Ich habe Tailscale aktiviert und RaspberryMatic authentifiziert und eingeloggt.
Ich bin kein Sicherheitsexperte, reicht das aus als Sicherheitseinstellungen. Wird der Traffic dadurch nur über VPN und im lokalen Netz geroutet?
Oder sollten noch weitere Einstellungen in der Firewall gemacht werden wie zum Beispiel Homematic XML-RPC API einschränken?
Sicherheitseinstellungen
Moderatoren: jmaus, Co-Administratoren
-
Stromneuling
- Beiträge: 27
- Registriert: 29.11.2021, 15:24
- System: Access Point
- Hat sich bedankt: 4 Mal
-
Stromneuling
- Beiträge: 27
- Registriert: 29.11.2021, 15:24
- System: Access Point
- Hat sich bedankt: 4 Mal
Re: Sicherheitseinstellungen
Kann keiner seine Sicherheitseinstellungen und Erfahrungen mit mir teilen 
?
?
-
Sanweb
- Beiträge: 57
- Registriert: 11.08.2020, 09:50
- System: CCU
- Hat sich bedankt: 16 Mal
- Danksagung erhalten: 5 Mal
Re: Sicherheitseinstellungen
Hallo,
In meinem Falle habe ich stets immer auf Sachen gesetzt, welche ich selber auch kontrollieren kann und Cloudfrei sind. Zwar setze ich auch Tailscale ein, nutze aber nur deren Client's, jedoch nicht deren Server zum routen des VPN Traffics. Ich verweise da mal auf das interessante Projekt namens Headscale bei Github was im Augenblick vielleicht den Bedienkomfort der Oberfläche des kanadischen Tailscale-Anbieters nicht bietet, dafür aber ohne dessen Server aus kommt.
Meine Konstellation sieht wie folgt aus:Ich habe mir eine kleine virtuelle Maschine bei einem Anbieter (möchte hier jetzt keine Werbung machen, daher kein Name und dem Hinweise, das es kein Deutscher ist) für 20 USD im Jahr (1 Core @ 3.50+ GHz/512 MB Ram/ 10GB SSD/ Traffic Flatrate) gemietet. Dort das besagte Project aufgesetzt und über die Kommandozeile konfiguriert. Firewall beim virtuellen Server hochgezogen (keine Ports offen, lediglich der geänderte SSH Port für den Fernzugriff und ein Tailscale Port ist offen) und schon hat man sein eigenes VPN Netzwerk, in dem tatsächlich KEINER reinschauen kann. Eine Portweiterleitung o.ä. existiert nicht in meiner Fritzbox, alles zu! Den externen Server habe ich mit einem Raspi im lokalem Netzwerk verknüpft, wobei der Raspi den Traffic über das VPN in beiden Richtungen routet. So kann ich mit der Tailscale Smartphone-App auf mein gesamtes lokales Netzwerk zu Hause von unterwegs zugreifen und da ist die CCU3 inbegriffen.
Nur so als Gedankenanstoß ...
In meinem Falle habe ich stets immer auf Sachen gesetzt, welche ich selber auch kontrollieren kann und Cloudfrei sind. Zwar setze ich auch Tailscale ein, nutze aber nur deren Client's, jedoch nicht deren Server zum routen des VPN Traffics. Ich verweise da mal auf das interessante Projekt namens Headscale bei Github was im Augenblick vielleicht den Bedienkomfort der Oberfläche des kanadischen Tailscale-Anbieters nicht bietet, dafür aber ohne dessen Server aus kommt.
Meine Konstellation sieht wie folgt aus:Ich habe mir eine kleine virtuelle Maschine bei einem Anbieter (möchte hier jetzt keine Werbung machen, daher kein Name und dem Hinweise, das es kein Deutscher ist) für 20 USD im Jahr (1 Core @ 3.50+ GHz/512 MB Ram/ 10GB SSD/ Traffic Flatrate) gemietet. Dort das besagte Project aufgesetzt und über die Kommandozeile konfiguriert. Firewall beim virtuellen Server hochgezogen (keine Ports offen, lediglich der geänderte SSH Port für den Fernzugriff und ein Tailscale Port ist offen) und schon hat man sein eigenes VPN Netzwerk, in dem tatsächlich KEINER reinschauen kann. Eine Portweiterleitung o.ä. existiert nicht in meiner Fritzbox, alles zu! Den externen Server habe ich mit einem Raspi im lokalem Netzwerk verknüpft, wobei der Raspi den Traffic über das VPN in beiden Richtungen routet. So kann ich mit der Tailscale Smartphone-App auf mein gesamtes lokales Netzwerk zu Hause von unterwegs zugreifen und da ist die CCU3 inbegriffen.
Nur so als Gedankenanstoß ...
Mein bescheidenes Homematic IP System:
270 Kanäle in 42 Geräten:
1x HM-ES-TX-WM, 5x HmIP-HEATING, 1x HM-PB-2-WM, 1x HmIP-CCU3, 1x HmIP-DSD-PCB, 5x HmIP-eTRV-2, 1x HmIP-FSI16, 1x HmIP-HAP, 1x HmIP-PCBS, 1x HmIP-PS-2, 1x HmIP-RCV-50, 4x HmIP-SCI, 1x HmIP-SLO, 2x HmIP-SPI, 5x HmIP-STHD, 1x HmIP-STHO-A, 2x HmIP-SWDO-I, 7x HmIP-SWDO-PL, 1x HmIP-WKP
270 Kanäle in 42 Geräten:
1x HM-ES-TX-WM, 5x HmIP-HEATING, 1x HM-PB-2-WM, 1x HmIP-CCU3, 1x HmIP-DSD-PCB, 5x HmIP-eTRV-2, 1x HmIP-FSI16, 1x HmIP-HAP, 1x HmIP-PCBS, 1x HmIP-PS-2, 1x HmIP-RCV-50, 4x HmIP-SCI, 1x HmIP-SLO, 2x HmIP-SPI, 5x HmIP-STHD, 1x HmIP-STHO-A, 2x HmIP-SWDO-I, 7x HmIP-SWDO-PL, 1x HmIP-WKP
-
Ukle
- Beiträge: 205
- Registriert: 06.11.2014, 10:59
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Münster Westf.
- Hat sich bedankt: 130 Mal
- Danksagung erhalten: 23 Mal
Re: Sicherheitseinstellungen
Moin,
der gesicherte Zugriff auf mein komplettes LAN läuft über DynDNS-IP-Adresse (deutscher Anbieter für 99 Cent pro Monat) und zwei VPN-Zugänge über meine Fritzbox 7590:
1) IPsec (zur Nutzung mit meinem Smartphone und Tablet)
2) Wireguard (zur Nutzung mit meinem Notebook)
Somit habe ich auch unterwegs oder im Urlaub ein kompletter Zugriff auf meine heimischen Ressourcen wie der RaspberryMatic bei für mich ausreichend Sicherheit.
Das läuft bei mir nun schon seit Jahren absolut stabil und effizient.
Die von der RaspberryMatic dankenswert angebotene Tailscale-Lösung nutze ich daher nicht - never change a running system
der gesicherte Zugriff auf mein komplettes LAN läuft über DynDNS-IP-Adresse (deutscher Anbieter für 99 Cent pro Monat) und zwei VPN-Zugänge über meine Fritzbox 7590:
1) IPsec (zur Nutzung mit meinem Smartphone und Tablet)
2) Wireguard (zur Nutzung mit meinem Notebook)
Somit habe ich auch unterwegs oder im Urlaub ein kompletter Zugriff auf meine heimischen Ressourcen wie der RaspberryMatic bei für mich ausreichend Sicherheit.
Das läuft bei mir nun schon seit Jahren absolut stabil und effizient.
Die von der RaspberryMatic dankenswert angebotene Tailscale-Lösung nutze ich daher nicht - never change a running system
Gruß Uwe
Produktiv-Zentrale: RaspberryMatic 3.75.7.20240601 (ova)-VM (Proxmox VE 8.2.2 auf Intel NUC6i3CAYH) per LAN an HB-RF-ETH + RPI-RF-MOD im Original-CCU3-Gehäuse
Testsystem(e) / Backupsystem(e):
1.VM (Proxmox VE 8.2.2) auf Intel NUC 7i3BNB mit HmIP-RFUSB
2.Rpi3 (CCU3) mit RPI-RF-MOD
3.Rpi4 2GB per LAN an HB-RF-ETH + HM-MOD-RPI-PCB
4.Rpi5 4GB per LAN an HmIP-RFUSB
5.Intel NUC7i3BNH mit HmIP-RFUSB
Addons: Cux-Daemon 2.11, Philips Hue 3.2.5, Programmedrucken 2.6, Redmatic 7.2.1, HM-Tools 0.7.0, E-Mail 1.7.6, CCU-Historian 4.0.0
Produktiv-Zentrale: RaspberryMatic 3.75.7.20240601 (ova)-VM (Proxmox VE 8.2.2 auf Intel NUC6i3CAYH) per LAN an HB-RF-ETH + RPI-RF-MOD im Original-CCU3-Gehäuse
Testsystem(e) / Backupsystem(e):
1.VM (Proxmox VE 8.2.2) auf Intel NUC 7i3BNB mit HmIP-RFUSB
2.Rpi3 (CCU3) mit RPI-RF-MOD
3.Rpi4 2GB per LAN an HB-RF-ETH + HM-MOD-RPI-PCB
4.Rpi5 4GB per LAN an HmIP-RFUSB
5.Intel NUC7i3BNH mit HmIP-RFUSB
Addons: Cux-Daemon 2.11, Philips Hue 3.2.5, Programmedrucken 2.6, Redmatic 7.2.1, HM-Tools 0.7.0, E-Mail 1.7.6, CCU-Historian 4.0.0
-
jmaus
- Beiträge: 9929
- Registriert: 17.02.2015, 14:45
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Dresden
- Hat sich bedankt: 468 Mal
- Danksagung erhalten: 1921 Mal
- Kontaktdaten:
Re: Sicherheitseinstellungen
Ich hoffe du weisst das da nichts über irgendwelche Server von Tailscale "geroutet" wird. Die Server von Tailscale vermitteln lediglich einmalig beim Verbindungsaufbau zwischen deinen Clients. Wenn die Vermittlung einmal passiert ist wird der gesamte Traffic nur zwischen deinen Clients direkt stattfinden. Ergo geht auch keinerlei Sicherheitsrelevanter Traffic über irgendwelche fremden Server/Systeme.
RaspberryMatic 3.75.7.20240601 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal / 
-
Sanweb
- Beiträge: 57
- Registriert: 11.08.2020, 09:50
- System: CCU
- Hat sich bedankt: 16 Mal
- Danksagung erhalten: 5 Mal
Re: Sicherheitseinstellungen
Habs so eingerichtet, da zum Zeitpunkt der Einrichtung niemand zu 100% sagen konnte, das sie es nicht könn(t)en, da alleine das verbinden nur über deren Servern schon erfolgt. Bei den ganzen "Datenpannen" der letzten Jahre bei kommerziellen Anbietern egal welcher Branche mit großem Kundenpool wird man da vorsichtiger bzw. misstrauisch. Vertrauen ist gut, eigene Kontrolle ist besser ...jmaus hat geschrieben: ↑01.07.2023, 11:32Ich hoffe du weisst das da nichts über irgendwelche Server von Tailscale "geroutet" wird. Die Server von Tailscale vermitteln lediglich einmalig beim Verbindungsaufbau zwischen deinen Clients. Wenn die Vermittlung einmal passiert ist wird der gesamte Traffic nur zwischen deinen Clients direkt stattfinden. Ergo geht auch keinerlei Sicherheitsrelevanter Traffic über irgendwelche fremden Server/Systeme.
Zuletzt geändert von Sanweb am 02.07.2023, 16:51, insgesamt 1-mal geändert.
Mein bescheidenes Homematic IP System:
270 Kanäle in 42 Geräten:
1x HM-ES-TX-WM, 5x HmIP-HEATING, 1x HM-PB-2-WM, 1x HmIP-CCU3, 1x HmIP-DSD-PCB, 5x HmIP-eTRV-2, 1x HmIP-FSI16, 1x HmIP-HAP, 1x HmIP-PCBS, 1x HmIP-PS-2, 1x HmIP-RCV-50, 4x HmIP-SCI, 1x HmIP-SLO, 2x HmIP-SPI, 5x HmIP-STHD, 1x HmIP-STHO-A, 2x HmIP-SWDO-I, 7x HmIP-SWDO-PL, 1x HmIP-WKP
270 Kanäle in 42 Geräten:
1x HM-ES-TX-WM, 5x HmIP-HEATING, 1x HM-PB-2-WM, 1x HmIP-CCU3, 1x HmIP-DSD-PCB, 5x HmIP-eTRV-2, 1x HmIP-FSI16, 1x HmIP-HAP, 1x HmIP-PCBS, 1x HmIP-PS-2, 1x HmIP-RCV-50, 4x HmIP-SCI, 1x HmIP-SLO, 2x HmIP-SPI, 5x HmIP-STHD, 1x HmIP-STHO-A, 2x HmIP-SWDO-I, 7x HmIP-SWDO-PL, 1x HmIP-WKP
-
Stromneuling
- Beiträge: 27
- Registriert: 29.11.2021, 15:24
- System: Access Point
- Hat sich bedankt: 4 Mal
Re: Sicherheitseinstellungen
Ich habe jetzt mal alles auf eingeschränkt eingestellt und die entsprechenden Ports freigegeben.
Tailscale habe ich auch am Laufen, aber ob das was bringt weiß ich nicht, weil ich HomeAssistant auch in Tailscale habe und sonst eh nicht von außen erreichbar ist.
Tailscale habe ich auch am Laufen, aber ob das was bringt weiß ich nicht, weil ich HomeAssistant auch in Tailscale habe und sonst eh nicht von außen erreichbar ist.