falls jemandnicht mehr auf sein FHEM kommt....

[the ratman]

Code Auswählen Erweitern

Und es tut mir Leid: ich habe vergessen die Aenderung in CHANGED einzutragen, das habe ich jetzt nachgeholtHA! dachte schon, ich bin wieder zu blöd zum lesen, konnt mich nämlich nicht erinnern, bei der updateprüfung was gelesen zu haben.

und frag mich ned ... reverse proxy oder sowas - könnts nginx sein oder so? stammt nicht von mir, rennt auf meiner nas und verteilt dann nach innen weiter. mein wissen reicht da grad um zu wissen, dass er rennt *g*.

[rudolfkoenig]

Kannst du bitte die Zeile mit "Connection refused" aus dem FHEM-Log irgendwo anhaengen?

[the ratman]

meinste mich?

ich komm ja nicht auf mein fhem von extern *g*

aber je mehr ich drüber nachdenk, muß da noch was anderes im argen sein.
eig. dürfte fhem beim nem reverse proxy gar nix mitbekommen, oder? *argl* mein halbwissen wieder ...

[Benni]

eig. dürfte fhem beim nem reverse proxy gar nix mitbekommen, oder? *argl* mein halbwissen wieder ...

Genau!

Denn dein Reverse-Proxy, der die Verbindungen von der Außenwelt (mit der externen IP-Adresse) entgegennimmt kommuniziert mit deinem FHEM-Server dann wieder mit einer internen IP-Adresse aus deinem eigenen privaten Netzwerk und die wird von FHEM und der neuen Absicherung eigentlich nicht geblockt.

[Wuppi68]

meinste mich?

ich komm ja nicht auf mein fhem von extern *g*

aber je mehr ich drüber nachdenk, muß da noch was anderes im argen sein.
eig. dürfte fhem beim nem reverse proxy gar nix mitbekommen, oder? *argl* mein halbwissen wieder ...

ich komme ja nicht von extern auf mein FHEM ...


hmmm, vielleicht solltest Du Dir auch nen VPN Tunnel bzw. SSH einrichten ... dann wärst Du auch von extern Chef in Deinen System


einen Plan B zu haben ist bestimmt auch nicht falsch - aber mach Dir keine Sorgen, Du bist bestimmt nicht der einzige, bekommst nur die Prügel weil Du der erste warst der sich gemeldet hat

Viel Erfolg

Wuppi, der jetzt erst einmal einen Udate macht

[Benni]

der sich gemeldet hat

Das war knapp! ;
Wollte schon nachfragen 

[Wuppi68]

Das war knapp! ;
Wollte schon nachfragen 

war die Autokorrektur ....

[the ratman]

@rudolfkoenig

jo, hab ich wieder sinnlos geschrieen ...
es liegt mal definitiv nicht an der neuen sicherheit von fhem.

aber gut, jetzt weiß ich wenigstens eines: ein reverse-proxy bringt auch nur was, wenn man ihn konfiguriert. wenn ich das richtig seh, is es einfach nur port-forwarding (wenn ich das richtig versteh), was da ab geht.
diese erkenntnis werde ich meinem ab nun ex-besten-freund (der das verbrochen hat) auch nochmal schlagkräftig vermitteln.
ich glaub, ich muß mich doch noch mit vpn auseinandersetzen *seufz*

somit: sorry für den vielen lärm um nix an alle!
man muß es positiv sehen: eine sicherheitslücke wurde gefunden ...

nachtrag:
bis ich nun openvpn intus hab ... wo geb ich eigentlich das pwd für fhem an, das dann abgefragt wird?
und könnte man das nicht so regeln, dass die abfrage nur bei externen anfragen kommt?

[Benni]

is es einfach nur port-forwarding (wenn ich das richtig versteh)

Nicht ganz und nicht nur!

Als grobübersicht: https://de.wikipedia.org/wiki/Reverse_Proxy

bis ich nun openvpn intus hab ... wo geb ich eigentlich das pwd für fhem an, das dann abgefragt wird?

Es wird kein Passwort abgefragt, da du ja auch über VPN wieder eine private Adresse aus deinem lokalen Netzwerk bekommst, sobald du über den Tunnel verbunden ist. Für FHEM kommt dann die Abfrage quasi wieder von intern.

und könnte man das nicht so regeln, dass die abfrage nur bei externen anfragen kommt?

Genau das ist Sinn und Zweck und Funktionsweise des neuen Features!

[the ratman]

thx für die infos!

revers zeugs is für mich gestorben, vpn rennt schon - muß das nur mal testen, wenn ich wieder "extern" bin *g* ausser natürlich, jemand kennt ne möglichkeit das ding lokal zu testen - so, dass auch ich sicher bin, also dau-like.

pwd hat sich somit eh erübrigt. aber ich bin mittlerweile draufgekommen, dass damit basicauth gmeint is. und das würde auch funzen, so ichs wollte, nervt mich aber zu sehr, solangs auch lokal kommt.

die pwd-abfrage kommt aber auch lokal - habs ja eben probiert
basicauth ist mit dem base64-dingens belegt = user/pwd abfrage, sogar wenn ich bei dem neuen zeug .* als erlaubte ip hab.

aja - vpn
ist für mich auch nur bedingt möglich, weil meine handys z.b. eine "firewall" auf vpn-basis am laufen haben. das wird also auch noch lustig.

[rudolfkoenig]

jemand kennt ne möglichkeit das ding lokal zu testen - so, dass auch ich sicher bin, also dau-like.

Mit Telefon, und ausgeschalteten WLAN.

Nochmal zum Mitschreiben: die Aenderung weist eine Verbindung ab, falls:
- die Gegenstelle aus dem "wilden" Internet kommt _UND_
- kein allowfrom definiert ist _UND_
- kein allowed Instanz fuer diesen Port definiert ist.

Ich bin der Ansicht, dass ein richtig konfiguriertes VPN ein Netz verwenden sollte, was in diesem Sinne nicht zum "wilden" Internet zaehlt.

[the ratman]

Mit Telefon, und ausgeschalteten WLAN.

auf die idee hätte sogar ich selber kommen können *g* danke

sag mal: nur so als denkanstoß für die dau-freundlichkeit ...
wäre bei allow nicht ein dropdown ne nette idee? z.b.:
1) nur intern zulassen
2) intern und extern <-- da könnte man dann ja noch extra ein daufreundliches popup mit nem übergroßen smilie-hundehaufen aufpoppen lassen und drunter was schreiben wie "ich weiß wo dein haus wohnt alddder!".
3) händische freigabe von ip's durch komma getrennt
4) was immer ein nerd braucht, um glücklich zu sein
weil ein .* kriegt man ja als dau noch hin, aber wenns mit solch kleinkram wie 192.168/16, 172.16/12, 10/8 los geht, wirds wieder ungemütlich in den dau-gehirnzellen.
weil eines garantiere ich dir: jeder dau wird .* reintippen, sobald ers wo gefunden hat im forum - sicher wird er sich nicht mit sachen wie 10/8 abgeben, ausser rechnerisch 1,25 ermitteltn. aber ein "nur intern" ist schnell angeklickt und ihr habt auch den faulsten hund somit auf dauer abgesichert.

[Muschelpuster]

weil ein .* kriegt man ja als dau noch hin, aber wenns mit solch kleinkram wie 192.168/16, 172.16/12, 10/8 los geht, wirds wieder ungemütlich in den dau-gehirnzellen.
weil eines garantiere ich dir: jeder dau wird .* reintippen, sobald ers wo gefunden hat im forum - sicher wird er sich nicht mit sachen wie 10/8 abgeben, ausser rechnerisch 1,25 ermitteltn. aber ein "nur intern" ist schnell angeklickt und ihr habt auch den faulsten hund somit auf dauer abgesichert.

Nun, wenn man aus dem Internet erreichbar sein will hilft eigentlich auch nur .*, denn man weiß ja nie mit welcher IP man 'draußen' unterwegs ist. Das lässt sich über Geo-IP-Tabellen lösen, was aber sicher nicht des DAU's Job ist. Ergo ist .* mit aktiver Authenthifizierung völlig korrekt.
Die angegebenen Netze sind ja frei, weil es die privaten Netze sind, also gibt DAU sie auch nicht ein, nur SuperDAU.
Für das Subnetting gibt es zig Helferlein, wie z.B. http://www.calculator.net/ip-subnet-calculator.html
So findet man auch schnell die Grenzen von 172.16.0.0/12.

Es gibt übrigens noch weitere Netze, die man frei machen könnte, z.B. 192.168.0.0/24 und 192.0.2.0/24 sowie 198.51.100.0/24 und 203.0.113.0/24 die für Test- & Dokumentationszwecke reserviert sind. Ich habe die Netze aber in FHEM-Dokumentationen noch nicht gesehen, von daher ist die Verwendung wohl eher unwahrscheinlich.

ergänzende Grüße
Niels

[rudolfkoenig]

sag mal: nur so als denkanstoß für die dau-freundlichkeit ...
wäre bei allow nicht ein dropdown ne nette idee? z.b.:

DAUs sollten nicht an allowfrom rumtuefteln, sondern ein Passwort setzen.

Und wenn man ein Allowed definiert, dann wird in der Detailansicht das Passwort setzen oder einzelnen WEB-Instanzen zuzuordnen bereits erleichtert. Ich suche nur nach einem Weg, ein allowed den Anfaengern so unterzujubeln, dass ich bei Experten (wie betateilchen) dabei nicht in Ungnade falle.

[dev0]

Zumindest vor einiger Zeit war es zB. beim Tor-Proxy so, dass eine Warnung beim jedem Start ins (sys)log geschrieben wurde, wenn eine öffentliche IP Adresse an das benutzte Interface gebunden war. Das könnte auch eine Möglichkeit sein, um Anwender auf eine "gefährliche" Konfiguration aufmerksam zu machen... Die Frag ist, ob ein Logeintrag nicht ausreichen würde?