was ist das nun wieder ?
- peter-pan
- Beiträge: 2573
- Registriert: 28. Nov 2018 12:03
- Wohnort: Schwäbisch Gmünd
Re: was ist das nun wieder ?
Da kann ich leider nicht mitreden. Ich habe alles lokal, ohne Cloud.
Pi5/8GB(PiOS Lite 64-bit(bookworm)/SSD 120GB - OH4.1.2 openhabian
-
- Beiträge: 367
- Registriert: 9. Jan 2021 22:55
Re: was ist das nun wieder ?
Also hast du einen Port an deinem Router geöffnet ?
openhab4.1.2 auf Pi 4 im Docker Portainer /Grafana&InfluxDB auf Pi 3 in Docker Portainer/Pi 3 mit Docker zur Datensicherung
- peter-pan
- Beiträge: 2573
- Registriert: 28. Nov 2018 12:03
- Wohnort: Schwäbisch Gmünd
Re: was ist das nun wieder ?
Nö, das würde ich nie tun. Egal welche Cloud.
Was für einen Port meinst denn du ? Der Pi hängt direkt am Router und braucht eigentlich gar kein Internet, da alles lokal läuft.
Ich kann halt nicht von unterwegs auf mein OH zugreifen.
Aber das will und wollte ich auch nie. Deshalb sind z.B. meine Sonoffs und ESP's alle mit Tasmota geflasht, damit die sich mit mir nur lokal unterhalten und nicht über einen chinesischen Server.
Pi5/8GB(PiOS Lite 64-bit(bookworm)/SSD 120GB - OH4.1.2 openhabian
- udo1toni
- Beiträge: 13983
- Registriert: 11. Apr 2018 18:05
- Wohnort: Darmstadt
Re: was ist das nun wieder ?
Man kann sich übrigens auch völlig ohne Cloud sicher mit openHAB verbinden. Voraussetzung dafür ist ein VPN (wenn es komfortabel sein soll).
Die FRITZ!Box als wohl am meisten verwendetes Gerät in Deutschland bietet von Haus aus IPSec und in der neuesten Firmware ist auch Wireguard mit dabei.
IPSec ist gewöhnlich höchst komplex zu konfigurieren, aber die Implementierung in der FRITZ!Box ist "für Dummies" gemacht, AVM legt großen Wert darauf, dass wirklich Jeder das Ding nutzen kann, selbst wenn er zwei linke Hände hat. Und es gibt bei AVM verständliche Anleitungen, wie man das Ganze auf Clientseite konfiguriert.
Wireguard ist, wenn der Server läuft, auch im Handumdrehen konfiguriert und ebenfalls äußerst sicher (und es ist wesentlich schneller als IPSec, weil auch schwachbrüstige Hardware damit zurecht kommt).
Nicht empfehlenswert ist die wireguard Option, die openHABian auf Wunsch einrichtet. Das Problem ist hier, das der Datenverkehr über den selben Host läuft, auf dem auch openHAB läuft. Sollte es also eine Sicherheitslücke in der Implementierung geben, so ist unmittelbar das System kompromittiert.
Eine dritte Variante wäre ein ssh Tunnel, dazu braucht es natürlich eine Portfreigabe und unbedingt einen separaten Host, der möglichst ausschließlich diesen ssh Zugang zur Verfügung stellt. Der ssh Server wird dann so konfiguriert, dass eine Anmeldung über Passwort unmöglich ist. Stattdessen wird zwingend ein Schlüsselpaar benötigt, was man vorher auf einem anderen Rechner erstellt und den öffentlichen Schlüssel auf dem ssh Server hinterlegt.
Dann kann man auf dem Client den privaten Schlüssel (passwortgeschützt) hinterlegen. Benötigt man Zugang, so ruft man die Verbindung zum ssh Server auf, sobald diese etabliert ist, kann man lokale Ports auf Zielports im Ziel-LAN tunneln. Das ist aber nicht sonderlich komfortabel, ist also eher eine Lösung für Situationen, wo das VPN aus irgendeinem Grund nicht mehr will...
Die FRITZ!Box als wohl am meisten verwendetes Gerät in Deutschland bietet von Haus aus IPSec und in der neuesten Firmware ist auch Wireguard mit dabei.
IPSec ist gewöhnlich höchst komplex zu konfigurieren, aber die Implementierung in der FRITZ!Box ist "für Dummies" gemacht, AVM legt großen Wert darauf, dass wirklich Jeder das Ding nutzen kann, selbst wenn er zwei linke Hände hat. Und es gibt bei AVM verständliche Anleitungen, wie man das Ganze auf Clientseite konfiguriert.
Wireguard ist, wenn der Server läuft, auch im Handumdrehen konfiguriert und ebenfalls äußerst sicher (und es ist wesentlich schneller als IPSec, weil auch schwachbrüstige Hardware damit zurecht kommt).
Nicht empfehlenswert ist die wireguard Option, die openHABian auf Wunsch einrichtet. Das Problem ist hier, das der Datenverkehr über den selben Host läuft, auf dem auch openHAB läuft. Sollte es also eine Sicherheitslücke in der Implementierung geben, so ist unmittelbar das System kompromittiert.
Eine dritte Variante wäre ein ssh Tunnel, dazu braucht es natürlich eine Portfreigabe und unbedingt einen separaten Host, der möglichst ausschließlich diesen ssh Zugang zur Verfügung stellt. Der ssh Server wird dann so konfiguriert, dass eine Anmeldung über Passwort unmöglich ist. Stattdessen wird zwingend ein Schlüsselpaar benötigt, was man vorher auf einem anderen Rechner erstellt und den öffentlichen Schlüssel auf dem ssh Server hinterlegt.
Dann kann man auf dem Client den privaten Schlüssel (passwortgeschützt) hinterlegen. Benötigt man Zugang, so ruft man die Verbindung zum ssh Server auf, sobald diese etabliert ist, kann man lokale Ports auf Zielports im Ziel-LAN tunneln. Das ist aber nicht sonderlich komfortabel, ist also eher eine Lösung für Situationen, wo das VPN aus irgendeinem Grund nicht mehr will...
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet
- peter-pan
- Beiträge: 2573
- Registriert: 28. Nov 2018 12:03
- Wohnort: Schwäbisch Gmünd
Re: was ist das nun wieder ?
Eine VPN-Verbindung zur Fritz-Box habe ich mir mal eingerichtet, aber eigentlich nie benutzt bzw. mal aus der Ferne ein Thermostat aus Fritz-Smarthome verändert. Aber da bin ich ja immer noch auf der Fritzbox. Bin also nicht weiter gekommen . Hast du mir da einen Tipp für einen "Dummy" . Vielleicht trau ich mich dann mal ran.udo1toni hat geschrieben: ↑22. Nov 2022 13:30 aber die Implementierung in der FRITZ!Box ist "für Dummies" gemacht, AVM legt großen Wert darauf, dass wirklich Jeder das Ding nutzen kann, selbst wenn er zwei linke Hände hat. Und es gibt bei AVM verständliche Anleitungen, wie man das Ganze auf Clientseite konfiguriert.
Pi5/8GB(PiOS Lite 64-bit(bookworm)/SSD 120GB - OH4.1.2 openhabian
- udo1toni
- Beiträge: 13983
- Registriert: 11. Apr 2018 18:05
- Wohnort: Darmstadt
Re: was ist das nun wieder ?
Wenn die VPN Verbindung aufgebaut ist, kannst Du einfach die interne IP-Adresse des Zielsystems (also in diesem Fall openHAB) verwenden, auch wenn Du ganz woanders bist. Falls das nicht funktioniert, stimmt etwas mit der Konfiguration nicht
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet
-
- Beiträge: 367
- Registriert: 9. Jan 2021 22:55
Re: was ist das nun wieder ?
Das mit VPN habe ich gestern auch mal versucht über die Fritz Box kam aber auch nicht weiter wäre eigentlich echt cool wenn man ohne Cloud auf das openhab System kommen würde muss ich mich mal reinlesen wenn ich etwas mehr Zeit habe
openhab4.1.2 auf Pi 4 im Docker Portainer /Grafana&InfluxDB auf Pi 3 in Docker Portainer/Pi 3 mit Docker zur Datensicherung
- peter-pan
- Beiträge: 2573
- Registriert: 28. Nov 2018 12:03
- Wohnort: Schwäbisch Gmünd
Re: was ist das nun wieder ?
Letztendlich ist das ja auch eine Cloud, wenn ich das so sehe !!!
Pi5/8GB(PiOS Lite 64-bit(bookworm)/SSD 120GB - OH4.1.2 openhabian
- peter-pan
- Beiträge: 2573
- Registriert: 28. Nov 2018 12:03
- Wohnort: Schwäbisch Gmünd
Re: was ist das nun wieder ?
Ich muss das alles nochmal durchprüfen. Konto bei Fritz hab ich ja.
Danke für die Info
Pi5/8GB(PiOS Lite 64-bit(bookworm)/SSD 120GB - OH4.1.2 openhabian
- udo1toni
- Beiträge: 13983
- Registriert: 11. Apr 2018 18:05
- Wohnort: Darmstadt
Re: was ist das nun wieder ?
Nein. MyFritz stellt lediglich einen zentralen Service zur Verfügung, um Zugriff auf das eigene System zu bekommen.
Man kann ohne Weiteres auch über einen selbst gewählten DynDNS Dienst auf die eigene Maschine kommen, das macht für den VPN Zugang keinen Unterschied (solange man die gewählte Adresse anpasst)
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet