NEWS
Adapter für einen sicheren Remote-Zugriff auf ioBroker
-
@iwg said in Adapter für einen sicheren Remote-Zugriff auf ioBroker:
Mit dem Vertrauen ja, ist so eine Sache. Ich wüsste allerdings nicht warum unbedingt Open Source mehr Vertrauen bedeuten soll.
Ich will damit nicht sagen, dass Sicherheit unwichtig ist oder ich daran nicht gedacht haben.
Was macht es dann für Unterschied, ob die Konfiguration mit Open oder Closed Source gemacht worden ist?
Vertrauen ist gut, Kontrolle ist besser. Viele Augen sehen mehr, Fehler sind menschlich.
In der Zeit wo @apollon77 deinen obfuskierten Code defacto nicht überprüfen konnte, hätte er bei einem open source project den code wahrscheinlich schon beeugt, vielleicht sogar eventuelle bugs gefunden und gleich einen PR dazu geschickt.
Und faktisch baut dein closed source adapater ja (komplett?) auf open source Projekte. "Zurückzugeben" ist ein intergralel Bestandteil von open source, der aber eben voll auf Freiwilligkeit setzt.
Und ja, Sicherheit ist der Grund warum praktisch alle (weit verbreiteten) VPN Technologien auf open source setzten und eben kein security by obscurity (closed source) sind :bulb:
@opensourcenomad
Hallo,Vielen Dank für Dein Kommentar.
Ich werde demnächst den Adapter-Code offen im npm-Paket legen. Dann könnte jeder den Code auch kontrollieren.
Hier möchte ich aber noch mal betonen, dass der Adapter in der eingentlichen Kommunikation nicht teilnimmt. Der Adapter nimmt keine Netzwerkpakete des VPNs entgegen und leitet auch keine Netzwerkpakete weiter. Die Kommunikation wird ausschliesslich von WireGuard abgewickelt.
Der Adapter erstellt lediglich die WireGuard-Konfigurationsdatei, die im Klartext auf der Platte des ioBroker hosts liegt bzw. auf ein Peer übertragen werden muss.
Wie WireGuard funktioniert und was WireGuard genau macht ist sehr detailliert im WireGuard Whitepaper beschrieben ist. -
Mal schauen was sich etabliert, gibt ja mehrere Entwicklungen hier im Forum.
Oder auch hier, oder hier.
Vielleicht kommt da ja noch mehr.... -
@opensourcenomad
Hallo,Vielen Dank für Dein Kommentar.
Ich werde demnächst den Adapter-Code offen im npm-Paket legen. Dann könnte jeder den Code auch kontrollieren.
Hier möchte ich aber noch mal betonen, dass der Adapter in der eingentlichen Kommunikation nicht teilnimmt. Der Adapter nimmt keine Netzwerkpakete des VPNs entgegen und leitet auch keine Netzwerkpakete weiter. Die Kommunikation wird ausschliesslich von WireGuard abgewickelt.
Der Adapter erstellt lediglich die WireGuard-Konfigurationsdatei, die im Klartext auf der Platte des ioBroker hosts liegt bzw. auf ein Peer übertragen werden muss.
Wie WireGuard funktioniert und was WireGuard genau macht ist sehr detailliert im WireGuard Whitepaper beschrieben ist. -
@iwg
Wer ist der Betreiber des relay Servers?
Der muss ja der Vermittler für die verbindungsaufnahme spielen wenn das eigentliche Ziel nicht im Internet steht.
Ich gehe mal davon aus, das darüber auch der traffic läuft@oliverio said in Adapter für einen sicheren Remote-Zugriff auf ioBroker:
@iwg
Wer ist der Betreiber des relay Servers?
Der Server wird auch von mir betrieben.
-
Der Adapter unterstützt jetzt 1:1 NAT ins ioBroker's lokale Netzwerk.
-
Hallo,
viele neue Features wurden hinzugefügt. Details, wie immer, hier: https://htmlpreview.github.io/?https://github.com/iwg-vpn/iobroker.iwg-vpn/blob/main/howto/read-me.html
Der Merge-Request ist immer noch pending...: https://github.com/ioBroker/ioBroker.repositories/pull/1701
-
Merge request ist durch, der Adapter kann via iobroker UI (latest repo) installiert werden.
-
Merge request ist durch, der Adapter kann via iobroker UI (latest repo) installiert werden.
@iwg
@oliverio sagte in Adapter für einen sicheren Remote-Zugriff auf ioBroker:
Ich gehe mal davon aus, das darüber auch der traffic läuft
Ist dem so?
Wurde einem der Adapter mitlerweile von einem Core-Dev "begutachtet"?
EDIT:
War mal neugierig und habs getestet.
Adapter startet nach Anpassung der Rechte.Habe einen Peer angelegt (Habe eine willkürliche IP aus der Liste genommen):
Jedoch bleibt diese Seite leer:
iwg-vpn.0 2022-05-16 16:10:34.848 debug remotes config changed or started with no config iwg-vpn.0 2022-05-16 16:10:32.599 debug local peer config changed or started with no config iwg-vpn.0 2022-05-16 16:10:32.516 debug successfuly published PEERS to server iwg-vpn.0 2022-05-16 16:10:32.364 info Successfuly registered client iwg-vpn.0 2022-05-16 16:10:32.234 debug registering client at iwg-vpn.net iwg-vpn.0 2022-05-16 16:10:32.232 info Set id to: xxxxxxxxxxxxxxxxxxxxxxx iwg-vpn.0 2022-05-16 16:10:32.202 debug keys found. importing... iwg-vpn.0 2022-05-16 16:10:32.082 info starting. Version 0.9.1 in /opt/iobroker/node_modules/iobroker.iwg-vpn, node: v14.19.1, js-controller: 4.0.23 iwg-vpn.0 2022-05-16 16:10:31.268 debug States connected to redis: 127.0.0.1:9000 iwg-vpn.0 2022-05-16 16:10:31.178 debug States create User PubSub Client iwg-vpn.0 2022-05-16 16:10:31.176 debug States create System PubSub Client iwg-vpn.0 2022-05-16 16:10:31.091 debug Redis States: Use Redis connection: 127.0.0.1:9000 iwg-vpn.0 2022-05-16 16:10:31.017 debug Objects connected to redis: 127.0.0.1:9001 iwg-vpn.0 2022-05-16 16:10:31.008 debug Objects client initialize lua scripts iwg-vpn.0 2022-05-16 16:10:30.835 debug Objects create User PubSub Client iwg-vpn.0 2022-05-16 16:10:30.834 debug Objects create System PubSub Client iwg-vpn.0 2022-05-16 16:10:30.831 debug Objects client ready ... initialize now iwg-vpn.0 2022-05-16 16:10:30.720 debug Redis Objects: Use Redis connection: 127.0.0.1:9001 iwg-vpn.0 2022-05-16 16:10:25.743 info Terminated (ADAPTER_REQUESTED_TERMINATION): Without reason iwg-vpn.0 2022-05-16 16:10:25.740 info terminating iwg-vpn.0 2022-05-16 16:10:25.721 info Got terminate signal TERMINATE_YOURSELF -
@iwg
@oliverio sagte in Adapter für einen sicheren Remote-Zugriff auf ioBroker:
Ich gehe mal davon aus, das darüber auch der traffic läuft
Ist dem so?
Wurde einem der Adapter mitlerweile von einem Core-Dev "begutachtet"?
EDIT:
War mal neugierig und habs getestet.
Adapter startet nach Anpassung der Rechte.Habe einen Peer angelegt (Habe eine willkürliche IP aus der Liste genommen):
Jedoch bleibt diese Seite leer:
iwg-vpn.0 2022-05-16 16:10:34.848 debug remotes config changed or started with no config iwg-vpn.0 2022-05-16 16:10:32.599 debug local peer config changed or started with no config iwg-vpn.0 2022-05-16 16:10:32.516 debug successfuly published PEERS to server iwg-vpn.0 2022-05-16 16:10:32.364 info Successfuly registered client iwg-vpn.0 2022-05-16 16:10:32.234 debug registering client at iwg-vpn.net iwg-vpn.0 2022-05-16 16:10:32.232 info Set id to: xxxxxxxxxxxxxxxxxxxxxxx iwg-vpn.0 2022-05-16 16:10:32.202 debug keys found. importing... iwg-vpn.0 2022-05-16 16:10:32.082 info starting. Version 0.9.1 in /opt/iobroker/node_modules/iobroker.iwg-vpn, node: v14.19.1, js-controller: 4.0.23 iwg-vpn.0 2022-05-16 16:10:31.268 debug States connected to redis: 127.0.0.1:9000 iwg-vpn.0 2022-05-16 16:10:31.178 debug States create User PubSub Client iwg-vpn.0 2022-05-16 16:10:31.176 debug States create System PubSub Client iwg-vpn.0 2022-05-16 16:10:31.091 debug Redis States: Use Redis connection: 127.0.0.1:9000 iwg-vpn.0 2022-05-16 16:10:31.017 debug Objects connected to redis: 127.0.0.1:9001 iwg-vpn.0 2022-05-16 16:10:31.008 debug Objects client initialize lua scripts iwg-vpn.0 2022-05-16 16:10:30.835 debug Objects create User PubSub Client iwg-vpn.0 2022-05-16 16:10:30.834 debug Objects create System PubSub Client iwg-vpn.0 2022-05-16 16:10:30.831 debug Objects client ready ... initialize now iwg-vpn.0 2022-05-16 16:10:30.720 debug Redis Objects: Use Redis connection: 127.0.0.1:9001 iwg-vpn.0 2022-05-16 16:10:25.743 info Terminated (ADAPTER_REQUESTED_TERMINATION): Without reason iwg-vpn.0 2022-05-16 16:10:25.740 info terminating iwg-vpn.0 2022-05-16 16:10:25.721 info Got terminate signal TERMINATE_YOURSELF@david-g
Hallo,
hast Du bei Dir Simple-API aktiviert? Die Seite, die QR-Codes generiert, liest die Konfiguration via Simple-API. -
@david-g
Hallo,
hast Du bei Dir Simple-API aktiviert? Die Seite, die QR-Codes generiert, liest die Konfiguration via Simple-API.@iwg
dann füge doch das simple api repo als dependency in iobroker.json hinzu
Meine Adapter und Widgets
TVProgram, SqueezeboxRPC, OpenLiga, RSSFeed, MyTime,, pi-hole2, vis-json-template, skiinfo, vis-mapwidgets, vis-2-widgets-rssfeed
Links im Profil -
@david-g
Hallo,
hast Du bei Dir Simple-API aktiviert? Die Seite, die QR-Codes generiert, liest die Konfiguration via Simple-API. -
@iwg
Ja,
hab ich am laufen und in Benutzung.
Ist folgendermaßen konfiguriert:
EDIT:
Hab es grad mal umgestellt, dass er auf alle IPs hört. Ändert aber nichts,@david-g
das ist schlecht... Könntest Du nachschauen, ob in der Browser-Konsole irgendwelche Fehler angezeigt werden?
Um Deinen Peer zu konfigurieren könntest Du (als Workaround) die Konfiguration manuell übertragen. Die ist unter Objects->iwg-vpn->0->Peers->test->config einsehbar. -
@oliverio
das ist nicht wirklich eine Dependency. Ist eine Art Komfort-Lösung zu Konfiguration von mobilen Peers. Meinst Du es sollte trotzdem als Dependency deklariert werden? -
@oliverio Korrekt. wenn simple-api benötigt wird dann sollte es als dependency (wenn es auf gleichem host sein muss9 oder globalDependency (wenn egal wo) drin sein.
Was heisst denn "Komfort Lösung"? Wenn es optional ist dann keinen dep aber in die Readme die Info wie es mit und iohne zu machen ist denke ich wäre am besten
-
@oliverio Korrekt. wenn simple-api benötigt wird dann sollte es als dependency (wenn es auf gleichem host sein muss9 oder globalDependency (wenn egal wo) drin sein.
Was heisst denn "Komfort Lösung"? Wenn es optional ist dann keinen dep aber in die Readme die Info wie es mit und iohne zu machen ist denke ich wäre am besten
@apollon77
Ja, Simple-API ist optional. Das habe ich auch beschrieben in HowTo, das in der readme prominent verlinkt ist. -
@david-g
das ist schlecht... Könntest Du nachschauen, ob in der Browser-Konsole irgendwelche Fehler angezeigt werden?
Um Deinen Peer zu konfigurieren könntest Du (als Workaround) die Konfiguration manuell übertragen. Die ist unter Objects->iwg-vpn->0->Peers->test->config einsehbar.@iwg
Hab mir mit dem Text aus dem Datenpunkt einen QR-Code erstellt.
Verbindung klappt.Muss sich an der Config was ändern, wenn ich das NAT aktiviere?
EDIT:
Habe jetzt den QR-Code.
Habe im WEB-Adapter das integrierte Simple-API nicht aktiviert gehabt.
In der Anleitung übersehen. Wird also nicht der simple-api Adapter genutzt. -
@iwg
Hab mir mit dem Text aus dem Datenpunkt einen QR-Code erstellt.
Verbindung klappt.Muss sich an der Config was ändern, wenn ich das NAT aktiviere?
EDIT:
Habe jetzt den QR-Code.
Habe im WEB-Adapter das integrierte Simple-API nicht aktiviert gehabt.
In der Anleitung übersehen. Wird also nicht der simple-api Adapter genutzt.@david-g
Super, dass es geklappt hat :)
Wenn Du NAT aktivierst, werden dann Deinem ioBroker weitere VPN IPs zugewiesen (die dann geNATed werden). Die Konfiguration wird automatisch angewandt. -
@david-g
Super, dass es geklappt hat :)
Wenn Du NAT aktivierst, werden dann Deinem ioBroker weitere VPN IPs zugewiesen (die dann geNATed werden). Die Konfiguration wird automatisch angewandt.@iwg
Noch 2 Fragen.
- Der Traffic lauft dann komplett über deinen Server?
- Wird der QR-Code lokal generiert? Sonst kommen die Daten ja sonst wohin.
EDIT:
Dritte Frage.
Ist es technisch in Wireguard möglich, auch mit Lokalen IPs zu arbeiten?
Wie bei einem klassischen VPN? -
@iwg
Noch 2 Fragen.
- Der Traffic lauft dann komplett über deinen Server?
- Wird der QR-Code lokal generiert? Sonst kommen die Daten ja sonst wohin.
EDIT:
Dritte Frage.
Ist es technisch in Wireguard möglich, auch mit Lokalen IPs zu arbeiten?
Wie bei einem klassischen VPN?@david-g
- Ja, der Traffic läuft über den Server. Es kann ja auch anders nicht sein (außer bei hole patching ;)). Dein ioBroker hat ja keine public IP, deswegen hält er die Verbindung zum Server über die die Packete geschickt werden. Genauso wie bei iobroker.cloud, nur nicht über WebSockets-over-HTTP, sondern über UDP
- Der QR-Code wird nur lokal generiert. Du kannst den gesamten Code dazu hier einsehen: https://github.com/iwg-vpn/ioBroker.iwg-vpn/blob/main/www/index.html oder direkt auf Deinem ioBroker unter /opt/iobroker/node_modules/iorbroker.iwg-vpn/www/index.html
- Technisch ist es möglich. Ich muss aber dafür sorgen, dass IP-Bereiche von verschiedenen ioBroker-Installationen nicht überlappen.
894
Online32.5k
Benutzer81.6k
Themen1.3m
Beiträge