RaspberryMatic - Verbesserungsvorschläge/Wünsche

Einrichtung, Nutzung und Hilfe zu RaspberryMatic (OCCU auf Raspberry Pi)

Moderatoren: jmaus, Co-Administratoren

Benutzeravatar
Baxxy
Beiträge: 10648
Registriert: 18.12.2018, 15:45
System: Alternative CCU (auf Basis OCCU)
Hat sich bedankt: 597 Mal
Danksagung erhalten: 2180 Mal

Re: RaspberryMatic - Verbesserungsvorschläge/Wünsche

Beitrag von Baxxy » 08.12.2022, 19:02

Mir ging es nicht um Sicherheitsbedenken sondern um die Frage ob sich Carrier Grade NAT ohne eigenen externen Server umgehen lässt.
Das ist mit Tailscale gegeben, aber eben nur wenn die "Tailscale-Vermittlungs-Server" für den initialen Verbindungsaufbau erreichbar sind.

Vor Tailscale hatte ich Wireguard etabliert. Der "Wireguard-Vermittlungs-Server" war ein Raspi hier im Heimnetz der mittels Dynamic-DNS (und öffentlicher v4 IP) von den "Außenstellen" erreichbar war. Lief auch sehr gut und stabil.

Tailscale macht die Sache natürlich viel einfacher und läuft hier (seit Einführung in RaspberryMatic) komplett unauffällig.

Xel66
Beiträge: 14085
Registriert: 08.05.2013, 23:33
System: Alternative CCU (auf Basis OCCU)
Wohnort: Nordwürttemberg
Hat sich bedankt: 580 Mal
Danksagung erhalten: 1492 Mal

Re: RaspberryMatic - Verbesserungsvorschläge/Wünsche

Beitrag von Xel66 » 08.12.2022, 20:17

Die sicherheitstechniche Bewertung habe ich aufs Tapet gebracht. Mir ist bewusst, dass eine Hacker auf einem Cloudmatic-Server Zugriff auf meine CCU und ggf. auch in meine erste Netzwerkkaskade erhalten könnte. Aber auch bei Tailscale muss ich letztendlich einem externen Vermittlungsserver und dessen Wartung vertrauen. Für einen Cloudmatic-ahnlichen Zugriff (Login via Webinterface - Point to point geht es für bestimmte Anwendungsfälle nicht) müsste ich auch noch einen externen Server aufsetzen und selbst warten. Da man hier schnell ins Klo greifen kann, schlucke ich die Kröte und vertraue einem externen Anbieter, der dieses auch wartet und sicher das beschrieben Szenario zu verhindern weiß. Ich bin nur Freizeitadmin und habe meine früheren Aktivitäten im Freundes-, Bekannten- und Verwandtenkreis auch zurückgefahren, nicht zuletzt weil sich die Lage ständig ändert und ich diesbezüglich nicht mehr up time date bleiben kann.

Als Alternative zum Cloudmatic-Zugang (den ich ursprünglich mal für einen Urlaub eingerichtet hatte) habe ich eben derzeit noch ein IPSec-VPN ins erste Netzwerk (in dem auch meine CCU, die Cams und das NAS mit einem Bein sind) und ein OpenVPN für den Zugriff in mein restliches Netz dahinter. Letzteres habe ich früher häufiger mal benötigt (zwei Wohnsitze), heutzutage brauche ich nur noch den Zugriff ins erste Netz. Insofern versuche ich mein Risiko zu minimieren. Aber Danke für die Auskünfte. Speziell das CGNAT machte mir Kopfzerbrechen. Aber wir sind OT.

Gruß Xel66
-------------------------------------------------------------------------------------------
524 Kanäle in 146 Geräten und 267 CUxD-Kanäle in 34 CUxD-Geräten:
343 Programme, 334 Systemvariablen und 183 Direktverknüpfungen,
RaspberryMatic Version: 3.65.11.20221005 + Testsystem: CCU2 2.61.7
-------------------------------------------------------------------------------------------
Einsteigerthread, Programmlogik-Thread, WebUI-Handbuch

Fonzo
Beiträge: 6687
Registriert: 22.05.2012, 08:40
System: CCU
Hat sich bedankt: 25 Mal
Danksagung erhalten: 478 Mal

Re: RaspberryMatic - Verbesserungsvorschläge/Wünsche

Beitrag von Fonzo » 08.12.2022, 21:55

jmaus hat geschrieben:
08.12.2022, 15:14
Ich kann nur mal wieder eindringlich an die traditionalle VPN Alternativmöglichkeit erinnern die es seit längerem im RaspberryMatic gibt und die heisst tailscale (siehe https://tailscale.com/). Damit ist es völlig kostenfrei möglich ein komplett sicheres wireguard-basiertes VPN zwischen seinen tailscale-Geräten (und dazu zählt eben auch RaspberryMatic) aufzubauen. Da muss man keine FritzBox umkonfigurieren oder sonst was und braucht auch kein pseudo-sicheres CloudMatic welches alleine schon wegen des immer noch genutzen OpenVPN Einsatzes schon etwas in die Jahre gekommen ist.
Tailscale mag ja eine begrenzte Möglichkeit sein für alle Nutzer, die selber nicht in der Lage sind eine VPN Verbindung ins eigene Netzwerk zu konfigurieren, um so nur eine Verbindung zur CCU bzw. RaspberryMatic herzustellen.
Eine Alternative zu einem selber konfigurieren VPN Zugang für mehrere Nutzer ins eigene Netzwerk wäre das für mich zumindest persönlich nicht. Erstens ist Tailscale nur für einen Nutzer kostenlos, sobald mehrere Nutzer gebraucht werden zahlt man auch schon 60 Euro oder mehr im Jahr für den Luxus VPN nicht selber konfigurieren zu müssen bzw. nicht das Wissen zu benötigen um mehrere Nutzer mit individuellen Rechten Zugriff über VPN in das eigene Netzwerk zu gewähren.
Der Vergleich zu CloudMatic oder mediola Cloud Sevices mit einem reinen VPN Zugang hinkt auch ein wenig bzw. der Anwendungszweck ist meist auch ein anderer für viele Nutzer. Wer CloudMatic oder mediola Cloud Services primär ausschließlich dazu nutzt nur Fernzugriff zu bekommen, kann sich das Geld eigentlich sparen, insofern man in der Lage ist eine VPN Verbindung selber richtig zu konfigurieren. Oder wenn man VPN nur für einen Nutzer braucht kann man ja gerne auch Tailscail im kostenlosen Plan nutzen.
Der eigentliche Sinn bei so Diensten wie CloudMatic oder mediola Cloud Services liegt doch aber neben dem Fernzugang eigentlich in dem Anbinden von Clouddiensten wie z.B. Alexa usw. an die CCU bzw. RaspberryMatic.
Eine solche Anbindung von Clouddiensten kann aber auch ein VPN Zugang zum eigenen Netzwerk nicht ersetzten.

AndiMD
Beiträge: 40
Registriert: 27.09.2018, 10:40
System: Alternative CCU (auf Basis OCCU)
Wohnort: Magdeburg
Hat sich bedankt: 4 Mal
Danksagung erhalten: 3 Mal

Re: RaspberryMatic - Verbesserungsvorschläge/Wünsche

Beitrag von AndiMD » 09.12.2022, 11:16

Fonzo hat geschrieben:
08.12.2022, 15:06
Nur weil CloudMatic ausgefallen sein sollte, funktionieren so Apps wie NEO oder auch andere Apps nach wie vor im lokalen Netzwerk. Von unterwegs funktionieren solche Apps auch nach wie vor wenn Du eine VPN Verbindung zur Verfügung hast. Solltest Du keine VPN Verbindung zur Verfügung haben kommst Du logischerweise auch nicht von unterwegs sicher auf die Web UI.
Fernsteuerung bedeutet, dass ich aus der Ferne steuern möchte...
Klar gibt es VPN, aber einem "normalen" Benutzer zu sagen, er möge erst eine VPN Verbindung initiieren und dann die App starten, ist einfach zu kompliziert. Da muss es mit dem Start der App ohne irgendwelche Sonderlocken klappen...
Und ein VPN auf einem Handy ständig mitlaufen lassen, ist ein Akkufresser....
LG, Andreas.

Haupt-System: CMPI4104032 auf RPI4-Expansionboard (RaspberryMatic) mit HB-RF-ETH & RPI-RF-MOD + AccessPoint, CloudMatic, Mediola
Backup-System: RPI4-4GB (RaspberryMatic) alternativ am selben HB-RF-ETH & RPI-RF-MOD + AccessPoint, CloudMatic, Mediola
Test-System: CCU3 mit RPI3b+ Upgrade (RaspberryMatic) + AccessPoint

AndiMD
Beiträge: 40
Registriert: 27.09.2018, 10:40
System: Alternative CCU (auf Basis OCCU)
Wohnort: Magdeburg
Hat sich bedankt: 4 Mal
Danksagung erhalten: 3 Mal

Re: RaspberryMatic - Verbesserungsvorschläge/Wünsche

Beitrag von AndiMD » 09.12.2022, 11:31

jmaus hat geschrieben:
08.12.2022, 15:14
Ich kann nur mal wieder eindringlich an die traditionalle VPN Alternativmöglichkeit erinnern die es seit längerem im RaspberryMatic gibt und die heisst tailscale (siehe https://tailscale.com/). Damit ist es völlig kostenfrei möglich ein komplett sicheres wireguard-basiertes VPN zwischen seinen tailscale-Geräten (und dazu zählt eben auch RaspberryMatic) aufzubauen. Da muss man keine FritzBox umkonfigurieren oder sonst was und braucht auch kein pseudo-sicheres CloudMatic welches alleine schon wegen des immer noch genutzen OpenVPN Einsatzes schon etwas in die Jahre gekommen ist. Wer also noch keine VPN Lösung im Einsatz hat, sich mit solchen Techniken auch etwas schwer tut dem sei Tailscale an die Hand gelegt. Damit sollte es in kürzester Zeit möglich sein von überall in der Welt mit seinem Smartphone oder Laptop in komplett sicherer Umgebung auf sein RaspberryMatic Gerät zu kommen.
Ja das Tailscale VPN kenne ich.
Aber möchte ich einer Firma oder Organisation aus dem Nicht-EU Ausland permanenten Zugriff auf meine Systeme geben? Nicht wirklich...
Auch wenn es, wie du schreibst, eine Ende-zu-Ende Verschlüsselung ist. Ich konfigurier die einzelnen Nodes auf deren Webseite. Damit gibt es also auch gewisse Angriffsvektoren, um sich über die Webseite eine Node hinzuzukonfigurieren und sich damit dann auch zu verbinden. Ich weis, dass ist zwar nur Theorie...

Eine offene VPN Implementation mit frei konfigurierbaren (eigenen) Zielen auf IPSec, OpenVPN oder offenem Wireguard wäre aus Sicht der Sicherheit besser gewesen.

Zur Administration komme ich eh per VPN in mein Netz... Aber es ging ja um den Zugang für eine App Steuerung. Und da ist es für Benutzer nicht wirklich ideal, wenn sie vor der App-Nutzung erst noch nen VPN öffnen sollen. Laientauglichkeit ist das Stichwort. Und ein Dauer-VPN ist für die Akkulaufzeit eines mobilen Endgerätes nun sehr schlecht und fällt damit raus.

Hier ist der Zugriff per App über die CloudMatic Verbindung einfach mal benutzerfreundlicher....

Trotzdem sehr gut, dass es für andere Zwecke auch ein VPN gibt.... :lol:
Zuletzt geändert von AndiMD am 09.12.2022, 11:51, insgesamt 2-mal geändert.
LG, Andreas.

Haupt-System: CMPI4104032 auf RPI4-Expansionboard (RaspberryMatic) mit HB-RF-ETH & RPI-RF-MOD + AccessPoint, CloudMatic, Mediola
Backup-System: RPI4-4GB (RaspberryMatic) alternativ am selben HB-RF-ETH & RPI-RF-MOD + AccessPoint, CloudMatic, Mediola
Test-System: CCU3 mit RPI3b+ Upgrade (RaspberryMatic) + AccessPoint

AndiMD
Beiträge: 40
Registriert: 27.09.2018, 10:40
System: Alternative CCU (auf Basis OCCU)
Wohnort: Magdeburg
Hat sich bedankt: 4 Mal
Danksagung erhalten: 3 Mal

Re: RaspberryMatic - Verbesserungsvorschläge/Wünsche

Beitrag von AndiMD » 09.12.2022, 11:39

jmaus hat geschrieben:
08.12.2022, 18:04
... er kann auch problemlos auf alle CCUs kommen die mit CloudMatic zur Zeit verbunden sind. Und wenn er schlau genug ist schafft er es so auf der CCU z.B. ein IP Forwarding so einzustellen das er damit ins gesamte LAN des CloudMatic Nutzers kommt und hat sich damit schön in alle LANs aller CloudMatic Nutzer reingefräst.
Deshalb stellt man solche Geräte auch in eine eigene DMZ.
Da kommt ein Eindringling dann zu keinem anderen wichtigen Gerät, außer zur Zentrale und den dort angeschlossenen AP's oder LAN-GW.
LG, Andreas.

Haupt-System: CMPI4104032 auf RPI4-Expansionboard (RaspberryMatic) mit HB-RF-ETH & RPI-RF-MOD + AccessPoint, CloudMatic, Mediola
Backup-System: RPI4-4GB (RaspberryMatic) alternativ am selben HB-RF-ETH & RPI-RF-MOD + AccessPoint, CloudMatic, Mediola
Test-System: CCU3 mit RPI3b+ Upgrade (RaspberryMatic) + AccessPoint

Benutzeravatar
jmaus
Beiträge: 9819
Registriert: 17.02.2015, 14:45
System: Alternative CCU (auf Basis OCCU)
Wohnort: Dresden
Hat sich bedankt: 459 Mal
Danksagung erhalten: 1856 Mal
Kontaktdaten:

Re: RaspberryMatic - Verbesserungsvorschläge/Wünsche

Beitrag von jmaus » 09.12.2022, 12:09

AndiMD hat geschrieben:
09.12.2022, 11:16
Fernsteuerung bedeutet, dass ich aus der Ferne steuern möchte...
Klar gibt es VPN, aber einem "normalen" Benutzer zu sagen, er möge erst eine VPN Verbindung initiieren und dann die App starten, ist einfach zu kompliziert. Da muss es mit dem Start der App ohne irgendwelche Sonderlocken klappen...
Und ein VPN auf einem Handy ständig mitlaufen lassen, ist ein Akkufresser....
Das VPN automatisch aufbauen/beenden kann z.B. PocketControl HM automatisch auf einem iPhone/iOS gerät. Da muss man das VPN nicht manuell starten, dann die App starten und danach wieder das VPN beenden. Alles kein Hexenwerk heutzutage.
RaspberryMatic 3.75.6.20240316 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal / ☕️

Benutzeravatar
jmaus
Beiträge: 9819
Registriert: 17.02.2015, 14:45
System: Alternative CCU (auf Basis OCCU)
Wohnort: Dresden
Hat sich bedankt: 459 Mal
Danksagung erhalten: 1856 Mal
Kontaktdaten:

Re: RaspberryMatic - Verbesserungsvorschläge/Wünsche

Beitrag von jmaus » 09.12.2022, 12:16

AndiMD hat geschrieben:
09.12.2022, 11:31
jmaus hat geschrieben:
08.12.2022, 15:14
Ich kann nur mal wieder eindringlich an die traditionalle VPN Alternativmöglichkeit erinnern die es seit längerem im RaspberryMatic gibt und die heisst tailscale (siehe https://tailscale.com/). Damit ist es völlig kostenfrei möglich ein komplett sicheres wireguard-basiertes VPN zwischen seinen tailscale-Geräten (und dazu zählt eben auch RaspberryMatic) aufzubauen. Da muss man keine FritzBox umkonfigurieren oder sonst was und braucht auch kein pseudo-sicheres CloudMatic welches alleine schon wegen des immer noch genutzen OpenVPN Einsatzes schon etwas in die Jahre gekommen ist. Wer also noch keine VPN Lösung im Einsatz hat, sich mit solchen Techniken auch etwas schwer tut dem sei Tailscale an die Hand gelegt. Damit sollte es in kürzester Zeit möglich sein von überall in der Welt mit seinem Smartphone oder Laptop in komplett sicherer Umgebung auf sein RaspberryMatic Gerät zu kommen.
Ja das Tailscale VPN kenne ich.
Aber möchte ich einer Firma oder Organisation aus dem Nicht-EU Ausland permanenten Zugriff auf meine Systeme geben? Nicht wirklich...
Auch wenn es, wie du schreibst, eine Ende-zu-Ende Verschlüsselung ist. Ich konfigurier die einzelnen Nodes auf deren Webseite. Damit gibt es also auch gewisse Angriffsvektoren, um sich über die Webseite eine Node hinzuzukonfigurieren und sich damit dann auch zu verbinden. Ich weis, dass ist zwar nur Theorie...
Nein, da gibt es KEINERLEI praktische Angriffsvektoren. Vielleicht solltest du da doch dich nochmal etwas genauer einlesen was technologisch hinter Tailscale steckt und was es von traditionellen VPN Lösungen unterscheidet. Dann solltest du schnell verstehen das die Art&Weise wie man mit Tailscale ein privates VPN betreiben kann vollkommen sicher ist, auch wenn man über den offiziellen Tailscale Control Server geht um die einzelnen VPN Nodes einzurichten. Nicht nur wird absolut *nichts* von dem VPN Traffic über Tailscale Server geroutet, selbst die Key der Verschlüsselung landen technisch bedingt in keinem Fall auf dem Tailscale Control Server. Nur alleine die Information DAS du Tailscale nutzt kann man da mitunter "abgreifen", aber selbst wenn der Tailscale Control Server gehackt werden sollte kann die eindringende Person keinerlei Verbindung zu deinen VPN Nodes aufbauen oder Daten darüber abgreifen.
AndiMD hat geschrieben:
09.12.2022, 11:31
Zur Administration komme ich eh per VPN in mein Netz... Aber es ging ja um den Zugang für eine App Steuerung. Und da ist es für Benutzer nicht wirklich ideal, wenn sie vor der App-Nutzung erst noch nen VPN öffnen sollen. Laientauglichkeit ist das Stichwort. Und ein Dauer-VPN ist für die Akkulaufzeit eines mobilen Endgerätes nun sehr schlecht und fällt damit raus.
Wie schon in meinem anderen Beitrag vorher: Je nachdem welche App du einsetzt und welches Smartphone OS du nutzt kommt das schon automatisch mit. Ich selbst nutze PocketControl und das baut bei start vollautomatisch das VPN im Hintergrund auf und beendet es danach sofort wieder. Also nein, kein Aufwand und kein Batterydrain...
RaspberryMatic 3.75.6.20240316 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal / ☕️

Benutzeravatar
jmaus
Beiträge: 9819
Registriert: 17.02.2015, 14:45
System: Alternative CCU (auf Basis OCCU)
Wohnort: Dresden
Hat sich bedankt: 459 Mal
Danksagung erhalten: 1856 Mal
Kontaktdaten:

Re: RaspberryMatic - Verbesserungsvorschläge/Wünsche

Beitrag von jmaus » 09.12.2022, 12:21

AndiMD hat geschrieben:
09.12.2022, 11:39
jmaus hat geschrieben:
08.12.2022, 18:04
... er kann auch problemlos auf alle CCUs kommen die mit CloudMatic zur Zeit verbunden sind. Und wenn er schlau genug ist schafft er es so auf der CCU z.B. ein IP Forwarding so einzustellen das er damit ins gesamte LAN des CloudMatic Nutzers kommt und hat sich damit schön in alle LANs aller CloudMatic Nutzer reingefräst.
Deshalb stellt man solche Geräte auch in eine eigene DMZ.
Genau das ist es ja. Ein Tailscale VPN baut dir im Grunde genau so eine DMZ völlig virtuell auf und ohne das du da irgendetwas an Netzwerkumkonfiguration, etc. machen musst. Das können selbst unbedarfte Nutzer bedienen die momentan nur auf CloudMatic setzen um von aussen auf ihre CCU auf einem vermeintlich sicheren Weg zu kommen. Und im Gegensatz zu CloudMatic ist Tailscale technologisch bedingt bereits sicherer und setzt auch auf modernere Netzwerkprotokolle dafür (Wireguard). Das Netzwerkexperten das mitunter anders angehen und ihr VPN anders basteln ist keine Frage und kann man ja machen. Tailscale ist jedoch IMHO eine sehr sehr gute und IMHO sogar bessere alternative zu CloudMatic wenn man nur von außen auf seine CCU gelangen möchte. Und wenn man das noch auf anderen Geräten (Laptop, NAS, etc.) einsetzt hat man da im Handumdrehen ein VPN zwischen allen seinen wichtigen Geräten geschaffen an allen Firewalls, etc. vorbei und das auf sehr sehr sicherer Art&Weise. Mit den traditionellen VPN Protokollen/Lösungen (IPSec, etc.) rennt man hier schnell bei gewissen Netzwerkkonstellationen an grenzen (gerade in Unternehmensnetzwerken) und ein Otto-Normal-Verbraucher kann hier definitiv so etwas nicht aufsetzen...
RaspberryMatic 3.75.6.20240316 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal / ☕️

Fonzo
Beiträge: 6687
Registriert: 22.05.2012, 08:40
System: CCU
Hat sich bedankt: 25 Mal
Danksagung erhalten: 478 Mal

Re: RaspberryMatic - Verbesserungsvorschläge/Wünsche

Beitrag von Fonzo » 09.12.2022, 12:44

AndiMD hat geschrieben:
09.12.2022, 11:16
Fernsteuerung bedeutet, dass ich aus der Ferne steuern möchte...
Das ist schon klar, ich bezog mich nur darauf falls CloudMatic mal ausfallen sollte oder alternativ auch Cloud Forward von mediola in der NEO App nicht funktionieren sollte, kommst Du ohne eine VPN Verbindung auch nicht sicher auf die Web UI der CCU als Notbedienung.
AndiMD hat geschrieben:
09.12.2022, 11:16
Und ein VPN auf einem Handy ständig mitlaufen lassen, ist ein Akkufresser....
Auch deshalb muss das ja jeder für sich individuell entscheiden, wann man das nutzt und wann nicht, auch im Bezug auf einen Autostart von VPN mit einer App. Wenn ich zu Hause bin, muss definitiv kein VPN automatisch mit einem App Start erfolgen. Ansonsten ist eventuell ja auch VPN on Demand eine mögliche Lösung für Dich, da müsstest Du mal abhängig vom benutzten Betriebssystem und dem Router im Internet nachschlagen, falls Du das einrichten willst.
AndiMD hat geschrieben:
09.12.2022, 11:31
Hier ist der Zugriff per App über die CloudMatic Verbindung einfach mal benutzerfreundlicher....
Auch das ist persönliche Ansichtssache, die Vorteile warum man zwingend CloudMatic in Kombination mit NEO nutzt haben sich mir zumindest noch nicht endgültig erschlossen. Im Gegensatz dazu kann man über Cloud-Weiterleitung über den NEO Server eben alle verbundenen Systeme aus der App steuern und nicht nur ausschließlich die CCU bzw. RaspberryMatic und deren angelernte Geräte wie bei CloudMatic. Hängt am Schluss sicher davon ab, was man eigentlich an Geräten ansteuern will, zumindest kann man Cloud-Weiterleitung einfach mit einem Knopfdruck aus der App aktivieren bzw. deaktivieren, ich weis nicht ob das mit CloudMatic in dem Kontext auch möglich ist.

Antworten

Zurück zu „RaspberryMatic“