Ich habe nur den Port für https freigegeben. Auf die Anwendungen greife ich über benutzerdefinierte Domains und Reverse Proxys zu. So sind also nicht die direkten Ports freigegeben. Alle Anmeldekonten verfügen über eine 2-Faktor-Authentifizierung. Und dann habe ich die Firewall auf das Notwendigste eingeschränkt.
Ich denke, dass das schon recht sicher sein sollte. Falls es da Bedenken geben sollte, wäre ich für jeden Hinweis dankbar. Aber das ganze driftet vom eigentlichen Thema ab.
Danke für euren Input. Ich denke, ich habe jetzt meine Einstellungen gefunden.
Generell bin ich bei Euch. Ich greife grundlegend via VPN auf mein Heimnetz zu. Jedoch habe ich für Synology Photos und Drive eine Portfreigabe eingerichtet. Da ist die Verwendung von VPN hinderlich bzw. bei Dateifreigabe an Dritte zu umständlich.
Ich habe den Docker jetzt im Host-Modus laufen und die Ports 8081 und 1880 in der Firewall freigegeben. Alle anderen Ports sind blockiert. Das funktioniert nun einwandfrei.
Die letzte Einstellung soll ich also deaktivieren? Ich habe gedacht, wenn ich vorher die Ausnahmen zulasse, dass das Ganze funktionieren sollte.
Ich lasse doch alles eingehende zu den Ports 8081 und 1880 durch oder habe ich da ein Denkfehler?
Habe ich dadurch irgendwelche Sicherheitsrisiken, wenn ich den letzten Punkt deaktiviere?
Ich habe unter anderem Synology Photos eingerichtet, welches über das Internet erreichbar ist. Daher möchte ich kein Einfallstor öffnen und eine möglichst sichere Umgebung schaffen.
Ich muss zugeben, ich das Thema Docker ist noch ganz neu für mich.
Hallo zusammen,
ich habe ioBroker als Dockerinstallation auf meinem Synology NAS installiert. Ich habe Bridge als Netzwerkkonfiguration ausgewählt und den Port 8081/tcp gewählt. Die Installation hat soweit funktioniert.
Jedoch habe ich ein Problem mit den Firewalleinstellungen auf dem NAS. Ich möchte es möglichst sicher haben und habe daher nur die nötigen Ports freigegeben. So sieht meine Firewalleinstellung aus:
Leider kann ich mit diesen Einstellungen keine Adapter installieren/aktualisieren. Schalte ich die letzte Regel aus, funktioniert es problemlos. Ich habe die Ports 8081 und 1880 freigegeben (ioBroker und Node-RED). Welche Einstellung muss ich noch setzen, damit ioBroker und Node-RED Daten aus dem Netz laden können?
Viele Grüße
Markus
@mickym
Dann erkläre mir mal bitte, wie du Zeitpläne programmierst, ohne über die Zeit zu triggern. Einfachstes beispiel 08:00 Uhr sollen die Rollläden hochfahren. Meiner Meinung nach kann man sowas nur über die Zeit steuern.
Dass NodeRED abstürzt, lassen wir jetzt am besten mal außen vor. Ich habe auch sämtliche Programme in NodeRED, die zeitgesteuert sind. Diese werden beim Start immer getriggert, um im richtigen Zeitplan zu sein. Wenn jetzt meine CCU noch nicht erreichbar ist, gibt es Fehler und meine sämtlich zeitgesteuerten Programme sind nicht im richtigen Zeitplan. Daher soll eben erst die CCU online sein, bevor meine Logikebene dazukommt und alle Programme richtig triggern kann.
Der gezeigte Ansatz mit dem Stoppen der Adapter und erneuten Starten ist schonmal ein guter Ansatz. Kann man denn nicht festlegen, dass bestimmte Adapter erst gar nicht gestartet werden und man diese per Skript manuell startet?
@djmarc75
Ja, ich habe NodeRED als Adapter auf meinem ioBroker laufen.
@Thomas-Braun
Da kann ich aber leider keine Zeit einstellen. Das hilft mir hier leider nicht direkt weiter.
Prinzipiell stimmt das soweit. Die CCU ist ein externer Dienst. Ich habe aber auch noch weitere Adapter laufen, die ich gerne in einer gewissen Reihenfolge mit Verzögerung starten möchte.
Eine Diskussion über die Sinnhaftigkeit hilft mir hier leider nicht weiter. Eine Lösung des Problems wäre sehr hilfreich und kann sicher auch weitere Nutzer weiterhelfen.
@da_woody said in Startreihenfolge der Adapter:
[...] bei adaptern unter ioB wäre mir das nicht bekannt, weil auch nicht notwendig.
Ob es notwendig ist oder nicht, muss jeder für sich entscheiden. Ich bin der Meinung, es wäre notwendig. Wenn der NodeRED Adapter schneller gestartet ist als meine CCU, stürzt NodeRED ab, da es die Zentrale nicht findet. Daher wäre eine Startreihenfolge bzw. -verzögerung sehr sinnvoll.
Es sollte doch möglich sein, dass ausgewählte Adapter bei Systemstart nicht automatisch starten und man diese mittels eines Skripts in Blockly manuell starten könnte.
