NEWS
Xiaomi Mi Home: nicht nach Hause telefonieren
-
@OliverIO said in Xiaomi Mi Home: nicht nach Hause telefonieren:
mE die beste und sicherst Möglichkeit wäre es, alle SmartHome-Geräte in ein eigenes Netzwerk-Segment zu stecken und nur für die Geräte statische Routen einrichten, die auch nach draußen telefonieren dürfen.
Aber das ist mit den normalen Consumer-Routern nicht immer möglich.
Dann können evtl "böse" Geräte auch nix mit den anderen PCs, NAS, etc nix mehr anstellen.Etwas ähnliches habe ich schon hier beschrieben: https://forum.iobroker.net/topic/6394/adapter-mihome/420
Ist zwar nicht das gleiche aber verhindert auf jeden Fall Außenkommunikation.Aber wie du schon geschrieben hast ist das mit consumer schwer, ich betreibe hier einen DHCP Server auf Windows-Server Basis.
@ramses wenn du keine port von aussen offen hast ist das ok.
Alternativ kann ich openwrt als router betriebssystem empfehlen.
Im Router mit Modem ideal, alternativ auch router an Modem per PPPoE angebunden,
hat man volle Kontrolle über alles was reinkommt und rausgeht.DHCP-Konfiguration und ganz wichtig über die Konfiguration des Firewalls kann man fast alle Profi-Einstellungen selbst vornehmen.
Allerdings muss man sich nähers mit der Funktionsweise beschäftigen. Sind aber alles Linux-Services, für die es ausreichend Beschreibung im Internet gibt.
geizhals.de hat ne eigene Suchoption für Router die mit openwrt gehen.Aber auch nochmal als Ergänzung zu einem anderen Thread. Das gewährleistet nur die Netzwerksicherheit.
Wenn in der Software Schwachstellen vorhanden sind, die ausgenutzt werden können, dann hilft der beste Firewall nix, außer er dämmt den Schaden ein, weil man nicht auf dein PC oder NAS kommt.Wir sind gerade mit dem SmartHome und dem öffnen der Netze gerade erst am Anfang.
Wenn die 10 Jährigen (keine Diskriminierung, nur exemplarisch) damit anfangen zu spielen in solche Netze reinzugehen, dann wird es lustig. Die ersten großen Bot-Netze gab/gibt es ja schon. Das nutzen dann auch die, die mit sowas Geld verdienen wollen. Und mit einem Nuc am 50Mbit Anschluss kannst du ein paar mehr Päckchen für dDOS versenden, wie von einem müden chip auf einer Überwachungskamera eines chinesischen Herstellers. -
@ramses wenn du keine port von aussen offen hast ist das ok.
Alternativ kann ich openwrt als router betriebssystem empfehlen.
Im Router mit Modem ideal, alternativ auch router an Modem per PPPoE angebunden,
hat man volle Kontrolle über alles was reinkommt und rausgeht.DHCP-Konfiguration und ganz wichtig über die Konfiguration des Firewalls kann man fast alle Profi-Einstellungen selbst vornehmen.
Allerdings muss man sich nähers mit der Funktionsweise beschäftigen. Sind aber alles Linux-Services, für die es ausreichend Beschreibung im Internet gibt.
geizhals.de hat ne eigene Suchoption für Router die mit openwrt gehen.Aber auch nochmal als Ergänzung zu einem anderen Thread. Das gewährleistet nur die Netzwerksicherheit.
Wenn in der Software Schwachstellen vorhanden sind, die ausgenutzt werden können, dann hilft der beste Firewall nix, außer er dämmt den Schaden ein, weil man nicht auf dein PC oder NAS kommt.Wir sind gerade mit dem SmartHome und dem öffnen der Netze gerade erst am Anfang.
Wenn die 10 Jährigen (keine Diskriminierung, nur exemplarisch) damit anfangen zu spielen in solche Netze reinzugehen, dann wird es lustig. Die ersten großen Bot-Netze gab/gibt es ja schon. Das nutzen dann auch die, die mit sowas Geld verdienen wollen. Und mit einem Nuc am 50Mbit Anschluss kannst du ein paar mehr Päckchen für dDOS versenden, wie von einem müden chip auf einer Überwachungskamera eines chinesischen Herstellers.@OliverIO
Doch habe 7 Ports nach außen offen für das OpenVPN Gateway. Denke das geht ok ;-)
Aber ich sehe schon, wir ziehen am selben Strang. Man muss sich mit der Sache beschäftigen und nicht so eine "mir doch egal Haltung" an den Tag legen wie einer der Vorredner hier.Solange man keine Löcher reinreißt ist die Standardkonfiguration zu 99% "zu". Wer sich jetzt keine Löcher mit UPNP und co reinreißt, sollte eigentlich relativ sicher sein. Aber von Fehltritten innerhalb des Netzwerks (z.B. durch China Hardware) ist man damit nicht befreit.
Und ab diesem Punkt wird es für die meisten Standarduser schwer bis unmöglich.
Ich habe auch meine Smarthomes mittlerweile in ein eigenes VLAN gepackt und wie du schon geschrieben hast nur einzelne statische Routen zugewiesen.De facto kann ich alles unterschreiben was du so sagst. Aber es ist immer das gleiche und war schon vor 20 Jahren so. Unwissenheit der Nutzer, Fehlkonfigurationen oder halt der seltenere Fall zu den ersten beiden, Sicherheitslücken.
PS: OpenWRT ist nice und mir schon ewig bekannt. Glaub damals als ich nen Linksys WRT54GS hatte...oh gott muss 10 Jahre her sein?!
Wäre aber zu Cisco und Ubiquiti für mich ein Rückschritt
-
OpenVPN ist ok, da wird ja auch peinlichst auf so etwas geachtet und wenn was ist, schnellst möglichst gepatched (was man dann ja auch selbst noch überwachen muss, seine Systeme zu aktualisieren)
Cisco kenn ich nur aus dem Profibereich, Ubiquiti hab ich gehört, kenn aber keine Details.
So jetzt Ende von meiner Seite, jetzt geht es auf die Gass. gute Nacht
-
So nun muß ich nochmal. Natürlich ist Sicherheit wichtig. Die Unwissenheit der User birgt natürlich die meiste Gefahr um gehackt zu werden Nochmal was mich halt stört ist ich hole mir ein Gateway aber traue den Chinesen 0,0. Warum dann kein Zigbeestick zb? wenn das die Anfänger hier lesen dann sind diese doch total verunsichert wegen der Sicherheit. Diese werden doch schon genug verrückt gemacht.
-
@OliverIO
Doch habe 7 Ports nach außen offen für das OpenVPN Gateway. Denke das geht ok ;-)
Aber ich sehe schon, wir ziehen am selben Strang. Man muss sich mit der Sache beschäftigen und nicht so eine "mir doch egal Haltung" an den Tag legen wie einer der Vorredner hier.Solange man keine Löcher reinreißt ist die Standardkonfiguration zu 99% "zu". Wer sich jetzt keine Löcher mit UPNP und co reinreißt, sollte eigentlich relativ sicher sein. Aber von Fehltritten innerhalb des Netzwerks (z.B. durch China Hardware) ist man damit nicht befreit.
Und ab diesem Punkt wird es für die meisten Standarduser schwer bis unmöglich.
Ich habe auch meine Smarthomes mittlerweile in ein eigenes VLAN gepackt und wie du schon geschrieben hast nur einzelne statische Routen zugewiesen.De facto kann ich alles unterschreiben was du so sagst. Aber es ist immer das gleiche und war schon vor 20 Jahren so. Unwissenheit der Nutzer, Fehlkonfigurationen oder halt der seltenere Fall zu den ersten beiden, Sicherheitslücken.
PS: OpenWRT ist nice und mir schon ewig bekannt. Glaub damals als ich nen Linksys WRT54GS hatte...oh gott muss 10 Jahre her sein?!
Wäre aber zu Cisco und Ubiquiti für mich ein Rückschritt
@ramses meiner einer kennt sich leider mit sowas noch gar nicht aus, Interesse bestünde zwar , jedoch alles zu komplex und umfangreich.
Bei mir läuft noch alles schön brav über die Fritzbox. Pihole mit Unbound.
Von Aussen benutze ich das interne VPN der Fritzbox. Ports sind bei mir sonst keine offen. -
So nun muß ich nochmal. Natürlich ist Sicherheit wichtig. Die Unwissenheit der User birgt natürlich die meiste Gefahr um gehackt zu werden Nochmal was mich halt stört ist ich hole mir ein Gateway aber traue den Chinesen 0,0. Warum dann kein Zigbeestick zb? wenn das die Anfänger hier lesen dann sind diese doch total verunsichert wegen der Sicherheit. Diese werden doch schon genug verrückt gemacht.
@ostseereiter said in Xiaomi Mi Home: nicht nach Hause telefonieren:
So nun muß ich nochmal. Natürlich ist Sicherheit wichtig. Die Unwissenheit der User birgt natürlich die meiste Gefahr um gehackt zu werden Nochmal was mich halt stört ist ich hole mir ein Gateway aber traue den Chinesen 0,0. Warum dann kein Zigbeestick zb? wenn das die Anfänger hier lesen dann sind diese doch total verunsichert wegen der Sicherheit. Diese werden doch schon genug verrückt gemacht.
Da hier das Thema komplett vorbeidrifted, nutze ich das um die auch diese Frage noch zu beantworten.
Und die Antwort ist simpel. Als ich mir das Gateway geholt habe war der Zigbee Adapter im Aufbau und mehr als instabil. Und wenn du dir mal die Massen an Beiträgen anguckst, war er es bis zur "max_stable" Firmware vom März dieses Jahres immer noch.
Eine Alternative ist nur eine Alternative wenn sie genau so gut läuft und das tat sie nicht.
Mittlerweile hängt das Gateway nur noch am Strom als "Nachtlicht". Meine Tochter liebt das blaue Licht.EDIT: Schuld war nicht der Adapter sondern die Firmware des Sticks in kombi mit dem Adapter.
EDIT2: Ach ja, und der Gas (CO-Melder) war ewig nicht unterstützt beim Zigbee Stick. Bei jemandem mit Gas Heizung und Gas-Ofen ist das ein NO-GO -
@ramses meiner einer kennt sich leider mit sowas noch gar nicht aus, Interesse bestünde zwar , jedoch alles zu komplex und umfangreich.
Bei mir läuft noch alles schön brav über die Fritzbox. Pihole mit Unbound.
Von Aussen benutze ich das interne VPN der Fritzbox. Ports sind bei mir sonst keine offen.@crunchip said in Xiaomi Mi Home: nicht nach Hause telefonieren:
@ramses meiner einer kennt sich leider mit sowas noch gar nicht aus, Interesse bestünde zwar , jedoch alles zu komplex und umfangreich.
Bei mir läuft noch alles schön brav über die Fritzbox. Pihole mit Unbound.
Von Aussen benutze ich das interne VPN der Fritzbox. Ports sind bei mir sonst keine offen.Das ist vollkommen ok. Ich bin auch manchmal ein wenig überheblich und vergesse das ich als Informatiker mehr weiss als andere. Fritzbox nutze ich auch. Sind super Geräte. Die Kindersicherung ist der hammer und toll zu nutzen um auch Geräten den Internetzugang zu sperren. Gesperrt ist gesperrt und macht dann nix anderes als teure andere Hardware auch (nur auf eine andere Art).
Wichtigste bei der Fritzbox UPNP ausschalten. Dann kann nix mehr schief gehen. -
@crunchip said in Xiaomi Mi Home: nicht nach Hause telefonieren:
@ramses meiner einer kennt sich leider mit sowas noch gar nicht aus, Interesse bestünde zwar , jedoch alles zu komplex und umfangreich.
Bei mir läuft noch alles schön brav über die Fritzbox. Pihole mit Unbound.
Von Aussen benutze ich das interne VPN der Fritzbox. Ports sind bei mir sonst keine offen.Das ist vollkommen ok. Ich bin auch manchmal ein wenig überheblich und vergesse das ich als Informatiker mehr weiss als andere. Fritzbox nutze ich auch. Sind super Geräte. Die Kindersicherung ist der hammer und toll zu nutzen um auch Geräten den Internetzugang zu sperren. Gesperrt ist gesperrt und macht dann nix anderes als teure andere Hardware auch (nur auf eine andere Art).
Wichtigste bei der Fritzbox UPNP ausschalten. Dann kann nix mehr schief gehen.@ramses sagte in Xiaomi Mi Home: nicht nach Hause telefonieren:
Fritzbox UPNP ausschalten
da geht es ja schon los, dann fehlen mir ja die Daten, die ich übertragen bzw einlese.
upnp der Fritzbox wird ja für das ein oder andere benötigt in Iobroker -
dann lasst uns mal diese Diskussion mit einen Chinesischen Sprichwort beenden.
" Der Kluge lernt nach dem ersten Fehler, der Dumme nach dem x-ten Fehler, der Weise lernt nie aus."
Gute Nacht -
@ramses sagte in Xiaomi Mi Home: nicht nach Hause telefonieren:
Fritzbox UPNP ausschalten
da geht es ja schon los, dann fehlen mir ja die Daten, die ich übertragen bzw einlese.
upnp der Fritzbox wird ja für das ein oder andere benötigt in Iobroker@crunchip said in Xiaomi Mi Home: nicht nach Hause telefonieren:
@ramses sagte in Xiaomi Mi Home: nicht nach Hause telefonieren:
Fritzbox UPNP ausschalten
da geht es ja schon los, dann fehlen mir ja die Daten, die ich übertragen bzw einlese.
upnp der Fritzbox wird ja für das ein oder andere benötigt in IobrokerEhrlich gesagt, nicht wirklich. UPNP macht Ports auf. Das kannst du einmal von hand machen und gut ist.
Wenn du UPNP an lässt kann dir folgendes passieren:
Du kaufst dir beim Chinahändler eine schöne neue Webcam, hängst die ans Netzwerk und das erste was die macht ist die Ports zum Internet öffnen bevor du einen Chance hattest das Passwort zu ändert.
Klingt dramatisiert, ist aber Realität.
Also, ich habe ca 20 Iobroker Adapter am laufen und UPNP nie vermisst. UPNP im Router zu sperren heisst auch NICHT das UPNP im Netzwerk nicht mehr funktioniert.EDIT: Wenn du jetzt nicht mit Emule oder wie die P2P Tauschbörsen heissen nutzt, kannst du das mit gutem gewissen ausschalten (und solltest du).
-
@ramses
Vielleicht kannst du ja mal beschreiben, wie du den Xiaomi im Unifi gesperrt hast?In Unifi überhaupt nicht. Ich habe nur einen Unifi Switch und 2 Hotspots. Meine Router entspringen der Ubiquiti Edgemax reihe. Die sind nicht mit Unifi kompatibel, dafür aber mit UNMS.
Aber auch damit habe ich es nicht gemacht. Ich hab es mir simpel gemacht indem ich einfach eine DHCP-Reservierung für das Xiaomi Gateway gemacht habe und ihm als Gateway und DNS-Server die 0.0.0.0 bzw 127.0.0.1 zuweise.Wenn man eine Fritzbox hat wie vermutlich 80% der DSL Nutzer, tut es auch die Kindersicherung (siehe hier im Thread weiter oben). Ansonsten kann man, wenn man Iobroker unter Linux betreibt, auf dem gleichen Gerät auch direkt einen DHCP Server einrichten. Dazu findet man genug Anleitungen im Netz.
-
Ich habe einen Unifi USG, einen Unifi Switch und zwei Unifi AP-AC.
Wenn du es im Unifi gemacht hättest, wäre es natürlich sehr hilfreich für mich gewesen.
Muss ich mal nachlesen, wie es mit der DHCP-Zuweisung geht.Trotzdem vielen Dank für die Antwort.
-
@crunchip vielen Dank.
Ich hab auch noch mal geschaut und denke es sollte in der Fritzbox über "Internet > Filter > Kindersicherung" gehen, dort dann die MiHome in Spalte "Zugangsprofil" auf "Gesperrt" setzen.
So teste ich das jetzt mal.Danke für Eure Antworten und die Diskussionen :-)
Ich habe jetzt das mit der Kindersicherung mehrere Tage getestet:@Mic sagte in Xiaomi Mi Home: nicht nach Hause telefonieren:
Ich hab auch noch mal geschaut und denke es sollte in der Fritzbox über "Internet > Filter > Kindersicherung" gehen, dort dann die MiHome in Spalte "Zugangsprofil" auf "Gesperrt" setzen.
Funktioniert soweit alles einwandfrei. Und für Updates schalte ich diese kurz in der Fritzbox aus.
Support us
687
Online32.6k
Benutzer82.2k
Themen1.3m
Beiträge