Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Hier bitte alles rein was Off-topic ist.

Moderatoren: Cyrelian, seppy

Galadriel13
Beiträge: 216
Registriert: 30. Dez 2019 20:29

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von Galadriel13 »

Danke udo1toni,

super erklärt und es bestärkt mich darin, nur VPN zu nutzen.
Auch wenn es umständlich ist, die Sicherheit geht vor.

Nicht auszudenken, was gewesen wäre, wenn wir im Urlaub sind.
Dann wäre die Garage offen gestanden, das Sonnensegel bei Wind/Sturm ausgefahren, die Gartenbewässerung gelaufen, bis die Zisterne leer wäre, etc.

Das wäre kein Spaß gewesen.

Deshalb bleibe ich bei VPN und habe dank dir viel gelernt.
Vielen Dank noch einmal!!!
Hausautomation zu 95% mit Siemens Logo! (5x 0BA8).
Gartenbewässerung, Rollosteuerung, Lichtsteuerung, etc.
Abfrage von Temperaturen, Helligkeit, Füllstand Zisterne Leistung Photovoltaik.

openHAB 4.0.4 mit folgenden Bindings:

- Bosch Indego Binding
- Tankerkönig Binding
- iCalendar Binding
- iCloud Binding
- Anwesenheit via iCloud
- ComfoAir Binding (Zehnder AirComfort A350)
- SolarEdge Binding (PV)
- OpenWeatherMap Binding
- DWD Pollenflug Binding
- DWD Unwetter Binding
- FritzBox TR064 Binding
- PLCLogo Binding
- WIFI LED Binding
- Luxtronikheatpump (Novelan-WP)
- BEOK Raumthermostate
- myenergi

Benutzeravatar
udo1toni
Beiträge: 13858
Registriert: 11. Apr 2018 18:05
Answers: 222
Wohnort: Darmstadt

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von udo1toni »

Immer gerne :)
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet

neuling10
Beiträge: 56
Registriert: 26. Mär 2022 18:15

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von neuling10 »

Da ich eine FritzBox laufen habe und ohnehin VPN für den Zugriff auf meine VU+ via Enigmote bereits erfolgreich eingerichtet habe, möchte ich nun auch auf die Openhab App verzichten und auf dem iPhone via VPN direkt mittels Safari auf meine Openhab-Instanz zugreifen.
Um nicht ständig VPN "manuell" aktivieren zu müssen, werde ich morgen eine Konfig-Datei mit iOS VPN on-demand versuchen aufs iPhone zu bekommen. Es sollte so auch möglich sein, VPN automatisch zu aktivieren, wenn auf die Openhab-Seite zugegriffen wird. Ich werde berichten, wenn es mir gelungen ist. Vielleicht auch eine hilfreiche Szenerie für Galadriel ;)

Security-technisch stellt sich mir eine weitere Frage zu einem Thema, bei dem ich noch nicht durchblicke:
Ich habe mein Openhab so aufgesetzt, dass ich mittels HTTPS (Port 8443) und HTTP (Port 8080) zugreifen kann. Als Security-Laie kam mir auch schon in den Sinn, Openhab nur mit HTTPS aufzusetzen (sollte ja sicherer sein??)
Nun stellt sich mir jedoch die Frage, ob es denn überhaupt Sinn hat oder Vorteile bringt/Risiken minimiert, Openhab mit HTTPS und Port 8443 aufzusetzen, wenn ich ohnehin übers Internet ausschließlich via VPN zugreife und die Openhab Cloud deaktiviere? In welchen Fällen ist es sinnvoll, auf Openhab via HTTPS zuzugreifen?

Oder anders gefragt, gibt es Nachteile, auf Openhab im internen Netzwerk nur via HTTP zuzugreifen und aus dem Internet via VPN auch nur auf HTTP zuzugreifen? Oder birgt das Security-Risiken, wenn ich mit VPN nicht auf HTTPS zugreife?

In der Adressleiste meines Browsers erscheint bei Zugriff auf die Openhab Instanz "Nicht sicher", ich nehme an aufgrund des fehlenden Zertifikats. Bringt es Vorteile, wenn ich ein (selbst erstelltes) Zertifikat importiere? Oder ist das mehr oder weniger ohnehin egal, da es ja meine eigene Website ist, die "Nicht sicher" ist und mich sowas nicht zu beunruhigen braucht?

Benutzeravatar
udo1toni
Beiträge: 13858
Registriert: 11. Apr 2018 18:05
Answers: 222
Wohnort: Darmstadt

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von udo1toni »

Der Punkt ist die Sache mit dem Zertifikat. Über Let's Encrypt bekommt man Zertifikate kostenlos, aber nur für Rechner, die auch über das Internet erreichbar sind. Mir wäre nicht bekannt, dass es da schon eine vernünftige Lösung für das LAN gibt.
Die Alternative sind selbst erstellte Zertifikate, die aber vom Browser abgelehnt werden, es sei denn, man fügt die eigene CA als vertrauenswürdige Stammzertifizierungsstelle hinzu (im Browser).
Das ist alles nicht trivial, wenn man nicht täglich damit rumhantiert.
Entsprechend ist http im internen Netzwerk immer noch die einfachste Variante.

Ob es dabei zu einem Sicherheitsproblem kommt, kannst nur Du selbst beurteilen. Gibt es Leute, die in Deinem LAN unterwegs sind, die genug technisches Wissen haben, um Angriffe zu fahren? Sind diese Personen, falls vorhanden, Dir nicht wohlgesonnen? Wenn Du an diesem Punkt stehst, hast Du ein grundsätzliches Problem :)

Natürlich kann man sich auch unbemerkt einen Trojaner einfangen, der dann dazu benutzt wird, sich in Deine Kommunikation mit openHAB einzuklinken, aber der könnte dann auch genauso auf Deinem Rechner/Smartphone laufen und dort die Kommunikation kompromittieren.

Wenn Du mit VPN Zuhause eingeloggt bist, stellst Du über das VPN schon eine sichere Verbindung her, diese sollte grundsätzlich auch verschlüsselt erfolgen - wobei das bei VPN nicht zwingend ist, aber die FRITZ!Box nutzt IPSec, das ist verschlüsselt.
Die Frage ist also, wie hoch ist die Wahrscheinlichkeit, dass Dir jemand ein gefaktes openHAB mit exakt Deiner Konfiguration in Deinem Netz unterschiebt.

openHAB richtet immer http und https ein. Außer, indem man gezielt per Firewall den Zugriff unterbindet, wird man das auch nicht verhindern können.
Mit Docker kann man z.B. den Port 8080 nicht rausverbinden, aber openHAB wird trotzdem auf dem Port lauschen und zumindest im internen Netz auch darüber erreichbar sein.
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet

Galadriel13
Beiträge: 216
Registriert: 30. Dez 2019 20:29

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von Galadriel13 »

neuling10 hat geschrieben: 16. Aug 2022 22:29 Vielleicht auch eine hilfreiche Szenerie für Galadriel ;)

Hallo neuling10,

es würde mich interessieren, wie du das mit dem VPN bei Aufruf umgesetzt hast.
Mir würde schon reichen, dass VPN automatisch beim Aufrufen der openHAB-App sich verbindet, bzw. auch wieder deaktiviert.

VG
Hausautomation zu 95% mit Siemens Logo! (5x 0BA8).
Gartenbewässerung, Rollosteuerung, Lichtsteuerung, etc.
Abfrage von Temperaturen, Helligkeit, Füllstand Zisterne Leistung Photovoltaik.

openHAB 4.0.4 mit folgenden Bindings:

- Bosch Indego Binding
- Tankerkönig Binding
- iCalendar Binding
- iCloud Binding
- Anwesenheit via iCloud
- ComfoAir Binding (Zehnder AirComfort A350)
- SolarEdge Binding (PV)
- OpenWeatherMap Binding
- DWD Pollenflug Binding
- DWD Unwetter Binding
- FritzBox TR064 Binding
- PLCLogo Binding
- WIFI LED Binding
- Luxtronikheatpump (Novelan-WP)
- BEOK Raumthermostate
- myenergi

neuling10
Beiträge: 56
Registriert: 26. Mär 2022 18:15

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von neuling10 »

Hallo Galadriel13,

heute Abend hab ichs mit dem automatischen VPN Aufruf hinbekommen. Folgendermaßen bin ich vorgegangen (die openHAB App nutze ich jedoch nicht mehr, aus Gründen wie in meinem vorigen Posting beschrieben => keine Ahnung, ob das auch mit der App möglich wäre. Eine Verknüpfung in Safari auf den Home-Bildschirm hat für mich jedoch die gleiche Funktionalität und Komfort wie die App):

0. VPN auf FritzBox einrichten (hatte ich schon vorab erledigt)
1. Da ich keinen Mac habe, musste ich lokal am Windows-Rechner ein Konfig-File anlegen und anpassen. Mit einem Mac wäre der Apple Configurator eine Möglichkeit. Ich hab mich an folgendem .mobileconfig File orientiert (erster Post):
https://www.computerbase.de/forum/threa ... x.1923144/
3. VPN-Einstellungen eintragen. Passwort muss leider auch im Klartext eingegeben werden, da ansonsten bei jedem VPN-Aufruf das Passwort abgefragt werden würde (daher Vorsicht beim Übertrag ans iPhone und Datei an sicherem Ort/nur lokal speichern)
Im onDemand Rules Block noch wie gewünscht konfigurieren
4. Im onDemand Rules Block habe ich noch ergänzt, dass sich VPN nur bei Zugriff auf lokale Adressen einschaltet und nicht ständig in fremden WLANs/Cellulars aktiviert beim Aufruf aller möglichen Websites/Apps:

Code: Alles auswählen

		    
		        <dict>
			<!-- VPN beim Zugriff auf Heimnetz-Adressen aufbauen -->
			<key>Action</key>
			<string>EvaluateConnection</string>
			<key>ActionParameters</key>
			<array>
				<dict>
					<key>Domains</key>
					<array>
						<string>*.fritz.box:*</string>
					</array>
					<key>DomainAction</key>
					<string>ConnectIfNeeded</string>
				</dict>
			</array>
		    </dict>
Nach langem Erproben war der Eintrag
*.fritz.box:*
wichtig, denn einfach ein
*.fritz.box*
ohne ":" brachte keinen Erfolg (kein auto-Aktivieren des VPN bei Aufruf von OH mit Port 8080 möglich)
5. Die .mobileconfig Datei ans iPhone übertragen. Entweder per E-Mail (habe ich aus Sicherheitsgründen nicht gemacht) oder per Safari-Aufruf
6. Nach Klick auf die Datei das Profil installieren. Shared Secret der FritzBox wird abgefragt.
7. Openhab ist via Cellular und aus fremden WLANs mit http://DOMAIN.fritz.box:8080 erreichbar; VPN schaltet sich automatisch beim Aufrufen der Webadresse ein und mit Sperren des iPhones wie gewünscht wieder aus :D
8. Ich hab mir dann noch eine Verknüpfung auf dem Home Bildschirm gemacht. Nach Klick auf diesen, startet VPN automatisch (Latenzzeit von ca. 3-5 Sekunden mit LTE Verbindung bis zum Laden der Hauptseite - hab allerdings auch meine Kamera auf der Hauptseite eingebunden, möglich dass das Laden des Streams länger dauert und so alles etwas länger braucht zum Öffnen)
Zuletzt geändert von neuling10 am 18. Aug 2022 22:45, insgesamt 1-mal geändert.

neuling10
Beiträge: 56
Registriert: 26. Mär 2022 18:15

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von neuling10 »

udo1toni hat geschrieben: 16. Aug 2022 23:17 Ob es dabei zu einem Sicherheitsproblem kommt, kannst nur Du selbst beurteilen. Gibt es Leute, die in Deinem LAN unterwegs sind, die genug technisches Wissen haben, um Angriffe zu fahren? Sind diese Personen, falls vorhanden, Dir nicht wohlgesonnen? Wenn Du an diesem Punkt stehst, hast Du ein grundsätzliches Problem :)

Natürlich kann man sich auch unbemerkt einen Trojaner einfangen, der dann dazu benutzt wird, sich in Deine Kommunikation mit openHAB einzuklinken, aber der könnte dann auch genauso auf Deinem Rechner/Smartphone laufen und dort die Kommunikation kompromittieren.

Mit Docker kann man z.B. den Port 8080 nicht rausverbinden, aber openHAB wird trotzdem auf dem Port lauschen und zumindest im internen Netz auch darüber erreichbar sein.
Hallo udo1toni,

besten Dank für Deine Infos :)

Hab nun alles auf http laufen. Innerhalb meines LANs mach ich mir keine Sorgen. Alle, die was anstellen könnten oder unvorsichtig umgehen, bekommen nur einen Gäste-WLAN Zugang.... reicht ja auch wenn man nur surft und streamt :D

Klar, die Gefahr eines Trojaners besteht sicherlich immer... da agiere ich jedoch so vorsichtig wie möglich und wie Du sagst, da hätten andere Geräte auch Probleme...

Das mit Docker und Port 8080 raus verbinden verstehe ich nicht ganz. Ich hab Openhab auf einem Docker Container laufen. Ich versteh schon, dass ich via VPN aus dem Internet aus nur auf meine interne Instanz zugreife und nichts nach außerhalb gebe. Als ich noch die Openhab App über die Openhab Cloud laufen hatte, war Port 8080 auch erreichbar. Erfolgte da kein Hosten auf die Cloud, also ein Rausverbinden? Ist zwar nur eine rein rhetorische Frage, allerdings bin ich immer froh, wenn ich dazu lernen kann um das System besser zu verstehen :)

Benutzeravatar
udo1toni
Beiträge: 13858
Registriert: 11. Apr 2018 18:05
Answers: 222
Wohnort: Darmstadt

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von udo1toni »

Na, Du kannst den openHAB Container ja im Bridged Mode laufen lassen. Damit bestimmst Du in Docker, welche Ports in den Container weitergereicht werden, z.B. Host Port 7070 auf Container Port 8080, schwups, erreichst Du openHAB auf Host:7070, weil das eben der Port ist, der auf Port 8080 im Container gemappt ist.
Und jetzt könnte man ja die Kommunikation mit Port 8080 einfach unterbinden, indem man kein Mapping für diesen Port einträgt.
Aber das ist halt nur die halbe Wahrheit, denn der Docker Container im Bridged Mode hat ein eigene Netzwerk (meist aus dem Block 172.[16-32].x.y, also ein Klasse-B-Netz). Und innerhalb dieses Netzes ist der Port 8080 von openHAB dann auch erreichbar, egal ob Du den Port nun weiterleitest oder nicht.
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet

int5749
Beiträge: 1161
Registriert: 4. Nov 2019 22:08
Answers: 9

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von int5749 »

udo1toni hat geschrieben: 10. Aug 2022 12:23 Ob Du auf dem Schlauch steht, kann ich nicht beurteilen, ...
Nun ja, evtl. nicht auf aber min. daneben ;-) Auch als Infrastruktur-Architekt bin ich noch immer nicht grün mit Linux und somit NGINX, bzw. brauchte ich noch keinen Reverse-Proxy konfigurieren.

Nachdem ich nun wieder etwas Luft privat/business habe, kommt dies Thema wieder hoch, denn ewig den VPN zu starten ist bestenfalls nervig ;-)
Zudem würde ich ja auch noch weitere Zugriffe für Familie/Bekannte freischalten um direkt auf mein NAS zugreifen zu können.

Wenn ich nun das Gäste-WLAN auf einen freien Port der FRitzbox lege (ja, meine 7590 kann dies) müsste ich ja im Anschluß das "public" Interface der NGINX VM als exposed host freigeben? Würde dies dann nicht das Gäste-WLAN quasi unsicherer machen? Denn dies möchte ich ja weiter für die Gäste nutzen. Natürlich ist per-se nur der host exposed, der eingetragen ist, aber ist dann ja schon ein Teile des Gäste-WLANs nach draussen publiziert.
openHAB 4.1.0 Release mit openHABian in einem Debian Bookworm (LXC) unter Proxmox 8.1.3

Benutzeravatar
udo1toni
Beiträge: 13858
Registriert: 11. Apr 2018 18:05
Answers: 222
Wohnort: Darmstadt

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von udo1toni »

Die Frage ist, wie Du das Gäste-WLAN für Dich definierst. Soll es ein sicheres WLAN sein, mit dem die Gäste gefahrlos surfen können, aber ohne Zugriff auf Dein WLAN, so muss das Netz genauso abgeschottet werden wie das normale WLAN.
Wenn es nur darum geht einen Internetzugang bereitzustellen, ohne dass die Gäste Zugriff auf Deine Geräte im LAN haben, dann kann es Dir egal sein, ob dort potenziell jemand von außen eindringen kann.

Ein Dienst läuft gewöhnlich auf einem genau definierten Port; nur dieser Port wird auch freigegeben und auf den entsprechenden Rechner weitergeleitet. Ein exposed Host hingegen bekommt sämtlichen Traffic ungefiltert angereicht. In der FRITZ!Box kannst Du diesen Modus auch einrichten, er dient aber lediglich dazu, die FRITZ!Box als besseres Modem zu verwenden - sprich, der Rechner, der als exposed Host auftritt, sollte dann eine erwachsene Firewall sein. Eigentlich ist die FRITZ!Box dafür zu schade (ich habe aber auch eine Zeit lang eine FRITZ!Box genau so genutzt, weil mein Draytek Modem kaputt war und ich auf die Schnelle keinen anderen Ersatz besorgen konnte.)
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet

Antworten