Fernzugriff Raspberry Pi Openhab

Moderatoren: seppy, udo1toni

Antworten
sauerjo
Beiträge: 17
Registriert: 29. Jan 2022 18:16

Fernzugriff Raspberry Pi Openhab

Beitrag von sauerjo »

Liebe Forummitglieder,

ich benötige eure Hilfe/Tipps. Mein Raspberry Pi sowie alle Smart Home Geräte befinden sich bei mir in der Fritzbox im Gastzugang. Dies soll auch so bleiben. Das Problem ab und an würde ich nun doch gern von außen auf mein Openhab zugreifen können. Per VPN Verbindung ist das mit der Fritte wegen den Gastzugang nicht möglich. Die Cloud von Openhab würde ich aus Sicherheitsgründen gerne nicht benutzen. Habt ihr Tipps wie ich das ganze realisieren könnte?

Danke und Gruß

Benutzeravatar
udo1toni
Beiträge: 13961
Registriert: 11. Apr 2018 18:05
Answers: 222
Wohnort: Darmstadt

Re: Fernzugriff Raspberry Pi Openhab

Beitrag von udo1toni »

Was stellst Du Dir denn vor? Meines Wissens fehlt schon eine Grundvoraussetzung im Gastnetz, nämlich die Möglichkeit, in der FRITZ!Box eine Portweiterleitung in dieses Netz einzurichten.
Ich habe keine Idee, warum man überhaupt auf die Idee kommen könnte, dass es eine gute Idee wäre, openHAB im Gastnetz zu betreiben.
Vielleicht erklärst Du mal, warum das so bleiben soll, was ist die Intention dabei? Ich könnte mir nämlich vorstellen, dass es da ein grundsätzliches Missverständnis bezüglich der Sicherheit des Gastnetzes gibt. :)
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet

sauerjo
Beiträge: 17
Registriert: 29. Jan 2022 18:16

Re: Fernzugriff Raspberry Pi Openhab

Beitrag von sauerjo »

Guten Morgen Udo,

Danke für deine Nachricht. Ich muss zugeben ich bin Elektriker und kein Profi in der IT Schiene daher hatte ich dort meinen Freund der ITler ist zur Hilfe gebeten. Er meinte damit ich so etwas mehr Sicherheit erlange, wenn ich das so mache. Er hat das so erklärt damit das Gastnetz ja keinerlei Verbindung zum normalen Netz der Fritzbox hat.
Irgendwie hat er da auch noch mehr dazugesagt das ich heute aber gar nicht mehr im Kopf habe :D Mir ist es aufjedenfall wichtig damit es schon so sicher wie möglich sein sollte.

Ich freue mich auf eine Antwort und wünsche allen einen guten Start in den Tag.

Grüße

Benutzeravatar
udo1toni
Beiträge: 13961
Registriert: 11. Apr 2018 18:05
Answers: 222
Wohnort: Darmstadt

Re: Fernzugriff Raspberry Pi Openhab

Beitrag von udo1toni »

Das Problem dabei ist, dass das Gastwerk in diesem Sinne überhaupt keine zusätzliche Sicherheit bietet.
Das Gastnetzwerk hat nur eine einzige Eigenschaft gegenüber dem "normalen" LAN: Geräte im Gastnetz können keine Geräte im LAN ansprechen (und gewöhnlich sollte das auch andersrum der Fall sein)
Das Gastnetz ist dazu gedacht, dass Gäste (sic!) den Internetzugang mit nutzen können, dabei aber keinen Zugriff auf die Geräte im LAN bekommen können.
Für das Smarhome sollte es eigentlich genau andersrum sein: Die Geräte des Smarthome sollten nur im Ausnahmefall überhaupt Zugriff auf das Internet bekommen, aber durchaus von Geräten im LAN erreicht werden können. Und wenn die Smarthome Geräte nicht ins Internet kommen (wie gesagt, so sollte es sein), besteht auch weniger Gefahr eines Angriffs aus dem Internet auf diese Geräte und auch eine geringere Gefahr, dass die Geräte als Angriffsvektor für das restliche LAN genutzt werden können.
Die FRITZ!Box bietet hier meines Wissens leider nur wenig (gefühlt gar nichts).

Mein Aufbau (ist aber nichts für "Anfänger" ;) ) sieht so aus, dass ich einen Selbstbau Router mit OpnSense als OS nutze.
Ich spanne fünf separate Subnetze mittels VLAN auf, wobei drei davon für das WLAN sind. Ich nutze Ubiquiti Access Points (Zwei-Familien-Haus, drei AP reichen gerade so für eine einigermaßen vernünftige Abdeckung) und drei verschiedene SSIDs, jeder der AP sendet auf einem anderen Channel und stellt alle SSIDs zur Verfügung. Das heißt, die WLAN Geräte buchen sich jeweils auf dem AP ein, der das beste Signal bietet. Läuft man durch das Haus, wird auch fliegend umgebucht.
Gäste nutzen eine SSID, meine Smarthome Geräte eine zweite SSID, meine "vertrauenswürdigen" Geräte eine dritte SSID. Sämtlicher Datenverkehr läuft über den Router (wegen der fünf Subnetze und Trennung über VLANs)
Gäste haben Internetzugang, sehen aber keine anderen Geräte.
Das "Smarthome-WLAN" kommt nicht ins Internet und kann im LAN genau zwei IP-Adressen erreichen, das sind die IP des MQTT Brokers und die IP des internen Update Servers. openHAB selbst befindet sich im LAN und kann somit ganz normal aufs Internet zugreifen - openHAB stellt aber auch keine Dummheiten an :) .
Der Fernzugriff läuft bei mir wahlweise über einen ssh-Tunnel oder Wireguard - dabei sind beide Wege mit Zertifikaten abgesichert, Passwortzugang ist bei dem extern erreichbaren ssh komplett abgeschaltet.
Die WLAN Zugänge sind mit maximal komplexen Passworten gesichert (63 Zufallszeichen... viel Spaß beim Knacken)

Was ich noch nicht umgesetzt habe, ist ein separates Verwaltungsnetz, um den administrativen Zugang auf die Infrastruktur zusätzlich abzusichern. Das ist aber ohnehin ein zweischneidiges Schwert, denn wenn dann eine der zentralen Komponenten aussteigt, hat man gleich gar keine Möglichkeit mehr, außer mit einem extra Adminrechner im Schneidersitz vor dem zentralen Serverrack nach dem Fehler zu suchen. Da müsste ich also den Router ha (hochverfügbar) auslegen, was möglich, aber unverhältnismäßig aufwändig ist.

Eventuell kannst Du in der FRITZ!Box die "Kindersicherung" als Sicherheit für Deine Smarthomegeräte nutzen, darüber kannst Du erlaubte IP-Adressen festlegen (die Liste sollte ja überschaubar sein). Sicher bin ich da aber nicht, die letzte FRITZ!Box ist bei mir schon etwas her...

MyOpenHAB hat übrigens keinen Zugriff auf Dein LAN, es ist vielmehr so, dass openHAB selbst aktiv die Verbindung zu MyOpenHAB aufrecht erhält. Das funktioniert ähnlich wie bei Skype oder "normaler" VoIP Telefonie. Insofern ist MyOpenHAB eine vergleichsweise sichere Möglichkeit, das eigene Smarthome remote zu bedienen - gerade für "Normalos", die nicht unbedingt wissen, wie man ein sicheres VPN in Betrieb nimmt und pflegt.
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet

sauerjo
Beiträge: 17
Registriert: 29. Jan 2022 18:16

Re: Fernzugriff Raspberry Pi Openhab

Beitrag von sauerjo »

Das ist mal eine detaillierte Erklärung Vielen Dank dafür!

Wenn ein Angreifer sich nun auf ein Smart Home Gerät Zugang verschafft ist er aber doch nur auf dem Gastzugang und hat somit keinen Zugriff auf meine Geräte im normalen LAN oder verstehe ich das falsch?
Erlaubte IP-Adressen habe ich gerade entdeckt das wäre mit der Fritzbox sogar möglich.

Falls es wirklich gar keinen Sinn mit dem Gastnetzwerk auf sich hat, wäre es am besten also alle Smart-Home Geräte in das normale LAN zu packen und dann über IPSec oder WireGuard an der Fritzbox eine VPN Verbindung einzurichten somit ich ab und an mal von unterwegs auf mein Openhab zugreifen kann?


Na gut dein Setup ist mal eine ganz andere Liga das kriege ich vermutlich nicht hin das lassen wir mal lieber weg :D Höchstens ich habe mal ganz viel Langeweile und arbeite mich da ein, aber derzeit habe ich dafür viel zu wenig Zeit.

Nochmals Vielen Dank für deine auch für mich verstehende Erklärung.

Grüße

Benutzeravatar
udo1toni
Beiträge: 13961
Registriert: 11. Apr 2018 18:05
Answers: 222
Wohnort: Darmstadt

Re: Fernzugriff Raspberry Pi Openhab

Beitrag von udo1toni »

sauerjo hat geschrieben: 14. Feb 2024 18:14 Wenn ein Angreifer sich nun auf ein Smart Home Gerät Zugang verschafft ist er aber doch nur auf dem Gastzugang und hat somit keinen Zugriff auf meine Geräte im normalen LAN oder verstehe ich das falsch?
Ja, aber nein. Sorge lieber von vornherein dafür, dass die Geräte vom Internet aus nicht erreichbar sind, dann kann sich auch niemand ihrer bemächtigen. :)
sauerjo hat geschrieben: 14. Feb 2024 18:14 wäre es am besten also alle Smart-Home Geräte in das normale LAN zu packen und dann über IPSec oder WireGuard an der Fritzbox eine VPN Verbindung einzurichten somit ich ab und an mal von unterwegs auf mein Openhab zugreifen kann?
Das wäre die einfachste Lösung (bei gleichzeitig hoher Sicherheit). Speziell Wireguard ist sehr einfach einzurichten. Ob Du dann den DynDNS von AVM nutzt (MyFritz; der kryptische Name ist fix und die FRITZ!Box sendet automatisch ihre öffentliche IP, damit der DNS Eintrag immer auf die eigene Box verweist) oder einen eigenen Eintrag anlegst (z.B. desec.io) ist egal. bei MyFritz kannst Du den DNS-Eintrag halt nicht nach eigenen Vorstellungen gestalten, wobei Du Dir den DNS Eintrag ja nicht merken musst; das Wireguard Profil enthält den gesetzten fqdn, im Smartphone reicht es also, das VPN zu aktivieren und die Verbindung steht quasi sofort, ohne Eingabe von weiteren Passworten. Das Endgerät befindet sich dann "virtuell" im eigenen LAN, freilich mit einer speziellen IP-Range.
sauerjo hat geschrieben: 14. Feb 2024 18:14 Nochmals Vielen Dank für deine auch für mich verstehende Erklärung.
Immer gerne :)
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet

sauerjo
Beiträge: 17
Registriert: 29. Jan 2022 18:16

Re: Fernzugriff Raspberry Pi Openhab

Beitrag von sauerjo »

Perfekt super danke für die tolle Hilfe.
Dann stell ich das gleich mal alles um :mrgreen:

Antworten