Hallöchen!
Ich hab heute FHEM in einem Freenas Jail (FreeBSD) mit 2 nanoCuls aufgesetzt. Läuft hervorragend.
Allerdings ein kleine Problem - FHEM ist nicht von außen (Internet) zu erreichen.
Router mit Port Forwarding ist aufgesetzt, die Requests kommen auch beim Server an.
Allerdings wirft der Server folgende Fehlermeldung:
root@fhem:/media # perl fhem.pl fhem.cfg
2017.06.14 00:10:19 1: Including fhem.cfg
2017.06.14 00:10:19.932 3: telnetPort: port 7072 opened
2017.06.14 00:10:20.024 3: WEB: port 8083 opened
2017.06.14 00:10:20.024 3: WEBphone: port 8084 opened
2017.06.14 00:10:20.025 3: WEBtablet: port 8085 opened
2017.06.14 00:10:20.046 2: eventTypes: loaded 109 events from demolog/eventTypes.txt
2017.06.14 00:10:20.057 1: CUL_0 device is none, commands will be echoed only
2017.06.14 00:10:20.239 1: Including ./demolog/fhem.save
2017.06.14 00:10:20.251 1: configfile: Cannot define Weather, remove -ignoreErr for details
Cannot load module RSS
2017.06.14 00:10:20.266 2: Messages collected while initializing FHEM: configfile: Cannot define Weather, remove -ignoreErr for details Cannot load module RSS
2017.06.14 00:10:20.266 0: Featurelevel: 5.8
2017.06.14 00:10:20.266 0: Server started with 56 defined entities (fhem.pl:14348/2017-05-22 perl:5.024001 os:freebsd user:daniel pid:97694)
2017.06.14 00:10:31.174 1: Connection refused from the non-local address 109.42.3.122:40739, as there is no working allowed instance defined for it
2017.06.14 00:10:31.308 1: Connection refused from the non-local address 109.42.3.122:48969, as there is no working allowed instance defined for it
2017.06.14 00:10:31.452 1: Connection refused from the non-local address 109.42.3.122:52197, as there is no working allowed instance defined for it
Im Jail ist keine IPFW aktiv. Im Netz hab ich nicht viel gefunden. Das zentrale Problem wird an der Bindung von FHEM an die lokale IP liegen, FreeBSD ist da von Haus aus wohl etwas restriktiv. Irgendwelche FreeBSD Experten hier?
Gruß,
Daniel
Zitat von: mydani am 14 Juni 2017, 00:11:56
2017.06.14 00:10:31.174 1: Connection refused from the non-local address 109.42.3.122:40739, as there is no working allowed instance defined for it
2017.06.14 00:10:31.308 1: Connection refused from the non-local address 109.42.3.122:48969, as there is no working allowed instance defined for it
2017.06.14 00:10:31.452 1: Connection refused from the non-local address 109.42.3.122:52197, as there is no working allowed instance defined for it
Steht doch eindeutig im Log was das Problem ist!
allowed (https://fhem.de/commandref_DE.html#allowed) ist das Stichwort.
Gruß
Dan
Mit einer vpn verbindung kannst du das "problem " auch umgehen, da du im selben ip bereich bist, verbindungen von außen werden sonst geblockt, ist seit kurzem neu in fhem, da manche user ihr fhem nach außen offen hatten.
Vg
Frank
Wohlgemerkt ungesichert offen.
Setze einfach eine allowed Instanz und gut ist.
Sichere Dein FHEM entsprechend diverser Wikieinträge ab oder besser noch verwende ein VPN
@mydani
ZitatIch hab heute FHEM in einem Freenas Jail (FreeBSD) mit 2 nanoCuls aufgesetzt.
Gibt es dafür irgendwo eine passende Anleitung, bzw. was ist im Speziellem besonders zu beachten?
Wie funktioniert der Zugriff aus dem FreeNas-Jail auf die USB-Devices?
Ich möchte das auch so umsetzen, habe mich aber bisher nicht daran getraut.
Wäre super, wenn du dazu mehr Infos geben könntest.
Danke & Gruß
Thomas
Zitat von: CoolTux am 14 Juni 2017, 06:22:55
Wohlgemerkt ungesichert offen.
Setze einfach eine allowed Instanz und gut ist.
Da bin ich andere Meinung.
Das sagst Du so einfach dahin, dann macht der User eine allowed Instanz für Alle und damit ist das Ganze auch noch mit Sicherheit ungesichert offen.
Ich würde, wie Frank,
immer nur vpn empfehlen. Für alles andere ist der nicht Netzwerkspezi (wovon ich immer ausgehen würde) einfach überfordert.
Die gut gemeinte Massnahme FHEM nach außen erstmal per default nicht offen zu haben, können wir doch nicht mit der Empfehlung: "mach's einfach wieder auf" zu nichte machen?
Gruß Otto
ZitatDie gut gemeinte Massnahme FHEM nach außen erstmal per default nicht offen zu haben, können wir doch nicht mit der Empfehlung: "mach's einfach wieder auf" zu nichte machen?
Mit einem sinnvollen allowed (z.B. mit basicAuth), ist es aber nicht "zu nichte".
Zitat von: amenomade am 14 Juni 2017, 09:52:59
Mit einem sinnvollen allowed (z.B. mit basicAuth), ist es aber nicht "zu nichte".
sinnvoll ja, aber mag ich entscheiden was der Fragesteller so kann?
Die IP 109.42.3.122 ist vielleicht keine öffentliche - kann ich gerade nicht prüfen.
Um pauschal aus dem Internet zuzugreifen, müsste man für alle aufmachen - und genau das werden die User tun :-X denn es steht irgendwo...
Ok da gebe ich Dir Recht, das war etwas schnell und trocken geschrieben. Ich habe das aber mal stehen lassen nur durchgestrichen damit man das besser nachvollziehen kann.
Ich selbst verwende auch VPN und habe nur einen kleinen Webhook für 3 Devices mit 4 Schaltbefehlen nach außen offen. HTTPS und basicAuth.
Es sollte als Minimum wenn ich mein FHEM nach draussen haben möchte, was ich niemanden pauschal empfehlen würde, als Mindestanforderung HTTPS und basicAuth konfiguriert sein.
Hallo,
danke für die Antworten, der Hinweis auf allowedWEB in der CommandRef war der Richtige.
Die Fehlermeldung hat mich nur wegen der Ähnlichkeit zu Meldungen von ifpw o. iptables dazu gebracht, beim OS zu suchen.
Über Security braucht ihr euch keine Sorgen machen, das liegt in meiner Verantwortung.
Thomas, die Installation unter FreeNAS war denkbar einfach.
- FreeBSD Jail anlegen
- Storage vom Dataset dem Jail hinzufügen
- User im Jail anlegen, auf Gleichheit des Usernamen und der User-ID achten (jail und freenas)
- User in die nötigen Gruppen eintragen - dialer, operator, ggf. wheel
- Perl SerialPort mit CPAN nachinstallieren
- CULs anschließen
- chmod 77x für die USB Devices im Jail sicherstellen (/dev/cuaU*)
- FHEM starten, culs hinzufügen wie gewohnt.
Gruß,
Daniel