Hi,
seit nun 2 Monaten versuche ich mein FHEM nach außen ordentlich zu verschlüsseln, aber nie klappt eine Anleitung richtig bzw. sieht man als nicht Informatiker nicht durch wie und was man nun am besten verschlüsseln soll.
Ich hoffe mir kann jemand etwas Licht ins dunkel bringen.
Meine Hardware:
Speedport Hybrid(LTE Verbindung) > Fritzbox7390(im Routermodus) > Rip3 mit fhem
DYNDNS Adresse(selfhost.eu) vorhanden und ohne Passwort über http ist der Port 8082 von außen erreichbar.
Ich möchte das ganze nun mit Passwort versehen und per https verschlüsseln.(VPN möchte ich nicht!)
-kann man das Passwort einfach in FHEM angeben
attr WEB basicAuth YmVudXR6ZXJuYW1lOnBhc3N3b3J0 oder anders?
- So wie ich gelesen habe sollte man kein eigenes Zertifikat nehmen da es immer zu Fehlermedungen im Browser kommt. Und im fhem Log auch.
- selfhost.eu stellt keine Zertifikate aus(nur 5 pro Woche daher wie ein 6er im Lotto)
- https://haus-automatisierung.com/hardware/fhem/2016/12/30/fhem-tutorial-reihe-part-21-zugriff-auf-fhem-ueber-das-internet.html habe ich getestet aber zum einen weis ich nicht ob dies mit selfhost funktioniert und zum anderen bringt er mir bei der Installation einen Fehler daher komme ich dort auch nicht weiter.
pi@raspberrypi3:/opt/letsencrypt $ ./letsencrypt-auto certonly --rsa-key-size 4096 -d dyndns
Requesting root privileges to run certbot...
/home/pi/.local/share/letsencrypt/bin/letsencrypt certonly --rsa-key-size 4096 -d dyndns
Saving debug log to /var/log/letsencrypt/letsencrypt.log
How would you like to authenticate with the ACME CA?
-------------------------------------------------------------------------------
1: Apache Web Server plugin - Beta (apache)
2: Place files in webroot directory (webroot)
3: Spin up a temporary webserver (standalone)
-------------------------------------------------------------------------------
Select the appropriate number [1-3] then [enter] (press 'c' to cancel): 3
Obtaining a new certificate
Performing the following challenges:
tls-sni-01 challenge for depechem742915lbg.selfhost.eu
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. depechem742915lbg.selfhost.eu (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for TLS-SNI-01 challenge. Requested 2ef670f99ef3b7c27631a081d4154eb4.fe821f4b8e1011f09656f71e73ae0e68.acme.invalid from 93.242.111.185:443. Received 1 certificate(s), first certificate had names "c4shhtcpdo5rcjiz.myfritz.net, fb-7390-router, fritz.box, fritz.nas, myfritz.box, www.fritz.box, www.fritz.nas, www.myfritz.box"
IMPORTANT NOTES:
- The following errors were reported by the server:
Domain: dyndns
Type: unauthorized
Detail: Incorrect validation certificate for TLS-SNI-01 challenge.
Requested
2ef670f99ef3b7c27631a081d4154eb4.fe821f4b8e1011f09656f71e73ae0e68.acme.invalid
from 93.242.111.185:443. Received 1 certificate(s), first
certificate had names "c4shhtcpdo5rcjiz.myfritz.net,
fb-7390-router, fritz.box, fritz.nas, myfritz.box, www.fritz.box,
www.fritz.nas, www.myfritz.box"
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A record(s) for that domain
contain(s) the right IP address.
gibt es nicht irgendwo eine ordentlich Anleitung für einen Laien der sein fhem nach Außen etwas sicherer machen kann?
Ich Danke euch
Gruß Thomas
Zitat von: Depechem am 14 März 2017, 16:02:36
Ich möchte das ganze nun mit Passwort versehen und per https verschlüsseln.(VPN möchte ich nicht!)
Warum nicht?
Zitat
-kann man das Passwort einfach in FHEM angeben
attr WEB basicAuth YmVudXR6ZXJuYW1lOnBhc3N3b3J0 oder anders?
Das musst du über das allowed (http://fhem.de/commandref.html#allowed)device machen, nicht im FHEMWEB device
Zitat
- So wie ich gelesen habe sollte man kein eigenes Zertifikat nehmen da es immer zu Fehlermedungen im Browser kommt. Und im fhem Log auch.
Eigenes Zertifikat ist überhaupt kein Problem - es gibt Sicherheits
warnungen im Browser
Ich würde empfehlen zunächst ein mal z.B. nach dieser Anleitung (https://wiki.fhem.de/wiki/Anwesenheitserkennung#Webhook_weiter_absichern) vorzugehen... Dann ist deine Installation wenigstens kein Scheunentor mehr ;-)
Grüße,
Oli
Zitat von: Depechem am 14 März 2017, 16:02:36
Ich möchte das ganze nun mit Passwort versehen und per https verschlüsseln.(VPN möchte ich nicht!)
-kann man das Passwort einfach in FHEM angeben
attr WEB basicAuth YmVudXR6ZXJuYW1lOnBhc3N3b3J0 oder anders?
Du kannst das Ganze auch mit Einmalpasswörtern über den Google-Authenticator absichern, dann brauchst Du gar kein Passwort in FHEM hinterlegen.
Zitat von: betateilchen am 14 März 2017, 16:19:48
Du kannst das Ganze auch mit Einmalpasswörtern über den Google-Authenticator absichern, dann brauchst Du gar kein Passwort in FHEM hinterlegen.
Yep GAuthenticator ist ne coole Sache. Ich starte mein VPN nur auf Email-Anforderung mit gauth code im Subject ;-)
Zitat. Ich starte mein VPN nur auf Email-Anforderung mit gauth code im Subject
Das habe ich nicht verstanden. VPN startet man doch auf dem Handy oder dem Remotes Rechner. Wie machst Du das per E-Mail?
Zitat von: inoma am 14 März 2017, 19:13:07
Das habe ich nicht verstanden. VPN startet man doch auf dem Handy oder dem Remotes Rechner. Wie machst Du das per E-Mail?
Is' jtzt ein bisschen off-topic... Ich starte den VPN-Server nur wenn ich wirklich Zugriff von extern brauche. Die meiste Zeit (teilweise wochenlang) ist mein System überhaupt nicht von aussen erreichbar.
So weit ich weiß wird für letsencrypt eine Domain vorrausgesetzt, eine DynDns Adresse reicht laut meiner Info nicht aus.
Doch, DynDNS hat kein Problem mit Let'sEncrypt.
lg, Stefan
@KernSani: Kannst Du mal den entscheidenen Code Deiner VPN Server on Demand Lösung posten ;-)
Meine Lösung heute ist das normale VPN auf der FritzBox und Zugriff per vpnc auf dem Raspberry bzw. auf dem Handies einmal die Daten im Einstellungen VPN Bereich. Ist gut bei AVM beschrieben und im Endeffekt hat jedes Gerät einen Benutzer auf der FritzBox.
https://avm.de/service/vpn/uebersicht/
Gruß Arnd
Raspi2 mit FHEM, CUL, MySensor, HomeBridge, Presence, Bravia, ...
Zitat von: RaspiLED am 15 März 2017, 07:13:51
@KernSani: Kannst Du mal den entscheidenen Code Deiner VPN Server on Demand Lösung posten ;-)
Mache ich gerne heute Abend... Ist aber ziemlich simpel, basiert auf openVPN ...
Zitat von: RaspiLED am 15 März 2017, 07:13:51
@KernSani: Kannst Du mal den entscheidenen Code Deiner VPN Server on Demand Lösung posten ;-)
Bin zwar nicht KernSani, aber ich mache das prinzipiell auch so.
- VPN ein Linux-Dienst, den man starten und stoppen kann.
- Meiner Linux (und FHEM) Installation kann ich per email Befehle schicken. (modul: mailcheck)
- Also schicke ich meinem Server eine email mit dem Betreff "starte VPN Dienst"
- Um zu prüfen, ob die ankommende email authorisiert ist, muss ein passendes Token aus dem google-Authenticator in der Mail enthalten sein.
- Wenn ich die VPN Verbindung nicht mehr brauche, gibt es wieder eine email, die den VPN Dienst abschaltet.*
* Um ehrlich zu sein, löse ich das Abschalten über ein Script auf Betriebssystemebene, das die VPN Verbindung eine Minute später beendet. Das erlaubt mir, mich noch ordentlich vom Server abzumelden.
Hi Danke für eure Infos,
Grundlegend würde ich das ja gern per VPN machen, nur habe ich auf dem iPhone 2 Apps (FHEM Widget & FHEM APP) dann müsste ich erst jedes mal in den Apple Einstellungen VPN aktivieren und dann erst auf die App zugreifen. Das möchte ich aber nicht. Insbesonders habe ich das "FHEM Widget" als Apple Widget eingerichtet um nur 1x nach links wischen zu müssen um meine aktuelle Temperatur und Hausstatus zu sehen.
Gruß Thomas
Hi, ja das macht Sinn, dafür benutze ich Siri ;-) homebridge und homebridge-fhem auf RasPi Seite! Dann brauche ich nicht wischen, sondern frage "Sind die Lampen im Wohnzimmer an?"
Gruß Arnd
Raspi2 mit FHEM, CUL, MySensor, HomeBridge, Presence, Bravia, ...
Zitat von: RaspiLED am 15 März 2017, 15:29:53
Hi, ja das macht Sinn, dafür benutze ich Siri ;-) homebridge und homebridge-fhem auf RasPi Seite! Dann brauche ich nicht wischen, sondern frage "Sind die Lampen im Wohnzimmer an?"
Gruß Arnd
Raspi2 mit FHEM, CUL, MySensor, HomeBridge, Presence, Bravia, ...
Aber du musst vorher händisch den VPN aktivieren?!
Nein,
zu Hause gibt es ein iPad oder AppleTV als Brücke zur AppleCloud. Unterwegs redet das iPhone mit der Cloud oder zu Hause per WLAN direkt mit fhem.
Kurzum: Also für Homekit/Siri braucht man kein VPN ;-)
Gruß Arnd
Raspi2 mit FHEM, CUL, MySensor, HomeBridge, Presence, Bravia, ...
Zitat von: betateilchen am 15 März 2017, 07:22:50
Bin zwar nicht KernSani, aber ich mache das prinzipiell auch so.
- VPN ein Linux-Dienst, den man starten und stoppen kann.
- Meiner Linux (und FHEM) Installation kann ich per email Befehle schicken. (modul: mailcheck)
- Also schicke ich meinem Server eine email mit dem Betreff "starte VPN Dienst"
- Um zu prüfen, ob die ankommende email authorisiert ist, muss ein passendes Token aus dem google-Authenticator in der Mail enthalten sein.
- Wenn ich die VPN Verbindung nicht mehr brauche, gibt es wieder eine email, die den VPN Dienst abschaltet.*
* Um ehrlich zu sein, löse ich das Abschalten über ein Script auf Betriebssystemebene, das die VPN Verbindung eine Minute später beendet. Das erlaubt mir, mich noch ordentlich vom Server abzumelden.
Grundsätzlich ist dem nichts mehr hinzu zu fügen... hab's trotzdem mal gepostet: https://forum.fhem.de/index.php/topic,69098.msg605776.html#msg605776
Zitat von: Depechem am 14 März 2017, 16:02:36
seit nun 2 Monaten versuche ich mein FHEM nach außen ordentlich zu verschlüsseln, aber nie klappt eine Anleitung richtig bzw. sieht man als Nicht-Informatiker nicht durch, wie und was man nun am besten verschlüsseln soll.
Hast Du das inzwischen hinbekommen? Ich war nicht ganz so lange unterwegs, habe es aber (anscheinend?) geschafft: https://forum.fhem.de/index.php/topic,29909.msg624865.html#msg624865
Allerdings muss ich zugeben, dass ich nur zum Teil verstehe, was ich da gemacht habe und daher die Sorge habe, dass in Wirklichkeit da irgend ein Scheunentor für Hacker aus Russland offen steht - trotz des "Sicher"-Zeichens im Browser.
Zitat von: andies am 23 April 2017, 08:54:50
Allerdings muss ich zugeben, dass ich nur zum Teil verstehe, was ich da gemacht habe und daher die Sorge habe, dass in Wirklichkeit da irgend ein Scheunentor für Hacker aus Russland offen steht - trotz des "Sicher"-Zeichens im Browser.
genau so ging es mir auch, ich wusste nicht was ich mache und ob es dann wirklich sicherer ist als vorher.
Daher habe ich es jetzt mit einem FB VPN-Tunnel gelößt. Dieser wird auf meinen Smartphones, Tablets, Laptop automatisch aktiviert wenn die FHEM IP aufgerufen wird.
Das ist wirklich einfach und genial
Wie genau hast du das gemacht?
Gesendet von iPad mit Tapatalk Pro