HomeMatic-Forum / FHZ-Forum

Hallo,

ich habe hier ein Gerät mit der Version 2.21.8, dazu ist mir nichts bekannt.
Zudem wurde es wohl automatisch geupdatet. Vorher funktionierte es einwandfrei, seit dem 29.3. nicht mehr.

Die Gerätedaten sind eingebunden, die Verbindung wird getestet und es kommt kein Fehler.
Sobald ich einen Sync anschubse bekomme ich den Fehler, dass kein parsing der ROOM-List möglich ist. Ab und an auch mal 403-Fehler.
Ich habe auch schon diverse Dinge ein- und ausgeschaltet, keine Chance.
https ist aktiviert, Benutzer Auth auch. Alle Daten sind korrekt, habe ich mehrfach getestet. Die CCU ist von außen erreichbar, eine andere App synct einwandfrei mit der 2.20.

Alle bisherigen Daten scheinen henau so übernommen zu sein.

Muss mir das etwas sagen mit dem Rega-Port 8181? Ich habe nur eine MyFritz-Portweiterleitung mit Port 80 eingerichtet auf die IP der CCU3.

"von aussen erreichbar ... Portweiterleitung ..."
Tatsächlich?

mademyday hat geschrieben: ↑

10.04.2024, 17:22

"von aussen erreichbar ... Portweiterleitung ..."
Tatsächlich?

Genau, dafür ist der Fernzugriff vorgesehen. Ich würde jetzt gerne das Problem lösen und nicht über Sicherheit diskutieren.

Ich habe noch etwas herausgefunden:
Bei dem Fernzugriff ist der Port eingetragen. Selbstverständlich ein geänderter Port, der intern auf die 443 oder 80 zeigt.
Beim Verbindungstest wird mir immer die Verbindung als fehlerhaft auf Port 80 oder 443 gezeigt und nicht der eingetragene Port. Kann es sein, dass der benutzerdefinierte Port nicht übergeben wird?

Kann es sein, dass die App sich nur registriert und verbindet, nachdem man einmal eine lokale Verbindung aufgebaut hat?

tgw hat geschrieben: ↑

10.04.2024, 17:48

Ich würde jetzt gerne das Problem lösen und nicht über Sicherheit diskutieren.

Dann beschwere Dich aber hinterher nicht, und hoffe drauf, dass Black diesen Thread nicht mitbekommt.

tgw hat geschrieben: ↑

10.04.2024, 18:22

Selbstverständlich ein geänderter Port, der intern auf die 443 oder 80 zeigt.

tgw hat geschrieben: ↑

10.04.2024, 17:16

Muss mir das etwas sagen mit dem Rega-Port 8181? Ich habe nur eine MyFritz-Portweiterleitung mit Port 80 eingerichtet auf die IP der CCU3.

Ja, muss es. Die RemoteSkriptAPI lauscht auf 8181 (http) und 48181 (https). Mit einem Portforwarding auf 80/443 hast Du Dir lediglich das oben genannte Sicherheitsproblem (vergleichbar offene Haustüre) geschaffen, aber keinen Zugriff für TinyMatic.

Also, rein technisch gesehen, Portforwarding 80 und 443 ausschalten, Portforwarding mit Ziel CCU:48181 einrichten, in TinyMatic HTTPS und Authentifizierung aktivieren, in der CCU Firewall die RemoteSkriptAPI für alle Welt freigeben.
Extern einen anderen Port zu verwenden funktioniert nur mit IPv4.

Aber auch wenn Du es nicht hören willst, ich fühle mich verpflichtet es vor allem in Hinblick auf Nachahmer nochmal anzumerken, diese Variante ist grundsätzlich unsicher!!!

Wenn Du eh schon MyFritz hast, ist VPN nur zwei Klicks entfernt und wesentlich sicherer.

Hallo rentier-s,
danke für die Hinweise.

Vorab: Mir ist das durchaus bewusst, was ein offener Port bedeutet und ich kenne VPN. In manchen Situationen ist es halt nicht so einfach mit nicht einfachen Menschen umzusetzen und dann muss man halt sichern, so gut es geht. In diesem Fall ist es nur eine CCU, die im Netz hängt mit Geräten, die nichts anrichten. Das Risiko ist überschaubar, ein Eindringling könnte bestenfalls Temperaturen lesen. Wenn Du jedoch jemandem mit über 80 Jahren VPN und dessen Bedienung erklären möchtest, gebe ich Dir gerne die Telefonnummer. Eine Entlastung wäre sooo toll.
Also bitte nicht gleich verurteilen, erst die Gegebenheiten kennen. Deine Kritik verstehe ich aber durchaus.
Damit möchte ich das Thema aber auch erstmal abschließen. Abgesehen davon, dass es sich jetzt ja eh erledigt mit Port 80 und 443.

Für das Iphone gibt es übrigens eine App, die VPN extern selbständig aufbaut.

Zum Thema:
das bedeutet, dass jetzt auch zusätzliche Portweiterleitungen eingerichtet werden müssen? Das ist doch eine Aussage. Diesen Hinweis habe ich nirgends gefunden, wäre hilfreich gewesen. Meine Info war: "Nur Zugangsdaten eintragen und fertig". Und das Scrip gebe ich nur eingeschränkt frei.

Gibt es sonst noch etwas zu beachten, was nicht geschrieben steht? Sicherlich wäre hier eine Ergänzung auf der FAQ-Seite von Tinymatic sinnvoll. Mal so an das Kybernetik-Team empfohlen. Heute habe ich auch die 2.21.9, zwar gibt es jetzt statt der Glocke einen Lautsprecher für den Blog, aber der Blog sagt nichts zu den neuen Versionen.

Für das Iphone gibt es übrigens eine App, die VPN extern selbständig aufbaut.

Gibt es für Android auch.

cmjay hat geschrieben: ↑

11.04.2024, 10:54

Für das Iphone gibt es übrigens eine App, die VPN extern selbständig aufbaut.

Gibt es für Android auch.

Für jeden Tipp dankbar. Wireguard?
Wobei leider die in diesem Fall eingesetzte Fritzbox noch kein Wireguard kann und auch nicht können wir.

Für IPsec: VPNcilla

Hallo,

ich drehe mich hier im Kreis.

Zuerst einmal habe ich eine Sache bemerkt, die suboptimal ist und mich echt aufgehalten hat.
Ich habe auf meinem Handy mehrere Profile für verschiedene CCU-Standorte. Wenn ich in einem Profil mein Heim-WLAN eintrage, wird das auf alle Profile übernommen und alle Profile versuchen, lokal zu verbinden. Ob das so richtig ist? Man kann auch nicht das Heimnetz aus einem Profil löschen, dann wird es überall gelöscht. Die Profile scheinen nicht komplett unabhängig zu sein. Kann das mal wer verifizieren?

Des weiteren habe ich jetzt eine Portweiterleitung auf 48181 gemacht, https eingeschaltet und es funktioniert trotzdem nicht. Auffällig beim Testen der Verbindung ist, dass ich nach wie vor die Meldung bekomme, dass eine Verbindung zu 443 nicht möglich ist. Und warum von 10.xxx, das ist keine öffentliche Adresse und auch hier nirgends vorhanden. Siehe Screenshot.
Wo ist mein Fehler?

Übrigens geht der Sync mit der richtigen Adresse raus, schlägt aber dennoch fehl, ich wüsste in der CCU aber auch nichts mehr, was falsch sein kann. Die 2.21.9 ist aber OK?

Ergänzung: Lokal läuft alles.