Hallo zusammen,
folgender Aufbau:
* piVCCU ist installiert auf einem PI unter Raspian inkl. einem Mosquitto MQTT Server, angesschlossen an eine DMZ
* OpenHab ist installiert in einer VM unter Debian, angeschlossen an das LAN
LAN und DMZ hängen an einem Router, dessen Firewall per Default jegliche Verbindung von der DMZ in das LAN und vice versa unterbindet. Nun habe ich für die notwendigen TCP Ports 2000, 2001, 2010, 8701, 8181, 9292 die Firewall von OpenHab zu piVCCU geöffnet. Zusätzlich musste ich aber noch den TCP Port 9125 von der piVCCU zum OPenHab Server öffnen, was das Konzept einer DMZ ad absurdum stellt. Nun sehe ich folgende Möglichkeiten:
1. Lassen wie es ist.
2. piVCCU an das LAN anschliessen
3. OpenHab an das DMZ anschliessen
4. Per socat ein TCP relay auf der piVCU errichten
5. Redmatic auf der piVCCU installieren (ist als CCU3 konfiguriert) und dann per MQTT die relevanten Werte von der piVCCU an OpenHab und vice versa per NodeRed zu schicken (MQTT benötigt nicht gleichzeitig ein- und ausgehende TCP Verbindungen und ist dadurch DMZ kompatibel)
1. ist keine Option, da dies das DMZ Konzept und die Netzwerksicherheit stark schwächt / ad absurdum führt
2. da auf dem PI der piVCCU noch andere Dienste laufen, die in der DMZ sein müssen, ist dies keine Option
3. da der VM Server auch als Datenhalde dient (beherbergt auch noch andere VMs), möchte ich ihn auch nicht in die DMZ exponieren --> ist keine Option
4. ich habe es bereits geschafft, die TCP Ports 2000, 2001, 2010, 8701, 8181, 9292 per soctat TCP4-LISTEN:... TCP4:... entsprechend von OpenHab zu piVCCU weiterzuleiten (OpenHab sieht die piVCCU dann auf 127.0.0.1). Nun müsste ich auf der piVCCU die ausgehende Verbindung an OpenHab für den Zielport 9125 umleiten von 127.0.0.1 auf den jeweiligen Port der OpenHab VM. Hier habe ich versucht mit einem socat TCP4-LISTEN:9125 und TCP4-LISTEN:10000 erstmal ein Relay auf der piVCCU einzurichten. socat hat dann aber immer nur auf den ersten der beiden Ports gelauscht und keine bidirektionale Verbindung zwischen beiden Ports aufgebaut. Somit kann ich auch nicht von der OpenHab Maschine den lokalen Port 9125 und den Port 10000 von piVCCU verbinden. --> momentan ist diese Idee nicht funktional
5. noch nicht getestet, könnte aber funktionieren
Frage an die Experten: gibt es eine von mir noch nicht betrachtete Option, die DMZ kompatibel ist? Hat jemand erfolgreich Option 4 oder 5 umgesetzt?
-MrJoe
piVCCU in einer DMZ
Moderator: Co-Administratoren
-
deimos
- Beiträge: 5396
- Registriert: 20.06.2017, 10:38
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Leimersheim
- Hat sich bedankt: 121 Mal
- Danksagung erhalten: 957 Mal
- Kontaktdaten:
Re: piVCCU in einer DMZ
Hi,
ich verstehe nicht ganz, warum OpenHab ins LAN darf, aber piVCCU im LAN als Böse erachtet wird.
Ebenfalls verstehe ich nicht, warum es ein Problem darstellen soll, dass man in der Firewall die ganzen Ports erlaubt, das ist doch genau das Konzept der DMZ, dass man definierte Regeln hat, welcher Traffic zwischen den Zonen fließen darf. Noch dazu, weil hier fast alle der Verbindungen vom OpenHab aus dem LAN in Richtung DMZ erfolgen. Weil das jetzt sieben Ports sind?
Socat sehe ich nicht als Lösung an: Macht das Gesamtsystem anfälliger und bringt null Sicherheitsgewinn ggü. Firewallregeln mit dedizierter Angabe von den IPs von piVCCU und OpenHab als Source bzw. Target.
Meine persönliche Lösung: Alles an Smarthome Systemen ist bei mir in ein eigenes VLAN gepackt. Das landet getaggt auch auf meinem Proxmox und ich habe so die Möglichkeit, einzelne VMs (nur) in dieses VLAN zu packen. Da ich im VM Host kein Interface für das tagged VLAN habe, ist der Host aus dem VLAN nicht erreichbar, das VLAN ist rein im virtuellen Switch vorhanden und halt in den entsprechenden VMs.
Viele Grüße
Alex
ich verstehe nicht ganz, warum OpenHab ins LAN darf, aber piVCCU im LAN als Böse erachtet wird.
Ebenfalls verstehe ich nicht, warum es ein Problem darstellen soll, dass man in der Firewall die ganzen Ports erlaubt, das ist doch genau das Konzept der DMZ, dass man definierte Regeln hat, welcher Traffic zwischen den Zonen fließen darf. Noch dazu, weil hier fast alle der Verbindungen vom OpenHab aus dem LAN in Richtung DMZ erfolgen. Weil das jetzt sieben Ports sind?
Socat sehe ich nicht als Lösung an: Macht das Gesamtsystem anfälliger und bringt null Sicherheitsgewinn ggü. Firewallregeln mit dedizierter Angabe von den IPs von piVCCU und OpenHab als Source bzw. Target.
Meine persönliche Lösung: Alles an Smarthome Systemen ist bei mir in ein eigenes VLAN gepackt. Das landet getaggt auch auf meinem Proxmox und ich habe so die Möglichkeit, einzelne VMs (nur) in dieses VLAN zu packen. Da ich im VM Host kein Interface für das tagged VLAN habe, ist der Host aus dem VLAN nicht erreichbar, das VLAN ist rein im virtuellen Switch vorhanden und halt in den entsprechenden VMs.
Viele Grüße
Alex
Re: piVCCU in einer DMZ
Hallo Alex,
eigentlich wäre OpenHab auch in der DMZ (so war es davor), nur da der VM Host im physikalischen LAN angeschlossen ist, ergibt sich nun die Kombination. Geöffnete Ports vom LAN in die DMZ sind per se nicht schlecht, zumal (falls von aussen zu erreichen) man auf den Dienst in der DMZ auch über die öffentliche IP zugreifen könnte (im Falle der piVCCU natürlich nicht der Fall). Die andere Richtung wiederum schwächt erheblich das Sicherheitskonzept, da bei Sicherheitslücken in dem Homematic Binding der geöffnete Port aus der DMZ (von Programmen auf der piVCCU aber auch auch von anderen Geräten, wenn man etwas Aufwand spendiert) angegriffen werden kann. Deshalb habe ich als Grundregel nur die Richtung LAN -> DMZ zum Verbindungsaufbau erlaubt. Ist aber am Ende eine Glaubens- und Philosophiefrage und es gibt viele Wege nach Rom. Mit VLANs zu arbeiten wäre eine Möglichkeit, habe ich bisher noch nicht genutzt und wäre somit ein neues Konzept.
Mittlerweile habe ich auf der piVCCU Redmatic installiert, in NodeRed die Verbindung zum MQTT Broker (innerhalb der DMZ) eingerichtet und kann nun von OpenHab über den MQTT Broker die Homematic Geräte auslesen/steuern. Funktioniert nun seit 2 Tagen prima ohne jegliche Störung. Firewall ist mittlerweile wieder geschlossen in der Richtung DMZ -> LAN und somit altes Sicherheitslevel wiederhergestellt. Einziger Nachteil: ich muss jeden Homematic Kanal einzeln auf den MQTT Broker mappen, ist aber derzeit überschaubar und kann ja langsam wachsen.
In einer ruhigen Minute überlege ich mir mal eine mögliche Umsetzung mit VLANs - wobei: never change a running system.
-MrJoe
eigentlich wäre OpenHab auch in der DMZ (so war es davor), nur da der VM Host im physikalischen LAN angeschlossen ist, ergibt sich nun die Kombination. Geöffnete Ports vom LAN in die DMZ sind per se nicht schlecht, zumal (falls von aussen zu erreichen) man auf den Dienst in der DMZ auch über die öffentliche IP zugreifen könnte (im Falle der piVCCU natürlich nicht der Fall). Die andere Richtung wiederum schwächt erheblich das Sicherheitskonzept, da bei Sicherheitslücken in dem Homematic Binding der geöffnete Port aus der DMZ (von Programmen auf der piVCCU aber auch auch von anderen Geräten, wenn man etwas Aufwand spendiert) angegriffen werden kann. Deshalb habe ich als Grundregel nur die Richtung LAN -> DMZ zum Verbindungsaufbau erlaubt. Ist aber am Ende eine Glaubens- und Philosophiefrage und es gibt viele Wege nach Rom. Mit VLANs zu arbeiten wäre eine Möglichkeit, habe ich bisher noch nicht genutzt und wäre somit ein neues Konzept.
Mittlerweile habe ich auf der piVCCU Redmatic installiert, in NodeRed die Verbindung zum MQTT Broker (innerhalb der DMZ) eingerichtet und kann nun von OpenHab über den MQTT Broker die Homematic Geräte auslesen/steuern. Funktioniert nun seit 2 Tagen prima ohne jegliche Störung. Firewall ist mittlerweile wieder geschlossen in der Richtung DMZ -> LAN und somit altes Sicherheitslevel wiederhergestellt. Einziger Nachteil: ich muss jeden Homematic Kanal einzeln auf den MQTT Broker mappen, ist aber derzeit überschaubar und kann ja langsam wachsen.
In einer ruhigen Minute überlege ich mir mal eine mögliche Umsetzung mit VLANs - wobei: never change a running system.
-MrJoe