/-room(-Regexp), passe ggf. das Menü an.
6. definiere ein passendes allowed Device, erlaube darin erst mal nur den Zugriff aus dem lokalen Netz und teste es aus. Nutze die betreffenden Attribute von allowed, um den Zugriff entsprechend deiner Vorstellungen einzuschränken: allowedCommands, allowedDevices(-Regexp), setze reportAuthAttempts auf den passenden Wert, um v.a. auch Events für fehlgeschlagene Versuche zu erhalten!
7. Definiere einen geeigneten Eventhandler, der auf unberechtigte Zugriffe reagiert und deaktiviere mit dessen Hilfe den Zugang, falls z.B. 3 Login-Versuche binnen 10 Minuten fehlgeschlagen sind (sequence könnte dir dabei helfen...).
Teste das aus!
8. Erst dann (!): erlaube ggf. den Zugriff von beliebigen Adressen.
9. Folge den Anleitungen deines Routerherstellers zur Einrichtung eines dyndns-Diensts und gib den so vorher getesteten und SSL-User/Passwort-geschützten eingeschränkten Port (s.o.: 8088) an deinem Router frei.
10. Teste regelmäßig aus, ob alles noch funktioniert, wie es soll!
11. Ab jetzt sind regelmäßige updates für das Betriebssystem und v.a. die Softwarepakete, die den SSL-Teil betreffen PFLICHT! ("Never change" war noch nie richtig, aber jetzt ist eine faule Ausrede!)
Fragen, Anmerkungen, Kritik: Gerne...
(Ich nutze selbst vpn und hatte daher noch nicht die Muße, das mal in der Praxis umzusetzen und passend zu dokumentieren. Aber vielleicht mag ja jemand anderes...? Wenn jemand den Text+Bilder beisteuert (optimalerweise auf Basis der demo-Konfiguration) und das an sich fachlich ok ist (und sicher!), packe ich es jedenfalls gerne ins Wiki.)
Gruß, Beta-User
Kurze (vielleicht unnötige, weil evtl. mit obigen Mechanismen bereits ausreichend eingeschränkt) Anmerkung: (besser) KEIN sudo für den User fhem!
Wie geschrieben: bin nicht sicher was über die genannten Mechanismen schon eingeschränkt ist ABER: der User fhem bzw. mittels fhem können eben auch System-Aufrufe abgesetzt werden!
Häufig "höre" ich bei "solchen Diskussionen": ach naja, dann kann "der" halt meine Lichter schalten -> so what...
Ich wollte nur diesen Irrtum deutlich machen...
Ansonsten: sehr schöne Beschreibung! (ich bleibe trotzdem bei vpn ;) )...
Gruß, Joachim
Hmm, also:
"Im Prinzip" hast du völlig recht, dass man auch die Rechte des Users fhem nicht aus den Augen verlieren (oder (vermutlich) besser: sich nie mit der Erweiterung bzw. Passwortvergabe für diesen User beschäftigen) sollte. (Leider reißen da viele direkt die großen Scheunentore auf, v.a. weil sie meinen, dass man einen ssh-Zugang für fhem braucht, oder weil sonst irgendeine (Youtube-) "Anleitung" igendwelche Spielereien vorstellt, die man "unbedingt" braucht und dabei eben die eine oder andere "Kleinigkeit am Rande" ausläßt?!?)
Den Hinweis, dass der Umfang des möglichen Schadens eben auch von der Berechtigung des Users auf diesem UND ANDEREN SYSTEMEN abhängt, fehlt aber definitiv (ich will hier keine "geladenen Waffen" zeigen, aber die, die etwas Ahnung haben, werden wohl nicht viel Phantasie brauchen, um eigene zu basteln...).
Auch das Thema Passwortstärke könnte man erwähnen...
Mein "gefühltes Sicherheitsempfinden" (Achtung: belesener Laie!) meint im Moment, dass eine wie beschrieben auf das notwendigste beschränkte und mit einem starken Passwort geschütze SSL-FHEMWEB-Instanz vermutlich derzeit sogar die sicherste (halbwegs einfache) Variante für "noobs" wäre (ganz einfach ist es nicht, aber man lernt dabei eben auch wenigstens ein paar Grundlagen zu FHEM "nebenbei").
Auch die Anleitungen für die Alternative, einen reverse proxy dazwischenzuschalten, klammern in der Regel das Thema aus, dass man das eigentlich nicht (unbedingt) für eine administrative Instanz tun sollte - für diese Art Aufgabe finde ich die (bewußte) VPN-Variante auch nach wie vor die beste Lösung, man hat damit aber eben auch noch weitere Möglichkeiten, die weit über die Administration (+++, s.o.) via FHEMWEB rausgehen. Von daher ist gutes Portforwarding (s.o.) evtl. sogar für noobs die "bessere Variante" und gegenüber einer miserabel abgesicherten vpn-Verbindung vorzugswürdig?!?
Mal wieder ein unübersichtliches Feld...
Zitat von: Beta-User am 10 Juli 2020, 09:20:36
... gegenüber einer miserabel abgesicherten vpn-Verbindung vorzugswürdig?!?
Naja, (mittleweile) muss man schon (fast) absichtlich etwas tun, um eine vpn-Verbidung NICHT "abgesichert" zu haben:
- absichtlich sehr kurze Schlüssellänge (weil bei einfach ok, ok, ok, ... bei "Installation" von z.B. piVPN schon ausreichend gewählt wird)
- absichtlich einen vpnClient, der kurze (schlechte) Schlüssel zulässt (also selbst wenn der erste Schritt "schlecht" gemacht wurde lassen "moderne" Apps das gar nicht zu)
- einfach wild seine vpn-Schlüsseldateien "rumwerfen"
- vpn-Schlüsseldateien nicht "verwerfen", von Geräten die "verschwunden" sind bzw. wo Schlüssel wissend "abhanden" gekommen sind...
Zitat von: Beta-User am 10 Juli 2020, 09:20:36
Mal wieder ein unübersichtliches Feld...
Tja aber so ist es halt...
Sicherheit bedeutet Aufwand und "Umstände" (u.U. auch für "erlaubte" Nutzer bei der Nutzung) mind. bei der Einrichtung...
...und war schon zu "Burgbauzeiten" so ;)
Was bringt die stärkste Burg mit einem großen Graben und einem massiven Tor, wenn man dann den "Abfluss" vergisst ;)
Oder noch schlimmer einen "Bequemlichkeits-Eingang" irgendwo versteckt...
Gruß, Joachim
Hallo,
wenn ich einen Befehl an meine FHEM senden will, dann ist bei mir Telegram das Mittel der Wahl. Sorry, aber dafür VPN zu nutzen ist mir zu umständlich. VPN ist auch aktiv, aber nicht wegen einer einfachen Steuerkommunikation.
Beispiel > #Garagentor macht mein Tor auf :-) und gibt mir 1 Min später den neuen Status zurück.
FHEM ungeschützt im WWW würde bei mir ein Gruseln erzeugen. Einfach mal eine Kiste per bekannten Port ins WWW hängen und dann die Log betrachten, das reicht aus meiner Sicht als Argument es nicht zu tun.
Grüße Peter