Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Hier bitte alles rein was Off-topic ist.

Moderatoren: Cyrelian, seppy

martin_aus_Ddorf
Beiträge: 56
Registriert: 2. Apr 2018 15:45

Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von martin_aus_Ddorf »

Hallo zusammen,

damit ich auf die komplette Oberfläche von OH3 von außen zugreifen kann, habe ich in der FritzBox eine Portfreigabe auf 8080 eingetragen und eine Weiterleitung auf meinen Pi per Portmapper bei feste-ip.net eingetragen. Ich habe dort einen Universellen Portmapper (Universelle - IPv6 <-> IPv4 Portmapper). Damit kann ich z.B. auch auf meine Synology zugreifen.

Muss ich beim PI auch noch irgendwas eintragen oder umstellen? Es läuft dort nur OpenHab 3. Lokal kein Thema, doch von Außen eben noch nicht.

Übersehe ich etwas? Oder ist das in diesem Forum eher eine verbotene Frage?

Danke euch!

Martin

martin_aus_Ddorf
Beiträge: 56
Registriert: 2. Apr 2018 15:45

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von martin_aus_Ddorf »

Hi,

nun habe ich im openhabian config Menü den Punkt "install WireGuard" gefunden. Dort heißt es unter anderem:
You also need to forward an UDP port from the router to your system to allow for establishing the VPN (default 51900/UDP).
Habe ich das richtig verstanden, dass ich also eine Portfreigabe in der Fritzbox für den PI erstellen muss?
Als nächstes habe ich die Installation von WireGuard auf dem PI gestartet.
Dort wurde ich als erstes nach dem Interface für das VPN gefragt und es bei eth0 belassen.
Bei dem nächsten Punkt mit der Überschrift "VPN network" kommt die Frage
"What's the IP network to be assigned to the VPN? Specify the first 3 octets."
Dort stand 10.253.4 und hat bei mir nur große Fragezeichen über dem Kopf erzeugt. Eine Internetrecherche hat viele Ergebnisse, aber keine Erkenntnis gebracht.

Was ist mit der Frage gemeint? Ist das die IP Adresse des Routers wie dieser von außen zu erreichen ist? Oder ist das eine neue IP Adresse, die irgendwie intern genutzt wird ich daher frei vergeben darf?

Oder ist dies das falsche Forum, weil OpenHab nur mittelbar betroffen ist?
Ich mache den Spaß, weil ich derzeit von außen eine Rule zur Gartenbewässerung über das OH Webfrontend (de-)aktivieren können möchte, weil das mit myopenhab nicht klappt.

Hättet ihr bitte einen Tipp für mich?
Gerne auch ein Link, wo ich mal lesen kann. Wenn ich suche, dann sind die Fundstellen immer Seiten, die mein Problem am Rande streifen und ich die Lösung nicht erkennen kann.

danke euch!

Grüße
Martin

Benutzeravatar
udo1toni
Beiträge: 13859
Registriert: 11. Apr 2018 18:05
Answers: 222
Wohnort: Darmstadt

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von udo1toni »

Also, Dein erster Ansatz, einfach Port 8080 per Portforwarding freizugeben, ist eine ganz schlechte Idee.

Warum? Weil jeder, der im Internet unterwegs ist, damit vollen Zugriff auf Dein openHAB System hat. Unter openHAB2 gab es nicht mal die Möglichkeit einer Anmeldung. Immerhin gibt es nun wenigstens User/Passwortabfrage.
Aber auch in openHAB3 gibt es erhebliche Probleme, und das ist zuallererst mal, dass der Rechner, auf dem openHAB läuft, nicht gegen Angriffe von außen gehärtet ist.
Ein Angreifer scannt alle erreichbaren Systeme auf allen Ports, und dazu werden riesige Botfarmen verwendet, die notfalls Millionen IPs pro Sekunde prüfen. Ich habe Tage, da schlagen einige tausend Angriffe in meiner Firewall ein, und das ist nicht ungewöhnlich. Findet ein Angreifer ein offenes System, wird dies sofort einer intensiven Prüfung unterzogen. Welche Sicherheitslücken hat das verwendete Jetty?

Man könnte einen nginx als Reverse Proxy vorschalten (Anleitungen dazu gibt es auch in der offiziellen Doku), aber am grundsätzlichen Problem ändert sich dadurch erst mal nichts.
Selbst Wireguard ist so eine Sache, obwohl das zumindest ein bisschen Schutz bietet - Wireguard bietet einen VPN Zugang, so wie z.B. IPsec, oder OpenVPN, mit dem Unterschied, dass Wireguard extrem einfach zu konfigurieren ist.

Als Besitzer einer FRITZ!Box kannst Du aber bequem das eingebaute VPN nutzen und hast ähnlich guten Komfort, denn die FRITZ!Box macht VPN auch zum Kinderspiel. Wireguard erlaubt einen wesentlich höheren Durchsatz bei gleicher Hardware, aber Wireguard darf keinesfalls auf dem Zielsystem laufen (es sei denn, dieses ist extra gegen Angriffe gehärtet). Gewöhnlich lässt man den Wireguard Server also auf dem Router laufen, dort gehört so ein Dienst hin.

Zu den Fragen, bezüglich Wireguard Konfiguration: eth0 ist richtig, sofern die Anbindung über die LAN Schnittstelle läuft. Man könnte Wireguard auch extra auf der WLAN Schnittstelle laufen lassen.
Wireguard bietet ein VPN an. Dieses VPN stellt für alle Clients, die von außen mit dem VPN verbunden sind, eigene IP-Adressen bereit. Gewöhnlich wird dazu ein Klasse-C-Netz aufgemacht (das heißt, die ersten 24 Bit der IP bezeichnen das Netzwerk, während die letzten 8 Bit das Gerät im Netzwerk adressieren). 10.253.4 sind die ersten drei Oktette, die Netzwerkadresse lautet also 10.253.4.0/24. Die 0 adressiert das Netz als solches, die einzelnen Geräte haben dann IPs von 10.253.4.1 bis 10.253.4.254 (10.253.4.255 ist die Broadcast Adresse). der Wireguard Server fungiert als Router und hat selbst ebenfalls eine IP aus dem Adressbereich, gewöhnlich die 10.253.4.1. Die 10 zu Beginn ist das Kennzeichen für einen privaten Adressbereich (das ist ein Klasse-A-Netz) Private Adressbereiche werden nicht im Internet geroutet. das bedeutet, die Adresse ist von außen nicht erreichbar.
Der Wireguard Client baut dann eine Verbindung zur öffentlich erreichbaren IP des Routers auf, der ein Portforwarding für de nWireguard Server eingetragen hat. Die Anfrage wird also an den Server weitergeleitet, der nun seinerseits den Tunnel für den Client zur Verfügung stellt. Nun ist der Client über diesen Tunnel mit dem privaten Netzwerk 10.253.4.0 verbunden und erhält eine IP aus dem Adressbereich. Das Betriebssystem, auf dem der Client läuft, nutzt diese IP zur Kommunikation mit dem VPN. Adressanfragen an Rechner mit privaten IP-Adressen werden in den Tunnel weitergereicht, der Wireguard Server beantwortet diese Anfragen dann und reicht die Daten weiter.
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet

martin_aus_Ddorf
Beiträge: 56
Registriert: 2. Apr 2018 15:45

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von martin_aus_Ddorf »

Danke erst mal, dass du dir für eine Antwort Zeit genommen hast.

Deine Hinweise bezüglich Portweiterleitungen verstehe ich und ich bin mir der Gefahr bewusst. Auch meine Synology, Homatc und VU sind auf diese Art und Weise von außen erreichbar und es ist sicher immer ein Abwägung von Bequemlichkeit und Sicherheit.

Die Aussage mit „ist kinderleicht“ ist allerdings so lala, denn es ist immer alles kinderleicht, wenn man durchdrungen hat, was man da macht. Als Laie ist zumindest bei mir spätestens nach der dritten Entscheidung, die ich treffen muss Ende, es sei denn ich finde eine Anleitung. Will heißen, das Firtzbox VPN habe ich gesehen, aber die Finger von gelassen, weil ich nicht verstanden habe, was ich da entscheiden soll. Und bevor ich meinen kompletten Router versehentlich durchlässig mache, dann lieber den kleinen Pi…

Diesen Weg habe ich auch nur deshalb beschritten, weil myopenHAB mich nicht auf meine Rules zugreifen lässt. Ich muss derzeit eine Regel, die ich mit der OH3 Web Oberfläche erstellt habe, deaktivieren können - nämlich wenn es zu viel geregnet hat. Die Lösung über eine Regel (an/aus bei Uhrzeit xy) stellt die Vorlösung dar, bis ich die wirklich regelbasierte Lösung realisiert habe.

Gibt es denn eine Möglichkeit über das Webfrontend von OH3 etwas zu schaffen, was in myopenHAB erreichbar ist und die Zeitsteuerung des Wasserventils (sonoff basic mit Tasmota) außer Kraft setzt?

Dann könnte ich mir das VPN schenken, mit dem ich mich auch nicht wohl fühle, weil ich es nicht verstehe.

Grüße
Martin

ErrPunktErr
Beiträge: 41
Registriert: 12. Apr 2021 15:12
Answers: 1

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von ErrPunktErr »

martin_aus_Ddorf hat geschrieben: 17. Mai 2021 11:32 Gibt es denn eine Möglichkeit über das Webfrontend von OH3 etwas zu schaffen, was in myopenHAB erreichbar ist und die Zeitsteuerung des Wasserventils (sonoff basic mit Tasmota) außer Kraft setzt?

Dann könnte ich mir das VPN schenken, mit dem ich mich auch nicht wohl fühle, weil ich es nicht verstehe.
Diese Zeitsteuerung ist eine Rule im OpenHAB?
Dann kannst du Dir doch einfach ein Switch Item anlegen und dieses mit in die Regel einbauen.

Wenn Schalter ZeitsteuerungEin = ON {
bisherige Regel
}

Den Schalter kannst du dir dann einbinden wo du willst und der müsste auch über myopebHAB erreichbar sein, oder? (ich benutze myopenhab nicht)
Openhab 3 (openhabian) auf einem Raspberry 3b mit Conbee 2 Stick

Quautiputzli
Beiträge: 317
Registriert: 29. Okt 2020 19:53
Answers: 2

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von Quautiputzli »

Hallo,
Und Rules, die über die OH3 Web UI erstellt werden lassen sich natürlich auch über myopenhab ändern usw.

Man kann über myopenhab fast alles machen was sonst auch in der WEB UI funktioniert.
Servus

martin_aus_Ddorf
Beiträge: 56
Registriert: 2. Apr 2018 15:45

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von martin_aus_Ddorf »

Danke für eure Hilfe! Das VPN ist also vom Tisch, weil ich nicht gesehen hatte, dass ich mich erst an myopenhab anmelde und dann noch mal in "meinem" openHAB anmelden muss. Jetzt sehe ich also in myopenhab auch die Rules, die ich nun von der Ferne deaktivieren kann. :-)

Und auch Danke für den Tipp mit dem Item Switch! Klappt auch! :-)


... und nur falls es mal an anderer Stelle wichtig sein könnte: Die UI verhält sich leider unter Firefox nicht so wie unter Chrome. Eine "But only if" Bedingung bei einer Regel konnte ich mit dem Firefox nicht realisieren, weil die Dialogbox einfach wieder zuging, wenn ich einen Parameter angeklickt haben. Mit Chrome (sogar mit dem Handy) ging es dann...

Danke euch allen!
Ich denke, ihr habt mich vor einer Dummheit bewahren können!

Grüße aus Düsseldorf vom
Martin

Lux73
Beiträge: 61
Registriert: 26. Dez 2019 12:32
Wohnort: Bielefeld

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von Lux73 »

martin_aus_Ddorf hat geschrieben: ...Auch meine Synology, Homatc und VU sind auf diese Art und Weise von außen erreichbar...
:shock:

da gibt es keine zwei Meinungen - entweder per VPN vom WAN aus zugreifen oder gar nicht! :roll:

aber ej, spätestens wenn dein Provider dir deinen Inet Anschluß kappt weil du (deine Rechner/Netzwerk) Teil eines Bot Netzes bist wirst du dich mit der Thematik VPN auseinandersetzen müssen... - und zusätzlich noch alle Geräte neu installieren/aufsetzen müssen :mrgreen:
APU2c4|Debian11.8|OpenHAB4.1.1@Zulu17|mosquitto|hostapd|dnsmasq|influxdb|grafana|zigbee2mqtt / Huawei MediaPad T5|FullyKioskBrowser
Zigbee: CC2652RB|7x Hue|3xIlluminize 5110.40|1xFLS-PP|4xDanfoss Ally|Aqara 5xMCCGQ11LM/6xWSDCGQ11LM/6xGZCGQ01LM/4xRTCGQ11LM/2xRTCGQ13LM/1xDJT11LM/1xRTCZCGQ11LM|TuYa 2xTS011F/3xTS0601|1xCC2530.ROUTER
MQTT: Tasmota11.1.0|8xDelock 11826|3xShelly1|3xBlitzwolf SHP8|1xGosund SP112

merlindata
Beiträge: 33
Registriert: 24. Jan 2020 08:15
Answers: 1
Wohnort: Wien

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von merlindata »

Hallo,
ich habe das Thema Fernzugriff anders gelöst.

Ich habe mir auf einen alte 3er PI einen TeamViewer Server aufgespielt.

Diesen Pi starte ich über eine schaltbare Steckdose (Homematic) über die OH App von der ferne und habe dann über TeamViewer Zugang zu meiner Infrastruktur.
Auf dem Pi ist auch noch Visual Studio Code drauf, somit habe ich alles auf dem Pi was ich zur Fernwartung brauche.

Ist halt nicht die „Nerd“-Lösung aber funktioniert bestens.
LG, Merlin

int5749
Beiträge: 1161
Registriert: 4. Nov 2019 22:08
Answers: 9

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von int5749 »

Ich hole diesen thread mal aus der Versenkung, da ich mich gerade damit beschäftige meinen VPN zu „ergänzen“ indem ich neben openHAB auch Teile meines HomeServers QNAP Device im Internet verfügbar machen möchte, damit Bekannte/Familie darauf zugreifen können. Diesen möchte ich selbstredend kein VPN über meine FRITZ!Box in mein internes Netz legen. Das Gäste WLAN ist ja auch disjunct von internen Netz.

Nach einigem googlen kam mir Nginx in den Sinn, gerne mit Zertifikat und TLS.
Aber: auf welchem Rechner lasse ich dies am besten laufen? Dem gleichen wie openHAB (und Konfiguration nach Doku) oder besser einem separaten Rechner (Container auf meinem Proxmox). Sollte Nginx nicht besser 2 NICs haben?

Irgendwie stehe ich da gerade von derArchitektur auf dem Schlauch :-/

Viele Grüße
openHAB 4.1.0 Release mit openHABian in einem Debian Bookworm (LXC) unter Proxmox 8.1.3

Antworten