Nun, die Firewall der CCU/RaspberryMatic weiss ja nichts von der xml-api bzw. dessen URLS und agiert ja auch einer anderen Schicht und die Abfragen gehen ja über Port 80/443 und nicht über einen speziellen Port. Insofern ist das mit der Standard-Firewall der CCU/RM AFAICS nicht zu leisten. Man könnte nur überlegen ob man ggf. alle /addons/ URLS in der Webserver config ggf. von Zugriffen von außen sperrt. D.h. für alles was nicht auf dem lokalen Netzwerk stammt. Oder man weitet das gleich dahingehend aus das der gesamte Port 80/443 nur für IPs aus dem lokalen Netzwerk bzw. dem konfigurierten Range erlaubt ist. Und dann baut man was ein was per default erkennt in welchem lokalen Subnetz sich die CCU Zentrale befindet und lässt nur dieses als Zugriff für Port 80/443 zu. Das sollte dann ein normales Port-Forwarding verhindern soweit ich das verstehe. Aber auch dafür bräuchte man dann eine Konfigurationsmöglichkeit bzw. ein Fallback für leute die komplexere Netzwerkkonstrukte mit mehr als einem lokalen Subnetz haben.
RFC: Kommende XML-API CCU Addon 2.0 Version
Moderator: Co-Administratoren
- jmaus
- Beiträge: 9919
- Registriert: 17.02.2015, 14:45
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Dresden
- Hat sich bedankt: 467 Mal
- Danksagung erhalten: 1917 Mal
- Kontaktdaten:
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
RaspberryMatic 3.75.7.20240601 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal /
-
- Beiträge: 266
- Registriert: 05.10.2019, 21:17
- Hat sich bedankt: 110 Mal
- Danksagung erhalten: 2 Mal
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Hallo Zusammen,
in diesem Zusammenhang noch mal eine Frage an die Profis:
Ich habe in der ccu firewall folgende Ports freigegeben, wobei ich iobroker, tinymatic (xml-api) und cuxd als addons nutze:
8082;
8701;
8081;
2001;
2010
Habe ich zuviele offen bzw. Macht es Sinn, diese offenen Ports im Lan weiter einzuschränken? Vielen Dank schon mal dafür.
Mir wäre wichtig, dass man Zugriff auf die ccu auch über eine externe vpn Verbindung erhält. Da bekomme ich eine ip, die nicht direkt aus meinem privaten Netz kommt, sondern sich im dritten Teil des privaten Adressereichs unterscheidet....
Vielen lieben Dank
Hugo
in diesem Zusammenhang noch mal eine Frage an die Profis:
Ich habe in der ccu firewall folgende Ports freigegeben, wobei ich iobroker, tinymatic (xml-api) und cuxd als addons nutze:
8082;
8701;
8081;
2001;
2010
Habe ich zuviele offen bzw. Macht es Sinn, diese offenen Ports im Lan weiter einzuschränken? Vielen Dank schon mal dafür.
Mir wäre wichtig, dass man Zugriff auf die ccu auch über eine externe vpn Verbindung erhält. Da bekomme ich eine ip, die nicht direkt aus meinem privaten Netz kommt, sondern sich im dritten Teil des privaten Adressereichs unterscheidet....
Vielen lieben Dank
Hugo
- deimos
- Beiträge: 5410
- Registriert: 20.06.2017, 10:38
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Leimersheim
- Hat sich bedankt: 121 Mal
- Danksagung erhalten: 962 Mal
- Kontaktdaten:
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Hi,
einfache 95% Lösung: Alles sperren, was nicht aus den privaten Bereichen kommt. Kann man statisch einrichten und dürfte auch bei komplexen Setups reichen. Alles öffentlich geroutete wird damit verhindert und wer ein Setup mit mehreren Subnets im privaten Netz betreibt, dürfte genug Ahnung haben um sich ggf. anderweitig zu schützen. Braucht keine Anpassung der API Consumer und dürfte sogar mit Cloudmatic&Co. funktionieren.
Viele Grüße
Ale,
einfache 95% Lösung: Alles sperren, was nicht aus den privaten Bereichen kommt. Kann man statisch einrichten und dürfte auch bei komplexen Setups reichen. Alles öffentlich geroutete wird damit verhindert und wer ein Setup mit mehreren Subnets im privaten Netz betreibt, dürfte genug Ahnung haben um sich ggf. anderweitig zu schützen. Braucht keine Anpassung der API Consumer und dürfte sogar mit Cloudmatic&Co. funktionieren.
Viele Grüße
Ale,
- GoSh
- Beiträge: 62
- Registriert: 30.09.2019, 19:45
- System: Alternative CCU (auf Basis OCCU)
- Hat sich bedankt: 15 Mal
- Danksagung erhalten: 3 Mal
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Ich verwende die XML-API 1.22 über Aufrufe im Neo-Creator per http-Befehl, um Systemvariable auf bestimmte Werte zu setzen. Dort kann ich keinen mehrzeiligen Code eintragen. Wüsste momentan nicht wie ich das dann künftig mache.
Verstehe ich das richtig, dass mit der Version 2.0 nun mehrzeiliger Code notwendig wird (1.für Login, 2.Nutzung XML-API2.0, 3.Logout)? Ein Code-Beispiel der aktuellen Betaversion wäre hier wünschenswert und beantwortet evt. meine Frage.
Verstehe ich das richtig, dass mit der Version 2.0 nun mehrzeiliger Code notwendig wird (1.für Login, 2.Nutzung XML-API2.0, 3.Logout)? Ein Code-Beispiel der aktuellen Betaversion wäre hier wünschenswert und beantwortet evt. meine Frage.
-
- Beiträge: 6848
- Registriert: 22.05.2012, 08:40
- System: CCU
- Hat sich bedankt: 25 Mal
- Danksagung erhalten: 499 Mal
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Einfach das XML API Add on deinstallieren, dies erzeugt in der Version nur Sicherheitslücken auf der CCU und ist in dem Kontext zum setzen der Systemvariable aus NEO überflüssig. Die Systemvariable kann direkt ohne das XML API Add On über das NEO Plugin HomeMatic CCU aus NEO gesetzt werden. Dann braucht man auch keinen HTTP Request mehr, sondern kann das direkt auf ein Button Element oder ein Eingabeelement legen, um den Wert der Systemvariable zu ändern.
- GoSh
- Beiträge: 62
- Registriert: 30.09.2019, 19:45
- System: Alternative CCU (auf Basis OCCU)
- Hat sich bedankt: 15 Mal
- Danksagung erhalten: 3 Mal
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
In einer früheren Version hatte ich aus NEO heraus Probleme komplexere Zeichenketten mit Sonderzeichen in Systemvariablen zu verwenden. Deswegen hab ich das damals mit XML API gemacht. Nun scheint das wie von dir beschrieben zu funktionieren.Fonzo hat geschrieben: ↑22.02.2023, 07:57Die Systemvariable kann direkt ohne das XML API Add On über das NEO Plugin HomeMatic CCU aus NEO gesetzt werden. Dann braucht man auch keinen HTTP Request mehr, sondern kann das direkt auf ein Button Element oder ein Eingabeelement legen, um den Wert der Systemvariable zu ändern.
Auch wenn ich die Sicherheitsbedenken teile und z.B. von aussen nur per VPN auf mein System gehe, finde ich eine Lösung die lokale IP zulässt oder ein PW besser, als ein Addon, für das mehrere Zeilen Code notwendig sind um eine neue gültige Session-ID zu holen und es damit zu nutzen. Dabei werden Fehler entstehen - sei es durch Programmierer oder (warum auch immer) systembedingt.
- roe1974
- Beiträge: 746
- Registriert: 17.10.2017, 16:15
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Wien
- Hat sich bedankt: 52 Mal
- Danksagung erhalten: 13 Mal
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Hallo zusammen
Da meine Frage von Seite 4 untergegangen ist
So ein Aufruf
ist dann mit 2.0 nicht mehr möglich ... richtig ?
lg Richard
PS: Ja ich weiss ich könnte alles auf CCU Boardmitteln umbauen wie jp112sdl bereits ebenfalls auf Seite 4 geschrieben hat.
PSS: Mein Netzwerk ist dicht, solche Aufrufe passieren nur im LAN, nach aussen alle Ports zu.
Da meine Frage von Seite 4 untergegangen ist
So ein Aufruf
Code: Alles auswählen
wget -q --timeout=10 -O /dev/null 'http://xxx.xxx.xxx.xxx:80/config/xmlapi/statechange.cgi?ise_id=2635&new_value=true'
lg Richard
PS: Ja ich weiss ich könnte alles auf CCU Boardmitteln umbauen wie jp112sdl bereits ebenfalls auf Seite 4 geschrieben hat.
PSS: Mein Netzwerk ist dicht, solche Aufrufe passieren nur im LAN, nach aussen alle Ports zu.
- jmaus
- Beiträge: 9919
- Registriert: 17.02.2015, 14:45
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Dresden
- Hat sich bedankt: 467 Mal
- Danksagung erhalten: 1917 Mal
- Kontaktdaten:
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
So wäre das, ja. Denn man braucht dann immer eine valide sessionID (d.h. ein &sid=XXXXX parameter in der URL).roe1974 hat geschrieben: ↑22.02.2023, 14:48So ein Aufrufist dann mit 2.0 nicht mehr möglich ... richtig ?Code: Alles auswählen
wget -q --timeout=10 -O /dev/null 'http://xxx.xxx.xxx.xxx:80/config/xmlapi/statechange.cgi?ise_id=2635&new_value=true'
RaspberryMatic 3.75.7.20240601 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal /
- roe1974
- Beiträge: 746
- Registriert: 17.10.2017, 16:15
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Wien
- Hat sich bedankt: 52 Mal
- Danksagung erhalten: 13 Mal
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Alles klar ... danke für die klare Antwort .
Dann muss ich auf der alten Version bleiben oder auf CCU Boardmitteln umbauen.
Dann muss ich auf der alten Version bleiben oder auf CCU Boardmitteln umbauen.
-
- Beiträge: 249
- Registriert: 03.01.2014, 09:07
- Hat sich bedankt: 67 Mal
- Danksagung erhalten: 3 Mal
Re: RFC: Kommende XML-API CCU Addon 2.0 Version
Ich kann von meiner AppleWatch mit dem App iControlWeb direkt das Garagentor öffnen/schliessen.
Ausgelöst wird es mit einem Befehl über Cloudmatic.
Ferner melde ich der CCU meinen Handy-Standort über Geofency mit einem Webhook.
https://User:Passwort@1234.9.meine-home ... ew_value=6
Kann ich mit der neuen Version wohl beides vergessen?
Ausgelöst wird es mit einem Befehl über Cloudmatic.
Ferner melde ich der CCU meinen Handy-Standort über Geofency mit einem Webhook.
https://User:Passwort@1234.9.meine-home ... ew_value=6
Kann ich mit der neuen Version wohl beides vergessen?
Insgesammt 4 Anlagen. Hauptsystem mit 1271 Kanäle in 200 Geräten und 5977 Datenpunkte, verwaltet mit Charly auf einem Asus-Thinkerboard "S", natürlich mit RaspberryMatic. HM, HMIP und Wired im Einsatz.