[gelöst] Zugriff von IPV6 auf FHEM Web

Hotbird · 18 Januar 2018, 18:32:22

Hallo,

ich hab schon seit Tagen hier rumgewälzt und komme nicht wirklich zu einem Erfolg... Hier mal die Grundconfig
- Unitymedia Anschluss mit DS-Lite
- Frtizbox 6490 Cable
- Raspberry Pi mit FHEM und Alexa SmartHome Skill
- feste-ip.net Account

Alexa SmartHome Skill läuft über universellen Portmapper auf Port 3000 prima! Bei feste IP.net wird auf angezeigt das der Port 3000 erreichbar ist. In meinem jugendlichen Leichtsinn habe ich mir überlegt, wenn das mit Alexa so gut läuft, warum dann nicht auch mit FHEM. Also habe ich den Port 8083 in der Fritzbox genauso eingestellt und auch auf feste-ip.net. Dieser Port ist komischerweise dann über feste-ip nicht erreichbar..

Die letzte Idee die mir jetzt kam war das csrf Token unter WEB auf "none" zu stellen... Trotzdem ist der Port 8083 bei feste ip nicht erreichbar und ich komme mit meinem Handy (IPV6 über T-Mobile) auch nicht über die feste-ip URL auf die FHEM Seite...

Als letzte Instanz fällt mir noch OpenVPN ein, aber mit IPV6 gibts da auch nicht wirklich ne Anleitung für Anfänger... Wäre halt schön, wenn ich auf mein Heimnetz zugreifen könnte von unterwegs vom Iphone aus, aber die FHEM Site würde mir schon mal reichen...

Hat jemand einen Tip, wo ich ansetzen könnte? Was macht der "Service" von Alexa_FHEM (Port 3000) anderes als die eigentliche Startseite (8083)?

MadMax-FHEM · 18 Januar 2018, 18:46:49

Schon mal ins fhem Log geschaut?

Hast du User/Passwort, Stichwort "allowed" Device eingerichtet?

Besser dann auch noch https...

Wenn nicht, ist fhem außerhalb des eigenen/lokalen Netzes nicht erreichbar...

csrfToken auf none setzen ist, naja wie sag ich's: eine dumme Idee und völlig unnötig...

Kurz, da mobil...

Gruß, Joachim

Hotbird · 18 Januar 2018, 19:01:21

absichern wollte ich es, wenn es generell läuft.. Aber das tut es ja im offenen Modus schon nicht.. User und Passwort habe ich eingestellt, denke aber mal, wenn bei feste-ip schon der Port dann nicht erreichbar ist, wirds nach Absicherung noch schwerer [emoji51]
(https://uploads.tapatalk-cdn.com/20180118/61e64cfa35c8f3ff7787cb54cd8e59cc.jpg)

MadMax-FHEM · 18 Januar 2018, 19:48:28

Also normalerweise würde ich sagen, dass wenn alexa-fhem erreichbar ist und funktioniert und du die Portfreigabe etc. für fhem genauso gemacht hast, dann sollte das da auch gehen.

ABER: ab V5.8 ist der Zugriff von außen durch fhem geblockt, wenn eben offen also NICHT abgesichert ist!

Das meinte ich...

Gruß, Joachim

Hotbird · 18 Januar 2018, 19:57:50

aber neben dem csrf Token ist da doch nix was sogar nen ping blockt, oder?

Gesendet von iPhone mit Tapatalk Pro

MadMax-FHEM · 18 Januar 2018, 20:06:38

Ping geht ja nicht auf einen freigegebenen Port und (daher) schon gar nicht bis zu irgendeinem Rechner in deinem privaten Netz, sondern max. bis zu deinen Router, dann kommt es drauf an, ob dieser auf ping aus dem I-Net antwortet oder nicht...

Nochmal: wenn die Portfreigabe/Weiterleitung etc. wie für alexa-fhem eingerichtet wurde und das funktioniert gibt es eigentlich keinen Grund warum das dann für fhem nicht auch gehen soll: außer eben, dass fhem gesperrt ist solange keine Absicherung eingerichtet ist...

Also musst du die Absicherung auf jeden Fall einrichten!

Ansonsten kannst du nur prüfen, was an der Einrichtung bzgl. Portfreigabe/weiterleitung gegenüber alexa-fhem anders ist, vors.: das funktioniert tatsächlich...

Gruß, Joachim

Hotbird · 18 Januar 2018, 20:22:40

Zitat" die ab morgen verfügbare fhem version 5.8 aktiviert automatisch die absicherung per csrfToken."

oben habe ich geschrieben, dass ich das csrf Token von WEB zum testen auf ,,none" gesetzt habe.. Trotzdem wird wie auf dem Bild angezeigt das der Port gesperrt ist.. Was denn noch für eine Absicherung?

Gesendet von iPhone mit Tapatalk Pro

MadMax-FHEM · 18 Januar 2018, 20:28:14

So, einmal noch: ich meinte NICHT csrfToken, den kannst (solltest!!!!) du lassen, weil bei Browserzugriff ist das KEIN Problem (egal wo her)!

Ich sprach von Absicherung mit User/Passwort, Stichwort: allowed Device!

WEIL ab V5.8 blockt fhem alle Zugriffe, die NICHT aus dem LOKALEN Netz (also: Internet etc.) kommen!

Authentifizierung und Authorisierung (User/Passwort) ist GANZ WAS ANDERES ALS csrfToken: cross site scripting...

Beides in der commadref und im Wiki nachzulesen.

Viel Erfolg noch, da du ja eh alles weißt...
...und sonst alles ignorierst...

Gruß, Joachim

MadMax-FHEM · 18 Januar 2018, 20:36:41

Zitat von: Hotbird am 18 Januar 2018, 19:01:21
absichern wollte ich es, wenn es generell läuft.. Aber das tut es ja im offenen Modus schon nicht.. User und Passwort habe ich eingestellt, denke aber mal, wenn bei feste-ip schon der Port dann nicht erreichbar ist, wirds nach Absicherung noch schwerer [emoji51]
(https://uploads.tapatalk-cdn.com/20180118/61e64cfa35c8f3ff7787cb54cd8e59cc.jpg)

Eine Anmerkung (auch noch mal/letztes Mal): bist du sicher, dass alles gleich eingerichtet wurde (bis auf den Port natürlich)...

Und dann (doch) noch mal: ohne Absicherung ist fhem über das Inernet (bzw. nicht lokales Netz) gesperrt! Jeder Test ohne diese Absicherung kann nicht funktionieren...

EDIT: https://forum.fhem.de/index.php/topic,72717.msg643211.html#msg643211

Gruß, Joachim

Hotbird · 18 Januar 2018, 20:47:14

Sorry, falls mein Text so rüberkommt als wenn ich alles besser wüsste.. Wenn dem so wäre, würde ich ja nicht fragen.
Als 5.8 rauskam hatte ich noch nen normalen DSL Anschluss und hab alles über VPN gemacht, darum hat mich das mit dem Token nicht interessiert.. Jetzt, bei Unitymedia ist alles anders, da IPV6 und VPN geht nicht so einfach über die Fritzbox.
Das, was ich nicht verstehe, ist ja das der Port 3000 für Alexa funktioniert und der 8083 nicht.. Kommt ja beides aus FHEM. Sprich irgendetwas mache ich bei 3000 richtig und bei 8083 falsch. Portweiterleitung in der Fritzbox schließe ich einfach mal aus, da es bei 3000 und 8083 genauso ausschaut. Bezüglich der Absicherung ( HTTPS ) habe ich jetzt nen Thread aus 2014 gefunden.. Das werde ich mal antesten.. Ich glaub, ich mach mir aber vorher lieber noch nen Backup, da es ein produktives System ist woran ich teste.. Nicht das Alexa dann auch nicht mehr funktioniert.
Vielen Dank auf jeden Fall schon mal für den Ansatz mit der Absicherung. Ich dachte damit ist nur das Token gemeint

MadMax-FHEM · 18 Januar 2018, 20:56:41

Ich würde keinen so alten Thread/Anleitung nehmen!

Mittlerweile wird einiges/vieles/alles was früher über FHEMWEB gemacht wurde im allowed Device gemacht...

Daher ja die Stichworte und der Link...

Du kannst ja auch einfach mal die Portweiterleitung von alexa-fhem "kurzzeitig/testweise" mal "umbiegen" zu deinem fhem:

also interne/private IP statt auf den alexa-fhem PI (falls das überhaupt woanders läuft) und den internen Port 3000 eben auf 8083

(dann aber für Zugriff auf fhem natürlich: http://öffentlicheIP:3000/fhem bzw. https://öffentlicheIP:3000/fhem)

Aber dann doch noch mal: ohne allowed Device wird auch der Test nicht gehen!

Idee: die FB lässt eine Weiterleitung auf die selbe IP aber andere Ports (3000 / 8083) zu?
(also sollten alexa-fhem und fhem auf dem selben Rechner laufen)

Bzw. ja lässt sie, habe ich ja auch aber auch bei mir war die FB etwas zickig...

Gruß, Joachim

JensS · 18 Januar 2018, 21:31:47

Wenn deine Fritzbox direkt am Netz hängt, sollte doch einem direkten IPv6-Zugriff nichts im Wege stehen. Einfach die IPv6-Adresse in eckigen Klammern im Browser eingeben.

http://[2001:4860:0:2001::68]:8083/fhem

Gruß Jens

Hotbird · 18 Januar 2018, 21:51:21

hab jetzt mal diese Anleitung befolgt...
https://waschto.eu/ssl/
attr allowedWEB basicAut undhiermeinnutzernameundpasswortverschlüsselt
attr allowedWEB validFor WEB,WEBphone,WEBtablet

Ergebnis war, er fragte mich im Heimnetz nach dem neuen User und Passwort ( was ich vorher hatte wurde überschrieben )

von extern ging es immer noch nicht.. Dann hab ich das BasicAuth gelöscht und komm jetzt gar nicht mehr drauf

Gott sei Dank hab ich nen Backup vorher gemacht

Mit IP Adressen kann ich bei den allowed devices ja nicht viel machen, denke ja mal das sich die IP Adresse meines Handys im LTE Net ändert.

Wenn ich das mit den eckigen Klammern mache kommt auf dem Iphone "Diese Verbindung ist nicht privat", wenn ich dann Details und öffne diese Website mache kommt wieder die selbe Meldung..

Ich glaub, ich versuchs am Wochenende mal mit dem openVPN.. Vielleicht hab ich da mehr glück....

Hotbird · 18 Januar 2018, 22:01:35

das komische daran ist eben, dass Port 3000 funktioniert und 8083 nicht.. In der Fritzbox sieht es eigentlich auch gut aus (meiner Meinung nach)

(https://uploads.tapatalk-cdn.com/20180118/02b924bed8552435e906e2a2ccc36ff3.jpg)
(https://uploads.tapatalk-cdn.com/20180118/3f6f274bb9b3b9e7682e83ced129c2f3.jpg)

Wenn beide Ports nicht gehen würden, dann würde ich es ja verstehen...

rabehd · 18 Januar 2018, 22:30:19

ich glaube mich zu erinnern

, dass es bei mir mit einigen Portfreigaben über Feste-Ip ähnlich war.
In der Fritzbox sah es ok aus und trotzdem war der Port nicht erreichbar.
Mehrmaliges Löschen und Setzen in der Fritzbox hatten geholfen.

Du hast auch wirklich bei IPv6 die Freigabe eingetragen?