CCU3, ioBroker, hm-rpc

Fibbefobbe

Liebe Gemeinde,
ich gehe am Stock. Ich versuche nun seit 3 Monaten (!) meine CCU3 in ioBroker einzubinden. Besonderheit: mein ioBroker liegt auf einer Synology im Docker. Mit viel Tamtam und Anfängerschweiß habe ich es geschafft, eine MacVLAN Verbindung zu etablieren und so den ioBroker ansprechen zu können.

Läuft alles. Im ioBroker habe ich nun die Instanzen hm-rega.0 (läuft -> grün) und 2x hm-rpc.0 und hm-RPC.1 installiert. Diese laufen nur halb (bleibt gelb: Verbunden mit host: grün, Lebenszeichen grün, Verbunden mit Gerät oder Dienst: rot)

Jetzt bin ich keiner, der einfach mal einen post erstellt und nix vorher gelesen hat. Ich habe mich durch alle Einträge gekämpft und alles mögliche ausprobiert. Nix ändert irgendetwas (Ports offen, zu, Authentifizieren an/aus, neuer Benutzer auf der CCU3, richtiges Protokoll, diverse Neustarts)... NIX geht.

Ich glaube, es liegt an diesem MacVLan, bin aber zu unwissend.

hier mal ein paar Screenshots:

und solche Fehler kommen:
2022-04-21 00:06:47.044 - error: hm-rpc.0 (8235) Init not possible, going to stop: Client network socket disconnected before secure TLS connection was established

oder
2022-04-21 00:10:14.029 - error: hm-rpc.1 (8423) Init not possible, going to stop: Client network socket disconnected before secure TLS connection was established

Wer kann helfen?????

Homoran

@fibbefobbe sagte in CCU3, ioBroker, hm-rpc:

Wer kann helfen?????

ich wahrscheinlich eher nicht, da ich um Docker und anderen Container wegen ihrer Besonderheiten einen ganz großen Bogen mache.

Da du aber bei all deinen schönen Screenshots geflissentlich keinen von den "zusätzliche Einstellungen" postest habe ich das ganz dumpfe Gefühl, dass du keine (oder die falsche) Callback Adresse eingegeben hast

EDIT:
Da ist sie ja doch

Aber dann die Adapter-Adresse, wie @paul53 schrieb

paul53

@fibbefobbe
Als Adapter-Adresse muss die IP-Adresse von ioBroker (Docker-Container) ausgewählt werden.
192.168.178.20 ist die IP-Adresse des Docker-Hosts?

bahnuhr

@fibbefobbe

Und dies rausnehmen.

In der ccu hast du port 2001, und in hm-rpc.0 auch.
Der https port ist ein anderer (siehe Anleitung):

bahnuhr

@Fibbefobbe

Und screenshot von hm-rpc.1 fehlt

Homoran

@bahnuhr sagte in CCU3, ioBroker, hm-rpc:

@fibbefobbe

Und dies rausnehmen.

In der ccu hast du port 2001, und in hm-rpc.0 auch.
Der https port ist ein anderer (siehe Anleitung):

So einfach ist das nicht!
wenn die CCU3 auf https eingestellt ist muss er alles anders herum machen.

Also die https Ports freigeben
(Und die IPs auf den ioBroker reduzieren statt Vollzugriff)

bahnuhr

@homoran sagte in CCU3, ioBroker, hm-rpc:

So einfach ist das nicht!
wenn die CCU3 auf https eingestellt ist muss er alles anders herum machen.

Dann passen aber die portfreigaben in der ccu3 nicht zusammen.

Homoran

@bahnuhr sagte in CCU3, ioBroker, hm-rpc:

Dann passen aber die portfreigaben in der ccu3 nicht zusammen.

eben, dann muss er die ändern, kommt halt auf die Vorgaben an, was er braucht/will

bahnuhr

@homoran sagte in CCU3, ioBroker, hm-rpc:

@bahnuhr sagte in CCU3, ioBroker, hm-rpc:

Dann passen aber die portfreigaben in der ccu3 nicht zusammen.

eben, dann muss er die ändern, kommt halt auf die Vorgaben an, was er braucht/will

Ich hab den Sinn immer noch nicht verstanden, dass man im eigenen netzwerk https und user/passwort einsetzt.

Aber egal, so passt es jedenfalls nicht zusammen.

Homoran

@bahnuhr sagte in CCU3, ioBroker, hm-rpc:

dass man im eigenen netzwerk https und user/passwort einsetzt.

Bin mir nicht sicher, aber RasPiMatic hat das wohl als Grundeinstellung, bei CCU3 dann vielleicht auch

@bahnuhr sagte in CCU3, ioBroker, hm-rpc:

so passt es jedenfalls nicht zusammen.

korrekt!

bahnuhr

@homoran sagte in CCU3, ioBroker, hm-rpc:

Bin mir nicht sicher, aber RasPiMatic hat das wohl als Grundeinstellung, bei CCU3 dann vielleicht auch

hab auch ne ccu3 und raspberrymatic.
Standard ist ohne https

Fibbefobbe

@paul53

Das war des Rätsels Lösung - auf Umwegen. ich hatte viele Möglichkeiten schon ausprobiert aber als Call_back-Adresse musste ich tatsächlich die IP-Adresse des Docker-Containers INKL: Port eingeben (der hatte gefehlt).

Die Ports hatte ich schon wieder auf die 42001 und 42010 (auch in der CCU3) geändert. NUN:

TaDAA:

Fibbefobbe

@bahnuhr
Angst vor zu wenig Passwörtern und Barrieren.

bahnuhr

@fibbefobbe

Und das hat jetzt echt 3 Monate gedauert ?

Aber sag mir doch mal, warum du https nimmst.
Gibt es da einen Vorteil ?

Fibbefobbe

@bahnuhr
Ich hatte alle Angaben nach den Foreneinträgen immer wieder versucht, aber in der Call-Back-Adresse hatte ich immer nur eine IP ohne Portangabe stehen. Das das notwendig war, hatte ich wirklich nirgendwo gelesen.
der Eintrag von @paul53 hat mir geholfen, da ich stumpf nochmal alles angesehen hatte und dort natürlich auch der Port stand.

ich habe natürlich nicht 3 Monate konstant an dem Problem gearbeitet. Nur in der Freizeit und die ist nicht im Überfluss da

Ich habe in meinem Netzwerk alles mit https laufen, sofern das geht. Ich habe das Gefühl, das Netzwerk ist dann sicherer. Ist wahrscheinlich auch nur das Pfeifen im dunklen Wald.

Wildbill

@fibbefobbe sagte in CCU3, ioBroker, hm-rpc:

Ich habe in meinem Netzwerk alles mit https laufen, sofern das geht. Ich habe das Gefühl, das Netzwerk ist dann sicherer. Ist wahrscheinlich auch nur das Pfeifen im dunklen Wald.

Solange Du Dein Netzwerk nicht offen wie ein Scheunentor betreibst ist da nichts unsicherer, wenn Du für internen Verkehr auf HTTPS verzichtest.
Und solange Du nicht für jeden HTTPS-Verkehr mit passenden Zertifikaten arbeitest sondern auch unsichere, falsche oder gar keine Zertifikate verwendest kannst Du es gleich bleiben lassen. Dann würdest Du nicht einmal mitbekommen, wenn irgendjemand Daten manipuliert oder auf etwas zugreifst, was Du nicht möchtest.
HTTPS macht Sinn, wenn es sauber mit passenden Zertifikaten eingerichtet ist um Zugriff aus anderen Netzen/dem Internet abzusichern und sicherzustellen, dass man sich immer auch mit dem korrekten Host verbunden hat, ohne dass jemand mitliest oder die Daten manipuliert wurden.
Im privaten netz macht es absolut keinerlei Sinn und man handelt sich nur Probleme oder zusätzlichen Aufwand ein.
Gruss, Jürgen

bahnuhr

@wildbill

Danke für die Info.
War mir bisher auch nicht so klar.

Im eigenen Netzwerk hab ich alles ohne https.
Und von außen nutze ich ausschließlich vpn.
Ports öffnen, etc. nutze ich gar nicht.

Ich glaube das ist ausreichend sicher.

Wildbill

@bahnuhr Zugriff aufs eigene Netzwerk per VPN ist ausreichend sicher und sollte auch das einzige sein, womit man auf irgendwelche Dienste zugreift, solange man nicht explizit einen Webserver betreibt, der z.B. eine eigene Page ins Netz stellt oder Ähnliches. Zugriff auf so etwas wie iobroker per Portfreigabe sollte man sich tunlichst sparen, auch selbst dann, wenn man es sauber mit passenden Zertifikaten einrichtet. Es gibt genug Threads hier im Forum und auch bei anderen Smarthome-Systemen, dass diese plötzlich durch irgendjemand gekapert wurden und Dinge taten, die man sicher nicht wollte.
Portfreigaben auf Smarthome ist einfach nichts, was man tun sollte, dafür gibt es VPN, wenn man den Zugriff von außen auf das gesamte System überhaupt braucht.
Ansonsten kann man sich die Daten oder Geräte, die man von unterwegs braucht ja auch bei Apple in HomeKit packen (YAHKA-Adapter) oder über die Alexa-App, so man Amazon mehr vertraut. Telegram bietet hier per Bot auch die Möglichkeit, eigene Geräte/Datenpunkte zu steuern, nur auslesen lässt sich da AFAIK nichts.
Oder man nimmt die paar Euro und kauft für iobroker eine der Lizenzen, die Fernzugriff erlauben. Dann tut man auch noch was Sinnvolles und unterstützt das Projekt mit einem kleinen Obolus.
Gruss, Jürgen