Hallo,
erstmal danke, dass es gelesen wird. Und vor weg ich weiß nicht, ob ich alle Begriffe richtig verwende, Sorry schon mal dafür.
Also ich habe eine App (aPager Pro) dort bekomme ich Einsatzmeldungen der Freiwilligen Feuerwehr diese bietet aber auch an das ich die Daten an einen
Webhook senden kann. Diese Daten möchte ich jetzt gerne an FHEM senden.
Einen Webhook habe ich schon am Laufen für Geofancy in Verbindung mit Locative der läuft auf Port 8088
Der Webhook für aPager würde ich dann auf 8089 laufen lassen
eine Portweiterleitung in meinem Omada Kontroller habe ich auch schon eingestellt.
nternals:
BYTES_READ 0
BYTES_WRITTEN 0
CFGFN
CONNECTS 12
CSRFTOKEN csrf_271573038498586
DEF 8089 global
FD 82
FUUID 6913814a-f33f-f4cb-6ad1-d02c3482fb195a8f
NAME WEBhook_aPager
NR 1300
NTFY_ORDER 50-WEBhook_aPager
PORT 8089
STATE Initialized
TYPE FHEMWEB
.attraggr:
.attrminint:
READINGS:
2025-11-11 19:32:42 state Initialized
Attributes:
webname aPager
Aber in der App kann ich keinen Benutzer oder Passwort angeben. Also habe ich erstmal nur den Webhook (FHEMWEB) erstellt
über die IP http://192.168.169.27:8089/aPager komme ich darauf von außen bekomme ich aber im Log angezeigt
Connection refused from the non-local address xx.xxx.xxx.xx:60352, as there is no working allowed instance defined for it
aber ich habe doch gar keine Zugangsberechtigung angegeben.
Denke, ich muss es, da ja kein Benutzer und Passwort angegeben werden kann, in der App, es über ein Token oder so machen aber da bin ich total raus und habe keinen Plan.
Es wäre nett, wenn sich da mal einer hilfreich einschalten könnte.
Gruß Mike
Zitat von: Freee84neu am 11 November 2025, 19:54:53ob ich alle Begriffe richtig verwende
Nein, leider nicht.
"Die Daten an einen Webhook senden" ist z.B. unklar. Was wird denn genau gesendet? Gibt es irgendwo ein Beispiel für ein solches Telegramm? Was genau kann man in der App als Adresse einstellen?
Das Modul FHEMWEB stellt auch keinen universell verwendbaren "Webhook" bereit, das ist ein Missverständnis.
LG
pah
Danke schon mal das sie sich Zeit genommen haben.
Habe ein paar Bilder der aPager App angehängt
Die Daten die gesendet werden denke sind Json-strings
Hi.
Nur eine IP freizugeben, da weiß ich nicht ob das klappen würde da ich nicht so wirklich weiß von wo aus die App ihre Daten abschickt. Aus der cloud oder vom Handy selber, und bleibt die IP immer gleich !?
Das ich mit einem Token oder sowas :-\ arbeiten müsste hatte ich mir schon fast gedacht.
Nur leider habe ich da gar keine Erfahrung :'(
Und wenn ich ein allowed hinzugefügt hatte, hatte ich auch nur mit Benutzer und Passwort Abfrage hin bekommen
Bei FHEMWEB und Token habe ich leider nur Bahnhof verstanden
Achtung, das ist ein Bot!
Zum Testen kannst Du mal folgendes probieren:
attr WEBhook_aPager allowfrom .*
Damit solltest Du zumindest beim Experimentieren und Einrichten weiterkommen.
Ob Du das als Dauerzustand so lassen möchtest, hängt davon ab, wie Dein Netzwerk grundsätzlich erreichbar ist. Aber auch das Einrichten einer passenden allowed-Instanz wäre kein allzu großes Problem.
Das Thema apager hatten wir übrigens vor knapp zwei Jahren schonmal hier im Forum: https://forum.fhem.de/index.php?topic=136471.0
Grundsätzlich scheint das also zu funktionieren, damals ging es mehr um Details, mit denen man dann in FHEM operiert.
Zitat von: betateilchen
code]attr WEBhook_aPager allowfrom .*[/code]
Habe das Attribut gesetzt, komme jetzt von außen (Xxx.xxx.xxx.xx/aPager) durch jedoch fragt er mich jetzt nach einem Passwort und Benutzer. Aber selbst mein Passwort und Benutzer gehen nicht.
Zitat von: betateilchen am 12 November 2025, 13:37:12Das Thema apager hatten wir übrigens vor knapp zwei Jahren schonmal hier im Forum: https://forum.fhem.de/index.php?topic=136471.0
Grundsätzlich scheint das also zu funktionieren, damals ging es mehr um Details, mit denen man dann in FHEM operiert.
Ich habe ihn mal persönlich angeschrieben. Danke
Folgende Vorgehensweise:
1. Zunächst im internen WLAN ausprobieren, ob die aPager-App selbst das Versenden übernimmt, oder dies den externen Server übernehmen lässt. Dazu sollte ein FHEM-Dummy "aPager" angelegt werden.
2.In die aPager-App eintragen
http://<FHEM ip-adresse>:<port>?XHR=1&cmd=set%20%aPager%203.In der App mal die Daten versenden lassen. Keine Ahnung ob das manuell auslösbar ist, oder man auf einen echten Alarm warten muss.
4.In FHEM nachsehen, welchen Wert der Dummy hat.
LG
pah
Und noch ein Tipp:
so ein Vorhaben würde ich immer mit einer HTTPAPI Instanz in FHEM umsetzen und nicht mit einer FHEMWEB Instanz.
Und am besten einen reverse proxy davorschalten. Und den mit HTTPS (Let's Encrypt) konfigurieren. Im reverse proxy kann man dann auch eine URL (oder einen query paramter, je nach dem) als "API Key" definieren und so die fehlende BasicAuth-Unterstützung von aPager ausgleichen.
Ich würde das keinesfalls ohne API Key und ohne HTTPS machen; schon gar nicht mit einer "normalen" FHEMWEB-Instanz. Meiner Meinung nach ist es schon risikoreich genug, dass Geofency da einfach so läuft ...
Danke, danke schon mal für die ganzen Infos.
Ich werde mich morgen früh mal da dran setzen. Bin gerade auf Spätschicht😔. Muss aber auch sagen das es ganz schön viele Infos zur Verschlüsselung sind. Und ich mich wohl erstmal da einarbeiten muss 🫣... Danke nochmal und ihnen allen einen schönen Rest Tag. Denke bis morgen 🫣
Fang doch grundsätzlich mal mit der einfachsten Variante an und sorge dafür, dass die funktioniert.
Die funktionierende Lösung dann zu härten, ist viel einfacher, als mit einem Konstrukt zu beginnen, das schon von Beginn an viel zu viele Parameter hat (z.B. Verschlüsselungen), die sich auf die Funktion auswirken und die Du dann nicht eindeutig als Fehlerursache erkennen könntest.
Wenn Du an einer funktionierenden Lösung nach und nach immer nur einen Parameter veränderst und es dann nicht mehr funktioniert, weißt Du zumindest, an welchem Parameter das Problem gerade liegt.
Ich kann auch nur empfehlen, das mal in einem eigenen WLAN lokal zu testen, bevor man ein Loch in die Firewall bohrt.
LG
pah
Hallo habe heute von neu gestartet aber wieder erstmal mit einen FHEMWEB modul und auch erstaml ohne irgend eine Absicherung!
Internals:
BYTES_READ 37932
BYTES_WRITTEN 188469
CONNECTS 40
DEF 8089 global
FD 35
FUUID 6915a1ec-f33f-f4cb-23ee-8381fb1ca50af39e
NAME WEBhook_aPager
NR 1255
NTFY_ORDER 50-WEBhook_aPager
PORT 8089
STATE Initialized
TYPE FHEMWEB
.attraggr:
.attrminint:
READINGS:
2025-11-13 10:42:52 state Initialized
Attributes:
allowfrom .*
csrfToken noneDazu einen einfachen Dummy aPager. Den Dummy kann ich jetzt von aussen wie von innen über
http://192.xxx.xxx.xx:8089/fhem?cmd=set%20aPager%20testXX
und von aussen
http://80.xxx.xx.xx:8089/fhem?cmd=set%20aPager%20testXX (Handy ohne Wlan)
bedinen.
Die App kommt immer von aussen sie ist ja auf meinem Handy und ist auch nicht immer im Wlan. Ob dann von der Handy IP oder Server IP konnte ich noch nicht rausfinden.
die App zeigt mir jetzt einen Fehler der Wohl was mit IOS und HTTPS zu tun hat aber da stehe ich auch wieder aus dem Schlauch
Zitat von: Freee84neu am 13 November 2025, 11:29:18Ob dann von der Handy IP oder Server IP konnte ich noch nicht rausfinden.
Angesichts der Fehlermeldung (die ja von iOS selbst kommt) wird das direkt vom Handy aufgerufen werden, nicht aus der Infrastruktur von aPager heraus.
Zitat von: Freee84neu am 13 November 2025, 11:29:18die App zeigt mir jetzt einen Fehler der Wohl was mit IOS und HTTPS zu tun hat aber da stehe ich auch wieder aus dem Schlauch
Die Fehlermeldung sagt einfach, dass du HTTPS benutzen sollst. Das ist schon richtig so.
Was mir grade einfällt, eventuell ist für deinen Anwendungsfall so etwas wie cloudflare tunnels (cloudflared) sehr gut geeignet. Müsstest du dir mal anschauen, das sollte deutlich geringerer Setup-Aufwand sein; wobei ich mir noch nicht sicher bin, wie man da die Authentifizierung gestaltet.
Generell würde ich empfehlen, mal bei r/selfhosted oder r/homelab zu lesen, da gibt es sehr viel Erklärungen zu dem ganzen reverse-proxy-hosten-Thema.
Ok, Ich muss das FHEMWEB Modul auf HTTPS umstellen.
Also das attr HTTPS auf 1 stellen,
Dann aber vorher das attr sslCertPrefix setzen, also da wo das Zertifikat liegt.
Dann müsste ich erstmal ein Zetrifikat erstellen ? Oder ich kann auch eins nehmen was über ein Reverse-Proxy läuft, und dann wird es von da genommen.
bin ich da erstmal auf dem richtigen weg. ober ist es so wie es sich gerade anfühlt. Ich stehe auf dem Schlauch? und ich habe es falsch verstanden.
Ich weiss ganricht wie ich das alles bei mir zum laufen gebracht habe über die jahre :o. ich denke wenn einer von euch mein FHEM sehen würde, würde er die Hände über den Kopf schalgen :( . Was muss ich bieten damit sich einer mein Fhem mal anschaut und behebt was dort alles Falsch ist ;) :o ;) :o ;) :o ... aber es läuft ;D
Zitat von: Freee84neu am 13 November 2025, 11:29:18Dazu einen einfachen Dummy aPager. Den Dummy kann ich jetzt von aussen wie von innen über
http://192.xxx.xxx.xx:8089/fhem?cmd=set%20aPager%20testXX
und von aussen
http://80.xxx.xx.xx:8089/fhem?cmd=set%20aPager%20testXX (Handy ohne Wlan)
bedinen.
Und mit den gezeigten Einstellungen von FHEMWEB also z.B. csrfToken none ist dein fhem aber aktuell offen wie ein Scheunentor!?
csrfToken kannst du auch auf einen festen Wert stellen, besser als none (ändert sich bei standard auch immer nur beim fhem Start)...
...aber das ist ja offenbar noch die kleinste "Sicherheitslücke"...
Gruß, Joachim
Wollte auch erstmal nur schauen wie was geht deswegen habe ich alles offen wie Scheunentor gemacht. Nach dem Testen habe ich die Portweiterleitung wieder raus und habe auch das FHEMWEB Modul wieder entfernt. Habe es nicht offen stehen lassen.
Nur zum Test nach Rat alles offen lassen bis es klappt dann erst absichern aber zur Zeit scheitere ich an der hTTPS Geschichte
Wie gesagt, ich würde die TLS-Termination (also HTTPS) nicht FHEM machen lassen, sondern etwas anderes, weil du (meine ich) nur so über die URL eine Art Tokenbasierte Authentifizierung machen kannst. Du brauchst dazu
- die entsprechende Software (z.B. nginx, haproxy)
- irgendeine (DynDNS)-Domain und
- certbot, das dir automatisiert die Zertifikate von Let'sEncrypt holt.
Theoretisch gibt es auch so Tools wie pangolin (https://github.com/fosrl/pangolin), Traefik (https://github.com/traefik/traefik) oder NPM (https://github.com/NginxProxyManager/nginx-proxy-manager), usw, aber die sind mE für deinen Anwendungsfall, weil du nur eine Anwendung ins Internet bringen willst und auch kein Docker benutzt, overkill.
Wie gesagt kann es auch sein, dass hier Cloudflare Tunnels/cloudflared hilft. Wobei ich glaube, dass dazu eine "echte" Domain notwendig ist, bei der du Cloudflare als Nameserver eintragen kannst, was die meisten DynDNS-Anbieter nicht anbieten dürften.
Ich möchte auch nochmal ausdrücklich auf r/selfhosted und r/homelab verweisen.
Also wenn das so wird sehe ich da wohl doch ein Ende was ich nicht erreichen werde. Habe nicht gedacht das es so kompliziert wird.
Falls ich sowas umsetzen wollte, dächte ich darüber nach, ob ich aus dem Webhook nicht irgendwo außerhalb meines Netzwerkes mqtt machen kann. Dann muss ich nur mein FHEM mit dem gleichen mqtt-Server verbinden und kann die eingehenden Nachrichten empfangen.
Zitat von: Freee84neu am 13 November 2025, 19:52:08Also wenn das so wird sehe ich da wohl doch ein Ende was ich nicht erreichen werde. Habe nicht gedacht das es so kompliziert wird.
Was hast du denn schon recherchiert? Es gibt tausende Anleitungen im Netz, die erklären, wie man so etwas macht. Und hier würde dir ja auch weitergeholfen werden.
Grade bist du einfach nur überfordert, weil du den ganzen "Berg" vor dir siehst, aber nicht die einzelnen kleinen Schritte. Fang einfach mal mit einem kleinen Schritt an, z.B. einen DynDNS-Provider raussuchen, der mit Certbot kompatibel ist und dich dort anmelden. Ich würde desec.io empfehlen.
Im nächsten Schritt kannst du z.B. nginx installieren, dann certbot, usw. Das wird schon!
Ok ich danke euch allen Wirklich sehr das ist ja heute nicht mehr normal das andere ihre Zeit opfern für andere. Aber so langsam denke ich, ich habe zu wenig Ahnung davon, und bei den ganzen Tipps, die Wahrscheinlich sehr wertvoll sind. Mich aber leider nur mehr verzweifeln lassen. Da ich wie gesagt immer mehr merke (du hast keine Ahnung). Ich wohl erst mal ein Paar Tage mir alles zugute führen muss. Damit der ,,Berg" nicht mehr so hoch erscheint. Und ich da nochmal die Dokumentation von Alamos mir zu gute führe
https://alamos-support.atlassian.net/wiki/spaces/documentation/pages/2434990081/Smart+Home+Integration+iOS
Wo ich jetzt auch gesehen habe es geht nur HTTPS🫣. So wie alle eure Tipps.
Alles nochmal odentloch durchsehen. Und mir selber erklären was was ist.
Und eventuell ist die Person die es schon hat nach einem Jahr mal wieder online. Und gibt mir das entscheide Teil was mir da fehlt🫡🫣...
Zitat von: Freee84neu am 13 November 2025, 11:29:18Dazu einen einfachen Dummy aPager. Den Dummy kann ich jetzt von aussen wie von innen über
http://192.xxx.xxx.xx:8089/fhem?cmd=set%20aPager%20testXX
und von aussen
http://80.xxx.xx.xx:8089/fhem?cmd=set%20aPager%20testXX (Handy ohne Wlan)
bedi(e)nen.
Von Innen: OK, das war das erste Ziel.
Von Außen :o :o :o : Das sollte man nicht machen, sonst kann JEDER AUF DAS FHEM BELIEBIGE KOMMANDOS ABSETZEN.
Also die Firewall schnellstmöglich wieder dicht machen. Unklar ist, ob das jetzt mit Hilfe der aPager App gestestet wurde, oder manuell von einem Browser aus - bitte diese Frage klar beantworten.
Und klarer Tipp: Erst einmal die Finger https-Tools, Proxy-Servern etc. lassen, bis wir weitere Details geklärt haben.
LG
pah
Hallo,
Die Firewall ist wieder zu. Die hatte ich immer nur für Minuten offen. Zum testen
Die aPager App sendet nur was über HTTPS. Getestet wurde also nur über den Browser bzw. Handy Browser von Außen
Zitat von: Prof. Dr. Peter Henning am 14 November 2025, 12:15:45Unklar ist, ob das jetzt mit Hilfe der aPager App gestestet wurde, oder manuell von einem Browser aus - bitte diese Frage klar beantworten.
Nein, das ist nicht unklar, lies den Post und schau den Screenshot an.
Zitat von: Prof. Dr. Peter Henning am 14 November 2025, 12:15:45Und klarer Tipp: Erst einmal die Finger https-Tools, Proxy-Servern etc. lassen, bis wir weitere Details geklärt haben.
Nein, hier gibt es nichts mehr zu klären. OP braucht einfach irgendetwas, das ihm eine domain und ein Zertifikat gibt. Und dann irgendetwas das eine halbwegs passable Authentifizierung per URL-Bestandteil ermöglicht.
Lesen hilft ...
Für mich ist es klein Problem Fragen zu beantworten. Und wenn jemand was nachfragen will soll es gerne gemacht werden, kein Problem. Ich weiß ja das meine Beschreibungen manchmal nicht so verständlich sind.
Bitte dann keinem unterstellen das er nicht richtig liest, wenn es von mir nicht ordentlich kommt.
Zitat von: passibe am 14 November 2025, 14:11:34Nein, hier gibt es nichts mehr zu klären.
Das ist einfach gequirlter Unsinn, der TE versteht kaum was er da tut.
pah
OP ?
TE ?
Original-Poster = Thread-Ersteller.
Noch einmal: Ich halte es für ein Sicherheitsrisiko, ohne ziemlich fortgeschrittene Kenntnisse mit der eigenen Firewall zu experimentieren, oder solche Werkzeuge wie nginx zu nutzen. Auch ein für wenige Minuten offenes FHEM kann zur Katastrophe führen.
Rein interessehalber habe ich mal die Entwickler von aPager angetriggert, da muss es eine einfachere Möglichkeit geben. Schön wäre eine Anbindung an einen Messenger, wie z.B. Telegram - dafür gibt es FHEM-Module, die im Polling-Betrieb arbeiten und keine Lücke in der Firewall erfordern.
LG
pah
Danke, für die Erklärung der Begrifflichkeiten!
Zitat von: Prof. Dr. Peter Henning am 14 November 2025, 16:49:20....Rein interessehalber habe ich mal die Entwickler von aPager angetriggert, ...
Telegramm hätte ich am Laufen. 🫣
Eventuell klappt es über IFTTT-Telegramm-FHEM
Oder IFTTT-Kurzbefehle-Homebridge-FHEM
Mal sehen was IFTTT so bietet
So viel Mühe, vielen Dank, jetzt bekomme ich schon ein schlechtes Gewissen! Dacht es wird ein übersichtliches Projekt.
Mike
ZitatSo viel Mühe, vielen Dank, jetzt bekomme ich schon ein schlechtes Gewissen!
Nicht nötig. Ich habe derzeit eine ähnliche Angelegenheit, an der ich herumkniffele. Ich will nämlich per Telegram Geofencing-Nachrichten empfangen, ohne ein Loch in meiner Firewall zu haben.
LG
pah