Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Hier bitte alles rein was Off-topic ist.

Moderatoren: Cyrelian, seppy

Benutzeravatar
udo1toni
Beiträge: 13859
Registriert: 11. Apr 2018 18:05
Answers: 222
Wohnort: Darmstadt

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von udo1toni »

Wenn, dann separat.
Im Proxmox kannst Du leicht eine weitere Bridge hinzufügen und so eine DMZ aufbauen. Allerdings frage ich mich, ob die FRITZ!Box das in dieser Form überhaupt unterstützt... Kann man bei der FRITZ!Box LAN-Ports dem Gäste-WLAN zuordnen? Und irgendwie ist das natürlich unbefriedigend, wenn man für eine DMZ einen weiteren LAN-Anschluss benötigt. Aber kann die FRITZ!Box mit mehreren VLAN (im eigenen LAN) umgehen?
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet

int5749
Beiträge: 1161
Registriert: 4. Nov 2019 22:08
Answers: 9

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von int5749 »

Nein, die FRITZ!Box kann keine DMZ. Im Support wird dafür ein Exposed Host empfohlen, welches dann wohl NGinX wäre. Aber intern dann unterschiedliche VLANs abbilden wird schwierig. Mein Switch könnte zwar unterschiedliche VLANs aber dann bräuchte NGinX 2 Netzwerke. Und nur dafür eine weitere FRITZ!Box => 20-25€/Jahr ist auch nicht schön.

Zudem brauche ich das Gäste WLAN ja auch für Gäste. Aber ja, ich kann bei der 7590 einen LAN Port dem Gäste WLAN zuordnen. Aber NGinX als Container hat doch keinen LAN Anschluß. Oder stehe ich auf dem Schlauch?

Viele Grüße
openHAB 4.1.0 Release mit openHABian in einem Debian Bookworm (LXC) unter Proxmox 8.1.3

Benutzeravatar
udo1toni
Beiträge: 13859
Registriert: 11. Apr 2018 18:05
Answers: 222
Wohnort: Darmstadt

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von udo1toni »

Ob Du auf dem Schlauch steht, kann ich nicht beurteilen, aber Du kannst einem Container (oder einer VM) mehrere Schnittstellen zuweisen.
Und wie oben erwähnt, kannst Du in Proxmox mehrere Bridges anlegen und so unterschiedliche VLAN auf unterschiedliche Schnittstellen in den Conteiner hineinreichen.
Wenn der Host nur eine Ethernet Schnittstelle hat, kannst Du die Bridge auf ein VLAN festnageln, welches Du dann über den Switch auseinanderdividieren kannst. Ist etwas aufwändiger, es zu konfigurieren (einfach weil Du in der FRITZ!Box die LAN-Schnittstelle konfigurieren musst, dann im Switch die FRITZ!Box Ports auf VLANs routen, dann im Proxmox die VLANs in die Bridges legen, um schließlich das Gast-(W)LAN auf der getrennten Bridge zu haben. Aber geht, nur halt nicht in drei Minuten.
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet

Galadriel13
Beiträge: 216
Registriert: 30. Dez 2019 20:29

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von Galadriel13 »

Hallo liebe Community,

ich möchte dieses Thema auch aus gegebenem Anlass noch mal aufgreifen:

Gestern Nacht scheint sich jemand in mein System gehackt zu haben.
Die Rollos gingen wild durcheinander AUF und AB, die Gartenbewässerung ging an, etc.
Sehr beunruhigend und wirklich scary.

Ich habe erst einmal die FritzBox vom LAN getrennt, den Raspberry Pi auch.

Heute morgen habe ich dann mal mein System analysiert-und ja, ich hatte eine Portfreigabe auf 8080-was natürlich super blöd war.
Dann heute FritzBox zurückgesetzt, sämtliche Portfreigaben gelöscht und sehr komplexe Passwörter für FritzBox und openHAB gesetzt.

Dazu habe ich in der FritzBox VPN eingerichtet, im iPhone auch.

Nun habe ich aber das Problem, dass ich auf dem iPhone, in der openHAB-App, wenn ich mich nicht im Heimnetz befinde, mich nicht mehr einloggen kann/keinen Zugriff via App habe.

Früher stand in den Settings bei Remote: http://192.168.122.54:8080 (nicht die wahre IP)

Was muss ich denn jetzt hier eintragen, um remote, oder besser über den eingerichteten VPN in die App zu kommen und von überall alles steuern zu können?


Danke vorab für eure Hilfe und nehmt das Thema Sicherheit sehr ernst-keine Portfreigaben.

Viele Grüße.
Hausautomation zu 95% mit Siemens Logo! (5x 0BA8).
Gartenbewässerung, Rollosteuerung, Lichtsteuerung, etc.
Abfrage von Temperaturen, Helligkeit, Füllstand Zisterne Leistung Photovoltaik.

openHAB 4.0.4 mit folgenden Bindings:

- Bosch Indego Binding
- Tankerkönig Binding
- iCalendar Binding
- iCloud Binding
- Anwesenheit via iCloud
- ComfoAir Binding (Zehnder AirComfort A350)
- SolarEdge Binding (PV)
- OpenWeatherMap Binding
- DWD Pollenflug Binding
- DWD Unwetter Binding
- FritzBox TR064 Binding
- PLCLogo Binding
- WIFI LED Binding
- Luxtronikheatpump (Novelan-WP)
- BEOK Raumthermostate
- myenergi

Benutzeravatar
udo1toni
Beiträge: 13859
Registriert: 11. Apr 2018 18:05
Answers: 222
Wohnort: Darmstadt

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von udo1toni »

Galadriel13 hat geschrieben: 12. Aug 2022 15:09 Früher stand in den Settings bei Remote: http://192.168.122.54:8080 (nicht die wahre IP)
Und wenn es zehnmal die echte IP wäre, spielt das keine Rolle. 192.168.x.y ist privater Adressbereich, der wird nicht im Internet geroutet. Weshalb die Geheimnsikrämerei an dieser Stelle unsinnig ist.
Wenn Du ein VPN nutzt (brav!) solltest Du openHAB ganz normal erreichen können, so als ob Du mit Deinem Smartphone im WLAN eingeloggt wärst. Allerdings kann man da auch schon Dinge falsch konfigurieren. Ich habe aber gerade keine FRITZ!Box zur Hand, um nachzuschauen, welche Optionen wichtig sind.
Grundsätzlich: Das VPN hat einen eigenen Adressbereich, (zwingend!) außerhalb des LAN, in das Du Dich verbindest und ebenso außerhalb des LAN, aus dem heraus Du Dich mit dem VPN verbindest. Es gibt also gewöhnlich vier beteiligte Netze:
  1. Das Netz, in dem sich Dein Smartphone befindet.
  2. Das Netz, über das Dein Router erreichbar ist.
  3. Das LAN Deines Routers.
  4. Das VPN selbst.
Eine weitere Hürde: Es kommt vor, dass das Start-Netz (Punkt 1) ein reines IPv6 Netz ist. Das macht es nicht einfacher. Nur wenn Dein Smartphone eine öffentliche IPv4 Adresse zugewiesen hat, sind die beiden Netze 1. und 2. miteinander identisch (das dürfte die absolute Ausnahme sein).

Mit dem VPN kannst Du Dich übrigens auch "von Zuhause aus" über WLAN verbinden, Dein Smartphone ruft die öffentliche IP Deines Routers auf und baut den Tunnel von außen auf. Dass die Anfrage aus dem lokalen Netz kommt, ist dabei unerheblich. Du musst also zum Testen keinen Aufwand treiben und auch nicht zwingend über das Mobilnetz gehen.

Prüfe, ob alle Netze sich voneinander unterscheiden.
Prüfe, ob die Routen korrekt definiert sind. Das VPN muss automatisch in Dein LAN routen, damit Du die private IP nutzen kannst.
Prüfe, ob der gesamte Datenverkehr über das VPN geroutet wird. Mindestens, wenn Du Zuhause testest, ist es wichtig, dass sämtlicher Datenverkehr über das VPN geht. Wenn Du über das Mobilnetz gehst, muss mindestens der Adressbereich Deines LAN über das VPN geroutet werden.
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet

Galadriel13
Beiträge: 216
Registriert: 30. Dez 2019 20:29

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von Galadriel13 »

Danke dir, udo1toni,

du bist unglaublich.
Was du alles weisst, und wie detailliert du das erklärst, ist wirklich eine Bereicherung.
Wieder etwas gelernt.

Ich werde mich mal tiefer in das Neuland stürzen-anders geht es ja nicht.
Ich berichte die Tage mal.

Ich wünsche dir ein schönes Wochenende.
Hausautomation zu 95% mit Siemens Logo! (5x 0BA8).
Gartenbewässerung, Rollosteuerung, Lichtsteuerung, etc.
Abfrage von Temperaturen, Helligkeit, Füllstand Zisterne Leistung Photovoltaik.

openHAB 4.0.4 mit folgenden Bindings:

- Bosch Indego Binding
- Tankerkönig Binding
- iCalendar Binding
- iCloud Binding
- Anwesenheit via iCloud
- ComfoAir Binding (Zehnder AirComfort A350)
- SolarEdge Binding (PV)
- OpenWeatherMap Binding
- DWD Pollenflug Binding
- DWD Unwetter Binding
- FritzBox TR064 Binding
- PLCLogo Binding
- WIFI LED Binding
- Luxtronikheatpump (Novelan-WP)
- BEOK Raumthermostate
- myenergi

Galadriel13
Beiträge: 216
Registriert: 30. Dez 2019 20:29

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von Galadriel13 »

Ich bin schon soweit, dass VPN eingerichtet ist und funktioniert.
Unschön bzw. umständlich ist nur, dass ich vor Nutzung der App immer die VPN-Verbindug manuell aufbauen und dann die App öffnen muss.

Für mich ist das nicht so schlimm, aber meine Frau findest das nervig-sie hat das ja auch nicht alles in mühsamer Kleinarbeit konfiguriert... ;)
In der Regel schaue ich/wir schon öfter mal auf die Temperaturen, Schaltzustand Garagentor, etc.

Ich habe auch einen anderen Post von dir dazu gefunden, in dem du darauf hinweist, dass es-sofern man größt mögliche Sicherheit via VPN möchte, nicht anders geht.

viewtopic.php?p=7647#p7647

Kann man sich damit behelfen, dass VPN dauerhaft als aktiv gesetzt wird?
- falls ja, wie funktioniert das?
- falls ja, wieviel Traffic macht das schätzungsweise aus?

Kann man ggf. in den LogIn-Daten der App die VPN-Adresse und Zugangsdaten hinterlegen?

Bislang muss ich unter iOs unter Einstellungen --> Allgemein -->VPN --> VPN aktivieren

Danke und viele Grüße.
Hausautomation zu 95% mit Siemens Logo! (5x 0BA8).
Gartenbewässerung, Rollosteuerung, Lichtsteuerung, etc.
Abfrage von Temperaturen, Helligkeit, Füllstand Zisterne Leistung Photovoltaik.

openHAB 4.0.4 mit folgenden Bindings:

- Bosch Indego Binding
- Tankerkönig Binding
- iCalendar Binding
- iCloud Binding
- Anwesenheit via iCloud
- ComfoAir Binding (Zehnder AirComfort A350)
- SolarEdge Binding (PV)
- OpenWeatherMap Binding
- DWD Pollenflug Binding
- DWD Unwetter Binding
- FritzBox TR064 Binding
- PLCLogo Binding
- WIFI LED Binding
- Luxtronikheatpump (Novelan-WP)
- BEOK Raumthermostate
- myenergi

Benutzeravatar
udo1toni
Beiträge: 13859
Registriert: 11. Apr 2018 18:05
Answers: 222
Wohnort: Darmstadt

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von udo1toni »

Also, grundsätzlich kannst Du die VPN Verbindung ja so konfigurieren, dass der Datenverkehr adressabhängig über die VPN Verbindung geroutet wird oder eben nicht.
Das Blöde: Wenn Du nun die VPN Verbindung dauerhaft aktiv hältst, dann geschieht dieses Routung auch, wenn das Smartphone Zuhause im WLAN eingeloggt ist. Das ist mindestens unpraktisch.

Was die Datenmenge betrifft, so kann ich da keine Angaben machen. Es kommt auf verschiedene Faktoren an, wie viele Daten über die Verbindung gehen. Vielleicht kannst Du in iOS nachschauen, wie hoch die Auslastung auf dem VPN ist. Es kann auch sein, dass Du auf der anderen Seite (also der Gegenstelle zum VPN, im Router) nachschauen kannst.

Letztlich könntest Du sogar den gesamten Datenverkehr über das VPN laufen lassen, nur ist das halt umständlich, wenn das Smartphone jede Datei indirekt über Dein LAN abruft. Der Overhead beträgt 4 Prozent (die MTU ist bei IPSec 1440 statt 1500 Byte groß), das ist also der "Verlust" an Übertragungskapazität pro Datenpaket.
Je nach Surfverhalten und Datentarif kann das egal sein oder eben nicht. Durch das zusätzliche Routing hast Du natürlich eine höhere Latenz und die Datenrate ist auf < 96% Deines Upload Zuhause begrenzt. Wenn Du z.B. einen VDSL 50 Anschluss der Telekom mit 10 MBit/s Upload hast, kannst Du auf dem Smartphone immer noch 9,6 MBit/s erreichen (allerdings eben als Summe aller Geräte, Deines, das Deiner Frau, falls Zuhause auch noch ein Gerät ins Internet geht zählt das auch mit). Ist es ein 16 MBit/s Anschluss, so stehen nur noch 2,4 MBit/s Upload zur Verfügung und davon kommen dann nur noch etwa 2,3 MBit/s bei Dir an (maximal). Das kann, wenn es den gesamten Datenverkehr betrifft (Webseiten, Whatsapp, Videos usw.) ganz schnell sehr nervig werden.
Auf der anderen Seite kann man natürlich aus der Not eine Tugend machen und durch das dauerhafte VPN auch gleich Werbung usw. ausblenden, schließlich laufen die Daten eh über das heimische Netzwerk und z.B. ein PiHole wuppt das locker auch durch das VPN.
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet

tim.l
Beiträge: 59
Registriert: 24. Jun 2022 08:16
Answers: 2
Wohnort: Bielefeld
Kontaktdaten:

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von tim.l »

Kurze Frage in eigenem Interesse… ich habe keine Ports freigegeben und benutze einfach die myopenhab Cloud. Ist das nicht der beste Weg, wenn man einen Kompromiss zwischen Sicherheit und einfacher Handhabung haben möchte?

Beste Grüße,
Tim
Meine openHAB Erfahrungen bei mir im Blog: https://360friends.de/tag/openhab/ ;)

Benutzeravatar
udo1toni
Beiträge: 13859
Registriert: 11. Apr 2018 18:05
Answers: 222
Wohnort: Darmstadt

Re: Fernzugriff auf OpenHab3/Raspberry PI - Portfreigabe: Was noch beachten?

Beitrag von udo1toni »

myopenHAB ist dazu gedacht, den Zugriff sicher zu gestalten, und das funktioniert auch soweit zuverlässig.
Allerdings bist Du damit wieder auf einen externen Anbieter angewiesen, selbst wenn dies unentgeltlich durch die openHAB Foundation zur Verfügung gestellt wird.
Letztlich öffnet das Binding durch die Kommunikation mit der maopenHAB Cloud auch einen Port und hält diesen offen, sonst könnte man ja nicht auf den eigenen openHAB Server zugreifen.

Ich nutze neben dem Zugriff auf openHAB auch die Möglichkeit, auf Dateifreigaben meines Samba Servers zuzugreifen, die Telefonanlage zu kontrollieren, Videoserver neu zu starten... Ich bin ja der "Systemadministrator" meines LAN, mit allem, was sich darin befindet, aber ich bin nicht der einzige Nutzer. Allerdings bin ich der Einzige, der sich mit dem Zeug auskennt...
Und trotz hoher Affinität zu Computerspielen haben beide Kinder bisher keinerlei Interesse, zu erfahren, wie das "hinter den Kulissen" funktioniert. :)
Ich bin also darauf angewiesen, jederzeit von extern auf all meine laufenden Systeme zu kommen - sofern überhaupt eine Verbindung zum Internet besteht. Deshalb nutzt mir ein Dienst wie myopenHAB nichts, weil ich ohnehin andere Wege gehen muss.

Grundsätzlich ist die sicherste Kommunikation die, welche nicht stattfindet. Als zweitsicherste sehe sehe ich die an, bei der ich sämtliche Komponenten selbst kontrollieren kann, das wäre bei VPN der Fall, bei myopenHAB eher nicht, auch wenn ich im Quellcode zumindest überprüfen könnte, dass kein Schindluder getrieben wird, aber ich habe ja keinen Zugriff auf den Server, im Gegensatz zu meinem VPN Endpunkt.
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet

Antworten