Zugriff DynDNS, SSL, Letsencrypt Anleitung für einen Anfänger

[Depechem]

Hi,
seit nun 2 Monaten versuche ich mein FHEM nach außen ordentlich zu verschlüsseln, aber nie klappt eine Anleitung richtig bzw. sieht man als nicht Informatiker nicht durch wie und was man nun am besten verschlüsseln soll.
Ich hoffe mir kann jemand etwas Licht ins dunkel bringen.

Meine Hardware:
Speedport Hybrid(LTE Verbindung) > Fritzbox7390(im Routermodus) > Rip3 mit fhem
DYNDNS Adresse(selfhost.eu) vorhanden und ohne Passwort über http ist der Port 8082 von außen erreichbar.

Ich möchte das ganze nun mit Passwort versehen und per https verschlüsseln.(VPN möchte ich nicht!)
-kann man das Passwort einfach in FHEM angeben

Code Auswählen Erweitern

attr WEB basicAuth YmVudXR6ZXJuYW1lOnBhc3N3b3J0 oder anders?

- So wie ich gelesen habe sollte man kein eigenes Zertifikat nehmen da es immer zu Fehlermedungen im Browser kommt. Und im fhem Log auch.
- selfhost.eu stellt keine Zertifikate aus(nur 5 pro Woche daher wie ein 6er im Lotto)
- https://haus-automatisierung.com/hardware/fhem/2016/12/30/fhem-tutorial-reihe-part-21-zugriff-auf-fhem-ueber-das-internet.html habe ich getestet aber zum einen weis ich nicht ob dies mit selfhost funktioniert und zum anderen bringt er mir bei der Installation einen Fehler daher komme ich dort auch nicht weiter.

Code Auswählen Erweitern

pi@raspberrypi3:/opt/letsencrypt $ ./letsencrypt-auto certonly --rsa-key-size 4096 -d dyndns
Requesting root privileges to run certbot...
  /home/pi/.local/share/letsencrypt/bin/letsencrypt certonly --rsa-key-size 4096 -d dyndns
Saving debug log to /var/log/letsencrypt/letsencrypt.log

How would you like to authenticate with the ACME CA?
-------------------------------------------------------------------------------
1: Apache Web Server plugin - Beta (apache)
2: Place files in webroot directory (webroot)
3: Spin up a temporary webserver (standalone)
-------------------------------------------------------------------------------
Select the appropriate number [1-3] then [enter] (press 'c' to cancel): 3
Obtaining a new certificate
Performing the following challenges:
tls-sni-01 challenge for depechem742915lbg.selfhost.eu
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. depechem742915lbg.selfhost.eu (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for TLS-SNI-01 challenge. Requested 2ef670f99ef3b7c27631a081d4154eb4.fe821f4b8e1011f09656f71e73ae0e68.acme.invalid from 93.242.111.185:443. Received 1 certificate(s), first certificate had names "c4shhtcpdo5rcjiz.myfritz.net, fb-7390-router, fritz.box, fritz.nas, myfritz.box, www.fritz.box, www.fritz.nas, www.myfritz.box"

IMPORTANT NOTES:
- The following errors were reported by the server:

   Domain: dyndns
   Type:   unauthorized
   Detail: Incorrect validation certificate for TLS-SNI-01 challenge.
   Requested
   2ef670f99ef3b7c27631a081d4154eb4.fe821f4b8e1011f09656f71e73ae0e68.acme.invalid
   from 93.242.111.185:443. Received 1 certificate(s), first
   certificate had names "c4shhtcpdo5rcjiz.myfritz.net,
   fb-7390-router, fritz.box, fritz.nas, myfritz.box, www.fritz.box,
   www.fritz.nas, www.myfritz.box"

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A record(s) for that domain
   contain(s) the right IP address.


gibt es nicht irgendwo eine ordentlich Anleitung für einen Laien der sein fhem nach Außen etwas sicherer machen kann?

Ich Danke euch
Gruß Thomas

[KernSani]

Ich möchte das ganze nun mit Passwort versehen und per https verschlüsseln.(VPN möchte ich nicht!)

Warum nicht?

-kann man das Passwort einfach in FHEM angeben

Code Auswählen Erweitern

attr WEB basicAuth YmVudXR6ZXJuYW1lOnBhc3N3b3J0 oder anders?

Das musst du über das allowed device machen, nicht im FHEMWEB device

- So wie ich gelesen habe sollte man kein eigenes Zertifikat nehmen da es immer zu Fehlermedungen im Browser kommt. Und im fhem Log auch.

Eigenes Zertifikat ist überhaupt kein Problem - es gibt Sicherheitswarnungen im Browser

Ich würde empfehlen zunächst ein mal z.B. nach dieser Anleitung vorzugehen... Dann ist deine Installation wenigstens kein Scheunentor mehr

Grüße,

Oli

[betateilchen]

Ich möchte das ganze nun mit Passwort versehen und per https verschlüsseln.(VPN möchte ich nicht!)
-kann man das Passwort einfach in FHEM angeben

Code Auswählen Erweitern

attr WEB basicAuth YmVudXR6ZXJuYW1lOnBhc3N3b3J0 oder anders?

Du kannst das Ganze auch mit Einmalpasswörtern über den Google-Authenticator absichern, dann brauchst Du gar kein Passwort in FHEM hinterlegen.

[KernSani]

Du kannst das Ganze auch mit Einmalpasswörtern über den Google-Authenticator absichern, dann brauchst Du gar kein Passwort in FHEM hinterlegen.

Yep GAuthenticator ist ne coole Sache. Ich starte mein VPN nur auf Email-Anforderung mit gauth code im Subject

[Jamo]

. Ich starte mein VPN nur auf Email-Anforderung mit gauth code im Subject

Das habe ich nicht verstanden. VPN startet man doch auf dem Handy oder dem Remotes Rechner. Wie machst Du das per E-Mail?

[KernSani]

Das habe ich nicht verstanden. VPN startet man doch auf dem Handy oder dem Remotes Rechner. Wie machst Du das per E-Mail?

Is' jtzt ein bisschen off-topic... Ich starte den VPN-Server nur wenn ich wirklich Zugriff von extern brauche. Die meiste Zeit (teilweise wochenlang) ist mein System überhaupt nicht von aussen erreichbar.

[Fixel2012]

So weit ich weiß wird für letsencrypt eine Domain vorrausgesetzt, eine DynDns Adresse reicht laut meiner Info nicht aus.

[Icinger]

Doch, DynDNS hat kein Problem mit Let'sEncrypt.

lg, Stefan

[RaspiLED]

@KernSani: Kannst Du mal den entscheidenen Code Deiner VPN Server on Demand Lösung posten

Meine Lösung heute ist das normale VPN auf der FritzBox und Zugriff per vpnc auf dem Raspberry bzw. auf dem Handies einmal die Daten im Einstellungen VPN Bereich. Ist gut bei AVM beschrieben und im Endeffekt hat jedes Gerät einen Benutzer auf der FritzBox.
https://avm.de/service/vpn/uebersicht/
Gruß Arnd


Raspi2 mit FHEM, CUL, MySensor, HomeBridge, Presence, Bravia, ...

[KernSani]

@KernSani: Kannst Du mal den entscheidenen Code Deiner VPN Server on Demand Lösung posten

Mache ich gerne heute Abend... Ist aber ziemlich simpel, basiert auf openVPN ...

[betateilchen]

@KernSani: Kannst Du mal den entscheidenen Code Deiner VPN Server on Demand Lösung posten

Bin zwar nicht KernSani, aber ich mache das prinzipiell auch so.

• VPN ein Linux-Dienst, den man starten und stoppen kann.
• Meiner Linux (und FHEM) Installation kann ich per email Befehle schicken. (modul: mailcheck)
• Also schicke ich meinem Server eine email mit dem Betreff "starte VPN Dienst"
• Um zu prüfen, ob die ankommende email authorisiert ist, muss ein passendes Token aus dem google-Authenticator in der Mail enthalten sein.
• Wenn ich die VPN Verbindung nicht mehr brauche, gibt es wieder eine email, die den VPN Dienst abschaltet.^*

^*  Um ehrlich zu sein, löse ich das Abschalten über ein Script auf Betriebssystemebene, das die VPN Verbindung eine Minute später beendet. Das erlaubt mir, mich noch ordentlich vom Server abzumelden.

[Depechem]

Hi Danke für eure Infos,

Grundlegend würde ich das ja gern per VPN machen, nur habe ich auf dem iPhone 2 Apps (FHEM Widget & FHEM APP) dann müsste ich erst jedes mal in den Apple Einstellungen VPN aktivieren und dann erst auf die App zugreifen. Das möchte ich aber nicht. Insbesonders habe ich das "FHEM Widget" als Apple Widget eingerichtet um nur 1x nach links wischen zu müssen um meine aktuelle Temperatur und Hausstatus zu sehen.

Gruß Thomas

[RaspiLED]

Hi, ja das macht Sinn, dafür benutze ich Siri homebridge und homebridge-fhem auf RasPi Seite! Dann brauche ich nicht wischen, sondern frage "Sind die Lampen im Wohnzimmer an?"
Gruß Arnd


Raspi2 mit FHEM, CUL, MySensor, HomeBridge, Presence, Bravia, ...

[Depechem]

Hi, ja das macht Sinn, dafür benutze ich Siri homebridge und homebridge-fhem auf RasPi Seite! Dann brauche ich nicht wischen, sondern frage "Sind die Lampen im Wohnzimmer an?"
Gruß Arnd


Raspi2 mit FHEM, CUL, MySensor, HomeBridge, Presence, Bravia, ...

Aber du musst vorher händisch den VPN aktivieren?!

[RaspiLED]

Nein,
zu Hause gibt es ein iPad oder AppleTV als Brücke zur AppleCloud. Unterwegs redet das iPhone mit der Cloud oder zu Hause per WLAN direkt mit fhem.
Kurzum: Also für Homekit/Siri braucht man kein VPN
Gruß Arnd


Raspi2 mit FHEM, CUL, MySensor, HomeBridge, Presence, Bravia, ...