OH3 und MQTT wird nicht Online

[Stachi]

Gib dochmal alle Ports für 192.168.178.80 frei und mach einen reboot vom Raspi.
Vielleicht liegt da das Problem?

[udo1toni]

STOPP! Bitte keinesfalls irgendwelche Ports des Raspberry nach außen freigeben! Freigegebene Ports sind vom WAN aus OHNE VPN erreichbar. der Raspberry hat keinerlei Schutz gegen Angriffe von außen. Im Grunde könntest Du schon an diesem Punkt alles komplett löschen und von vorne anfangen, da es keinerlei Garantie gibt, dass noch niemand in das System eingedrungen ist.
Das ist aber Deine Entscheidung nur bitte mach sofort die Portfreigaben zu! Unbedingt!

Vergiss bitte für's erste überhaupt alles an Hardware außer den Raspberry und Deinen Mac (mit dem Du ja auf den Raspberry zugreifst).

Das Protokoll heißt MQTT, nicht MMQT. MQTT steht für Message Queuing Telemetry Transport.
localhost ist die IP-Adresse 127.0.0.1, nicht 127.0.0.0 (das ist das Localloop Network)

MQTT läuft auf dem Port 1883 oder alternativ auf dem Port 8883, das ist vergleichbar mit http (Port 80) und https (Port 443). 1883 ist MQTT, 8883 ist SMQTT (bzw. Secure-MQTT). SMQTT ist aber nicht konfiguriert, und das möchtest Du auch nicht konfigurieren, es sei denn Du bist Netzwerkexperte und alle Deine Fragen kommen hier nur, um uns zu ärgern

Also, der Port für MQTT ist bei Dir 1883, kein anderer!
Die IP Deines Raspberry lautet 192.168.178.80 (keine Sorge, das ist kein Sicherheitsproblem - das ist ein privates Klasse-C Netz, welches per NAT am Internet hängt. Da kann niemand etwas mit dieser Information anrichten.)

Du musst also als IP überall 192.168.178.80 eintragen. Nur auf dem Raspberry selbst (in der Broker Connection) kannst Du alternativ localhost oder 127.0.0.1 angeben.

Dein eigentliches Problem ist aber (zumindest auf openHAB-Seite) ein anderes. Wo hast Du bitte die Information her, eine System Broker Verbindung anzulegen?

Geh also bitte in die Main UI, dort unter Administration auf Things, dort unten rechts auf das Weiße Plus auf blauem Grund, wähle aus der Liste MQTT Binding und wähle in der nächsten Liste MQTT Broker (NICHT MQTT Systembroker). Trage oben eine Id ein (z.B. mosquitto) und darunter ein aussagekräftiges Label.
Unter Broker Hostname/IP trägst Du localhost ein. Mit dem Haken bei Show advanced bekommst Du die übrigen Punkte zu sehen, von denen Du ausschließlich Username und Passwort anfasst. Anschließend klickst Du nur noch auf Create Thing, was Dich in die Liste der Things zurückführt. Das Thing sollte umgehend ONLINE anzeigen.

Danach kannst Du ein weiteres MQTT Thing anlegen, über den gleichen Weg, diesmal aber ein Generic MQTT Thing. Die ID setzt Du wieder auf eine eindeutige Bezeichnung (z.B. sonoff1 für den ersten Sonoff), das Label passt Du ebenfalls an, dann wählst Du noch unter Bridge die von Dir erstellte Bridge aus. Mit Create Thing erzeugst Du das Thing. Danach kannst Du wieder in das Thing wechseln und dort Channel anlegen. Dieses Thing wird so lange als ONLINE angezeigt, bis unter den advanced Options das LWT und die passenden Werte für OONLINE und OFFLINE eingetragen sind. Danach wird das Thing ONLINE oder OFFLINE angezeigt, je nachdem, ob das Gerät gerade erreichbar ist oder nicht.

[Adi]

Das ist mir jetzt nicht klar. Die Portfreigaben in der Fritzbox beziehen sich doch auf den Zugang von außen. Innerhalb des Hausnetzes sollten sie keine Auswirkung haben. Hab's dennoch gemacht.
Alle Portfreigaben gelöscht:
Fehler: CONNECT failed as CONNACK contained an Error Code: NOT_AUTHORIZED.
1883 und 8883 Ports in Fritzbox freigegeben:
In openHAB mal mit und mal ohne Portangabe installiert. Wie zu erwarten
Einrichten in opüenHAB ohne Portangabe, da ja nur optional:
Fehler: io.netty.channel.AbstractChannel$AnnotatedConnectException: Connection refused: /192.168.178.80:8883
Einrichten in openHAB mit Port; 8883:
Fehler: io.netty.channel.AbstractChannel$AnnotatedConnectException: Connection refused: /192.168.178.80:8883

[Adi]

Hallo Udo, Die Ports sind schon gelöscht. Zur Sicherheit werde ich den raspi neu aufsetzen. Darauf kommt es nicht an. Sorry für die Schreibfehler. Es muss natürlich MQTT und 127.0.0.1 lauten. Damit wollte ich niemanden ärgern
Mein Zugang von außen ist im Moment auch nicht das Problem. Bzgl System Broker war das ein Missverständnis. Ich nie den System Broker beim Thing anlegen gewählt. Es war immer der MQTT Broker. Dort habe ich auch die IP des Raspi und den Namen bzw das Passwort des Mosquitto Brokers unter advanced eingetragen. Der Port ist ja optional und wie du schreibst wird automatisch 1883 gezogen. Das steht ja auch in der Erklärung. Das habe ich soweit verstanden.
Zur Info-Quelle. Ich habe die Info aus dem Youtube Video. Dort hieß es, man solle in openHAB unter Einstellungen die IP-Adresse des Raspi eintragen. Möglicherweise ist das Mumpitz. Ich habe jetzt mal den System Broker komplett außen vor gelassen und nur MQTT als Thing angelegt.Hurrrrraaaah
Das war der Fehler.
Jetzt kann ich in Ruhe von vorne beginnen. Deine Hilfe war großartig. Ich habe jetzt aber zum Schluß doch noch eine Frage bzgl des Zugangs von außen.
Wenn ich openHAB aufrufe, muss ich IP:Port angeben. Sonst bekomme ich eine Fehlermeldung. Das ist soweit kein Problem. Wenn ich von außen über eine von AVM für die Fritzbox eingerichtete VPN auf die Box zugreifen möchte komme ich zwar auf den Router und die Netzwerk-Übersicht. Kann aber den Raspi bzw openHAB nicht aufrufen, da ich ja in der Netzwerkübersicht nur die IP-Adresse aufrufe.
Nur deshalb bin ich an die Portfreigaben gegangen. Nach deinem STOPP! war mir klar, dass die Freigaben dort allgemein gelten und nicht nur über Zugang von MyFritz.net. Hast Du einen Vorschlag, wie ich das siccher anstellen kann?
Und nochmals allerbesten Dank für die kompetente Hilfe.

[udo1toni]

Wenn Du das VPN der FRITZ!Box nutzt, dann bekommst Du eine IP Adresse die nicht zum LAN gehört. Gewöhnlich sollte die FRITZ!Box aber automatisch routen. Verbindung per VPN heißt gewöhnlich, das Gerät verhält sich, als ob es sich im LAN befände. Es bekommt lediglich eine IP aus einem anderen Adressbereich, das hat nur mit der Verwaltung zu tun.
Ich habe bisher noch kein VPN mit einer FRITZ!Box eingerichtet, unter https://avm.de/ratgeber/alles-zum-vpn/? ... d=Ratgeber ist das ja auch eher sparsam beschrieben.
In Bezug auf openHAB ist zu sagen, dass Du Dich - wie auch immer - im lokalen Netzwerk befindest. Dennoch kann es helfen, in der openHAB App auch im Remote-Zugriff die lokalen Daten mit zu hinterlegen. Das hängt aber mehr damit zusammen, dass die openHAB App das falsch interpretiert...

Da openHAB auf Port 8080 läuft (das hängt damit zusammen, dass die unteren Ports root-Rechte verlangen, man müsste dann Java mit root-Rechten laufen lassen...), muss der Port mit angegeben werden, das ist normal.

Wenn Du mit dem VPN verbunden bist, sollte es ausreichen, die identischen Daten wie im LAN einzugeben VPN Zugang ist aber nicht, wenn Du über MyFritz auf die Box zugreifst, nur, dass wir vom gleichen sprechen...

[Adi]

Ich hab den externen Zugang jetzt korrekt angelegt Es war gar nicht so schwer. Zuerst in der Fritzbox einen Benutzer mit VPN Zugang für das Heimnetz angelegt. Im Profil des neuen Fritzbox-Benutzers werden die Verbindungsdaten, dh Serveradresse und IPSec Schlüssel angezeigt. Damit kann man in Android oder IOS Geräten einen VPN Zugang einrichten. Über die Geräteeinstellungen oder die MyFritz App lässt sich der VPN im Mobilgerät schalten. Wenn ich im Browser eine Heimnetz Adresse angebe, erkennt er offensichtlich, dass diese über VPN aufgerufen werden muss. So kann ich openHAB mit der Portangabe aufrufen und aus der Ferne zugreifen. Bin ich im Browser mit einer lokalen Adresse verbunden, ist der Eingabebereich im Browser Rot, ist es eine www-Adresse ist er normal dh farblos. Ich muss sagen, ich bin beeindruckt. Beinahe hätte ich vergessen. Die Fritzbox ist auch in einem Fritzkonto bei AVM angemeldet. Von dort habe ich dann wohl auch die Server-Adresse für den VPN. Stellt sich zuletzt nur die Frage wie sicher die VPN Provider letztlich sind. Die Port-Freigaben waren also ohnehin gar nicht nötig.
In dem Zusammenhang habe ich in meinem Mac mal die bestehenden Portfreigaben überprüft. Ich war überrascht, dass doch einige Apps freie Ports haben. Das ist sicher die Voraussetzung für Updates von Programmen aus dem WEB, oder? Natürlich ist eine Firewall eingerichtet. Aber eigentlich könnte ich die Freigaben aller Apps vorsorglich blockieren und nur bei Bedarf die Tür öffnen. Updates kommen schließlich nicht täglich.
Fazit: Heute war ein guter Tag

[udo1toni]

Prima.

Letztlich muss man natürlich darauf vertrauen, dass die Hersteller keine Backdoors einbauen bzw. die von CCC und Konsorten Fehler in der Implementation frühzeitig finden. Ansonsten ist es so, dass Deine Fritz!Box den Tunnel per IPSec abgesichert aufbaut. MyFritz steuert dabei lediglich den DynDNS bei, da man gewöhnlich keine feste öffentliche IP hat (und die eigentlich auch nicht haben will).

[schnarchnase]

Hi Adi,
ich denke du bist ziemlich dicht an der Lösung deines Mosquitto Problems.

Vielleicht setzt du in der openhabian-config (Punkt 23) das Passwort für den Mosquitto noch einmal neu. Achte dabei gfs. auf deine Tastatureinstellung englisch/deutsch. So bist du dir mit dem Passwort auch wirklich ganz sicher...
Ansonsten ist der Port 1883 im OH3 Thing der richtige für unverschlüsselte Kommunikation, ich würde noch publickeypin: false und certificatepin: false setzen.

Teste gerne auch einmal die Version eines laufenden Mosquitto an der Shell deines Raspberry mit "mosquitto -v", dort siehst du, ob er ordnungsgemäß läuft und auch den genutzten Port (vermutlich 1883).

Auf deiner Fritzbox sollten nach Möglichkeit keine geöffneten Ports von außen nach innen konfiguriert sein, du kannst eigentlich alles mit dem VPN Tunnel abbilden.

Viel Erfolg

[Adi]

Danke schnarchnase Bin am Ziel. Ursache war nicht das Mosquitto Passwort sondern ein missverständliches Video, nach dem man dem System-Broker die localhost bzw.Raspi Adresse mitteilen sollte. Das ist wenn überhaupt zumindest bei meiner Konfiguration kontraproduktiv und führt zu Fehlermeldung.
Alle externen Ports sind dicht und der externe Zugang über VPN funzt.
Raspi zur Sicherheit neu aufgesetzt, falls doch etwas "versehentlich eingenistet hat
Nochmals Dank an alle Foristen

[jokerja]

Ein freundliches Hallo in die Runde. Nach vielen Stunden des Lesens mit viel Try and Error suche ich hier Hilfe. Ich bin Linux-Novize und habe mich an OH3 auf einem Raspy 3+ rangetraut. Habe dieses Image "openhabian-pi-raspios32-v1.6.2b.img" installiert und auch zum Laufen gebracht. Einschließlich Mosquitto. Beim nächsten Start waren alle ITEMS offline. Da ich den Fehler nicht fand, habe ich alles neu aufgesetzt.
Ich habe die MQTT system broker connection mit einem Connection Name (MQTT_Broker_JA) und localhost installiert. Anschließend unter Things den MQTT Broker aufgerufen, ohne ID, Label gelassen, Location =leer und wieder localhost.
Abgespeichert und Fehler: COMMUNICATION_ERROR
CONNECT failed as CONNACK contained an Error Code: NOT_AUTHORIZED.

Da ja bereits mal alles gelaufen hat, sehe ich wahrscheinlich vor lauter Bäumen den Wald nicht.
Mit dem Tool MQTT Explorer (Windows) kann ich per Wlan auf den Broker zugreifen und sehe dort meine Schalter.
Schon jetzt vielen Dank für eventuelle Unterstützung