Aufruf an alle ioBroker Benutzer bzgl. Portöffnungen
-
Hallo!
Ich möchte jetzt auch meine offenen Ports (Geofency…) schließen und mich mobil ausschließlich per VPN einwählen.
Beim iPhone klappt die VPN-Verbindung per Hand super. Aber eben nur per Hand.
Hat jemand eine Profildatei für L2PT, damit ich mich auch mit Verbindungsregeln per VPN verbinden kann? Zuhause läuft Unifi Security Gateway mit Radius- und L2PT-Server (ENDLICH haben alle meine Netzwerk- und WLAN-Probleme ein Ende, seit die Fritzbox rausgeflogen ist).
Es gibt bei iOS im Appstore irgendwie keine VPN-Apps, wo man auch eigene VPN-Server ansteuern kann.
-
Geofency geht per iobroker cloud. Brauchst du kein vpn
-
Du kannst anwendungsbezogene VPN-Profile anlegen, die beim Start der jeweiligen Anwendung dann mit geöffnet werden.
Die Anwendung "pocketcontrol HM" macht es z.B. so.
Ich denke, das die App als solches sein angelegtes Profil starten muss. Inwiefern man das selber nutzen kann, weiß ich aber nicht.
Gruß,
Eric
-
@pix:Hallo,
ich setze auf VPN. Die Verbindung wird auf iOS automatisch aufgebaut, wenn eine App eine Adresse aus meinem internen Netzwerk aufruft, das Gerät aber nicht darin eingeloggt ist (zB unterwegs oder im fremden WLAN). Somit funktionieren auch die Geofency Webhooks.
Die Anleitung ist hier im Forum verlinkt und kommt aus dem HM-Forum. Ist kein Hexenwerk, aber auch nicht einfach.
Pix
EDIT
Hier der Link: https://homematic-forum.de/forum/viewto … 65#p213447 `
Hi,
habe das gerade mal aktuell auf einem Iphone 7 versucht das wir neu im Haushalt haben. Das Iphone hat IOS 11.2.2 und wenn ich die Datei VPN_IOS.mobileconfig in der mail anklicke wird nichts mehr installiert.
Ich kann nur abspeichern, Drucken, Kopieren… usw.
Weiß auf die schnelle jemand wie man das unter einem aktuellem IOS machen muss?
Danke und Gruß
Mirko
-
@pix:habe das gerade mal aktuell auf einem Iphone 7 versucht das wir neu im Haushalt haben. Das Iphone hat IOS 11.2.2 und wenn ich die Datei VPN_IOS.mobileconfig in der mail anklicke wird nichts mehr installiert.
Ich kann nur abspeichern, Drucken, Kopieren… usw.
Bei meinem iPhone SE mit 11.2.5 funktioniert das, wenn ich auf den Mailanhang der Apple Mail App klicke. Dann fragt er sogleich, ob ich das neue Profil anlegen möchte.
Es wird importiert (nur leider kann ich damit nichts anfangen, da IPSEC).
Es muss bei dir auch klappen. Vielleicht hat sich bei dir beim editieren eine Datenendung angehängt, Windows macht das ja manchmal (aus VPN_IOS.mobileconfig wird dann VPN_IOS.mobileconfig.txt).
Geofency geht per iobroker cloud. Brauchst du kein vpn `
Danke, aber ich will je gerade weg von externen Diensten. Zuhause läuft ja auch alles sowieso
-
Hm,
Dateiendung hat sich nicht geändert:
-
Benutzt du ein Diensthandy wo der Import von Zertifikaten vielleicht gesperrt ist?
Öffnest du es von der Apple Mailapp aus?
Vielleicht hast du innerhalb der Datei doch etwas falsches überschrieben oder ein < gelöscht, so dass die Datei nicht mehr als Profildatei erkannt wird? Vielleicht die Datei nochmal vom Original neu mit eigenen Daten füllen und nochmal losmailen.
-
Habe mittlerweile eine etwas aktuellere Anleitung gefunden:
https://www.iphone-ticker.de/vpn-anleit … and-97462/
Wenn ich dieses Beispiel nehme und editiere kann ich es importieren.
Großer Nachteil ist scheinbar mittlerweile das nur noch der Aufruf mit Domain Namen funktioniert und nicht mehr mit IP Adressen.
Domain Namen lassen sich aber in den Apps leider nur selten einstellen.
-
Hallo Zusammen,
mit Interesse habe ich hier die Diskussion verfolgt. Ich nutze IoBroker seit Ende letzten Jahres und bin sehr zufrieden. Nachdem jetzt alles so langsam eingerichtet ist und läuft habe ich mir Gedanken bezüglich Sicherheit gemacht.
Ich habe bei mir den IoBroker auf einem Raspi3 und eine Homematic CCU2 am laufen. Einen Fernzugriff habe ich nur über den Cloud.PRO Zugang. Die Frage klingt jetzt vll. etwas komisch, aber ist das einigermaßen sicher wie es bisher läuft?
Wie genau funktioniert das mit dem Cloud Zugang eig. aus Sicht der Sicherheit?
Sollte ich zusätzlich noch diese SSL Verschlüsselung aktivieren? Oder wäre das Doppeltgemoppelt
Also ihr seht, eine Art Doku über das ganze Thema wäre glaube ich nicht nur für mich eine große Hilfe.
In diesem Zug auch ein großes Lob an diejenigen die hier so viel Zeit und Herzblut in die Ganze Sache stecken!
Das kann man gar nicht oft genug sagen:!:
Vielen Dank für die Antworten!
-
Ich habe den Thread eher per Zufall gefunden und gemerkt, daß ich wohl einiges noch nicht wirklich richtig mache… Gibt es denn mittlerweile eine anfängertaugliche Anleitung, wie man das alles richtig sicher einrichtet? Mit diesem ganzen Zertfikate-Krams komme ich leider nicht weiter (erfordert das eine eigene Webseite?) und VPN kenne ich auch nur als kleines Programm auf dem Rechner, das man bei Bedarf fürs anonyme Surfen aktiviert.
-
In meinen Augen ist VPN der sicherste und ich würde sagen für die meisten auch der einfachste weg.
Wenn du eine Fritzbox dein eigen nennst ist es relativ easy.
-
Das ist der Fall! Habe eine 6490 Cable (inkl. IPv4). Gibt es dazu eine Anleitung irgendwo?
-
Direkt auf der AVM-Webseite.
-
Ich habe mal mit den Schlagworten avm, vpn einrichten und 6490 gegoogelt, aber entweder nichts Passendes gefunden oder da etwas mißverstanden. Auch in der Benutzeroberfläche habe ich, trotz aktivierter Expertenansicht, nichts gefunden, was mich weitergebracht hat. Generell ist das ganze Thema VPN für mich aber auch ein Buch mit sieben Siegeln… Wie gesagt, ich habe bislang immer nur das Programm VPN Unlimited benutzt, das sich am Rechner bei Bedarf zuschalten läßt. Habe ich das richtig verstanden, daß man aber auch die Fritzbox selbst so einrichten kann, daß sämtliche Kommunikation (zumindest die nach und von draußen) generell nur noch über VPN läuft?
-
bei den ersten Links ist jeweils die Einrichtung beschrieben…
(Windows/Apple/Android)
-
Diese Links wurden mir auch angezeigt - wie gesagt, zu blöde zum Googeln bin ich schließlich auch nicht… Sie bringen mich aber nicht weiter, weil ich eine ganz grundsätzliche Verständnisfrage habe!
So, wie ich die vorherigen Beiträge verstanden und auch schon rückfragend geschrieben habe, kann man die Fritzbox selbst anscheinend so einrichten, daß ALLES per VPN verschlüsselt wird, richtig?
Der erste Link aber beschreibt stattdessen, sofern ich das richtig verstanden habe, wie man auf einem bestimmten Rechner ein VPN-Programm installiert. Das ist aber nicht mein Ziel, wenn auch die Möglichkeit besteht, daß grundsätzlich alles im gesamten Heimnetz per VPN gemacht wird und zudem auch die schwache Rechenleistung meines Servers geschont werden kann.
Ich habe vor einer ganzen Weile unter dem alten 6er FritzOS schon mal versucht, etwas mit DynDNS einzurichten, um mit dem Smart Home von außen erreichbar zu sein - aber natürlich auch verschlüsselt. Das ganze Unterfangen war leider erfolglos, was aber vermutlich eher an dem nervigen "IPv6 DS-Lite Tunnel Krams" gelegen hat, den man bei Unitymedia bekommt und der sich wohl nicht so leicht kompensieren läßt, auch wenn einige Leute das im Netz schreiben und in ihren Anleitungen eben genau auf DynDNS verweisen. Mittlerweile wurde mir zum Glück endlich eine IPv4-Adresse gegeben, sodaß ich diese fruchtlose Wissenschaft nicht länger betreiben muß... Ist das DynDNS-Zeug synonym mit VPN oder ist das jetzt wieder etwas ganz anderes?
Mag ja sein, daß meine Fragen für viele von Euch "blöd" sind, aber nicht jeder hier ist ein ITler oder mit dem ganzen Zeug aufgewachsen und vertraut...
-
Mittlerweile wurde mir zum Glück endlich eine IPv4-Adresse gegeben, `
Das ist wichtig, denn sonst würde das Fritzbox-VPN nicht funktionieren.
@P-A-L-A-D-I-N:Ist das DynDNS-Zeug synonym mit VPN oder ist das jetzt wieder etwas ganz anderes? `
Nein, auch VPN benötigt DynDNS. Das stellt AVM Fritzbox-Nutzern als MyFRITZ!-Konto zur Verfügung. Dieses DynDNS ist nicht in die DynDNS-Liste der Fritzbox einzutragen - die Liste sollte leer bleiben.AVM stellt für die Fritzbox einen VPN-Server zur Verfügung, über den man gesichert von außen mittels eines VPN-Clienten das eigene Heimnetz erreichen kann. Die Anleitungen von AVM beschreiben, wie man den VPN-Server auf der Fritzbox und anschließend den VPN-Clienten auf dem Frontend einrichtet.
Über das Fritzbox-VPN kann man aus der Ferne Webserver im Heimnetz <u>ohne Portfreigabe</u> erreichen.
-
kann man die Fritzbox selbst anscheinend so einrichten, daß ALLES per VPN verschlüsselt wird, richtig? `
Die Verschlüsselung erfolgt zwischen VPN-Server und VPN-Client, also über das Internet.Man kann die Fritzbox so einrichten, dass die VPN-Verbindung nicht nur für den Zugang zum Heimnetz, sondern auch für den Zugang zum Internet verwendet werden kann. Dieser Umweg über die Fritzbox ist dann sinnvoll, wenn man sich in einem offenen WLAN in einen Internet-Account (z.B. email) einloggen will. Das ist ohne VPN potentiell gefährlich, da von Hackern mitlesbar.
-
Ich glaube, hier gibts ein paar grundsätzliche Verständnisprobleme …
Was macht DynDNS?
Wenn Dein Router sich mit dem Internet verbindet, bekommt er vom Provider eine IP-Adresse (sagen wir mal 79.1.2.3) . Viele Provider bieten für private Anschlüsse keine statischen (also festen) IP-Adressen an, sondern der Router bekommt diese beim Herstellen der Verbindung dynamisch zugeteilt.
Die Verbindung wird hier auch meist alle 24h zurück gesetzt und neu aufgebaut, damit bekommst Du (spätestens) alle 24h eine neue IP Adresse.
Damit Du nun Deinen Rechner aus dem Internet mit einer gleichbleibenden Adresse erreichen kannst, gibt es Dienste, denen der Router beim Aufbau der Verbindung die aktuelle IP-Adresse schicken kann, und diese dann entsprechend dem DNS (Domain Name Service) Protokoll aufgelöst. Diese Dienste können eben MyFritz, DynDNS oder auch was anderes sein.
Das heisst also, der Service löst einfach den gleichbleibenden Namen wie "abcdefgh.myfritz.de" zur aktuellen IP-Adresse (79.1.2.3) auf, und stellt damit für Deinen Computer im Internet eine gleichbleibende Adresse zur Verfügung.
Das heisst also, das DynDNS Gedöns hat nur was mit Erreichbarkeit zu tun. Mit der Security gar nix. Macht Euch übrigens keine Illusionen, die Hacker kennen die IP-Bereiche der Telekom und der anderen Provider und klappern die regelmäßig ab, Abschalten der DynDNS Namensauflösung bringt Euch sicherheitsmäßig nicht wesentlich vorwärts.
VPN (Virtual Private Network) erweitert dagegen das NETZWERK eines VPN Servers zum Client durch das Internet, und zwar verschlüsselt. Das bedeutet, mit einem etablierten VPN verhält sich z.B. das Handy (VPN Client) genau so, als ob es "lokal" im Netzwerk des Routers (VPN-Server) wäre, hat also Zugriff auf alle Ports etc.
Ganz sicher die eleganteste Lösung.
Damit die VPN Software des Client den Server überhaupt FINDET, braucht Sie die Adresse des Servers, und damit schlägt sich der Bogen zum DynDNS.
SSL bzw. TLS (Transport Layer Security) baut EBENFALLS einen verschlüsselten Kanal auf, aber halt nur für einen Port (der damit freigegeben sein muss). Das heisst erst mal nur, dass (in erster Näherung :)) die Kommunikation nicht belauscht werden kann. Ohne Authentisierung/Zugriffsschutz macht das natürlich keinen Sinn, kann zwar keiner zuhören, aber eh jeder kann rein
Für TLS braucht man ein Private/Public Key Paar, der Server hat den Private Key und kann sich damit ausweisen (sprich, man weiss mit wem man redet). Das Zertifikat ist der Public Key, den eine Zertifizierungsstelle unterschrieben und damit als vertrauenswürdig gekennzeichnet hat (z.B. Lets Encrypt).
Grundsätzlich ist für mich ein authentisierter Zugang über TLS schon ok (im Grunde funktioniert das halbe Internet so ...), aber man muss schon bisschen aufpassen was man da macht, d.h. sicherstellen, dass ein eigenes Schlüsselpaar verwendet wird, das Zertifikat überprüfen und vor allem sicher authentisieren (mindestens sicheres Passwort bei Basic auth).
Ich hoff, dass bringt ein bisschen Licht ins Dunkel der Begriffe
-
Das ist der Fall! Habe eine 6490 Cable (inkl. IPv4). Gibt es dazu eine Anleitung irgendwo? `
