Beiträge von Schubbie

Zitat von SebMai

Es wäre ja immer noch nur eine Freigabe

Eine Portfreigabe, aber mehrere Geräte / Dienste freigegeben, die dann zwingend ein sicheres Kennwort benötigen. Per VPN kommt von außen niemand anderes dran und ich muss das mit den Passwörtern nicht so eng sehen.

Die Subdomains müssen dann auch in den internen Hostweiterleitungen gepflegt werden, damit die Clients diese immer gleich ansprechen können, aber wie verhält es sich dann mit dem SSL-Zertifikat, welches dann doch nicht auf Home Assistant und Co. liegt? Bekommt man bei internem Zugriff dann eine Sicherheitswarnung?

Eine Wildcard beim SSL-Zertifikat war bei eigener Domain glaube ich nicht so einfach möglich, man müsste dann den Dienst von Synology nutzen.

Deswegen steht der SolarLog in Klammern, da per HA und Portal erreichbar, so wie die Wallboxen per Portal erreichbar sind.

Ich synchronisieren jedoch per VPN die Fotos, die Keepass Datenbank, Kalender und Kontakte, Home Assistant, meine Nuki Bridge erreiche ich per VPN und halt jedes einzelne Netzwerkgerät und komme dann bequem per TinyMatic auf meine Raspberrymatic. Ich glaube einfach, dass ein Reverse Proxy für mich zu umfangreich wäre und jede Freigabe stellt ein Sicherheitsrisiko dar.

Ich investiere die Zeit dann wohl besser darin meinen Automate-Flow für WireGuard endlich zu überarbeiten.

@66er ich will meinen Automate-Flow schon seit ca. 4 Monaten überarbeiten - mir fehlt einfach die Zeit

Danke, das zeigt mir, dass ich nicht so falsch gegoogelt habe.

Wer keine Subdomains anlegen kann, der braucht dann Ports, ansonsten kann man mit Subdomains arbeiten, muss sich jedoch um dessen Zertifikate kümmern, um den Vorteil der Verschlüsselung nutzen zu können.

Das mit Homeassistant ist ein Punkt. Wird der VPN nicht aufgebaut, werden auch die Sensoren nicht aktualisiert. Dieses ist per Portfreigabe vermutlich reibungsloser als per VPN, allerdings ist der VPN aktiv, hat jedoch keine Verbindung (was bei WireGuard leider ab und an passiert, besonders bei Netzwechseln), dann kommt auch die Anfrage zur Subdomain nicht durch, da das Internet des Smartphones dann quasi lahmgelegt ist.

Für mich würde das bedeuten, dass ich folgende Sub-Domains anlegen muss und auf permanentes VPN verzichte und dieses nur bei Bedarf aufbaue:

- Dateifreigabe

- Telefonie (FritzFon App)

- Home Assistant

- NodeRed

- (ggf. Wärmepumpe & SolarLog)

- Synology Chat

Grundsätzlich scheinen mir da die Möglichkeiten per VPN wesentlich umfangreicher, sicherer und einfacher zu konfigurieren, zumindest bei meinen Anforderungen.

Wer nur auf Home Assistant zugreifen möchte, der ist damit vermutlich besser bedient.

@66er vielleicht ist es eine Anregung um deinen Blogartikel um "Reverse Proxy über Synology" zu erweitern?

Herausforderungen wären die Subdomains (alternativ mehrere Portfreigaben) und die SSL-Zertifikate für die Subdomains (Let's encrypt auf Synology). Ansonsten sieht das alles recht easy aus.

Moin,

grundsätzlich kann ich mir nicht erklären, warum ein Reverse Proxy sicher sein soll und möchte nach Erfahrungen fragen. Vermutlich ist VPN für mich jedoch die bessere Wahl und ich bleibe bei WireGuard.

Für einen Reverse Proxy richte ich Sub-Domains ein, um meine Geräte von außen erreichen zu können und genau dort fangen meine Bedenken an:

- ich benötige für jedes Gerät eine Sub-Domain oder zumindest einen eigenen Port?

- warum soll der Reverse Proxy sicher sein? Gegenüber der Portfreigaben auf dem Router sehe ich nur den Vorteil, dass der Reverse Proxy per HTTPs läuft (das macht meine Synology Filestation aber generell, diese steht zeitweise passwortgeschützt im Internet) und dass man zulässige IP-Bereiche angeben kann. Ich kann damit nicht verhindern, dass jedermann (IP-Begrenzung ausgenommen - wer hat auf dem Smartphone schon eine feste IP...) von außen Login-Versuche starten kann, die dann per HTTPs verschlüsselt sind.

Vorteile VPN:

- Zugriff auf das gesamte (freigegebene) Netzwerk, wie zu hause

- VPN müsste gehackt werden, bevor man sich von außen an den Zugriff der Clients machen könnte

- gesamter Datenverkehr ist immer verschlüsselt

Nachteil VPN:

- der Client muss mit dem VPN-Server verbunden sein

Vorteil Reverse Proxy:

- kein VPN-Client nötig, damit immer sofort erreichbar, ohne einen VPN aufbauen zu müssen (bei bestehender Internetverbindung sofort verfügbar)

Nachteil Reverse Proxy:

- Portfreigaben in das Netzwerk notig (für VPN nur eine, bzw. läuft der VPN-Server direkt auf dem Router, bzw. der Firewall)

- jeder, der über die Domain geht, kann Login-Versuche an den verlinkten Servern im Heimnetz starten ohne zusätzlicher Sicherheitsabfrage

- idealerweise für jeden Server (jeden Shelly) eine eigene Sub-Domain oder eigenen Port erforderlich

- höherer Wartungsaufwand durch Punkt zuvor

Dieses sind keine Fakten, sondern Annahmen, bzw. Fragen aufgrund kurzer Google-Recherche. Ich bitte darum, dass diese wiederlegt oder bestätigt werden.

Grundsätzlich sind aufgrund der obigen Punkte VPN und Reverse Proxy nicht wirklich gut vergleichbar, da der VPN darauf abzielt unterwegs wie zu Hause arbeiten zu können und der Reverse Proxy anscheinend nur für einzelne oder weniger Server im Heimnetz zu empfehlen ist, auf die per sicherer Verbindung über eine Homepage (FQDN) zugegriffen werden soll.

Ich freue mich über einen regen Austausch.

Da sieht man wieder, dass messen unerlässlich ist und nicht einfach nach Farben oder aufgrund von Vermutungen geklemmt werden darf.

Der Taster liegt ganz einfach auf einer anderen Phase als der Shelly, was die Fehlerursache ist.

Vielleicht rebootet er beim Tasten. Auf jeden Fall dürfen dort keine 400V anliegen.

Ok, die Bezeichnung ähnelt der von AVM, aber im Eingangspost steht es ja.

Mein Tipp wäre weiterhin ein IP-Konflikt oder die Repeater können kein Unicast.

Könnte ein IP-Adressenkonflikt sein.

Wie sind die IPs vergeben?

Warum nutzt du einen Speedport und dann Repeater im AP-Mode von AVM?

P.s.: Bitte nicht Begriffe "Router" und "Repeater" durcheinander würfeln.

Hast du denn auch die IP gefolgt von dem Port eingetragen?

Ich habe testweise einfach "mcast" stehen lassen. Vielleicht Home Assistant neu starten, wenn das bei den Shellies bereits aktiviert ist.

Mit einem Shelly 1PM sind Wochenplan, Sunrise und Sunset möglich. Mit einem Shelly 1 vermutlich dann auch.

Der FI fliegt beim Bau ab und an mal? Ist die Ursache bekannt? Oder lag es nur daran, dass Du 30mA-FIs hast und mal mit N und PE zusammenkommst, wenn du Leitungen kürzt oder einführst? Ansonsten würde ich erstmal die Ursache hierfür beseitigen, nicht dass doch etwas falsch geklemmt ist, z.B. auf einem falschen N liegt oder irgendwo ein N keinen richtigen Kontakt hat.

Mich würde die Spannung zwischen SW und L interessieren, wenn der Taster gedrückt ist.

Die Actions zum Dimmen (Dim= Cycle) gab es mal, wurden aber leider entfernt. Per Script und Shelly i4 würde es wohl noch gehen.

Eigentlich hört sich alles so wie üblich an.

Die SW reagieren auf L und N, die Spannung dort ist normal. Kann sich der SW N über einen Verbraucher ziehen, gilt dieser als ausgelöst und ein Tasten bewirkt nichts.

Du hast somit die ganzen Problematiken nochmals zusammengefasst, nur den möglichen Widerstand vor SW vergessen oder kennst den nicht.

Einfach einen Shelly Plus 1 mit I und O zwischen BWM Output und einen Wochenplan erstellen. Das Relais braucht ja auch vielleicht tagsüber nicht angezogen zu sein, man könnte vielleicht zusätzlich die Astrofunktion nutzen.

Ein Dimmer wäre natürlich auch nicht verkehrt oder vielleicht kann man einfach einzelne Leuchten nachts "blocken".

Oftmals können Geräte im Gast-WLAN nicht untereinander kommunizieren und wenn doch, dann hätten die Gäste Zugriff drauf. Gut, man kann dann ein Passwort in den Shellies einstellen, was wieder zusätzliche Probleme mit sich ziehen kann, neben dem, dass man dann nicht einfach schnell mal was im Web-GUI umstellen kann, wenn es per Cloud nicht funktioniert.

Das ihr die in der Industrie verwendet heißt aber nicht, dass man die auf einmal für massive Leiter verwenden darf. Die Angabe von Klauke ist eindeutig. Edit: das mit den Rundleitern habe ich übersehen, da kenne ich mich in den Spezifikationen zu wenig aus.

Es ist laut Datenblatt des Shellies nicht zulässig. Ich glaube nicht, dass hier jemand die Verantwortung übernehmen möchte. Du musst die Situation vor Ort beurteilen, wenn du als Fachkraft vor Ort bist. Wago hat ja auch schöne Klemmen, wo 2,5 und 1,5 reinpassen, man hat dann aber natürlich zusätzliche Verbindungen.

Wo bekommst du die 3 Minis unter? Ist da dann nicht vielleicht der kleine Mehrpreis zu einem 3EM die bessere Option?

Bei dem Klauke-Artikel steht extra bei, dass der nicht für massive Leiter geeignet ist.

Aber du kannst eventuell über den Router WLANs in der Nähe anzeigen lassen

Generell würde ich sagen, dass man mit Messwandlern besser bedient ist. Da der E-Herd separat abgesichert ist, bietet sich ein Shelly Pro 3EM in der Verteilung an.

Laut Spezifikationen könnten die Schraubklemmen bis 1,5mm² hinderlich sein beim Mini, er sollte die Last aber aushalten. Erfahrungen hierzu habe ich noch nicht gelesen.

Wird in den Aktivitäten denn auch eine Helligkeits- und Temperaturänderung aufgeführt? Bei jeder solch einer Änderung wird es sich ja mit dem WLAN verbinden, je nach Einstellungen.