Servus Zusammen,
nachdem ich gestern mein FHEM-System auf den aktuellen Stand gebracht habe und eine automatische Sicherung auf das Synology NAS einrichten wollte, funktioniert seit heute der Zugriff auf FHEM über Internet nicht mehr.
Freigaben in der FritzBox passen einwandfrei und sind als aktiv markiert. Am dynDNS-Anbieter liegts auch nicht. Der Zugriff aufs Synology NAS übers Internet klappt tadellos.
Im Heimnetz kann ich ohne Probleme auf FHEM zugreifen.
Hat jemand eine Idee, woran dieses Phänomen liegen kann?
Danke im Voraus.
Wenn es mit "allowed" zu lösen ist, bist du der 46., der einen Thread dazu aufmacht....
OT
so wenig ?
oder meintest Du
Zitat...bist du der 46., der einen Thread
;D ;D ;D
Sorry,
Leider hab ich keinen passenden Thread gefunden.
Könnt ihr mir vll dennoch weiterhelfen?
Was ist zu "erlauben"?
Gibts eine Beschreibung dazu?
Danke im Vorfeld
Commandref zu allowed gesucht?
Wiki steht vermutlich auch was dazu.
(Kurz, da mobil)
Es klappt nicht. Wie komm ich wieder übers Internet zu meinem FHEM. Der Browser zeigt an, dass die Website nicht gefunden wird... HILFE!!!!!
Hi,
nur jammern hilft nicht. "Klappt nicht" ist leider eine unzureichende Fehlerbeschreibung.
Es weiß ja hier auch keiner was Du wirklich eingerichtet hast.
Hilft dir dies hier? https://wiki.fhem.de/wiki/FHEMWEB
Gruß Otto
Zitat von: Bastian123 am 26 November 2017, 22:51:29
Es klappt nicht. Wie komm ich wieder übers Internet zu meinem FHEM. Der Browser zeigt an, dass die Website nicht gefunden wird... HILFE!!!!!
Gar nicht, du musst in das Netzwerk des FHEM Servers gehen und eine IP von dort haben, dann kannst du erst wieder was einstellen. Was du einstellen musst bzw. nach was du suchen musst wurden dir ausreichend Tipps gegeben.
Edit:
Und wenn du im Anfängerforum nur bei der Suche oben "Internet FHEM" eingibst, dann werden SEHR VIELE Beiträge zu dem Thema angezeigt. Verstehe nicht nach was du gesucht hast, wenn du nix gefunden hast??
Nochmals zur Fehlerbeschreibung:
Seit einem Update von FHEM funktioniert der Zugriff aus dem Internet nicht mehr. Der Browser zeigt die Meldung, dass die Website nicht erreichbar ist (oder eine vergleichbare Meldung).
Im Heimnetz kann ich nach wie vor ohne Probleme auf FHEM zugreifen; mir ist auch die Adresse und der Port bekannt.
Die Portweiterleitung in der FritzBox und DynDNS funktionieren tadellos.
Meine Frage: Was kann durch dieses Update passiert sein, dass der Zugriff aus dem WEB nicht mehr klappt?
Was kann ich tun, wenn es am allowed / FHEMweb liegt?
Danke für alle Antworten. Seid bitte nicht genervt.
Da ich per VPN connecte hab ich die Thematik nicht verfolgt.
Aber wenn ich aus deinem letzten Post die Stichworte allowed internet update schappe und sie in die Forensuche eingebe,
lande ich beim zweiten Treffer hier:
https://forum.fhem.de/index.php/topic,72717.msg643211.html#msg643211
Würde mal behaupten die Lösung sollte dort zu finden sein.
Zitat von: Beta-User am 26 November 2017, 17:04:58
Commandref zu allowed gesucht?
Wiki steht vermutlich auch was dazu.
Zitat von: Otto123
https://wiki.fhem.de/wiki/FHEMWEB
Zitat von: Ich selbst
Und wenn du im Anfängerforum nur bei der Suche oben "Internet FHEM" eingibst, dann werden SEHR VIELE Beiträge zu dem Thema angezeigt.
Genervt sind wir, wenn wir erkennen, dass ein User eine Schritt für Schritt Anleitung möchte und nicht bereit ist mit den Gegebenen Hilfestellungen zu arbeiten.
Und btw: wenn das Port-Forwarding nicht sauber abgesichert ist, wäre dringlich zu empfehlen, das bei der Gelegenheit auch gleich in Angriff zu nehmen...
Zitat von: Bastian123 am 27 November 2017, 09:37:12
Meine Frage: Was kann durch dieses Update passiert sein, dass der Zugriff aus dem WEB nicht mehr klappt?
Es gibt seit etwa Mitte des Jahres quasi eine verstärkte Sicherheitsgrundeinstellung von FHEM, die per default nur noch Zugriffe aus dem eigenen bzw. lokalen Netzwerk auf FHEM zulässt. Alle Zugriff aus fremden Netzwerken werden so zunächst unterbunden.
Diese Änderung hat Dich jetzt scheinbar getroffen.
Gruß Otto
im logfile sollte doch dann auch was stehen....
Zitat von: Otto123 am 27 November 2017, 10:18:29
Es gibt seit etwa Mitte des Jahres quasi eine verstärkte Sicherheitsgrundeinstellung von FHEM, die per default nur noch Zugriffe aus dem eigenen bzw. lokalen Netzwerk auf FHEM zulässt. Alle Zugriff aus fremden Netzwerken werden so zunächst unterbunden.
Diese Änderung hat Dich jetzt scheinbar getroffen.
Gruß Otto
Und wenn ich mir das so durchlese: gut, dass es dich erwischt hat! Denn wenn du nach dem Update und damit verbundenen "Zwangs-Sicherheits-Restriktionen" "erwischt" wurdest warst du bislang ein guter Kandidat für: https://forum.fhem.de/index.php/topic,72629.0.html
(um nur ein Beispiel zu nennen)
Wenn du deine evtl. auf dem Server liegende Bildersammlung auch so abgesichert hast, dann: viel Spaß...
...wenn du Glück hast tauchen die Bilder nur ungewollt im Internet auf...
...wenn du Pech hast sind sie weg...
...irgendwann...
Gruß, Joachim
Hallo zusammen,
ich stand vor dem selben Problem.
ich will nur lesend auf meine FHEM Installation zugreifen. Ich hab noch nichtmal "Schalter" aktiv, sondern logge ausschliesslich Temperaturen und Luftfeuchte.
Und ganz ehrlich: Die verlinkten Threads helfen nicht wirklich da es dort um das Absetzen von Befehlen und Auslesen von csrf-tokens per cURL geht. Das brauch ich IMHO nicht, da ich keine Module programmiere.
Das Wiki hilft auch nur bedingt, da dort nur Snippets stehen und dann auch noch auf die Commandref verweist, die auch nicht sehr verständlich in dem Bereich ist.
Daher wäre es echt nett, wenn jemand ein Beispiel hätte, wie man FHEMWEB so konfiguriert, dass es zum lesenden Zugriff abgesichert von aussen erreichbar ist.
Ich hab mir jetzt mit der Brute-Force-Methode basic-auth im FHEMWEB beholfen (auch wenn ich gefunden habe, dass das nicht so sein "sollte").
Danke
Stichwort:
Apache/NGinx-Proxy ... und da findest Du genug Infos darüber.
Sorry, aber ich werde jetzt mir nicht die Zeit nehmen, die 101-Doku zu schreiben ...
Edit:
Ob Du schalten willst oder nicht, ist bei Zugriff FHEM irrelevant, da Du über Web auch FHEM konfigurieren kannst. z.B. perl-Scripte absetzen. Es gibt genug Leute, die sich "darüber" freuen .... und diese sind "nicht nett".
Dann sag mir bitte was du an der Erklärung in der CommandRef zum Thema allowed (https://fhem.de/commandref_DE.html#allowed) nicht verstehst. Was hast du versucht bisher wie versucht und was waren die Fehler, welche es gab?
Edit:
Rechtschreibkorrektur
Danke für die Hilfe.
ZitatDann sag mir bitte was du an der Erklärung in der CommandRef zum Thema allowed (https://fhem.de/commandref_DE.html#allowed) nicht verstehst.
Was ist "allowedWEB"?
ZitatWas hast du versucht bisher wie versucht und was waren die Fehler, welche es gab?
Im Device "WEB" csrf token auf "none" setzen. Ergebnis: Kein Zugriff von aussen
Im Device "WEB" einen csrf token explizit setzen und den an die URL anhängen (per /fhem?&fwcsrf=meintoken). Ergebnis: Kein Zugriff von aussen
allowedWEB = Streiche das WEB und lies den Link, welchen ich dazu geschrieben habe. Da erklärt sich alles. Ausführlicher wird es nochmal hier erklärt, was auch schon im Thema verlinkt wurde: https://forum.fhem.de/index.php/topic,72717.msg643211.html#msg643211
Mit csrf Token hat es NICHTS zu tun und ist auch in KEINEM der hier genannten Hilfen irgendwo mal aufgetaucht.
Edit:
Wenn du die CommandRef liest, dann steht allowedWEB da für das zu setzenden Attribut. Und wenn du die Technik von FHEM kennst und verstehst, dann weißt du, dass nach attr der Devicename kommt. Somit könnte allowedWEB auch allowedPENISNASE heißen. Um aber eine bessere Zuordnung zu haben kann man es allowedWEB nennen, dass es für die FHEMWEB Instanz gilt, welche sich WEB nennt. Sry, aber da bleibt mir nur auf die Grundlagen von FHEM hinzuweisen und dir zu empfehlen diese nochmal(?) zu lesen.
Vielen Dank für die Erklärung.
Da muss man erstmal drauf kommen, dass man ein "Gerät" anlegen muss, um ein Attribut zu setzen, das für andere Geräte gilt.
Intuitiv ist anders, sorry.
Vor allem, das hier aus der commandref
ZitatAuthorisiert das Ausführen von Kommandos oder das Ändern von Geräten
hat mich nicht drauf kommen lassen, dass allowed kein Attribut sondern ein "Gerät" ist.
Ich denke, dass ich das jetzt verstanden habe und werde das heute Abend (aus dem lokalen Netz :-) ) mal ausprobieren.
Bitte mach dir sehr, sehr klar das es ein sehr hohes Risiko beinhaltet fhem über das Internet erreichbar zu machen.
Wer das Gefühl hat er kann das beherrschen ("nur lesend" und co) dem empfehle ich dringend: hinsetzen und abwarten bis das Gefühl vorbei ist!
Hallo Herrmann,
danke für die Warnung.
Aber worin besteht das Risiko, wenn das einzige, was mein fhem tut, das Loggen von Temperaturen und Luftfeuchten ist?
Hallo Claas,
das Risiko ist nicht das was FHEM in Deiner Konfiguration für Dich tut. Das Risiko ist FHEM an sich und das System auf dem es läuft und derjenige der das Ganze betreibt.
Gruß Otto
Hallo Otto,
sorry, ich versteh es nicht.
FHEM läuft bei mir auf einer Synology.
Ich nutze den in FHEM eingebauten Webserver.
Könnte ein Angreifer über FHEM auf andere Bereiche meiner Synology zugreifen?
Zitat von: claas am 28 November 2017, 17:22:08
Hallo Herrmann,
danke für die Warnung.
Aber worin besteht das Risiko, wenn das einzige, was mein fhem tut, das Loggen von Temperaturen und Luftfeuchten ist?
Indirekt hier (noch mal): https://forum.fhem.de/index.php/topic,80140.msg722028.html#msg722028
Und direkt hier (noch mal): https://forum.fhem.de/index.php/topic,72629.0.html
Und das sind dann die bereits genannten "nicht freundlichen Zeitgenossen"...
Wie Otto (und viele andere) bereits geschrieben hat/haben: nur weil DU "nur" lesend mit deinem fhem "umgehst" heißt das nicht, dass das ANDERE auch tun...
...sobald ein Gerät angelegt ist und du Daten loggen kannst (und tust) kannst du oder jeder andere (der auf dein offenes fhem [denn das war es sonst hättest du durch die Umstellung kein Problem] kommt) eben auch diese Geräte steuern...
Gruß, Joachim
Außerdem kann Perlcode angelegt werden womit man aus dem FHEM System ausbrechen kann und im einfachsten Sinne mit Rechten des Users in welchen Kontext FHEM läuft Dinge auf der NAS machen kann.
Hallo Joachim,
danke. Fast verstanden. Ich versteh ja, dass wenn man Heizung etc. über FHEM regelt, man da keinen Einbrecher haben will, aber meine Geräte sind nur Sensoren.
Was soll ein Angreifer da steuern? Schlimmstenfalls die config und meine mühsam gebauten Plots zerschiessen, oder?
Ich schalte nichts (meine EDIMAX Schaltdose ist Kernschrott, daher liegt die im Schrank ;-) ).
Ach so, BTW:
Danke für eure Hilfe und Erklärungen zu "allowed".
Ich hab das jetzt so gemacht
define ApiWEB FHEMWEB andererPORT global
attr ApiWEB stylesheetPrefix ios6
attr ApiWEB hiddenroom Alle_die_man_nicht_sehen_muss_von_aussen
define allowedApiWEB allowed
attr allowedApiWEB validFor ApiWEB
attr allowedApiWEB basicAuth { "$user:$password" eq "username:pw" }
attr allowedApiWEB allowedCommands get
Wenn ich nun über das Internet verbinde, werde ich nach User und PW gefragt, ich sehe nur noch einen Raum (ich weiss, per URL komme ich auf andere) und "edit files" liefert eine leere Seite.
Nun versuche ich noch SSL einzuschalten.
Zitat von: claas am 28 November 2017, 17:41:30
Könnte ein Angreifer über FHEM auf andere Bereiche meiner Synology zugreifen?
Ja
Ok, das ist ein Argument.
Läuft bei mir als user "fhem", der zur Gruppe "users" gehört und keinen Zugriff auf die Standard-Syno-Ordner (also, die die man im DSM sieht) hat.
Kann man mit dem user per Perl auf Systemordner zugreifen?
Wie kann ich das System weiter schützen?
Ist Reverse-Proxy das richtige Stichwort?
Hat das schonmal jemand auf einer Syno mit fhem eingerichtet?
Kurzgefasst:
Ein Angreifer kann auf ALLES Zugreifen, was sich in Deinem Netz befindet. Also die Komplette Synology und ALLE anderen IP-Geräte (z.B. Rechner, Router etc.)
Wenn Du Zugriffe als User hast, kannst Du mit anderen Sicherheitslücke (gibt leider immer genug), Dir mehr "Rechte" erschleichen und damit ...
Du kannst zwar versuchen, solche Lücken zu schließen (und das sollte man auch), aber am besten minimiert man das Risiko. Und eine "Nichterreichbarkeit von FHEM" ist so etwas.
ZitatIst Reverse-Proxy das richtige Stichwort?
Hat das schonmal jemand auf einer Syno mit fhem eingerichtet?
.... Für Reverse-Proxy auf Linux-Systeme gibt es genug Anleitungen im Netz. Du solltest Dir aber grundsätzlich Gedanken über Sicherheit machen.
Sorry aber Dir wird niemand ein fertiges 100% Kochrezept für einen Proxy liefern, da es genug über google gibt ... (jedenfalls nicht Kostenlos)
Zitat von: claas am 28 November 2017, 18:03:54
Ok, das ist ein Argument.
Läuft bei mir als user "fhem", der zur Gruppe "users" gehört und keinen Zugriff auf die Standard-Syno-Ordner (also, die die man im DSM sieht) hat.
Kann man mit dem user per Perl auf Systemordner zugreifen?
Wie kann ich das System weiter schützen?
Ist Reverse-Proxy das richtige Stichwort?
Hat das schonmal jemand auf einer Syno mit fhem eingerichtet?
Ich kann dir folgendes empfehlen.
Telegram mit dem dazugehörigen Bot und dazu MsgDialog.
Ohne offene ports ist damit fhem interaktiv steuerbar.
Lies dich mal durch die Wiki, vielleicht wäre das ja was.
Grüße
Schnitzelbrain