Zugriff auf Weboberfläche vom Internet

[Vize]

Hallo zusammen,

ich weiß nicht, ob die Frage hier richtig eingeordnet ist...ansonsten bitte entsprechend verschieben...

Also, ich hab mich bei einem DDNS-Service angemeldet (no-ip), um auf die Weboberfläche von unterwegs zuzugreifen.
Für die "Webports" 8083, 8084 und 8085 habe ich dann per basicAuth Anmeldedaten in der fhem.cfg hinterlegt.

Wenn ich nun von "außerhalb" auf FHEM zugreifen will, fragt er auch am Angang brav nach den Anmeldedaten. Rufe ich aber z.B. dann eine andere Internetseite auf oder schließe den browser und rufe die FHEM-Seite danach nochmals auf, wird nicht mehr nach den Anmeldedaten gefragt, und ich habe sofort direkten Zugriff.

Ist das so gewollt? Wenn nein, wie kann ich das "hinbiegen", dass man sich bei jeglichen Aufruf der Seite anmelden muss?

Danke schonmal für jegliche Hilfe!

Gruß
Andreas

[gravidi]

Hallo Vize,

ja, das ist normal. Beim BasicAuth werden deine Credentials im Cache gespeichert. Wenn du deinen Cache vom Browser löscht, wirst du sehen das wieder Anmeldedaten abgefragt werden.

Zu dem Thema, Zugriff aus dem Internet, lese bitte diesen Thread.

http://forum.fhem.de/index.php/topic,40319.msg326732.html#msg326732

Grüße

Grav

[Vize]

Hi Grav,

sowas in der Art habe ich auch schon vermutet...wenn ich nach längerer Zeit die Seite mal wieder aufrufe, werden die Anmeldedaten auch wieder verlangt.

Deinen genannten thread werde ich mal verfolgen.

Kannst du mir denn auch so ein paar - für einen Laien verständliche - Tipps zur (weiteren) Absicherung geben?
FHEM läuft bei mir auf einem raspberry 2 mit Raspbian.

Gruß
Andreas

[herrmannj]

Hi,

ein VPN Zugang sollte erste Wahl sein.

vg
joerg

[Vize]

Hallo herrmannj,

OK, aber da muss ich mich auch erst noch einlesen... 

Gruß
Andreas

[Elektrolurch]

Leider ist aus Deiner Signatur nicht ersichtlich, was Du für einen Router hast.
Mit einer Fritzbox bekommst Du sowohl den IP-Service, als auch das VPN "geschenkt" und ich habe es sogar geschafft, auf einem alten Nokia noch einen VPN-Klienten zu installieren.
Für IPhone oder Android ist es ganz einfach....

Den offenen Port 8083 und auch noch ohne https ins Internet zu stellen, ist schon sehr mutig. Ich kann davon nur abraten!
VPN ist also wirklich erste Wahl.

Elektrolurch

[Vize]

Hallo zusammen,

@ElektroLurch
- Router ist der Speedport LTE 2 (Huawei)...der bietet wohl keinen VPN-Server...
- bisher habe ich nur den Port 8083 noch nicht nach aussen geöffnet, nur 8084 und 8085. Diese dann aber schon mit https

Ich habe hier auch noch eine Synology Diskstation, auf der ich einen VPN-Server einrichten könnte. Wäre es damit möglich, auch auf den Raspi von außen zuzugreifen, der im gleichen Netzwerk hängt, oder müsste ich den VPN-Server direkt auf dem Raspi einrichten?

Gruß
Andreas

[Elektrolurch]

Hallo Andreas,

wenn das VPN innerhalb Deines Netzwerks terminiert, spielt es m.M.n. keine Rolle, ob das VPN-Gateway auf dem RPI oder dem NAS läuft. Auf dem VPN-Gateway muss lediglich der gültige Adressbereich für Ziele in Deinem Netzwerk hinterlegt werden.
Was eher dann ein wenig trickreich ist, dem Router Speedport LTE 2 (Huawei)...der  beizubringen, dass er ein NAT für den IPSec-Datenverkehr macht. Die Frage ist, ob der Router überhaupt eine Portfreischaltung für IPSec unterstützt. Die Standard-Consumer Geräte können so was meist nicht.

Gruß

'Elektrolurch

[justme1968]

die syno kann openvpn. hier ist das port forwarding kein problem. das vpn ist nicht wirklich in deinem netz sondern ein eigenes sub net aber die routing information wird automatisch vom openvpn server zum client gepushed wen die verbindung aufgebaut wird. je nach endgerät musst du nur schauen wie dort openvpn integriert ist.

gruss
  andre

[Vize]

Moin Elektrolurch,

puh, ganz schön viel "Fachchinesisch"...

Da werd ich mich wohl erstmal grundlegend aufschlauen müssen...

Über google hab ich gerade noch nix Befriedigendes bzgl. IPSec und speedport LTE 2 gefunden.

Könntest du mir das

Auf dem VPN-Gateway muss lediglich der gültige Adressbereich für Ziele in Deinem Netzwerk hinterlegt werden.

wohl noch ein bissl genauer erklären, oder sprengt das hier den Rahmen?

Gruß
Andreas

[Vize]

die syno kann openvpn. hier ist das port forwarding kein problem. das von ist nicht wirklich in deinem netz sondern ein eigenes sub net aber die routing information wird automatisch vom openvpn server zum client gepushed wen die verbindung aufgebaut wird. je nach endgerät musst du nur schauen wie dort openvpn integriert ist.

gruss
  andre

Moin Andre,

tja, und da hab ich wohl irgendwie ein Brett für das grundlegende Verständnis vor dem Kopp...

Ich hab das genau so per openvpn auf der Syno vor. Wenn ich mich nun von unterwegs per VPN verbinde, "lande" ich ja erstmal auf der Syno, oder? Wie erhalte ich denn dann Zugriff auf die anderen Rechner/Geräte im lokalen Netzwerk? Muss ich dort auf jedem Gerät einen openvpn-client einrichten, oder wie läuft das? Das raff ich ehrlich gesagt noch nicht...

Gruß
Andreas

PS

das von ist nicht wirklich in deinem netz

Verdammte Auto-Vervollständigung, was? 

[justme1968]

der openvpn client kommt auf dein mobil gerät.

du 'landest' nicht auf der syno. du baust über den openvpn client eine verbindung zur syno auf. wenn die verbindung steht kannst du auf jedes gerät in deinem heim netz direkt per ip vom mobil gerät zugreifen. bei passender konfiguration auch per hostnamen (was nicht geht sind dnssd .local adressen weil das nötige broadcast dazu nicht geroutet wird).

alles halb so wild. lies dich erst mal in ruhe ein. hier: https://de.wikipedia.org/wiki/OpenVPN wäre ein anfang.

gruss
  andre

[Vize]

Hi Andre,

OK, dann werd ich mich mal da ran wagen...

Danke nochmal für die zusätzlichen Erläuterungen. Das "Grundverständnis" ist nun schonmal vorhanden...

Gruß
Andreas

[Vize]

Guten Morgen,

so, habe das Ganze dann gestern Abend mal auf Syno Dikstation per OpenVPN umgesetzt...was soll ich sagen, war gar nicht so schwer und läuft einwandfrei... 
Getestet aber zunächst nur per Smartphone.

Danke nochmal an alle für die Unterstützung und die Erläuterungen!

Eine Frage hab ich aber noch:
Kann ich dann jetzt den https-Zugriff auf FHEM wieder rausnehmen, also das

Code Auswählen Erweitern

attr web HTTPS und das

Code Auswählen Erweitern

attr WEB basicAuth wieder aus der config entfernen? Der Zugriff ist ja nun über den VPN-Tunnel geschützt, oder?

Gruß
Andreas

[Amenophis86]

so, habe das Ganze dann gestern Abend mal auf Syno Dikstation per OpenVPN umgesetzt...was soll ich sagen, war gar nicht so schwer und läuft einwandfrei... 
Getestet aber zunächst nur per Smartphone.

Kannst du mal erklären, wie du das ganze gemacht hast? Habe auch ein Speedport, aber W724V und eine Synology NAS und zwar DS214se und würde gerne eine VPN Verbindung einrichten. Denke das könnte auch noch andere Personen interessieren