Hi,
ich hätte da mal eine Frage zur Absicherung von fhem.
Zur Situation:
Bei mir zu Hause steht ein Raspberry mit fhem, den ich zur Auswertung von Feuerwehralarmen nutze. Die Kammeraden geben dann im Alarmfall Rückmeldung, ob sie zu dem Einsatz kommen oder nicht. Die Auswertung lasse ich mir über TabletUI anzeigen.
Im Feuerwehrhaus steht ein Fernseher mit einem Raspberry im Kiosk-Mode, der quasi auf die TabletUI Ansicht des Pi bei mir zu Hause zugreift. Dieser bootet immer direkt in die Ansicht. Dazu habe ich ein Portforwarding auf 8083 eingerichtet und greife auf das fhem zu Hause zu.
Damit der Fernseher und der Pi im Kiosk-mode einwandfrei funktioniert und im Falle eines Alarms die Kollegen nicht erst ein Passwort eingeben müssen, um etwas zu sehen, kann ich ja in fhem kein Passwort vergeben.
Jetzt ist das aber sehr unsicher und ich suche nach Tipps, wie ich das sicherer machen kann.
Im Grunde muss ich nur auf eine einzige Ansicht der TabletUI zugreifen, auf den Rest brauche ich vom Feuerwehrhaus kein Zugriff.
Wie löse ich das am besten?
Danke euch
Gruss
Dennis
Vielleicht hilft Dir die folgende Anleitung: https://gist.github.com/gbirke/8608543
Ich habe es selbst nicht getestet, aber das Prinzip meine ich zu verstehen.
Ich hätte noch Werner Anleitung mit Letsencrypt zu bieten:
https://forum.fhem.de/index.php/topic,96461.0.html
Gruß Otto
Die Letsencrypt Anleitung macht es moeglich, von jedem Browser ohne doofe Dialoge auf FHEM zuzugreifen, ein Passwort ist da aber weiterhin sinnvoll.
Bei der "SSL-Client-Zertifikat" Methode entfaellt die Notwendigkeit des Passwortes, weil der Server (in diesem Fall apache, weil FHEMWEB das nicht kann) statt Passwort das Zertifikat prueft.
Vielen Dank für eure Hinweise. Ich tendiere zur Cert Lösung, da ich im Feuerwehrhaus auch keinen Zugriff auf die FritzBox habe.
Der Pi ist dort einfacher Client, der ins Internet darf.
Gruss
Dennis
Zitat von: rudolfkoenig am 22 Februar 2019, 10:09:19
Die Letsencrypt Anleitung macht es moeglich, von jedem Browser ohne doofe Dialoge auf FHEM zuzugreifen, ein Passwort ist da aber weiterhin sinnvoll.
notwendig! :D
Danke nochmal für die Klarstellung - so genau hatte ich das auf die Schnelle nicht durchschaut :)
Meine Empfehlung:
1. Proxy, kapselt schon mal FHEM von außen ab
2. Authentifizierung. Ob jetzt mit User/Passwort oder SSL-Zertifikat ist nebensächlich.
Ein Pi imKioskmodus kann übrigens mit den Passenden Extension auch Autologin .. habe es hier mit einem Pi für Zabbix-Kiosk-Mode so gelöst
3. Wenn Du willst, das Deine Kameraden ein einfache komme/nichtkommen übergeben können, würde ich ein unabhängigen "Webdienst" aufbauen. Also Quasi eine Website mit Wer und ja/nein. Das dahinter liegende PHP (oder andere Programmiersprache) Script übergibt dieses dann an FHEM. Erledigt der Proxy "nebenbei". Wenn man im Script nocht passende Schutzvorrichtungen einbaut (Variablencheck), ist das relativ einfach und sicher umzusetzen. Braucht dann (für diese Seite) auch keine Authentifizierung.
FHEM direkt von außen ohne irgendeinen Schutz ..... bist Du Dir sicher, das Dein System noch "sauber"?
Hi,
das System an sich steht ja. Die Kammeraden geben Rückmeldung und das wird auch alles so schon angezeigt.
Vorher stand der Pi mit fhem aber direkt im Gerätehaus. Bei dieser Lösung konnte ich aber keine Wartung, Updates usw. machen. Musste also immer ins Gerätehaus fahren dafür.
Bei der jetzigen Lösung kann ich das von zu Hause aus machen.
Der Pi im Gerätehaus greift quasi nur noch auf eine TabeletUI Seite bei mir zu Hause zu.
Die Eingabe des Passwortes im Gerätehaus ist nur dann ein Problem, wenn der Pi dort mal neu gestartet wurde. Sei es durch Stromausfall oder sonst was. Ich will einfach vermeiden, dass die Kammeraden nichts auf dem Monitor sehen, weil sie ein Passwort eingeben müssen.
Was benötige ich denn für Autologin?
Gruss
Dennis
Was hast Du für ein Browser?
Also eine Browsererwei9trung für Aut0ologin ..sorry aber: "google ist Dein Freund"
Kommt auch darauf an, WIE Du den Kios-Modus implementiert hast ....
Standard Browser im Debian Stretch Image, also Chromium.
Den kioskmode rufe ich mit --incognito auf.
Gruss
Dennis
Chromium .. da kenne ich mich nicht mit aus. Sorry aber (s.o.) da mußt Du selber suchen. Habe es hiermit firefox-esr umgesetzt ....
Aber es gibt (sollte geben) auch für Chromium autologin module ...
Nur mal für Dich (und weil ich einen guten Tag habe):
Gesucht:
https://www.google.com/search?client=ubuntu&channel=fs&q=chromium+auto+login&ie=utf-8&oe=utf-8 (https://www.google.com/search?client=ubuntu&channel=fs&q=chromium+auto+login&ie=utf-8&oe=utf-8)
Gefunden (erster Eintrag):
https://chrome.google.com/webstore/detail/auto-login/kjdgohfkopafhjmmlbojhaabfpndllgk (https://chrome.google.com/webstore/detail/auto-login/kjdgohfkopafhjmmlbojhaabfpndllgk)
Alles ungetestet!
mal eine ganz andere frage...
was ist an zwei pi (einer bei dir zuhause und einer bei der feuerwehr) einfacher oder zuverlässiger als an einem nur bei der feuerwehr?
dann hast du ein einziges abgeschlossenes system ohne zusätzliche abhängigkeit von aussen.
wartung und updates kann man doch problemlos remote per vpn machen.
und selbst wenn es aus irgend einem grund bei den zwei pi bleibt: selbst da würde ich über vpn gehen und den zugriff auf mehr als tabletui per firewall beschränken. so schön proxy und client zertifikate auf den ersten blick sind: weder das einrichten ist einfach wenn man nicht weiss was man tut noch aktualisieren. just say no to port forwarding :) selbst mit proxy.
Prinzipiell Stimme ich justme1968 zu ... aber auch mit VPN kann man "Mist" bauen ;o)
Man sollte auch berücksichtigen, das kein Internetanbieter in Deutschland für den Internetzugang eine Verfügbarkeit garantiert. Faktisch liegt diese in Deutschland (nach meinem letzten Wissen) bei 99,7%. Hört sich erstmal gut an, auf ein Jahr bezogen kann es aber über 3 Tage (ich glaube sogar länger) in Summe sein. Du hast bei der Lösung aber 2! Zugänge. Eine "Insellösung", d.h. alles Lokal in der Feuerwehr, aber keinen einzigen ...
Na wenn ich das richtig verstanden habe, muss ich aber doch um VPN auf dem PI in der Feuerwehr einzurichten, Zugriff auf die FritzBox haben.
Den Zugriff habe ich aber in der Feuerwehr nicht.
Ach nee, warte mal.....
Ich muss ja auf den Pi zu Hause bei mir zugreifen und dort kann ich die VPN Verbindung ja in der FritzBox entsprechend einrichten.
Ok dann suche ich mal ne Anleitung, wie ich auf dem Client VPN einrichte. Habe ich bsiher noch nicht gemacht
Danke
Gruss
Dennis
Bei der Fragestellung und schilderung der IST-Situation fiel mir als Erstes
ein Site-to-site VPN zwischen den beiden Fritzboxen ein.
Vielleicht auch nicht so clever, aber ich stelle das einmal zur Diskussion.
MfG
Thomas
Zitatauf den Pi zu Hause bei mir zugreifen ... Client VPN ...
Hat den Nachteil,wer an den Pi kommt, kommt in Dein Netz. DAS ...ist genau ein Nachteil von VPN. Ich weiß das hier jetzt einige schreien, aber da würde ich dann (persönlich) doch eher zu einer Login-Proxy Lösung greifen.
ZitatDu hast bei der Lösung aber 2! Zugänge. Eine "Insellösung", d.h. alles Lokal in der Feuerwehr, aber keinen einzigen ...
ich würde sagen anders rum wird ein schuh draus. du hast bei der version mit zwei pi zwei zugänge und statt 3 tagen ausfall die chance auf 6. im fall eines pi bleibt es bei 3 tagen.
das es für remote wartung und updates potentiell mehr ausfall möglichkeiten gibt ist unkritisch da man die updates dann auch am nächsten tag machen kann.
ps: was die verfügbarkeit angeht ist noch viel schlimmer: da die zuverlässigkeit bei keinem consumer und sogar bei den meisten 'business' anschlüssen zwar angegeben aber nicht garantiert wird. wenn man ins kleingedruckte schaut gibt es so viele ausschlüsse das das ganze am ende nichts wert ist und du auch mit wochenlangem ausfall leben musst.
die einzige alternative wenn es wirklich um zuverlässigkeit geht sind 'echte' business anschlüsse. die kosten aber mindestens faktor 10 mehr. und dann am besten noch zwei davon. oder als notlösung zwei anschlüsse von zwei anbietern mit zwei unterschiedlichen technologien.
Zitatwer an den Pi kommt, kommt in Dein Netz
nein. deswegen habe ich ja oben noch die firewall erwähnt.
ausserdem hat genau ein anderer rechner zugriff. den ich auch noch selber einrichte und unter kontrolle habe. im zweifel ist mir das lieber als ein proxy auf den potentiell jeder zugreifen kann.
O.K. Die Firewall habe ich überlesen. Dafür sollte man Netzwerkwissen haben ;o)
Zum VPN über zwei Fritzboxen:
Geht nur wenn eine der beiden Netze nicht den Standardbereich 192.168.178.x hat.
Client VPN Pi, geht über vpnc (Beispiel zur Konfiguration hier) (https://www.lullabot.com/articles/using-vpnc-as-a-command-line-vpn-client).
Gruß Otto
Ich würde das über einen MQTT-Broker im Internet machen, der die Daten vom Heim-RPI bekommt und von dem der FW-RPI seine Daten pollt. Dann braucht es sowas wie VPN, Letsencrypt, etc. nicht.
AWS, CloudMQTT, und viele andere bieten sowas an, auch mit robusten Sicherheitsoptionen (Cert, etc.).