openhabforum.de

Hallo zusammen,
ich steh gerade etwas auf dem Schlauch.
Versuche einen Zugriff von aussen mit der Openhab App.
Das Ganze funktioniert aber nur wenn ich in der APP unter Server
KEINEN Benutzernamen und KEIN Kennwort eingebe. Wenn ich
den Standarduser Admin und das dazugehörige Kennwort eingebe
bekomme ich keinen Zugriff. Wo muss ich das denn in Openhab
hinterlegen ?
Über nen Tipp wäre ich sehr dankbar.
Gruß
Markus

Wie stellst Du denn die Verbindung her?

Über ne feste IP und nen Reverse-Proxy der Synology.

In der Fehlermeldung steht dass man sicher stellen muss dass der Server Basic Authentication aktiviert hat. Finde da aber nix.

1. Einstellungen -> API-Sicherheit -> Implizite Benutzerrolle deaktivieren
2. an gleicher Stelle Show Advanced -> Basic Authentication Erlauben

Alternativ zu 2. (wesentlich besser) erzeugst Du über die Main UI ein Token und trägst dieses in der App ein.

Das Token erzeugst Du über das User Menü (unten links auf den angemeldeten User klicken, API-Token -> Erstelle neuen APU Token -> Name des API Token darf keine Leerzeichen oder Sonderzeichen enthalten, Scope wird derzeit nicht genutzt).

Du kannst beliebig viele Token erzeugen.
Das Token wird nur einmalig angezeigt!
Du kannst jederzeit erstellte Token einzeln aus der Liste entfernen. Es ist also sinnvoll, den Namen so zu wählen, dass eine Zuordnung zum Endgerät möglich ist. Bei Verlust kann dann der Zugriff dieses Endgeräts einfach deaktiviert werden, ohne andere Geräte anfassen zu müssen.
openHAB speichert lediglich ein Hash des Tokens, aus dem man keine Rückschlüsse auf das Token selbst ziehen kann (das ist das Funktionsprinzip der Token)

Hey, vielen Dank. Das leuchtet mir ein. Allerdings stell ich mir dann doch noch die Frage wie ich verhinder dass jemand ohne Benutzer/Kennwort von extern zugreifen kann. Nur durch das erstellen des Tokens ist dies ja nicht verhindert, oder ?

Doch, denn das Token ist ja nur auf Deinem einzelnen Gerät eingerichtet. Du musst natürlich den Zugriff entsprechend einstellen, siehe Punkt 1.

Oder meinst Du den Zugang grundsätzlich?
Sauber ist der Zugriff über ein eigenes VPN, z.B. mittels Wireguard, oder wenn Du masochistisch veranlagt bist mittels IPsec - gut, mit FRITZ!Box kann man das mit dem Assistenten einigermaßen bequem erledigen, aber Wireguard ist wesentlich flotter...
Alternativ kannst Du auch myopenHAB einsetzen, dabei baut Dein Endgerät eine Verbindugn zum myopenHAB Server auf und dieser leitet die Anfragen an Dein openHAB weiter, welches ebenfalls mit myopenHAB verbunden ist. Wahlweise kannst Du myopenHAB auch selbst aufsetzen (auf einem aus dem Internet erreichbaren Webserver...)

Keine gute Idee ist es hingegen, den openHAB Server direkt erreichbar zu machen. openHAB ist nicht gegen gezielte Angriffe gehärtet, Du müsstest also mindestens noch einen Reverse Proxy (z.B. mit Nginx) dazwischen schalten, natürlich gehärtet...

Danke. Sprich ich muss die Benutzerrolle auf jeden Fall deaktivieren und die Basic Authentication erlaufen egal ob ich User oder Token verwende.
Das teste ich dann mal.
Also die Idee wäre eigentich schon gewesen Openhab direkt aus dem Netz erreichbar zu machen. Sprich ne Subdomain mit Portweiterleitung an den ReverseProxy der Synology auf Openhab. Scheint aber wohl nicht wirklich sicher zu sein. Taugt der ReverseProxy der Synology was ? Oder eher nicht ?
Bin in der Linuxwelt nicht wirklich zu Hause. Habe Debian mal auf ner VM installiert und auch den Nginx Webserver. Aber wirklich weitergekommen bin ich da nicht.

Es ist halt grundsätzlich keine gute Idee, einen Netzwerkservice ins Netz zu stellen, wenn Du kein Experte in Sachen Netzwerksicherheit bist. Ich kann mein openHAB auch von unterwegs erreichen, aber zumindest geht das bei mir nur über eine VPN Verbindung.
Wireguard einrichten ist easy, notfalls kannst Du das auch als Container auf der Synology laufen lassen, oder vielleicht hast Du eine FRITZ!Box, da ist Wireguard inzwischen auch mit an Bord.
Clients gibt es für alle aktuellen Betriebssysteme, ob nun MacOS, FreeBSD, Windows (ja, tatsächlich...), GNU/Linux, iOS (Jepp!) oder Android. Die Einrichtung der Verbindung läuft gewöhnlich so, dass Du auf dem Server eine Verbindung erstellen lässt und die Einstellungen anschließend als Textdatei auf den Client kopierst, oder im Fall eine Mobilgeräts den angezeigten QR-Code mit der Wireguard App fotografierst.

Anschließend musst Du lediglich in der App die Verbindung aktivieren und schon wird der Datenverkehr in Dein LAN über das Internet in Dein LAN durchgeleitet. Dabei ist die Verbindung schnell und abhörsicher. Von Geräten ohne die Zugangsdaten ist aber keine Verbindung in Dein LAN möglich. Wireguard läuft notfalls sogar ohne Installation (Stichwort Büro-PC), wobei es natürlich sein kann, dass der entsprechende Datenverkehr von der Firewall geblockt wird
Auch hier gilt im Übrigen, dass jedes Gerät ganz einfach eigene Zugangsdaten bekommen kann (also einen eigenen Schlüssel), so dass der Verlust eines Geräts lediglich bedeutet, dass Du den Schlüssel für dieses Gerät so schnell wie möglich deaktivieren musst, Du musst aber auf anderen Geräten keine Schlüssel tauschen,

Hallo !
Sorry für die späte Rückmeldung. War anderweitig eingespannt.
Ok. Danke auf jeden Fall für die Rückmeldung und die Einschätzung.
Habe mich entschieden dass über myopenhab zu machen.
Registrierung ist erfolgt, mein OpenhabServer ist online und in myopenhab wird der auch als online angezeigt.
Wenn ich jetzt in der App bei "externem Zugriff" den Server myopenhab.org und meine Benutzerdaten eingebe bekomme ich die Meldung, dass die Authentifizerung fehlgeschlagen ist. Benutzter und Passwort stimmen daber definitiv. Kann da noch was mit dem Zertifikat sein oder muss ich beim Cloudconnector noch was einstellen ?
Gruß
Markus