SSL Telnet Verbindungen seit kurzem Schwierigkeiten

[Burny4600]

Meine Pis haben mit den TelNet Verbindungen Probleme, eine saubere Verbindung herzustellen.
SSL Fehlermeldungen gab es früher auch schon, aber nur sporadisch. Nun funktionieren die SSL TelNet Verbindungen untereinander fast überhaupt nicht mehr.

FHEM LOG

Code Auswählen Erweitern


Can't connect to 192.168.17.190:7072:
telnet SSL/HTTPS error:  SSL accept attempt failed (peer: 192.168.17.184)
telnet SSL/HTTPS error: Connection reset by peer SSL accept attempt failed (peer: 192.168.17.184)
FHEM2FHEM 192.168.17.184:7072 reappeared (F2F_Rasp04)
Login denied via F2F_Rasp02_192.168.17.184_47560


Gibt es mittlerweile eine vollständig, fehlerfreie Beschreibung für die Errichtung von TelNet SSL Verbindungen?
Ich habe 10 FHEM Pis, die gegenseitig TelNet SSL Verbindungen eingehen, die für FHEM2FHEM verwendet werden.

Die Pis sind per SSL WEB aber ohne Fehler erreichbar.
Mehrmals bin ich schon alles durchgegangen. Ich habe die Zertifikate per OpenSSL laut Wiki Anleitung ausgeführt, und ebenso mit XCA.
Was teilweise neu installiert wurde, ist das neue Bullseye. Nur das sollte eigentlich nicht der Fehler sein.
Aktuell komme ich damit nicht weiter.

[Guybrush]

arg wenig infos um dir da helfen zu können... 

bei SSL Problemen würde ich aber erstmal die Rechte der Zertifikate prüfen, ob die passen und auch die Zertifikate selbst (über openssl showcert). was auch grundsätzlich helfen kann ist auf fqdn umzustellen und hier auch reversedns zu setzen. Das macht das handling auch viel einfacher als ip adressen zu nutzen. es kann nämlich unter umständen schon ein problem sein, wenn mehrere ips auf dem server gebunden sind.

[rudolfkoenig]

Gibt es mittlerweile eine vollständig, fehlerfreie Beschreibung für die Errichtung von TelNet SSL Verbindungen?

Das wird es nie geben, da die Kombination der Umstaende (OS, Version von OS, FHEM, SSL-Lib, Intranet/Internet, etc) zu hoch ist, und staendig neue Varianten dazukommen.

Hier waere es hilfeich zu wissen:
- ist FHEM ueberall auf dem aktuellen Stand
- Art des Netzes (VPN / Kabel / WLAN)
- Wird ueberall die gleiche OpenSSL Version verwendet
- Ist FHEM ueberall aktuell
- Sind die erwaehnten Fehlermeldungen aus einem Log, oder wurden mehrere zusammengemischt.

[Burny4600]

Die Zertifikate habe ich in der Form errichtet, wie auf diesen Links.
https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle
https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS

FHEM ist überall auf dem aktuellen Stand. V6.1 und Updates sind immer gleich aktuell.

Primär ist ein LAN Netz in Verwendung. Einige Raspberrys sind mittels dLAN eingebunden, weil es hier kein LAN bzw. WLAN gibt.

Die OpenSSL Version ist bei allen auf den gleichen Stand gebracht worden. OpenSSL 1.1.1k  25 Mar 2021.
Dabei wurden 3 Pis vollkommen neu mit Bullseye installiert. Alle anderen Pis hatten unterschiedliche ältere OpenSSL Versionen installiert.
Nach den OpenSSL Updates sind alle auf gleichen Stand. Geprüft mit openssl version.

Die Fehlermeldungen sind alle aus dem gleichen LOG. Ich habe nur die unwichtigen Teile nicht kopiert.

list F2F_Rasp02

Code Auswählen Erweitern

Internals:
   CFGFN      /media/hdd/fhem/mycfg/FHEM2FHEM/f2f_rasp02.cfg
   CONNECTS   20143
   DEF        7072 global
   FD         12
   FUUID      5fea0897-f33f-32b4-9765-591b4218046acfc7
   NAME       F2F_Rasp02
   NR         242
   PORT       7072
   SSL        1
   STATE      Initialized
   TYPE       telnet
   READINGS:
     2022-02-16 15:46:29   state           Initialized
Attributes:
   SSL        1
   allowfrom  ^192\.168\.17\.([1-9]|[1-9][0-9]|1([0-9][0-9])|2([0-4][0-9]|5[0-4]))$|127.0.0.1|192.168.17.182
   room       _System

Eines, was mir bei der Überprüfung der TelNet Konfigurationen aufgefallen ist, ist das Attribut SSL.
Hier stand bei mir immer das attr SSL 1.
Jetzt gibt es andere Vorgaben, wobei eigentlich bei mir jetzt der Attribut Parameter openssl s_client -connect 192.168.17.182:7072 heißen müsste.
Das habe ich getestet, aber keine Verbesserung feststellen können.

Ich werde die Zertifikate mit OpenSLL nochmals alle neu machen, um sicherzustellen, dass alles richtig aufgebaut ist.
Jedenfalls, mit den Berechtigungen kann es nichts zu tun haben. TelNet Verbindungen sind zwischendurch gelegentlich wieder vorhanden.

Es gibt einige Raspberrys die mehrer TelNet Verbindungen besitzen, aber es gibt auch Pis mit nur einer TelNet Verbindung die ebenfalls Probleme haben.
Wie lässt sich fqdn in einem solchem Anwendungsfall mit FHEM erstellen?

Vielleicht liegt der Fehler bei [ my_subject_alt_names ] bei der Zertifikat Erstellung.
Die Anleitung auf FHEM Wiki ist ein wenig verwirrend.
Zum einen werden hier DNS.1, DNS.2 usw. angegeben.
Für IP Adressen ist bei anderen Beschreibung anstatt DNS.1 IP vor die IP-Adresse zu setzten.
Das andere was mich bei dieser Anleitung irritiert ist die Definition
DNS.1 = fhem01.tuxnet.local
DNS.2 = fhem02.tuxnet.local
Wieso wird hier die DNS eines anderen Raspberrys eingetragen?
[ my_subject_alt_names ] hat doch nur die Gültigkeit für den einen Server und nicht für die anderen?
Liege ich da falsch?

[CoolTux]

DNS.1 = fhem01.tuxnet.local
DNS.2 = fhem02.tuxnet.local
Wieso wird hier die DNS eines anderen Raspberrys eingetragen?
[ my_subject_alt_names ] hat doch nur die Gültigkeit für den einen Server und nicht für die anderen?
Liege ich da falsch?

Weil für 2 Server ein und das selbe Serverzertifikat verwendet wird. Man kann es auch Faulheit nennen.
Was aber viel wichtiger ist, hast Du die Root CA nach Deinem Bullseye Update oder Installation neu  auf beiden Servern verteilt? Das ist nötig damit beide Server die sich ja gegenseitig vertrauen sollen auch die Vertrauenskette abfragen können.

[Guybrush]

hast du denn mal von allen Servern von der Shell aus probiert, ob du mit openssl s_client -connect <ip> eine Verbindung hergestellt bekommst?

wenn das geht, versuch mal deine allowFrom Syntax zu vereinfachen. Wenn du das gleiche Subnet überall hast, dann sollte auch das hier genügen:

Code Auswählen Erweitern


allowfrom  ^(127\.0\.0\.1|192\.168\.17\..*)$


wegen fqdn: da gibt es verschiedene Möglichkeiten. Bind ist der Standard, aber von der Syntax vielleicht nicht der einfachste. Wenn du nicht allzu erfahren sein solltest, kannst du aber besser sowas wie dnsmasq nehmen. Da kannst du im Vergleich zu bind die /etc/hosts einbinden und darüber einfach adressen konfiguieren. So hättest du dann auf jedem Server zumindest mal den gleichen Stand, was eigentlich verpflichtend bei komplexeren Installationen ist. Ansonsten steigt da irgendwann keiner mehr durch, so dass es passieren kann dass du unterschiedliche ips je fqdn hast etc. das wäre dann auch für ssl ein problem.

[Burny4600]

Ich habe alle OpenSSL Zertifikate nochmals zur Sicherheit neu gemacht.
Die server-cert.pem Datei wurde mittels openssl ca -in req.pem -notext -extfile alternate_names.cnf -out server-cert.pem für jeden FHEM Server eigens konfiguriert.
In der Datei alternate_names.cnf habe ich folgende Einträge.

Code Auswählen Erweitern

basicConstraints=CA:FALSE
subjectAltName=@my_subject_alt_names
subjectKeyIdentifier = hash

[ my_subject_alt_names ]
DNS.1 = ccs-ht-rasp01
DNS.2 = ccs-ht-rasp01.fhem.lokal
IP.1 = 192.168.17.181
IP.2 = 127.0.0.1

Diese sind für jeden FHEM Server angepasst. ZB der zweite FHEM Server.

Code Auswählen Erweitern

basicConstraints=CA:FALSE
subjectAltName=@my_subject_alt_names
subjectKeyIdentifier = hash

[ my_subject_alt_names ]
DNS.1 = ccs-ht-rasp02
DNS.2 = ccs-ht-rasp02.fhem.lokal
IP.1 = 192.168.17.182
IP.2 = 127.0.0.1

Auf den 10 Server hat jeder Server seine eigene server-cert.pem Datei im Verzeichnis /opt/fhem/certs hinterlegt sind. Zusätzlich hat jeder Server die gleichen Dateien ca-cert.pem und server-key.pem ebenfalls im Verzeichnis /opt/fhem/certs.

Nun habe ich bei allen FHEM Server die OpenSSL Funktion getestet, dabei habe ich einen Fehler festgestellt, den ich irgendwo noch habe.
Mittels

Code Auswählen Erweitern

openssl s_client -connect 192.168.17.181 bekomme ich als Antwort.

Code Auswählen Erweitern

pi@ccs-ht-rasp01:~ $ openssl s_client -connect 192.168.17.181
1995743296:error:0200206F:system library:connect:Connection refused:../crypto/bio/b_sock2.c:110:
1995743296:error:2008A067:BIO routines:BIO_connect:connect error:../crypto/bio/b_sock2.c:111:
connect:errno=111

Mittels Port bekomme ich eine entsprechende Info, aber mit Fehlerinhalt.

Code Auswählen Erweitern

pi@ccs-ht-rasp01:~ $ openssl s_client -connect 192.168.17.181:8083
CONNECTED(00000003)
Can't use SSL_get_servername
depth=0 C = AT, ST = OberOesterreich, O = FHEM Welt, OU = EDV, CN = ccs-ht-rasp01.fhem.lokal, emailAddress = ccs-ht-rasp01@fhem.lokal
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = AT, ST = OberOesterreich, O = FHEM Welt, OU = EDV, CN = ccs-ht-rasp01.fhem.lokal, emailAddress = ccs-ht-rasp01@fhem.lokal
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 C = AT, ST = OberOesterreich, O = FHEM Welt, OU = EDV, CN = ccs-ht-rasp01.fhem.lokal, emailAddress = ccs-ht-rasp01@fhem.lokal
verify return:1
---
Certificate chain
0 s:C = AT, ST = OberOesterreich, O = FHEM Welt, OU = EDV, CN = ccs-ht-rasp01.fhem.lokal, emailAddress = ccs-ht-rasp01@fhem.lokal
   i:C = AT, ST = OberOesterreich, L = W, O = FHEM Welt, OU = EDV, CN = Chrisu, emailAddress = chrisu@fhem.at
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIEcDCCA1igAwIBAgIBATANBgkqhkiG9w0BAQsFADCBwzELMAkGA1UEBhMCQVQx
GDAWBgNVBAgMD09iZXJPZXN0ZXJyZWljaDENMAsGA1UEBwwEV2VsczEyMDAGA1UE
................
C9dPlFr8nQH0V6Q9vhHgah6LsWZ+zXjatEbSC5tBxXTa94yD
-----END CERTIFICATE-----
subject=C = AT, ST = OberOesterreich, O = FHEM Welt, OU = EDV, CN = ccs-ht-rasp01.fhem.lokal, emailAddress = ccs-ht-rasp01@fhem.lokal

issuer=C = AT, ST = OberOesterreich, L = W, O = FHEM Welt, OU = EDV, CN = Chrisu, emailAddress = christian.schmidt@fhem.at

---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 1696 bytes and written 363 bytes
Verification error: unable to verify the first certificate
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 21 (unable to verify the first certificate)
---
---
Post-Handshake New Session Ticket arrived:
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384
    Session-ID: AE519C3EE05AA85C6E95C299B934DFC83643791E280E931847BD2620DFDDDDBC
    Session-ID-ctx:
    Resumption PSK: 49879A860AE860A7E10AC4BBF9EF13F9E09DD4E1FF94088AEFF12EB8B05905CAD2BAB6FF8D414A638C9C29EEC65B4CF5
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - e5 f4 c2 76 a8 e7 07 70-2a 4f 26 11 52 0b 67 7e   ...v...p*O&.R.g~
    ..............
    00b0 - 29 8f 77 ec ed bb 57 34-55 b9 2a 48 02 0e 84 65   ).w...W4U.*H...e

    Start Time: 1645112339
    Timeout   : 7200 (sec)
    Verify return code: 21 (unable to verify the first certificate)
    Extended master secret: no
    Max Early Data: 0
---
read R BLOCK
---
Post-Handshake New Session Ticket arrived:
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384
    Session-ID: AF37C8D6A7AC0354D9B39EFEDFDAFE4369351DD4A0659C16B73A0C1AB7E4344D
    Session-ID-ctx:
    Resumption PSK: 9A40478C24F89FC9CBE1EB958347A652013BD4AFE13EF850E0485A9C99D85693FEB699A968D755B21B21BE988537A391
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - e5 f4 c2 76 a8 e7 07 70-2a 4f 26 11 52 0b 67 7e   ...v...p*O&.R.g~
    ....................
    00b0 - 05 66 91 78 f2 14 a7 94-92 9d 73 1b bb 56 0b 01   .f.x......s..V..

    Start Time: 1645112339
    Timeout   : 7200 (sec)
    Verify return code: 21 (unable to verify the first certificate)
    Extended master secret: no
    Max Early Data: 0
---
read R BLOCK

Installation neu  auf beiden Servern verteilt?

Wie oben erwähnt, habe ich alle Zertifikate neu erstellt und entsprechend verteilt.

Ich habe mir die erstellten Zertifikate aus einem Backup auf denjenigen FHEM Server nach einer Neuinstallation zurückkopiert. Es hatte sich ja grundsätzlich nichts geändert.
Wenn ein neuer FHEM Server hinzugekommen ist, wurden die früher erstellten Zertifikate wieder hergenommen und nur eine neue server-cert.pem Datei für den hinzugekommenen FHEM Server erstellt.

Danke für den Tipp.

Code Auswählen Erweitern

allowfrom  ^(127\.0\.0\.1|192\.168\.17\..*)$ wurde auf allen TelNet Verbindungen geändert.

[rudolfkoenig]

FHEM2FHEM aktiviert die Zertifikatpruefung in HttpUtils.pm  nicht => das Zertifikat des Servers ist FHEM2FHEM egal.

Die Ursache des hier erwaehnten Problems ist, dass FHEM2FHEM nach der Implementierung des Nonblocking SSL-Connects in HttpUtils nicht angepasst wurde.
Ich war der Ansicht, dass FHEM2FHEM ueber DevIo geht (was angepasst wurde), das stimmt aber nicht, FHEM2FHEM ruft  HttpUtils_Connect direkt auf.

Ich habe das jetzt gefixt, eine FHEM2FHEM SSL Verbindung sollte (nach dem FHEM update morgen) wieder funktionieren.

[Burny4600]

Danke für die Info.

[Guybrush]

Code Auswählen Erweitern


verify error:num=20:unable to get local issuer certificate

du hast da ein Zertifikat Problem. Kann es sein, dass der server keine CA/s hat? default sind keine vorhanden. wenn du selbst welche erstellst, müssen die auf allen servern vorhanden sein. ggf. mal mit openssl verify -CAfile testen?

Code Auswählen Erweitern


verify error:num=21:unable to verify the first certificate

der fehler kommt, wenn die chain of trust verletzt ist. in dem fall ist es klar, dass keine verbindung zustande kommt. da fehlt ein intermediate zertifikat.

poste mal den output von ls -lisa des verzeichnisses wo du die zertifikate auf beiden servern abgelegt hast

[Burny4600]

Ich bin nach dieser Anleitung vorgegangen.
https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle

Die erstellten Zertifikat-Dateien wurden im Verzeichnis /opt/fhem/certs abgelegt. Es sind die Dateien ca-cert.pem server-key.pem server-cert.pem.
Das ist bei allen FHEM-Servern gleich, nur die Datei server-cert.pem ist auf jedem FHEM-Server unterschiedlich ausgeführt.

Kann es sein, dass der server keine CA/s hat?

Muss die Datei ca-cert.pem noch anderswo abgelegt werden?

Im Verzeichnis /opt/fhem/certs bekomme ich mit openssl verify -CAfile nichts heraus.

Code Auswählen Erweitern

pi@ccs-ht-rasp01:/opt/fhem/certs $ openssl verify -CAfile
verify: Option -CAfile needs a value
verify: Use -help for summary.

Mit ls -lisa am ersten FHEM-Server

Code Auswählen Erweitern


insgesamt 20
144742 4 drwxrwxrwx  2 fhem dialout 4096 18. Feb 11:57 .
133535 4 drwxrwxrwx 11 fhem dialout 4096 16. Feb 14:49 ..
145520 4 -rwxrwxrwx  1 fhem dialout 1590 17. Feb 14:47 ca-cert.pem
145511 4 -rwxrwxrwx  1 fhem dialout 1598 17. Feb 15:13 server-cert.pem
145542 4 -rwxrwxrwx  1 fhem dialout 1675 17. Feb 14:49 server-key.pem


und am zweiten FHEM-Server

Code Auswählen Erweitern

pi@ccs-ht-rasp02:/opt/fhem/certs $ ls -lisa
insgesamt 20
149413 4 drwxrwxrwx  2 fhem dialout 4096 Feb 17 15:57 .
130219 4 drwxrwxrwx 11 fhem dialout 4096 Feb 24  2021 ..
149588 4 -rwxrwxrwx  1 fhem dialout 1590 Feb 17 14:47 ca-cert.pem
136460 4 -rwxrwxrwx  1 fhem dialout 1598 Feb 17 15:23 server-cert.pem
143101 4 -rwxrwxrwx  1 fhem dialout 1675 Feb 17 14:49 server-key.pem
pi@ccs-ht-rasp02:/opt/fhem/certs $


[Guybrush]

Wenn du dich an die Anleitung von fhem gehalten hast, wieso fehlt bei dir die req.pem? So ganz an die Anleitung hast du dich dann doch nicht gehalten?

dann folgendes noch testen:

Code Auswählen Erweitern


dig ccs-ht-rasp01.fhem.lokal
dig ccs-ht-rasp01
dig ccs-ht-rasp02.fhem.lokal
dig ccs-ht-rasp02
etc...


ist das auf allen servern (mit der selben IP) auflösbar? (A Record, alternativ einfach mit "ping" sonst testen)

Grundsätzlich:

hinter openssl verify -CAfile musst du natürlich noch die Datei angeben

Code Auswählen Erweitern

openssl verify -CAfile /opt/fhem/certs/ca-cert.pem

Für den privaten Schlüssel solltest du grundlegend in jedem Fall auch nur 400 und für die anderen allenfalls 444 als Recht setzen.

Code Auswählen Erweitern

chmod 400 ca-cert.pem

Alternativ kannst du dir sonst auch Zertifikate von Letsencrypt.org bzw https://certbot.eff.org erstellen lassen. Ich nutz die auch ausschließlich, da die im Vergleich zu selbst erstellten direkt signiert sind und man sich hier noch mehr anstrengen muss etwas falsch zu machen 

[Burny4600]

Wo hast du auf der Webseite https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle das gefunden, dass die req.pem in das /opt/fhem/certs gehört?
Auf dieser Seite findest du keinen Hinweis, welche Dateien in das Verzeichnis /opt/fhem/certs gehören.

Auf einer weiteren Seite https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS findest du dann den Hinweis, welche Dateien in das Verzeichnis /opt/fhem/certs gehören.
Anscheinend unvollständig.
Also gehören in das Verzeichnis /opt/fhem/certs die Dateien req.pem, ca-cert.pem, server-key.pem und server-cert.pem.

Was ist dig? Den Befehl kenne ich nicht, und der Raspberry auch nicht.
-bash: dig: Kommando nicht gefunden.

Mit dem Befehl sudo openssl verify -CAfile /opt/fhem/certs/ca-cert.pem tut sich auf keinem System etwas.

Mit Ping funktioniert nur lokal. Da muss ich noch etwas überprüfen, warum die DNS Auflösung nicht funktioniert, wie sie es soll.

Code Auswählen Erweitern

pi@ccs-ht-rasp01:~ $ ping ccs-ht-rasp01
PING ccs-ht-rasp01.fhem.lokal (127.0.1.1) 56(84) bytes of data.
64 bytes from ccs-ht-rasp01.fhem.lokal (127.0.1.1): icmp_seq=1 ttl=64 time=0.103 ms
64 bytes from ccs-ht-rasp01.fhem.lokal (127.0.1.1): icmp_seq=2 ttl=64 time=0.088 ms
64 bytes from ccs-ht-rasp01.fhem.lokal (127.0.1.1): icmp_seq=3 ttl=64 time=0.137 ms
^C
--- ccs-ht-rasp01.fhem.lokal ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2068ms
rtt min/avg/max/mdev = 0.088/0.109/0.137/0.020 ms

[Guybrush]

du brauchst die ansich nur zum signieren, aber da ich dein System nicht kenne und hier nur spärlich Infos vorliegen, kann ich mich nur an dem orientieren, was du gepostet hast. Grundsätzlich ist es immer gut erstmal 1:1 sich an Anleitungen zu halten und erst nachdem es läuft zu individualisieren. Wenn du das gemacht hast, ist das gut. Dann hab ich aber außer dem geposteten leider keinen weiteren Lösungsansatz erstmal. Das ist zuviel, woran es theoretisch hängen könnte.

[Burny4600]

Nach Überprüfung mit Ping musste ich feststellen, dass 4 von 10 Raspberrys Probleme mit der DNS Auflösung hatten.
Diese Systeme habe ich ebenfalls neu mit aktuellen Bullseye installiert.

Gegenseitiger Ping Test zu allen 10 Systemen.

Code Auswählen Erweitern

ping ccs-ht-rasp01.fhem.lokal
ping ccs-ht-rasp01


Gegenseitiger OpenSSL Test

Code Auswählen Erweitern

openssl s_client -connect 192.168.17.182
1996275776:error:0200206F:system library:connect:Connection refused:../crypto/bio/b_sock2.c:110:
1996275776:error:2008A067:BIO routines:BIO_connect:connect error:../crypto/bio/b_sock2.c:111:
connect:errno=111

openssl s_client -connect 192.168.17.182:8083
CONNECTED(00000003)
Can't use SSL_get_servername
depth=0 C = AT, ST = FHEM_Welt, O = FHEM_Welt, OU = EDV, CN = ccs-ht-rasp02.fhem.lokal, emailAddress = ccs-ht-rasp02@fhem.lokal

openssl s_client -connect 192.168.17.182:7072
CONNECTED(00000003)
Can't use SSL_get_servername
depth=0 C = AT, ST = FHEM_Welt, O = FHEM_Welt, OU = EDV, CN = ccs-ht-rasp02.fhem.lokal, emailAddress = ccs-ht-rasp02@fhem.lokal
Passwort:

openssl s_client -connect ccs-ht-rasp02
1996329024:error:0200206F:system library:connect:Connection refused:../crypto/bio/b_sock2.c:110:
1996329024:error:2008A067:BIO routines:BIO_connect:connect error:../crypto/bio/b_sock2.c:111:
connect:errno=111

openssl s_client -connect ccs-ht-rasp02:8083
CONNECTED(00000003)
Can't use SSL_get_servername
depth=0 C = AT, ST = FHEM_Welt, O = FHEM_Welt, OU = EDV, CN = ccs-ht-rasp02.fhem.lokal, emailAddress = ccs-ht-rasp02@fhem.lokal .........................

openssl s_client -connect ccs-ht-rasp02:7072
CONNECTED(00000003)
Can't use SSL_get_servername
depth=0 C = AT, ST = FHEM_Welt, O = FHEM_Welt, OU = EDV, CN = ccs-ht-rasp02.fhem.lokal, emailAddress = ccs-ht-rasp02@fhem.lokal ........................
Passwort:

openssl s_client -connect ccs-ht-rasp02.fhem.lokal:7072
CONNECTED(00000003)
depth=0 C = AT, ST = FHEM_Welt, O = FHEM_Welt, OU = EDV, CN = ccs-ht-rasp02.fhem.lokal, emailAddress = ccs-ht-rasp02@fhem.lokal .......................
Passwort:


Was mich daran noch stört, sind die Einträge beim OpenSSL Test, wie
Can't use SSL_get_servername
verify error:num=20:unable to get local issuer certificate
No client certificate CA names sent
Verification error: unable to verify the first certificate

Da besteht nach wie vor Handlungsbedarf, damit die Zertifika sauber konfiguriert sind.
Vielleich hat jemand eine passende Lösung.

Code Auswählen Erweitern

pi@ccs-ht-rasp01:~ $ openssl s_client -connect 192.168.17.182:7182
CONNECTED(00000003)
Can't use SSL_get_servername
depth=0 C = AT, ST = OberOesterreich, O = FHEM_Welt, OU = EDV, CN = ccs-ht-rasp02.fhem.lokal, emailAddress = ccs-ht-rasp02@fhem.lokal
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = AT, ST = OberOesterreich, O = FHEM_Welt, OU = EDV, CN = ccs-ht-rasp02.fhem.lokal, emailAddress = ccs-ht-rasp02@fhem.lokal
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 C = AT, ST = OberOesterreich, O = FHEM_Welt, OU = EDV, CN = ccs-ht-rasp02.fhem.lokal, emailAddress = ccs-ht-rasp02@fhem.lokal
verify return:1
---
Certificate chain
0 s:C = AT, ST = OberOesterreich, O = FHEM_Welt, OU = EDV, CN = ccs-ht-rasp02.fhem.lokal, emailAddress = ccs-ht-rasp02@fhem.lokal
   i:C = AT, ST = OberOesterreich, L = W, O = FHEM_Welt, OU = EDV, CN = Christian Schmidt, emailAddress = openssl_admin@fhem.lokal
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIEcDCCA1igAwIBAgIBAjANBgkqhkiG9w0BAQsFADCBwzELMAkGA1UEBhMCQVQx
.
.
.
0C0GuGxGozXBtjnghH2hmVsFpWqV7eud8SXp7t3STrYC93EL6sikqK9jlBA4qTIS
nKL7WM/6WqKkjU6hc7U7OtkyhoMOIL0sJToG3fT7BWbzxaEa
-----END CERTIFICATE-----
subject=C = AT, ST = OberOesterreich, O = FHEM_Welt, OU = EDV, CN = ccs-ht-rasp02.fhem.lokal, emailAddress = ccs-ht-rasp02@fhem.lokal

issuer=C = AT, ST = OberOesterreich, L = W, O = FHEM_Welt, OU = EDV, CN = Christian Schmidt, emailAddress = openssl_admin@fhem.lokal

---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 1696 bytes and written 363 bytes
Verification error: unable to verify the first certificate
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 21 (unable to verify the first certificate)
---
---
Post-Handshake New Session Ticket arrived:
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384
    Session-ID: F6F59B71BA6EE810CA6F0ACE82ECAA7B3D24E105A35702528537E69F7BBD9FE5
    Session-ID-ctx:
    Resumption PSK: FDDE621492F8C0EF2FD3FCEAAEC69EE3ACA17450ED18D54F74E578973A16F9D7FD61C832929B9B85F0DA6B0B9DEBC085
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - ec 7d 0b 6f d2 ac c7 97-cd c5 99 0d 89 d0 0a 91   .}.o............
    0010 - 8e f2 d7 59 88 0c 6d ba-7a f6 e3 1d 9a 2c 16 07   ...Y..m.z....,..
    0020 - ba 0d ec 53 e3 16 9a d1-c6 85 9d e9 06 2e e3 c4   ...S............
.
.
.
    0090 - 7e df 1c 2a 47 f0 ac 15-53 93 03 87 d7 bf b9 0c   ~..*G...S.......
    00a0 - d0 de 2c 84 5a 9d c4 5f-03 cf ca ad bc 54 17 3f   ..,.Z.._.....T.?
    00b0 - 0e 84 78 35 fd 3a ad e2-4e 1d cf 12 4e 5e d3 e5   ..x5.:..N...N^..

    Start Time: 1645431718
    Timeout   : 7200 (sec)
    Verify return code: 21 (unable to verify the first certificate)
    Extended master secret: no
    Max Early Data: 0
---
read R BLOCK
---
Post-Handshake New Session Ticket arrived:
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384
    Session-ID: B2CCC7C2D09EE6D91C5ABD086772ACD416230C338DAD826D5856E283056DF2FC
    Session-ID-ctx:
    Resumption PSK: 22186AD58F86CBCABD5923C4CD91FEADF847328F6D69CEE785C761EF41901B91693A777EB11A14E42AAD36F33F4B2AD9
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - ec 7d 0b 6f d2 ac c7 97-cd c5 99 0d 89 d0 0a 91   .}.o............
    0010 - 34 e2 27 3b 35 dd 0b 7d-9c 22 30 6f bb 7a 25 c8   4.';5..}."0o.z%.
.
.
.
    00a0 - 94 bf da a6 d2 a2 03 c7-d2 87 ec 8c 85 5f c2 d8   ............._..
    00b0 - 7e 11 69 65 0a 97 28 14-00 49 df 30 18 4e 15 ef   ~.ie..(..I.0.N..

    Start Time: 1645431718
    Timeout   : 7200 (sec)
    Verify return code: 21 (unable to verify the first certificate)
    Extended master secret: no
    Max Early Data: 0
---
read R BLOCK
▒▒Password:

Betreffend den TelNet-Verbindungen, besteht während des Bootvorganges von FHEM noch immer Fehlereinträge.
Die FHEM2FHEM Verbindung werden erst nach kurzer Zeit ordnungsgemäß hergestellt.

FHEM log04

Code Auswählen Erweitern

2022.02.21 09:50:47 1: Perl version: 5.032001
2022.02.21 09:50:47 1: OS   version: linux
2022.02.21 09:50:47 1: Loading Unix modules
2022.02.21 09:50:47.484 1: Including fhem.cfg
2022.02.21 09:50:48.270 3: WEB: port 8083 opened
2022.02.21 09:50:48.305 3: WEBphone: port 8084 opened
2022.02.21 09:50:48.313 3: WEBtablet: port 8085 opened
2022.02.21 09:50:48.339 3: telnetPort: port 7072 opened
2022.02.21 09:50:57.241 3: WEB: port 8083 opened
2022.02.21 09:50:57.258 3: WEBphone: port 8084 opened
2022.02.21 09:50:57.267 3: WEBtablet: port 8085 opened
2022.02.21 09:50:57.463 2: eventTypes: loaded 312 lines from /media/hdd/fhem/log04/eventTypes.txt
2022.02.21 09:50:57.473 1: Including /media/hdd/fhem/mycfg/schnittstellen_rasp04.cfg
2022.02.21 09:50:58.228 1: Including /media/hdd/fhem/mycfg/FHEM2FHEM/f2f_rasp04.cfg
2022.02.21 09:50:58.237 3: F2F_Rasp04: port 7072 opened
2022.02.21 09:50:58.264 3: FHEM2FHEM opening F2F_Rasp01 at 192.168.17.181:7072
2022.02.21 09:50:58.270 3: FHEM2FHEM opening F2F_Rasp03 at 192.168.17.183:7072
2022.02.21 09:50:58.276 3: FHEM2FHEM opening F2F_Rasp02 at 192.168.17.182:7072
2022.02.21 09:50:58.281 3: FHEM2FHEM opening F2F_Rasp08 at 192.168.17.188:7072
2022.02.21 09:50:58.319 1: Including /media/hdd/fhem/mycfg/GPIO/GPIO_rasp04.cfg
2022.02.21 09:50:59.265 1: Including /media/hdd/fhem/mycfg/AD_Controller/I2C_MCP3424_rasp04.cfg
2022.02.21 09:50:59.419 1: Including /media/hdd/fhem/mycfg/AD_Controller/I2C_MCP23017_rasp04.cfg
2022.02.21 09:50:59.784 1: Including /media/hdd/fhem/mycfg/USV/usv_rasp04.cfg
2022.02.21 09:50:59.818 3: SUSV: using I2C Address 15
2022.02.21 09:50:59.821 3: RpiI2C_1: HWaccess blockweise von 0x0f lesen, Reg: 0x22 -> syswrite failure: Remote I/O error
2022.02.21 09:50:59.866 1: Including /media/hdd/fhem/mycfg/wetter/wetterstation_rasp04.cfg
2022.02.21 09:50:59.919 1: Including /media/hdd/fhem/myprogram/aussenbeleuchtungen_rasp04.pm
2022.02.21 09:51:00.271 1: Including /media/hdd/fhem/myprogram/biotop_rasp04.pm
2022.02.21 09:51:00.343 1: Including /media/hdd/fhem/myprogram/heizung_rasp04.pm
2022.02.21 09:51:00.407 1: Including /media/hdd/fhem/myprogram/phtlw_rasp04.pm
2022.02.21 09:51:00.423 1: Including /media/hdd/fhem/myprogram/pool_rasp04.pm
2022.02.21 09:51:00.503 1: Including /media/hdd/fhem/myprogram/techalarm_rasp04.pm
2022.02.21 09:51:00.518 1: Including /media/hdd/fhem/myprogram/wetterstation_rasp04.pm
2022.02.21 09:51:00.561 1: Including /media/hdd/fhem/myprogram/reset_rasp04.pm
2022.02.21 09:51:00.583 1: Including /media/hdd/fhem/zeitplaene/zeitplaene_rasp04.pm
2022.02.21 09:51:00.773 3: ModbusRS485: defined as /dev/serial0@9600,8,E,1
2022.02.21 09:51:00.862 1: Including /media/hdd/fhem/log04/fhem.save
2022.02.21 09:51:01.147 3: Opening ModbusRS485 device /dev/serial0
2022.02.21 09:51:01.148 3: Setting ModbusRS485 serial parameters to 9600,8,E,1
2022.02.21 09:51:01.150 3: ModbusRS485 device opened
2022.02.21 09:51:01.452 0: Featurelevel: 6.1
2022.02.21 09:51:02.907 3: Can't connect to 192.168.17.183:7072:
2022.02.21 09:51:02.911 3: Can't connect to 192.168.17.182:7072:
2022.02.21 09:51:02.916 3: Can't connect to 192.168.17.181:7072:
2022.02.21 09:51:02.921 3: Can't connect to 192.168.17.188:7072:
2022.02.21 09:51:57.657 3: telnetForBlockingFn_1645433517: port 35239 opened
2022.02.21 09:52:03.331 1: FHEM2FHEM 192.168.17.183:7072 reappeared (F2F_Rasp03)
2022.02.21 09:52:03.371 1: FHEM2FHEM 192.168.17.188:7072 reappeared (F2F_Rasp08)
2022.02.21 09:52:03.399 1: FHEM2FHEM 192.168.17.183:7072 reappeared (F2F_Rasp03)
2022.02.21 09:52:03.461 1: FHEM2FHEM 192.168.17.183:7072 reappeared (F2F_Rasp03)
2022.02.21 09:52:03.475 1: FHEM2FHEM 192.168.17.188:7072 reappeared (F2F_Rasp08)
2022.02.21 09:52:03.520 1: FHEM2FHEM 192.168.17.183:7072 reappeared (F2F_Rasp03)
2022.02.21 09:52:03.566 1: FHEM2FHEM 192.168.17.188:7072 reappeared (F2F_Rasp08)
2022.02.21 09:52:03.589 1: FHEM2FHEM 192.168.17.183:7072 reappeared (F2F_Rasp03)
2022.02.21 09:52:03.653 1: FHEM2FHEM 192.168.17.183:7072 reappeared (F2F_Rasp03)
2022.02.21 09:52:03.667 1: FHEM2FHEM 192.168.17.188:7072 reappeared (F2F_Rasp08)
2022.02.21 09:52:03.710 1: FHEM2FHEM 192.168.17.183:7072 reappeared (F2F_Rasp03)
2022.02.21 09:52:03.754 1: FHEM2FHEM 192.168.17.188:7072 reappeared (F2F_Rasp08)
2022.02.21 09:52:03.837 1: FHEM2FHEM 192.168.17.188:7072 reappeared (F2F_Rasp08)
2022.02.21 09:52:03.920 1: FHEM2FHEM 192.168.17.188:7072 reappeared (F2F_Rasp08)
2022.02.21 09:52:04.008 1: FHEM2FHEM 192.168.17.188:7072 reappeared (F2F_Rasp08)
2022.02.21 09:52:04.113 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:52:05.082 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:52:05.146 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:52:06.994 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:52:07.066 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:52:07.119 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:52:07.171 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:52:07.226 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:52:07.278 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:52:07.327 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:52:07.383 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:52:07.434 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:52:08.367 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:52:08.421 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:52:08.471 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:52:38.711 1: 192.168.17.188:7072 disconnected, waiting to reappear
2022.02.21 09:52:51.572 3: Login denied via F2F_Rasp04_192.168.17.187_55870
2022.02.21 09:53:12.324 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:53:12.391 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:53:12.442 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:53:12.491 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:53:12.541 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:53:12.594 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:53:12.646 1: FHEM2FHEM 192.168.17.182:7072 reappeared (F2F_Rasp02)
2022.02.21 09:53:52.527 1: FHEM2FHEM 192.168.17.188:7072 reappeared (F2F_Rasp08)
2022.02.21 09:53:52.619 1: FHEM2FHEM 192.168.17.188:7072 reappeared (F2F_Rasp08)
2022.02.21 09:53:52.748 1: FHEM2FHEM 192.168.17.188:7072 reappeared (F2F_Rasp08)
2022.02.21 09:53:52.840 1: FHEM2FHEM 192.168.17.188:7072 reappeared (F2F_Rasp08)

Meine typische fhem.cfg die für alle Raspberrys prinzipiell gleich aufgebaut ist.
Raspberry 04 fhem.cfg

Code Auswählen Erweitern

attr global userattr alarmDevice:Actor,Sensor alarmSettings cmdIcon devStateIcon devStateIcon:textField-long devStateStyle fp_SolarThermie icon sortby webCmd webCmdLabel:textField-long widgetOverride
attr global altitude 318
attr global archivedir /media/hdd/Backup/ccs-ht-rasp04/opt/fhem/restoreDir
attr global autoload_undefined_devices 1
attr global autosave 0
attr global backup_before_update 1
attr global backupdir /media/hdd/Backup/ccs-ht-rasp04/opt/fhem/restoreDir
attr global dnsHostsFile /etc/hosts
attr global dupTimeout 0.5
attr global holiday2we OOE
attr global keyFileName /opt/fhem/FHEM/FhemUtils/uniqueID
attr global language DE
attr global latitude 48.15124159
attr global logdir /media/hdd/fhem/log04
attr global logfile /media/hdd/fhem/log04/fhem-%Y-%m-%W.log
attr global longitude 14.00299087
attr global modpath .
attr global motd none
attr global mseclog 1
attr global restartDelay 2
attr global restoreDirs 1
attr global room _System
attr global sendStatistics onUpdate
attr global stacktrace 0
attr global statefile /media/hdd/fhem/log04/fhem.save
attr global updateInBackground 1
attr global verbose 3

# -----------------------------------------------------------------------------------------------
# -----------------------------------------------------------------------------------------------

define telnetPort telnet 7072 global
setuuid telnetPort 5c4c0780-f33f-8234-4adf-b61c5c9afe268c0a
attr telnetPort SSL openssl s_client -connect 192.168.17.184:7184
attr telnetPort allowfrom ^(127\.0\.0\.1|192\.168\.17\..*)$
attr telnetPort room _System

define allowed_telnetPort allowed
setuuid allowed_telnetPort 5c4c0780-f33f-7560-d19e-663f7407fb69715a
attr allowed_telnetPort password Q2hyaXM6Q3M1MzY5Mzk=
attr allowed_telnetPort room _System
attr allowed_telnetPort validFor telnetPort

# -----------------------------------------------------------------------------------------------
# -----------------------------------------------------------------------------------------------

define WEB FHEMWEB 8083 global
setuuid WEB 5c4c0781-f33f-332f-9373-278805b0f683b777
attr WEB userattr { addToAttrList("alarmDevice:Actor,Sensor") } { addToAttrList("alarmSettings") }
attr WEB HTTPS 1
attr WEB JavaScripts codemirror/fhem_codemirror.js pgm2/clock.js
attr WEB SVGcache 1
attr WEB allowfrom ^(127\.0\.0\.1|192\.168\.17\..*)$
attr WEB codemirrorParam { "lineWrapping":true }
attr WEB csrfToken random
attr WEB editConfig 1
attr WEB fwcompress 0
attr WEB hiddenroom AlarmRoom
attr WEB iconPath fhemSVG:openautomation:default:icons_small
attr WEB longpoll websocket
attr WEB mainInputLength 150
attr WEB menuEntries Neustart,cmd=save+shutdown+restart,Update,cmd=update,Updatecheck,cmd=update+check,MyUtils_neu_laden,cmd=reload+99_myUtils.pm
attr WEB plotfork 0
attr WEB room _System
attr WEB roomIcons AB-Bewaesserung:sani_irrigation@cyan AB-Biotop:sani_sprinkling@cyan AB-Fitnessraum:scene_fitness AB-Garage-Ost:fts_garage AB-Garage-West:fts_garage AB-Muehlbach:time_graph@cyan AB-Pool:scene_pool@cyan AB-Sauna:scene_sauna AB-Suedgarten:scene_garden AB-Vorgarten:scene_garden AB-Wetterstation:weather_cloudy_light Alarmanlage:secur_alarm@red Alarme:message_attention@red Anwesenheit:user_available Aquarium:Icon_Fisch Beleuchtung:light_ceiling_light@yellow Belueftungen:vent_ventilation_level_0 Brandmeldeanlage:secur_smoke_detector@orange EG:control_building_s_eg EG-Bad:control_building_s_eg EG-Keller:control_building_s_eg EG-Kueche:control_building_s_eg EG-Schlafzimmer:control_building_s_eg EG-Stiegenhaus:control_building_s_eg EG-Terrasse:scene_terrace EG-Vorraum:control_building_s_eg EG-WC:control_building_s_eg EG-Wirtschaftsraum:control_building_s_eg EG-Wohnzimmer:control_building_s_eg Energiemanagement:measure_power_meter Heizung:icoHEIZUNG Kalender:time_calendar Keller:control_building_s_kg Kuehlung:temp_frost@cyan Multimedia:scene_cinema Notbeleuchtung:light_mirror Notruf.System:message_attention@red OG1:control_building_s_og OG1-Bad:control_building_s_og OG1-Balkon:awning OG1-Kinderzimmer:control_building_s_og OG1-Kueche:control_building_s_og OG1-Schlafzimmer:control_building_s_og OG1-Stiegenhaus:control_building_s_og OG1-Vorraum:control_building_s_og OG1-WC:control_building_s_og OG1-Wohnzimmer:control_building_s_og OG2:control_building_s_dg OG2-Buero1:control_building_s_dg OG2-Buero2:control_building_s_dg OG2-Dachboden:control_building_s_dg OG2-EDV-Raum:control_building_s_dg OG2-Kuehlung:control_building_s_dg PV-Anlagen:measure_photovoltaic_inst Rolllaeden:fts_shutter_updown SolarThermie:sani_solar Stiegenhaus:control_building_s_all Technik:hue_room_garage Trend:time_graph Verbrauch-Gas:measure_power_meter Verbrauch-Strom:measure_power Verbrauch-Wasser:measure_power_meter Zutrittssystem:fts_door_open _Energiemessungen:measure_power_meter _Sensor-Batteriezustaende:measure_battery_100 _Sensor-Geraetestoerung:message_attention@red _Signalstaerke-Geraete:it_wireless_dcf77 _USV:measure_battery_100
attr WEB stylesheetPrefix dark

define allowed_WEB allowed
setuuid allowed_WEB 5c4c0781-f33f-201a-f8fb-a9bf69464bcd570e
attr allowed_WEB basicAuth Q2hyaXM6Q3M1MzY5Mzk=
attr allowed_WEB basicAuthExpiry 1
attr allowed_WEB basicAuthMsg "Bitte Username/Kennwort eingeben"
attr allowed_WEB room _System
attr allowed_WEB validFor WEB

# -----------------------------------------------------------------------------------------------
# -----------------------------------------------------------------------------------------------

define WEBphone FHEMWEB 8084 global
setuuid WEBphone 5c4c0781-f33f-8c82-2bde-37ef065d33048e33
attr WEBphone HTTPS 1
attr WEBphone allowfrom ^(127\.0\.0\.1|192\.168\.17\..*)$
attr WEBphone hiddenroom AlarmRoom
attr WEBphone room _System
attr WEBphone stylesheetPrefix smallscreen

define allowed_WEBphone allowed
setuuid allowed_WEBphone 5c4c0781-f33f-cbef-5fcf-4eab47d44bd66eed
attr allowed_WEBphone basicAuth Q2hyaXM6Q3M1MzY5Mzk=
attr allowed_WEBphone basicAuthMsg "Bitte Username/Kennwort eingeben"
attr allowed_WEBphone room _System
attr allowed_WEBphone validFor WEBphone

# -----------------------------------------------------------------------------------------------
# -----------------------------------------------------------------------------------------------

define WEBtablet FHEMWEB 8085 global
setuuid WEBtablet 5c4c0781-f33f-332a-7f7b-bb2a63ea9320a90a
attr WEBtablet HTTPS 1
attr WEBtablet allowfrom ^(127\.0\.0\.1|192\.168\.17\..*)$
attr WEBtablet hiddenroom AlarmRoom
attr WEBtablet room _System
attr WEBtablet stylesheetPrefix touchpad

define allowed_WEBtablet allowed
setuuid allowed_WEBtablet 5c4c0781-f33f-7341-4e21-3729a70cdeb1677c
attr allowed_WEBtablet basicAuth Q2hyaXM6Q3M1MzY5Mzk=
attr allowed_WEBtablet basicAuthMsg "Bitte Username/Kennwort eingeben"
attr allowed_WEBtablet room _System
attr allowed_WEBtablet validFor WEBtablet

# -----------------------------------------------------------------------------------------------
# -----------------------------------------------------------------------------------------------

# Fake FileLog entry, to access the fhem log from FHEMWEB
define Logfile FileLog /media/hdd/fhem/log04/fhem-%Y-%m.log fakelog
setuuid Logfile 5c4c0781-f33f-c52a-b6dc-e001ef11b9025f60
attr Logfile icon edit_paste
attr Logfile room _LOG

# -----------------------------------------------------------------------------------------------

# autocreate

#  Erzeugt für noch nicht definierte FHEM-Geräte automatisch die geignete Definition (define).
#  Diese Definition wird aus einer Nachricht gewonnen, die von diesen neuen Geräten empfangen wurde.
#  Hinweis: Geräte, die mit Polling arbeiten (wie z.B. der Zugriff auf EMEM/EMWZ über EM1010PC) werden NICHT automatisch erzeugt.

# Define
#  define <name> autocreate

#  Durch die Definition dieser Instanz wird das globale Attribut autoload_undefined_devices gesetzt, sodass die Module für unbekannte Geräte automatisch nachgeladen werden.
#  Das autocreate-Modul interpretiert das UNDEFINED-event, welches von jedem Modul gestartet wird, erzeugt ein Gerät (device) und bei Bedarf ein FileLog sowie SVG-Einträge.
#  Hinweis 1: Geräte werden mit einem eindeutigen Namen erzeugt, der den Typ und eine individuelle ID für diesen Typ enthält.
#             Wird ein Gerät umbenannt (rename), wird gleichzeitig das automatisch erzeugte FileLog und die SVG Geräte unbenannt.
#  Hinweis 2: Durch das Setzen des disable-Attributes kann die automatische Erzeugung ausgeschaltet werden.
#             In diesem Fall ist ausschließlich die oben erläuterte Umbenennung aktiv.
#             Der createlog-Befehl kann zum Hinzufügen von FileLog und SVG eines bereits definierten Gerätes benutzt werden.
#  Hinweis 3: Es macht keinen Sinn, die Instanz dieses Moduls mehrmals zu erzeugen.
#  Beispiel:

define autocreate autocreate
setuuid autocreate 5c4c0781-f33f-bf2f-882c-4f57c885a70984e7
attr autocreate device_room %TYPE
attr autocreate disable 0
attr autocreate filelog /media/hdd/fhem/log04/autocreate/%NAME-%Y-%m-%W.log
attr autocreate ignoreTypes (PCR800|THGR810.*|THWR800_3|UVN800|WGR800)
attr autocreate room _System
attr autocreate weblink 1
attr autocreate weblink_room Plots

# -----------------------------------------------------------------------------------------------

define eventTypes eventTypes /media/hdd/fhem/log04/eventTypes.txt
setuuid eventTypes 5c4c0781-f33f-e883-6445-fe9c10c7b41d5d17
attr eventTypes room _System

# Disable this to avoid looking for new USB devices on startup
# define initialUsbCheck notify global:INITIALIZED usb create
# attr initialUsbCheck disable 1
# attr initialUsbCheck room _System

# -----------------------------------------------------------------------------------------------
# -----------------------------------------------------------------------------------------------

define DOIFtools DOIFtools associated DOIF: AB_BT_BZST AB_BT_BZ_SSST AB_MB_PM_HZGST AB_PB_SBLST AB_P_BLLEDST AB_P_NRST AB_WST_RM_HeatingST AB_WST_UVST
setuuid DOIFtools 620b90f8-f33f-5ae7-08a3-c8e830f96d45d262
attr DOIFtools room _System

# -----------------------------------------------------------------------------------------------
# -----------------------------------------------------------------------------------------------

# Vordefinierte Schnittstellen
include /media/hdd/fhem/mycfg/schnittstellen_rasp04.cfg
include /media/hdd/fhem/mycfg/FHEM2FHEM/f2f_rasp04.cfg
# include /media/hdd/fhem/mycfg/Geigerzaehler/geigerzaehler_rasp04.cfg
include /media/hdd/fhem/mycfg/GPIO/GPIO_rasp04.cfg

# -----------------------------------------------------------------------------------------------
# -----------------------------------------------------------------------------------------------

# Vordefinierte Anlagenteile
include /media/hdd/fhem/mycfg/AD_Controller/I2C_MCP3424_rasp04.cfg
include /media/hdd/fhem/mycfg/AD_Controller/I2C_MCP23017_rasp04.cfg
# include /media/hdd/fhem/mycfg/ph_lw_do/phtlw_rasp04.cfg               CCS 20170529: Wird in einem anderen Raspi ausgeführt
# include /media/hdd/fhem/mycfg/wetter/sds011_rasp04.cfg                CCS 20210723: Wird in einem anderen Raspi ausgeführt
include /media/hdd/fhem/mycfg/USV/usv_rasp04.cfg
include /media/hdd/fhem/mycfg/wetter/wetterstation_rasp04.cfg

# -----------------------------------------------------------------------------------------------
# -----------------------------------------------------------------------------------------------

# Vordefinierte Programme
include /media/hdd/fhem/myprogram/aussenbeleuchtungen_rasp04.pm
include /media/hdd/fhem/myprogram/biotop_rasp04.pm
include /media/hdd/fhem/myprogram/heizung_rasp04.pm
include /media/hdd/fhem/myprogram/phtlw_rasp04.pm
include /media/hdd/fhem/myprogram/pool_rasp04.pm
include /media/hdd/fhem/myprogram/techalarm_rasp04.pm
include /media/hdd/fhem/myprogram/wetterstation_rasp04.pm

# -----------------------------------------------------------------------------------------------
# -----------------------------------------------------------------------------------------------

# RESET für Programmstart
include /media/hdd/fhem/myprogram/reset_rasp04.pm

# -----------------------------------------------------------------------------------------------
# -----------------------------------------------------------------------------------------------

# Vordefinierte Zeitpläne
include /media/hdd/fhem/zeitplaene/zeitplaene_rasp04.pm

# -----------------------------------------------------------------------------------------------
# -----------------------------------------------------------------------------------------------

# Vordefinierte Statistiken

# -----------------------------------------------------------------------------------------------
# -----------------------------------------------------------------------------------------------

# Vordefinierte Floorpläne

# -----------------------------------------------------------------------------------------------
# -----------------------------------------------------------------------------------------------