Moin,
Spoiler vorweg: könnte etwas offtopic sein, bin aber noch nicht sicher.
Also folgender Zustand:
Ich betreibe (für einen Privatanwender übermäßig viele) VLANs, die dann ggf. über den Router getrennt oder verbunden werden.
1 mein LAN
2 mein W-Lan
3 mein Gästelan
4 mein Mieterlan
5 mein IOT
6 meine Telefone
Nun ist Openhab via Docker auf das IOT-VLAN (5) aufgeschaletet, welches zusätzlich zur Konfiguation manchmal mit 1/2 verbunden ist.
Wie könnte ich nun dem Mieter eingeschränkte API-Zugriffe verpassen?
Eigenes Openhab in seinem Netzwer und die beiden untereinander kommunizieren lassen?
Gewisse Gastseiten innerhalb von Openhab erstellen und diese irgendwie über einen neuen Port freischalten lassen?
Was habt ihr noch für Ideen, um die bestehende Sicherheiten nicht zu verletzen?
Liebe Grüße
Oberfläche teilen
-
udo1toni
- Beiträge: 15243
- Registriert: 11. Apr 2018 18:05
- Wohnort: Darmstadt
Re: Oberfläche teilen
Wenn Du keine Scheunentore aufreißen willst, baust Du ein eigenes openHAB und nutzt das openHAB Addon, um das eine openHAB durch das andere openHAB zu steuern.
Wobei man natürlich darauf hinweisen muss, dass man durch Änderung der Konfiguration problemlos auch die Rechte ausweiten kann
Du müsstest also auf dem "Mieter-openHAB" einen eingeschränkten User einrichten, der zwar die UI nutzen darf, aber eben keine Konfiguration ändern darf (das geht nur über die Karaf Konsole).
Für die Inter-Kommunikation musst Du im Router entsprechende statische Routen eintragen oder wie auch immer Du die Netze untereinander verbindest.
Ich habe ebenfalls mehrere VLAN, allerdings trenne ich bisher lediglich LAN, WLAN (jeweils Vollzugriff), Gäste-WLAN (Ausschließlich Internet) und IoT WLAN (Ausschließlich IoT Netzsegment + Verbindung zu mqtt, kein Internet).
Wobei man natürlich darauf hinweisen muss, dass man durch Änderung der Konfiguration problemlos auch die Rechte ausweiten kann
Du müsstest also auf dem "Mieter-openHAB" einen eingeschränkten User einrichten, der zwar die UI nutzen darf, aber eben keine Konfiguration ändern darf (das geht nur über die Karaf Konsole).Für die Inter-Kommunikation musst Du im Router entsprechende statische Routen eintragen oder wie auch immer Du die Netze untereinander verbindest.
Ich habe ebenfalls mehrere VLAN, allerdings trenne ich bisher lediglich LAN, WLAN (jeweils Vollzugriff), Gäste-WLAN (Ausschließlich Internet) und IoT WLAN (Ausschließlich IoT Netzsegment + Verbindung zu mqtt, kein Internet).
openHAB4.3.3 stable in einem Debian-Container (bookworm) (Proxmox 8.3.5, LXC), mit openHABian eingerichtet
-
Oekel
- Beiträge: 201
- Registriert: 28. Aug 2021 10:34
-
udo1toni
- Beiträge: 15243
- Registriert: 11. Apr 2018 18:05
- Wohnort: Darmstadt
Re: Oberfläche teilen
Ganz einfach, openHAB läuft im LAN (mqtt ebenfalls). Das IoT Netz darf außerhalb des IoT Netzes ausschließlich mit der IP reden, die mqtt bereitstellt.
Natürlich könnte man da noch weiter einschränken, dass nur die entsprechenden Ports genutzt werden können.
Ich nutze OpnSense als Router/Firewall, da kann man das recht komfortabel hinkonfigurieren.
Natürlich könnte man da noch weiter einschränken, dass nur die entsprechenden Ports genutzt werden können.
Ich nutze OpnSense als Router/Firewall, da kann man das recht komfortabel hinkonfigurieren.
openHAB4.3.3 stable in einem Debian-Container (bookworm) (Proxmox 8.3.5, LXC), mit openHABian eingerichtet