FHEM2FHEM sicher? 2 FHEM Instanzen koppeln?

Pati_Alpha · 28 März 2017, 14:15:12

Hallo,

ich habe folgenden Plan:
Meine Wohnung unter der Woche soll, wie meine Wochenend-Wohnung auch, einen RPi mit FHEM bekommen.

Damit ich nun nicht zweimal parallel den gleichen Brei habe, würde ich die beiden Systeme gerne koppeln. Habe dazu von FHEM2FHEM gelesen. Wie es prinzipiell funktioniert ist mir nun klar, aber ich habe dazu eine wichtige Frage:

Wenn ich damit 2 FHEM-Instanzen auf 2 RPis nicht über LAN sondern übers Internet koppele, ist diese Verbindung dann sicher oder kann das jeder mithören bzw. dann sogar auch Befehle einspeisen indem er so tut als wäre er der jeweils andere RPi?

Das Gute am Koppeln wäre u.A., dass ich in der WE-Wohnung schon ein ATV3 zur HomeKit-Fernsteuerung habe und somit über EINE Brücke BEIDES in einem System per HomeKit und (mit nicht-iOS-Geräten) jeweils lokal aufs Webinterface könnte, was dann auch jeweils die Geräte beider Standorte enthalten würde.

Wie schaut es damit aus?
Gibt es da sonst andere Lösungen?

Danke euch!

Viele Grüße!

rudolfkoenig · 28 März 2017, 14:23:51

Mit SSL und Passwort sollte es sicher sein, ich wuerde aber statdessen VPN zum Verbinden der beiden Standorte nehmen, das erleichtert die Kommunikation von anderen Programmen auch, und man kann weniger Fehler machen.

Pati_Alpha · 28 März 2017, 14:41:45

Hey Rudolf,

besten Dank für die Antwort!

Über VPN habe ich auch schon nachgedacht, aber bekomme ich dann nicht Probleme mit der lokalen Erreichbarkeit des jeweiligen RPi im LAN?

Wobei IPSec doch sowieso nicht wesentlich/wirklich sicherer ist (.. sein soll..) als SSL?
(Kenne mich leider mit Verschlüsselung nicht gut aus, daher auch die vorsorgliche Frage hier.)

So oder so schon mal eine gute Fährte.

Besten Dank nochmals!

Viele Grüße!

Wuppi68 · 28 März 2017, 14:50:44

Hallo Pati_Alpha,

ist Dein RPI direkt über SSL erreichbar bedeutet es auch, das JEDER eine SSL Verbindung aufbauen kann -> es fehlt nur noch das Passwort

Hast Du einen VPN Tunnel ist die Absicherung deutlich einfacher

Tunnel aufbauen und die verschlüsselte Netzwerkverbindung ist vorhanden

Zitat
Über VPN habe ich auch schon nachgedacht, aber bekomme ich dann nicht Probleme mit der lokalen Erreichbarkeit des jeweiligen RPi im LAN?

nein ...

Siehe Beispiel:

Netz 1: 192.168.1.0/24
Netz 2: 192.168.2.0/24
VPN Netz: 192.168.3.0/24

die beiden Knoten, die den VPN Tunnel zur Verfügung stellen, Routen dann schon Deine Pakete an die richtige LAN Adresse vom RPI ....

Pati_Alpha · 30 März 2017, 22:00:39

Ich habe noch eine generelle Frage zu FHEM2FHEM:

Ich stelle mir den Betrieb so vor, dass ich auf beiden FHEMs ins jeweilige lokale Webinterface gehen kann und quasi (je nach Wunsch/Bedarf) die gleichen/selben Devices aus BEIDEN Wohnungen in BEIDEN Interfaces habe.

Sagen wir mal einfacherheitshalber ich hätte zB Lampe_WE in der Wochenendwohnung und Lampe_WuW in der anderen Wohnung.
Kann ich es mit FHEM2FHEM realisieren, dass ich beide in den jeweiligen Webinterfaces lokal (unabhängig vom Internet etc.) schalten kann, nur am korrekten Ort der Funkbefehl ausgeführt wird und beide Webinterfaces synchronisiert die gleichen, korrekten an/aus-Zustände für BEIDE Geräte anzeigen?

Alternativ, falls das nicht geht, ist mir als Lösung eingefallen, dass ich auch von der Wochen-Wohnung übers Internet auf das Webinterface des Wochenend-Raspis gehen müsste (den quasi als Master nutze) und wenn ich DORT dann zB meine Lampe_WuW schalte, der WE-Raspi dem WuW-Raspi über FHEM2FHEM mitteilt, dass er schalten soll....
Quasi den WuW-Raspi nur als Satelliten/Slave, der die Funkbefehle für die Geräte in dieser Wohnung ausführt, die Steuerung aber an beiden Orten über das selbe Webinterface vom WE-Raspi.
Die Lösung fänd ich aber unschöner, da ich dann entweder das Webinterface im Internet verfügbar machen müsste oder mich immer durch den VPN Tunnel bewegen müsste, was anfällig ist, falls der Tunnel/das Internet mal in einer der beiden Wohnung ausfällt. (Dann könnte ich in der Unter-der-Woche-Wohnung die Geräte nicht mehr steuern, weil dieser Raspi ja quasi nur der Satellit wäre)

Danke euch.

rudolfkoenig · 31 März 2017, 09:09:14

Zitatdie gleichen/selben Devices aus BEIDEN Wohnungen in BEIDEN Interfaces habe.

Das ist mit etwas Bastelei moeglich, hat aber diverse Nachteile, je nachdem wie man die beiden Instanzen verheiratet:
- falls man alle Events nur auf einem der Boxen sammelt, dann kann man zwar in den Plots die Sensoren beider Wohnungen anzeigen, allerdings verliert man Daten, falls die Verbindung tot ist
- je nach eingesetzten Protokoll muss man FHEM2FHEM in RAW oder LOG Modus betrieben. Falls man LOG verwenden muss, dann muss man dummy Geraete auf der Empfaengerseite anlegen, und eine zweite FHEM2FHEM Instanz fuer die Uebertragung der Befehle in die anderen Richtung anlegen. Und darauf aufpassen, dass man Events nicht im Kreis herumschickt.

FHEM2FHEM ist fuer die Uebertragung einzelner Events im lokalen Netzt gedacht, nicht fuer VPN oder gar fuer eine volstaendige Kopplung. Ich wuerde auch nie eine vollstaendige Kopplung realisieren, sondern nur die fuers Steuern notwendigen Events uebertragen (gibts ueberhaupt welche in diesem Fall?) und die beiden Instanzen ueber zwei Frontends bedienen.

Frank_Huber · 31 März 2017, 09:15:57

ich werfe hier mal RFHEM in die Diskussion.
mit gesetzten Telnet Passwortschutz sollte es sicher genug sein auch übers Internet.

damit kann man ganz einfach zwischen den FHEM Instanzen Befehle absetzen.
https://wiki.fhem.de/wiki/RFHEM

Pati_Alpha · 31 März 2017, 10:24:22

Ich möchte eine vollständige Kopplung eigentlich nur deswegen realisieren, weil ich in einer der beiden Wohnungen ein ATV habe um alles zu HomeKit zu bridgen und somit dann über eine Bridge beide Wohnungen zusammen in HomeKit hätte.

Gibt es sonst noch andere Möglichkeiten zur Kopplung?

Mit RFHEM kann man Befehle absetzen, aber wie würde man damit eine Kopplung realisieren? Jeweils die Geräte, die nur am anderen Standort vorhanden sind lokal als Dummys erzeugen?

RaspiLED · 31 März 2017, 13:40:29

Hi,
Also wenn es Die nur um Homebridge geht:
Auch das Avahi Protokoll kann man über VPN routen und damit von beiden Standorten Siri was auftragen. Habe ich bei mit laufen! Und schon mal im Homebridge Thread beschrieben.
Gruß Arnd

Raspi2 mit FHEM, CUL, Signalduino, MySensors, HomeBridge, Presence, Bravia, ...

Pati_Alpha · 31 März 2017, 16:24:45

Hi,

ich dachte man kann HomeBridge-Dinge nicht durch VPN schicken?
Oder wäre dann die Lösung, auf dem Wochenend-RPi einfach zwei HomeBridges laufen zu lassen und die eine ist eben über VPN die Dinge des Wochen-RPis abbilden zu lassen?
Geht das denn mit zwei HomeBridge-Instanzen und über ein ATV?

EDIT:
Geht wohl nicht, habe im HomeBridge-Thread gefunden:
"... weil die zweite Homebridge-Instanz nicht auch parallel unser Apple TV für Fernzugriff verwenden kann." :/

Das bischen Doofe ist, dass ichs dann wieder nur auf HomeKit-Level vereint hab, was mir eigentlich nicht gefällt, weil ich das nur zum reinen Abbilden/Steuern nutze. Dann würden auch so Dinge wieder schwerer sein wie zB "wenn ich in der Wochenend-Wohnung als Anwesend erkannt werde, dann schalte in der Wochen-Wohnung alles aus" (denn dann bin ich ja offensichtlich nicht dort).
Wobei die Lösung wiederum den Vorteil hätte, dass ich es in HomeKit als zwei Häuser/Wohnungen sehe und nicht nur als unterschiedliche Räume... (und dass beide Wohnungen ansonsten unabhängig sind).

Generell suche ich also immernoch nach der Möglichkeit, die Geräte des 2. RPi (Woche) in einen zB versteckten Raum des 1. RPi (Wochenende) zu spiegeln, um von dort auch die Standorte in FHEM teils logisch verknüpfen zu können.

------------------------

EDIT2:
Mein Plan wäre bis jetzt wohl das mit zwei HomeBridge-Instanzen doch mal Zuhause am ATV zu testen, falls es klappt die beiden RPis mit einem VPN Tunnel verbinden (so komme ich auch von beiden LANs aus auf die separaten Webinterfaces der beiden FHEM Instanzen) und in der Wochenend-Wohnung (die das ATV hat) eine zweie HomeBridge-Instanz starten, welcher ich sage, dass sie unter der-und-der IP (eben die IP des Wochen-RPis, der ja durch den Tunnel erreichbar sein sollte) ihr zugehöriges FHEM findet.
So habe ich zwei Webinterfaces, die ich notfalls für logische Verkettungen mit FHEM2FHEM verbinden könnte und sollte aber beide Wohnungen (sogar als zwei getrennte Standorte in HomeKit) zumindest immer über mein iPhone von überall aus steuern.

Wäre zwar nicht so sauber wie ich es gerne hätte, aber leider scheint es ja nicht so möglich zu sein, Devices einfach von einem FHEM aufs andere zu syncen wie ich dachte.

Ich bin aber trotzdem über weitere Anregung wie ihr das lösen würdet sehr dankbar!

justme1968 · 31 März 2017, 19:15:55

du kannst beliebig viele homebridge instanzen verwenden. und die vertragen sich auch mit einem apple tv so lange beide instanzen über das netzwerk erreichbar sind.

ich würde beide wohnungen per site2site vpn koppeln und auf der seite mit dem apple tv eine homebridge instanz laufen lassen die auf beide fhem installationen zugreift.

du kannst sogar probieren ob du bei einer zweiten homebridge instanz auch zwei häuser in homekit anlegen kannst und dann auch hier die korrekte trennung hast.

die beiden fhem installationen
musst du wegen homebridge nicht verbinden oder synchronisieren.

Pati_Alpha · 06 April 2017, 22:05:52

Ich habe experimentiert: Es funktioniert wunderbar zwei Homebridge Instanzen zu starten und eine über Netzwerk (später durch den Tunnel den ich noch bauen werde) auf das FHEM des 2. RPis zu verweisen.
Dadurch kriegt man in HomeKit zwei Brücken-Geräte und kann die in zwei verschiedene Häuser/Standorte setzen. Das funktioniert auch mit EINEM Apple TV als Brücke.

So weit so gut! So wird meine Lösung aussehen.

Ich frage mich nur grade, wie ich die zweite Homebridge Instanz, die ich mit

Code Auswählen

sudo homebridge -U /home/pi/.homebridge-k manuell starten kann als zweiten init.d-service anlege. Ich habe es nach der Anleitung aus dem Wiki einfach unter anderem Namen ("homebridge-k") versucht (https://wiki.fhem.de/wiki/Homebridge_Start_und_Status_in_FHEM), aber damit hat es nicht funktioniert, dann bekomme ich nur zu hören, dass es den Dienst schon gibt.

RaspiLED · 06 April 2017, 22:54:28

Hi,
haben wir auch mal Homebridge Thread beschrieben:
https://forum.fhem.de/index.php/topic,48558.msg557522.html#msg557522

Mein Tipp nenne Ihn nicht homebridge??? sondern homebri???
Also homebridge und homebriTun als Beispiel.

Für VPN schau mal hier:
https://forum.fhem.de/index.php/topic,48558.msg596415.html#msg596415

Gruß Arnd

Raspi2 mit FHEM, CUL, Signalduino, MySensors, HomeBridge, Presence, Bravia, ...

Pati_Alpha · 07 April 2017, 22:34:12

Das mit dem benennen ist ein guter Tipp! Ich glaub Schritt c) hatte ich im Eigenexperiment vergessen.

Danke für den Thread, lese ich mir bald durch und melde mich nochmal.

In dem VPN Thread steht wie man quasi eine HomeBridge über VPN verfügbar macht, oder? Das bräuchte ich ja garnicht, denn ich habe ja vor beide Homebridge in der Wochenend-Wohnung laufen zu lassen und dort über ein Apple TV übers Internet meinem iPhone zB überall verfügbar zu machen. So würde dann die Steuerung zwar in der Wochen-Wohnung immer übers Internet an meinen WE-Raspi gehen, aber egal.. ich bin mir nicht sicher, ob HomeKit das nicht sowieso so macht, sobald man ein ATV oder iPad als Steuerzentrale angibt.
Wobei, vielleicht findet das iPhone sogar durch den VPN Tunnel das ATV oder das iPad? Vermutlich läuft das aber über Bonjour und das ist nicht tunnelbar, oder? Hm... Naja, schaun mer mal.

Muss erstmal noch gut was basteln!

Super geil aber! Im HomeKit Forum konnte man mir noch nicht helfen!

Die Community hier ist echt seit langem wieder eine richtig, richtig gute!