NEWS
Aufruf an alle ioBroker Benutzer bzgl. Portöffnungen
-
Du kannst anwendungsbezogene VPN-Profile anlegen, die beim Start der jeweiligen Anwendung dann mit geöffnet werden.
Die Anwendung "pocketcontrol HM" macht es z.B. so.
Ich denke, das die App als solches sein angelegtes Profil starten muss. Inwiefern man das selber nutzen kann, weiß ich aber nicht.
Gruß,
Eric
-
@pix:Hallo,
ich setze auf VPN. Die Verbindung wird auf iOS automatisch aufgebaut, wenn eine App eine Adresse aus meinem internen Netzwerk aufruft, das Gerät aber nicht darin eingeloggt ist (zB unterwegs oder im fremden WLAN). Somit funktionieren auch die Geofency Webhooks.
Die Anleitung ist hier im Forum verlinkt und kommt aus dem HM-Forum. Ist kein Hexenwerk, aber auch nicht einfach.
Pix
EDIT
Hier der Link: https://homematic-forum.de/forum/viewto … 65#p213447 `
Hi,
habe das gerade mal aktuell auf einem Iphone 7 versucht das wir neu im Haushalt haben. Das Iphone hat IOS 11.2.2 und wenn ich die Datei VPN_IOS.mobileconfig in der mail anklicke wird nichts mehr installiert.
Ich kann nur abspeichern, Drucken, Kopieren… usw.
Weiß auf die schnelle jemand wie man das unter einem aktuellem IOS machen muss?
Danke und Gruß
Mirko
-
@pix:habe das gerade mal aktuell auf einem Iphone 7 versucht das wir neu im Haushalt haben. Das Iphone hat IOS 11.2.2 und wenn ich die Datei VPN_IOS.mobileconfig in der mail anklicke wird nichts mehr installiert.
Ich kann nur abspeichern, Drucken, Kopieren… usw.
Bei meinem iPhone SE mit 11.2.5 funktioniert das, wenn ich auf den Mailanhang der Apple Mail App klicke. Dann fragt er sogleich, ob ich das neue Profil anlegen möchte.
Es wird importiert (nur leider kann ich damit nichts anfangen, da IPSEC).
Es muss bei dir auch klappen. Vielleicht hat sich bei dir beim editieren eine Datenendung angehängt, Windows macht das ja manchmal (aus VPN_IOS.mobileconfig wird dann VPN_IOS.mobileconfig.txt).
Geofency geht per iobroker cloud. Brauchst du kein vpn `
Danke, aber ich will je gerade weg von externen Diensten. Zuhause läuft ja auch alles sowieso
-
Hm,
Dateiendung hat sich nicht geändert:
-
Benutzt du ein Diensthandy wo der Import von Zertifikaten vielleicht gesperrt ist?
Öffnest du es von der Apple Mailapp aus?
Vielleicht hast du innerhalb der Datei doch etwas falsches überschrieben oder ein < gelöscht, so dass die Datei nicht mehr als Profildatei erkannt wird? Vielleicht die Datei nochmal vom Original neu mit eigenen Daten füllen und nochmal losmailen.
-
Habe mittlerweile eine etwas aktuellere Anleitung gefunden:
https://www.iphone-ticker.de/vpn-anleit … and-97462/
Wenn ich dieses Beispiel nehme und editiere kann ich es importieren.
Großer Nachteil ist scheinbar mittlerweile das nur noch der Aufruf mit Domain Namen funktioniert und nicht mehr mit IP Adressen.
Domain Namen lassen sich aber in den Apps leider nur selten einstellen.
-
Hallo Zusammen,
mit Interesse habe ich hier die Diskussion verfolgt. Ich nutze IoBroker seit Ende letzten Jahres und bin sehr zufrieden. Nachdem jetzt alles so langsam eingerichtet ist und läuft habe ich mir Gedanken bezüglich Sicherheit gemacht.
Ich habe bei mir den IoBroker auf einem Raspi3 und eine Homematic CCU2 am laufen. Einen Fernzugriff habe ich nur über den Cloud.PRO Zugang. Die Frage klingt jetzt vll. etwas komisch, aber ist das einigermaßen sicher wie es bisher läuft?
Wie genau funktioniert das mit dem Cloud Zugang eig. aus Sicht der Sicherheit?
Sollte ich zusätzlich noch diese SSL Verschlüsselung aktivieren? Oder wäre das Doppeltgemoppelt
Also ihr seht, eine Art Doku über das ganze Thema wäre glaube ich nicht nur für mich eine große Hilfe.
In diesem Zug auch ein großes Lob an diejenigen die hier so viel Zeit und Herzblut in die Ganze Sache stecken!
Das kann man gar nicht oft genug sagen:!:
Vielen Dank für die Antworten!
-
Ich habe den Thread eher per Zufall gefunden und gemerkt, daß ich wohl einiges noch nicht wirklich richtig mache… Gibt es denn mittlerweile eine anfängertaugliche Anleitung, wie man das alles richtig sicher einrichtet? Mit diesem ganzen Zertfikate-Krams komme ich leider nicht weiter (erfordert das eine eigene Webseite?) und VPN kenne ich auch nur als kleines Programm auf dem Rechner, das man bei Bedarf fürs anonyme Surfen aktiviert.
-
In meinen Augen ist VPN der sicherste und ich würde sagen für die meisten auch der einfachste weg.
Wenn du eine Fritzbox dein eigen nennst ist es relativ easy.
-
Das ist der Fall! Habe eine 6490 Cable (inkl. IPv4). Gibt es dazu eine Anleitung irgendwo?
-
Direkt auf der AVM-Webseite.
-
Ich habe mal mit den Schlagworten avm, vpn einrichten und 6490 gegoogelt, aber entweder nichts Passendes gefunden oder da etwas mißverstanden. Auch in der Benutzeroberfläche habe ich, trotz aktivierter Expertenansicht, nichts gefunden, was mich weitergebracht hat. Generell ist das ganze Thema VPN für mich aber auch ein Buch mit sieben Siegeln… Wie gesagt, ich habe bislang immer nur das Programm VPN Unlimited benutzt, das sich am Rechner bei Bedarf zuschalten läßt. Habe ich das richtig verstanden, daß man aber auch die Fritzbox selbst so einrichten kann, daß sämtliche Kommunikation (zumindest die nach und von draußen) generell nur noch über VPN läuft?
-
bei den ersten Links ist jeweils die Einrichtung beschrieben…
(Windows/Apple/Android)
-
Diese Links wurden mir auch angezeigt - wie gesagt, zu blöde zum Googeln bin ich schließlich auch nicht… Sie bringen mich aber nicht weiter, weil ich eine ganz grundsätzliche Verständnisfrage habe!
So, wie ich die vorherigen Beiträge verstanden und auch schon rückfragend geschrieben habe, kann man die Fritzbox selbst anscheinend so einrichten, daß ALLES per VPN verschlüsselt wird, richtig?
Der erste Link aber beschreibt stattdessen, sofern ich das richtig verstanden habe, wie man auf einem bestimmten Rechner ein VPN-Programm installiert. Das ist aber nicht mein Ziel, wenn auch die Möglichkeit besteht, daß grundsätzlich alles im gesamten Heimnetz per VPN gemacht wird und zudem auch die schwache Rechenleistung meines Servers geschont werden kann.
Ich habe vor einer ganzen Weile unter dem alten 6er FritzOS schon mal versucht, etwas mit DynDNS einzurichten, um mit dem Smart Home von außen erreichbar zu sein - aber natürlich auch verschlüsselt. Das ganze Unterfangen war leider erfolglos, was aber vermutlich eher an dem nervigen "IPv6 DS-Lite Tunnel Krams" gelegen hat, den man bei Unitymedia bekommt und der sich wohl nicht so leicht kompensieren läßt, auch wenn einige Leute das im Netz schreiben und in ihren Anleitungen eben genau auf DynDNS verweisen. Mittlerweile wurde mir zum Glück endlich eine IPv4-Adresse gegeben, sodaß ich diese fruchtlose Wissenschaft nicht länger betreiben muß... Ist das DynDNS-Zeug synonym mit VPN oder ist das jetzt wieder etwas ganz anderes?
Mag ja sein, daß meine Fragen für viele von Euch "blöd" sind, aber nicht jeder hier ist ein ITler oder mit dem ganzen Zeug aufgewachsen und vertraut...
-
Mittlerweile wurde mir zum Glück endlich eine IPv4-Adresse gegeben, `
Das ist wichtig, denn sonst würde das Fritzbox-VPN nicht funktionieren.
@P-A-L-A-D-I-N:Ist das DynDNS-Zeug synonym mit VPN oder ist das jetzt wieder etwas ganz anderes? `
Nein, auch VPN benötigt DynDNS. Das stellt AVM Fritzbox-Nutzern als MyFRITZ!-Konto zur Verfügung. Dieses DynDNS ist nicht in die DynDNS-Liste der Fritzbox einzutragen - die Liste sollte leer bleiben.AVM stellt für die Fritzbox einen VPN-Server zur Verfügung, über den man gesichert von außen mittels eines VPN-Clienten das eigene Heimnetz erreichen kann. Die Anleitungen von AVM beschreiben, wie man den VPN-Server auf der Fritzbox und anschließend den VPN-Clienten auf dem Frontend einrichtet.
Über das Fritzbox-VPN kann man aus der Ferne Webserver im Heimnetz <u>ohne Portfreigabe</u> erreichen.
-
kann man die Fritzbox selbst anscheinend so einrichten, daß ALLES per VPN verschlüsselt wird, richtig? `
Die Verschlüsselung erfolgt zwischen VPN-Server und VPN-Client, also über das Internet.Man kann die Fritzbox so einrichten, dass die VPN-Verbindung nicht nur für den Zugang zum Heimnetz, sondern auch für den Zugang zum Internet verwendet werden kann. Dieser Umweg über die Fritzbox ist dann sinnvoll, wenn man sich in einem offenen WLAN in einen Internet-Account (z.B. email) einloggen will. Das ist ohne VPN potentiell gefährlich, da von Hackern mitlesbar.
-
Ich glaube, hier gibts ein paar grundsätzliche Verständnisprobleme …
Was macht DynDNS?
Wenn Dein Router sich mit dem Internet verbindet, bekommt er vom Provider eine IP-Adresse (sagen wir mal 79.1.2.3) . Viele Provider bieten für private Anschlüsse keine statischen (also festen) IP-Adressen an, sondern der Router bekommt diese beim Herstellen der Verbindung dynamisch zugeteilt.
Die Verbindung wird hier auch meist alle 24h zurück gesetzt und neu aufgebaut, damit bekommst Du (spätestens) alle 24h eine neue IP Adresse.
Damit Du nun Deinen Rechner aus dem Internet mit einer gleichbleibenden Adresse erreichen kannst, gibt es Dienste, denen der Router beim Aufbau der Verbindung die aktuelle IP-Adresse schicken kann, und diese dann entsprechend dem DNS (Domain Name Service) Protokoll aufgelöst. Diese Dienste können eben MyFritz, DynDNS oder auch was anderes sein.
Das heisst also, der Service löst einfach den gleichbleibenden Namen wie "abcdefgh.myfritz.de" zur aktuellen IP-Adresse (79.1.2.3) auf, und stellt damit für Deinen Computer im Internet eine gleichbleibende Adresse zur Verfügung.
Das heisst also, das DynDNS Gedöns hat nur was mit Erreichbarkeit zu tun. Mit der Security gar nix. Macht Euch übrigens keine Illusionen, die Hacker kennen die IP-Bereiche der Telekom und der anderen Provider und klappern die regelmäßig ab, Abschalten der DynDNS Namensauflösung bringt Euch sicherheitsmäßig nicht wesentlich vorwärts.
VPN (Virtual Private Network) erweitert dagegen das NETZWERK eines VPN Servers zum Client durch das Internet, und zwar verschlüsselt. Das bedeutet, mit einem etablierten VPN verhält sich z.B. das Handy (VPN Client) genau so, als ob es "lokal" im Netzwerk des Routers (VPN-Server) wäre, hat also Zugriff auf alle Ports etc.
Ganz sicher die eleganteste Lösung.
Damit die VPN Software des Client den Server überhaupt FINDET, braucht Sie die Adresse des Servers, und damit schlägt sich der Bogen zum DynDNS.
SSL bzw. TLS (Transport Layer Security) baut EBENFALLS einen verschlüsselten Kanal auf, aber halt nur für einen Port (der damit freigegeben sein muss). Das heisst erst mal nur, dass (in erster Näherung :)) die Kommunikation nicht belauscht werden kann. Ohne Authentisierung/Zugriffsschutz macht das natürlich keinen Sinn, kann zwar keiner zuhören, aber eh jeder kann rein
Für TLS braucht man ein Private/Public Key Paar, der Server hat den Private Key und kann sich damit ausweisen (sprich, man weiss mit wem man redet). Das Zertifikat ist der Public Key, den eine Zertifizierungsstelle unterschrieben und damit als vertrauenswürdig gekennzeichnet hat (z.B. Lets Encrypt).
Grundsätzlich ist für mich ein authentisierter Zugang über TLS schon ok (im Grunde funktioniert das halbe Internet so ...), aber man muss schon bisschen aufpassen was man da macht, d.h. sicherstellen, dass ein eigenes Schlüsselpaar verwendet wird, das Zertifikat überprüfen und vor allem sicher authentisieren (mindestens sicheres Passwort bei Basic auth).
Ich hoff, dass bringt ein bisschen Licht ins Dunkel der Begriffe
-
Das ist der Fall! Habe eine 6490 Cable (inkl. IPv4). Gibt es dazu eine Anleitung irgendwo? `
-
@ paul53 & dwm:
Vielen Dank für Eure Erklärungen! Ich denke, das ganz grundlegende Prinzip von VPN und DynDNS ist mir jetzt einigermaßen klar geworden und selbst die SSL/TLS-Geschichte ist jetzt deutlich besser verständlich.
Zwei "große Themenkomplexe" habe ich jedoch auch jetzt noch nicht vollends verstanden - seht es mir bitte nach!
- Wenn ich das grundsätzliche Prinzip, bis hier hin zumindest, richtig verstanden habe, ist die Fritzbox der Knotenpunkt/Vermittler (Host?) und alle Geräte, die auf meine Fritzbox oder das Heimnetzwerk samt Geräten zugreifen wollen bzw. für Dritte (insbesondere von außerhalb meines Heimnetzwerks) erreichbar sein sollen, sind die Clients. Die Clients brauchen allesamt eine Fritz-VPN-Software, um mit der Fritzbox reden zu können.
Ich kann also nicht darauf verzichten, auf meinem Server, dem normalen PC, dem Telefon usw. jeweils noch zusätzlich die VPN-Software von AVM zu installieren, damit diese über den Host (Fritzbox) per VPN ins Internet gehen bzw. von dort aus erreichbar sind, richtig?
Die Fritzbox selbst muß nur im MyFritz-Netzwerk angemeldet sein, sonst nichts weiter, richtig?
Wenn ich aber auch Zugriff von außen ermöglichen möchte, kommt wiederum DynDNS ins Spiel, damit das Gerät von außerhalb überhaupt weiß, welche IPv4 ich zu Hause z.Z. gerade habe. Und MyFritz, die Fritzbox selbst oder wer auch immer muß das aber irgendwie noch mitgeteilt bekommen - was bedeutet, daß ich das noch in der Fritzbox irgendwie einstellen muß? Oder wird das von dem Myfritz-Dienst direkt mit erledigt, also VPN UND DynDNS angeboten?
- Offenes WLAN und Fernzugriff: Was ich ebenfalls noch nicht ganz verstanden habe, ist die Variante offenes WLAN und Internet-Account (E-Mail-Konto) bzw. Zugang zum Heimnetz und/oder Internet.
Offenes WLAN bedeutet, soweit ich weiß, das WLAN in einem Hotel, Café o.ä. - von hier aus komme ich per MyFritz-App bereits auf meine Fritzbox drauf (das müßte dann die besagte VPN-Verbindung sein?), sodaß ich dort Einstellungen verändern, Anruflisten prüfen und auf Daten des dort angeschlossenen USB-Stick zugreifen kann. Auf die Daten innerhalb meines Heimnetzwerkes (z.B. NAS) komme ich (bislang) allerdings nicht.
Den Zusammenhang zwischen Internetzugriff (bpsw. E-Mail-Konto) und VPN in einem öffentlichen Netzwerk habe ich womöglich noch nicht so ganz begriffen: Heißt das, daß ich über das öffentliche WLAN eine Verbindung zur Fritzbox zu Hause aufbaue und dann über diesen Umweg/Vermittler erst mit meinem Telefon irgendwo in der Ferne ins Internet gehe? Das würde dann ja in etwa dem kleinen VPN-Programm entsprechen, das ich auf meinem PC (allerdings nur bei Bedarf) laufen lasse, nur daß die Kommunikation eben nicht über irgendwelche Server auf der Welt sondern stattdessen über meine heimische Fritzbox laufen würde.
Und, falls ja, trifft das dann auf alle Verbindungen zu, die ich von meinem Telefon aus aufbaue (also bspw. auch übers 4G-Netz oder aus dem Heimnetz eines Freundes, in das ich eingeloggt bin)?
@ wendy2702: Danke Dir! Ich denke, wenn meine obigen Fragen gekärt sind, komme ich mit diesen Anleitungen dann auch hoffentlich als "Nichtsblicker" endlich zum Ziel.
-
Als erstes: In unserem Fall wird VPN nur für externen Zugriff auf dein Heimnetzwerk benötigt.
Geräte die du nur Zuhause benutzt benötigen keine VPN SW und/oder konfiguration. Es sei den du willst/musst dich mit diesen Geräten in ein anderes Netzwerk verbinden z.B: Firmennetzwerk.
Alle Geräte mit denen du dich von irgendwo auf der Welt mit deinem Heimnetz verbinden willst benötigen eine VPN SW und/oder Konfiguration.
Für PCs gibt es auch von AVM ein VPN Programm welches im Bedarfsfall die Verbindung nach Hause aufbaut. Bei den meisten Smartphones und Tablets kann man das so konfigurieren.
Die Fritzbox selber ist das einzige Gerät welches Ständig bei dir zuhause ist an dem man DYNDNS und VPN einmalig konfigurieren muss.
DYNDNS kann myFritz sein oder ein anderer beliebiger DYNDNS Anbieter.
Wenn du aus einem z.B. offenen WLAN oder vom Internetzugang eines Freundes oder über das Mobilfunknetz schon per myFritz auf die Fritzbix kommst hast du das in der FB scheinbar schon konfiguriert. Eventuell dem Benutzer aber keine Rechte erteilt auch andere Geräte im Netzwerk zu erreichen.
Und ja, wenn du von irgendwo auf der Welt eine Verbindung per VPN zu deiner FB aufbaust läuft sämtliche Kommunikation in einem gesicherten Tunnel über deine FB.
Hier noch ein AVM Link: https://avm.de/service/vpn/uebersicht/