Cloudmatic SmartHome alleine nutzbar

[hobbyquaker]

Ich bezweifle einfach mal, dass das jeder "interessierte Heimnetzwerker" versteht, der einfach ohne Konfiguration und technischen Aufwand seine CCU erreichen möchte.

Der Heimnetzwerker braucht den von Dir geschilderten "komplizierten" Teil ja auch nicht. Der Heimnetzwerker baut seine Open-VPN-Verbindung direkt nach Hause auf. Ohne "Man-in-the-Middle".
.

Genau in dem was Du "man in the middle" nennst liegt aber für viele leute der vorteil
vom meine-homematic. Wenn man nur ein DSlite oder mobilfunkanschluss ohne öffentliche IPv4 hat kann man eben keine Verbindung nach Hause aufbauen, man ist von aussen schlicht nicht erreichbar.

Meine-homematic funktioniert eben andersrum, man hat keinen VPN server zuhause sondern die CCU ist ein VPN _client_ der sich auf den VPN server bei meine-homematic in "der cloud" verbindet. Es findet also eine _aus_gehende verbindung statt, keine eingehende.

[hobbyquaker]

Wie bereits gesagt, OpenVPN auf Port 443/TCP einstellen und schon klappt das.

Auch das kann man pauschal
nicht so sagen. Die meisten mir bekannten grossen Unternehmen setzen Data Loss Prevention Appliances a la Blue Coat ein, die machen fröhlich ssl interception und verbieten alles was nicht http ist... Auch hier _kann_ meine-homematic ein Vorteil bieten.

Ganz abgesehen davon dass die meisten User auf ihrem Unternehmensrechner schlicht kein Recht haben sich nen OpenVPN client zu installieren.

[klassisch]

Schon bevor es HM gab, verwendete ich VPN zwischen zwei Standorten und für den Zugriff von externen Rechnern aus. deshalb habe ich mich nie ernsthaft um solche Dienste wie meine-homematic oder Clou Matic gekümmert.
Es gibt aber bei VPN tatsächlich einige Einschränkungen. Kürzlich hatte ich von einem asiatischen Hotel aus keine Möglichkeit eine VPN Verbindung über das Hotel Netzwerk aufzubauen . Ich weiß auch nicht, wie mein Arbeitgeber reagieren würde, wenn ich von meinem Geschäfts Rechner aus eine VPN Verbindung nach außen aufbauen würde . Ich werde es auch nicht erproben.
In meinem Fall kann ich mit den Einschränkungen leben. Es mag andere Fälle geben, für die ein solcher Dienst von Vorteil sein kann.

[blackhole]

Meine-homematic funktioniert eben andersrum, man hat keinen VPN server zuhause sondern die CCU ist ein VPN _client_ der sich auf den VPN server bei meine-homematic in "der cloud" verbindet.

Ja, richtig, über Port 11194 (Standard-OpenVPN-Port + 10000 -> Security by obscurity ).
Ich denke, das hat jeder verstanden, der sich das einmal auf der CCU angeguckt hat.

Es findet also eine _aus_gehende verbindung statt, keine eingehende.

Ja, auch richtig.
Der Tunnel funktioniert dann auch einwandfrei in beide Richtungen und wird von einem Dritten terminiert (ab da Klartext, dann wieder über 443/TCP vom Endgerät/Smartphone abgegriffen). Das ist die zweifelhafte und i.d.R. unnötige Vertrauensgeschichte von der ich rede. Klassisches Man-in-the-Middle.

Wenn man nur ein DSlite oder mobilfunkanschluss ohne öffentliche IPv4 hat kann man eben keine Verbindung nach Hause aufbauen, man ist von aussen schlicht nicht erreichbar.

Praktisch alle Provider bieten hierfür eine Lösung (kostet i.d.R. um die 5 Euro mehr als der Standardzugang). Es gibt auch Provider die den Businesstarif auf Nachfrage für Privatpersonen möglich machen (UM zum Beispiel, inkl. 3 statische IPv4-Addressen - es gibt aber auch andere die das machen). Im Falle von Mobilfunk, da gebe ich dir recht, wird es schwieriger. Da müsste i.d.R. eine andere Lösung her. Die letzte hieße (für mich) allerdings Cloudmatic. Ich würde das über einen (anderen) Festnetzanschluss lösen, wenn an dem CCU-Standort nur Mobilfunk möglich wäre. Das ist aber eindeutig nichts für Otto-Normal-User, keine Frage. Im Falle von Herbert_Testmann spielt das alles aber keine Rolle, er betreibt schließlich einen Webserver zu Hause.

Ganz abgesehen davon dass die meisten User auf ihrem Unternehmensrechner schlicht kein Recht haben sich nen OpenVPN client zu installieren.

Das ist korrekt und sollte im Unternehmensumfeld bei unternehmenseigenen Geräten so sein.
Ich vermute, bei Herbert_Testmann spielt BYOD eine Rolle und es wird eine einfache, portbasierte Firewall, vielleicht noch in Verbindung mit einem einfachen Web-Proxy, eingesetzt. Das spielt letztendlich aber keine Rolle, solange er es dort nutzt und nutzen möchte und eine Verbindung über Port 443/TCP für ihn funktioniert, was ja der Fall ist.

[grissli1]

Jetzt muss ich auch mal meinen Senf dazu geben:
Ich hatte in der Anfangszeit (vor einigen Jahren) auch einen Cloudmatic Zugang. Die Firma selbst ist sehr bemüht und auch sehr hilfsbereit.
Mich haben sie durch einige Ausfälle (ich öffne die Haustüre über mein Handy und habe keinen Schlüssel mit) und die Übernahme des schönen Addons, das hier entwickelt wurde und seit da durch sie weiter vertrieben wird, verärgert. Letzteres kann man ja nicht abwenden, da es ja beim Entwickler liegt, was er damit macht.
Verloren haben sie mich aber dann durch den größten Bock den so eine Firma schießen kann. Das war damals bei der Serverumstellung wo man mit seinem Zugang auf eine fremde CCU gekommen ist. Ab dem Zeitpunkt habe ich alles selbst in die Hand genommen.
Zuerst mit VPN über meine Fritzbox, dann später als LXCCU raus gekommen ist mit dem ReverseProxy. Und sogar als absoluter Linux Noob war das fast ohne Probleme machbar.

Leider komme ich mit dem selbst signierten Zertifikat nicht von der Firma auf die CCU (brauch ich aber auch nicht, weil ich ja eine App am Handy habe). Man kann aber auch da eine Lösung schaffen, in dem man ein CA signiertes Zertifikat erstellt und es automatisch aktualisieren lässt. Geht aber nur über Port 443. Da ich auf andere Ports ausgewichen bin, ist das aber für mich leider keine Lösung.

Ob es nun auf anderen Ports sicherer ist als auf 443 kann jeder für sich selbst beurteilen. Ich habe Ports in Verwendung, die von keiner Anwendnung standardmäßig verwendet werden. Mein Router hat mir bisher nich keinen Zugriffsversuch auf diese Ports angezeigt. Auch das fail2ban Jailbist leer.
Da ich ja nicht immer sofort weiß, ob es im ReverseProxy Sicherheitslücken gibt, dachte ich mir, ich nehme andere Ports.

Programmiert wird nur zu Hause also brauch ich keinen Browserzugang zur CCU. Alles Wichtige bekomme ich per Pushover oder Telegram. Da reicht danach eine App zum Nachschauen.

Heute rate ich jedem meiner Kollegen zu einem OpenVPN oder ReverseProxy Zugang.

Viele Grüße
Chris

Mobil am Weg

[cobalt8]

Ok, es scheint mir, als habe ich an der Stelle eine Grundsatzdiskussion ausgelöst.

Ich möchte noch eine Rückmeldung geben. Nachdem ich mich ziemlich geärgert habe, und ich meinen Vertrag vorzeitig aufgelöst habe (innerhalb von 14 Tagen), wurde mir von der Firma anstandslos und freundlich mein gezahltes Geld zurückgebucht.
Den größten Teil des Cloudmatic Smart Tarifes habe ich mit dem ein Jahres Gutschein bezahlt, der meiner CCU beilag. Ich habe bei meinem Rücktritt darum gebeten, mir diesen Gutschein zu reaktivieren, damit ich von dem Gutschein dann immerhin Premium SMS kaufen könne. Die Firma ist dieser Bitte anstandslos nachgekommen, und hat mir den ursprünglichen Wert des Gutscheines ohne Probleme mit Premium SMS verrechnet.

An dieser Stelle bin ich also echt zufrieden und kann den Service tatsächlich nur loben. Meine Entscheidung habe ich allerdings nicht getroffen gehabt, weil ich verärgert war, sondern weil es mir dann vom Preis-Leistungs-Verhältnis einfach zu happig war, wenn ich beide Tarife hätte buchen müssen. Der Entscheidung lag zugrunde, dass es auch andere gute und weniger gute Apps gibt, die man teilweise kostenlos oder gegen eine einmalige Gebühr nutzen kann, außerdem ist das Steuern per App für meinen Anwendungsbereich lediglich eine Spielerei. Ich versuche meine CCU so zu programmieren und zu steuern, dass sie autark auch in Außnahmesituationen in einen sicheren Zustand übergeht (z.b. Stromausfall). Eine anschließende Kontrolle von Variablen kann ich auch per Handy erledigen, wenn ich wieder zu Hause bin (dann mit einer der anderen Apps). Eine Spielerei war es mir dann einfach nicht wert, zwei Tarife abzuschließen.

[klassisch]

vielen Dank für die Rückmeldung!