Da hättest du mal besser vorher nachgefragt.

Filezilla kann auch ssh, daher einfach nur mit dem EDOMI root Account per ssh über Filezilla verbinden.
Dann hast du einen File-Explorer mit dem du ganz einfach Dateien hin und her schieben kannst.

Faszinierend was alles so geht, wenn man es kennt... Danke Euch!

Hallo André,
Du triffst den Kern meiner Frage besser, als ich es formulieren konnte. Und ich befürchtet bereits beim Schreiben, Du/jemand das antwortet - aber natürlich liegt es auf der Hand: DMZ. Es ist vermutlich die einzig richtige Lösung, wenn man für etwas Komfort an anderer Stelle keine Tür im Sicherheitssystem aufreißen will.
Musste ich erst einmal sacken lassen. Bisher schreckte ich davor zurück; einerseits wegen des zeitlichen Aufwands und den möglichen Problemen dabei. Wird VoIP noch genauso funktionieren? VPN durch den externen Router zum internen Router? Gibt es Probleme mit Spotify, SMA, was auch immer? Vermutlich wird man das alles lösen können, aber es wird Zeit kosten. Zeit ist mein Kaufkriterium (keep it simpel), unmittelbar hinter der Sicherheit und Verlässlichkeit, danach Energieverbrauch. Um es einfach zuhalten im Handling, würde ich vor meine FB7490 einfach eine zweite FB7490 zukaufen. Dort alles nicht benötigte ausschalten (WLAN, NAS, Telefon). Die vorhandene Anlage kann unverändert bleiben (bis auf WAN-Einstellung). Anders gesagt: Ich möchte meine Infrastruktur an die Erfordernisse anpassen - es dabei aber möglichst einfach/homogen halten. Daher möchte ich mir auch keine Eigenbau-Lösung hinstellen. Bestimmt günstiger, aber die Zeit... brauch' ich doch für edomi...

@all: Hat jemand mit 2 kaskadierten FB7490 Erfahrungen? Hinsichtlich VoIP, VPN,...Entwarnung? Oder gibt es gute Gründe, andere Router-HW für ein DMZ zu kaufen?

Zur Frage der Motivation: Ich möchte den Gerätepark aus drei Gründen klein halten (trotz Spieltriebs): Zeit, Sicherheit, Energie. Wer verantwortungsvoll ein Haus betreibt, muss man die Geräte regelmäßig aktuell halten (Firmware, Updates, ...) -> Aspekt Zeit und Sicherheit: Wenige Geräte machen das einfacher, wahrscheinlicher und schneller. Darüber hinaus möglichst wenig proprietären Mist. Daher konsolidiere ich meinen Gerätepark. Nur noch zwei Server (Linux, edomi), 2 NAS, 1 Router. Mehr IT-Infrastrukur wollte ich eigentlich nicht mehr. Dazu kommen die openELEC/KODIs und PC/Laptops. Energie erklärt sich selber. Aber wegen eines RPi oder Cubibox mach' ich mir bei meinem Energiebedarf keine großen Gedanken. Da werf' ich lieber die SONOS-Elektro-Heizer weg... Mit einem Play 5 im standby kann ich 15 RPi betreiben. Eigentlich ist SONOS ziemlich enttäuschend. Außer, wenn sie im Betrieb sind, dann sind sie leider geil.

Kurz: DMZ und eine RevProxy-HW dort ist wohl die Wahl. Hätte da noch eine Cubibox herum liegen...

Danke - auch wenn's weh tat - und noch tun wird...

Uhm... eine DMZ ist eigentlich der Bereich eines Netzwerkes, den man von vornherein besser schonmal als konkret sicherheitsgefaehrdet und/oder pauschal gehacked betrachtet. Wenn Du also neben deinem Edomi auch noch (zum Beispiel) einen Mail- und/oder Webserver betreibst, dann koennte es durchaus sein (aufgrund der Komplexitaet der betreffenden Services), dass Dein Edomi durch die "benachbarte" Infrastruktur in der sogenannten DMZ gefaehrdet wird.
Auch zu bedenken waere, dass die Zugriffe auf solche Services (also Mail/Web) nicht geschuetzt sind (abgesehen vom Filter), der Zugriff aufs Edomi aber eigentlich schon spezieller abgesichert werden sollte.
Kurz: wenn Du dein internes Netz als High-Sec betitelst, dann sollte die DMZ Low-Sec und Edomi (zumindest in diesem Szenario) eher so Mid-Sec sein. Dann sollten das aber auch (vor allem physikalisch) getrennte Netzwerke sein, eine Pseudo-Trennung macht da keinen wirklichen Sinn.

Fritzboxen kaskadieren wird vermutlich niemanden wirklich gluecklich machen. VoIP zB funktioniert schon mit einem NAT dazwischen nur mehr schlecht als recht, die meisten RUVPN-Loesungen basieren auf Proxy-Arp und werden damit eventuell auch Zicken machen. Ich weiss nicht was Fritzboxen so genau koennen, aber ich glaube nicht, dass die im Kern fuer solche Szenarien gebaut sind und koennte mir daher durchaus vorstellen, dass sich solche Sachen nur schwerlich abbilden lassen - da mag ich mich aber durchaus irren.

Frueher (als noch alles besser war) hat man Firewalls aus mehreren Hosts gebaut. Such mal nach "Bastion Host", da findest Du evtl Szenarien die dem nahe kommen was Du da vorhast. Ich persoenlich wuerde im Heimbereich aber eher einen Multihomed-Host als Firewall verwenden und von da aus zentral alles bedienen, also irgendwas mit >3 NICs.

BTW: ich stufe mein Edomi eher als (top-)High-Sec ein und gebe mir entsprechend Muehe den Zugriff abzusichern.

Alles natuerlich nur "imho"

Hi Michael,
danke für Deine Rückmeldung - hast mich allerdings damit ein wenig abgehängt. Der Reihe nach - nicht mehr in Bezug auf meine VM-Frage, sondern nach Andrés DMZ-Rat:
* DMZ = low-sec und jederzeit hack-gefährdet. JA, sehe ich auch so.
* Daher sehe ich zur zeit auch nur den RevProxy im DMZ, maximal noch eine kleine nextcloud für temporäre Zwecke. Mail auf jeden Fall und vermutlich WebServer würd' ich lieber beim Provider lassen.
* edomi ist m.E. höchstgradig zu schützen, auf jeden Fall top-sec!JA, sehe ich definitiv auch so. edomi = Kronjuwelen. edomi stünde daher auf jeden Fall im inneren Netz.
* Genau daher ja der RevProxy, um durch einen definierten Tunnel von außen ohne VPN zu edomi zu kommen. Aber von dedizierten Endgeräten. Alle anderen prallen hoffentlich am RevProxy in der DMZ ab.
* Alle anderen Zugriff auf das innere LAN sollten weiterhin per VPN erfolgen.
* Nach meinem Verständnis wäre durch die Kaskadierung zweier Router eine saubere Netztrennung erreicht. WAN <-|FW|-> DMZ 192.168.100.x <-|FW|-> LAN 192.168.200.x. a ist nichts mehr pseudo-getrennt, sondern real. Aus Sicht der Sicherheit scheint mir das durchaus sicher und vom Aufbau erst einmal echt einfach. Bastion-Host oder Multihomed-Host hört sich nicht nach dem an, was ich will - unter dem Aspekt "simplfy my life". Da mach' ich wohl lieber weiter eine VPN auf, um aus der Ferne an edomi zu kommen...
* Andererseits verstehe ich Deinen Hinwies so: Wenn man es in eine Kiste mit mehreren NICs packt, vermeidet man die Kaskade und damit einhergehende Probelme bei VoIP,..., richtig? Aber hat ein soclher dual homed host letztlich intern auch eine NAT/FW-Kaskade? SOnst hätte ich ja kein DMZ.... Gibt es so was für den Heimgebrauch/angemessenes Geld fertig zu kaufen?
* Wenn nicht FB: Gäbe es kaufbare Router-HW für eine Kaskade, die besser wäre? Das komplette selber Einrichten (was Du vermutlich kannst und machst) eines Routers/FW/NAT/... traue ich mir nicht zu auf einem Sicherheitsniveau, dass ich erwarte.

Und:
* Router kaskadieren ist mindestens für VoIP nicht optimal und es sind Hindernisse zu erwarten. In einem Blog hatte ich gestern gelesen, dass jemand eine Reihe Port-Freigaben im äußeren Router machte und damit das VoIP-Thema wohl lösbar ist. Das könnte die FB.

Fazit bis jetzt: Das Szenario mit Kaskade wäre hinreichend sicher, aber es ist mit "Kollateral-Problemen" zu rechnen. Eine Dual homed Host-Lösung wäre ggf. besser. Es wird nicht so einfach, wie es erscheint - wenn man es richtig machen will.

Zwei Filter zu kaskadieren ist kontraproduktiv, zumindest wenn du eine DMZ hast. Dann muessten es schon 3 sein. Oder, um genauer zu sein: 1 Router und 2 Filter
Im Heimbereich ist das aber wohl etwas ueberzogen
So oder so steht und faellt das ohnehin alles mit der Fritzbox. Wenn die nicht mehr als sicher einzuschaetzen ist, dann hat man insofern ein grosses Problem, weil sicherlich sofort tausend Script-Kiddies irgendwelche runtergeladenen Exploits abfeuern werden. Wie genau das in dem Themenfeld um die Fritzbox bestellt ist weiss ich nicht, wie gesagt nutze ich keine.

Als Produktempfehlung fuer eine (bezahlbare) multihomed Point&Click Firewall die auch VPN mitbringt haette ich eine kleinere Sonicwall im Kopf. Da muss man zwar nix selber machen (ausser die Konfiguration) aber die kosten natuerlich auch ein paar Steine...

(immer noch alles "imho")

Ich setze die DMZ mit einem MikroTik Router um, d.h. Fritzbox als DSL Router + Telefonie daran hängen dann meine DMZ Geräte. Intern der angesprochene MikroTik Router, der fast alles mitbringt was auch eine Cisco Router kann und dazu noch recht günstig bzw. preiswert ist. Der MikroTik ist also dann der Router zwischen DMZ und internem Netz. Er fungiert bei mir auch als VPN Server. Eigentlich wollte ich es mal so umbauen, dass die Fritzbox nur noch DSL Modem spielt und dann IP komplett durch den Router gemacht wird. Ist aufgrund der Telefonie in der Fritzbox noch etwas schwierig. Konnte aber inzwischen die SIP Zugangsdaten für alle MSN herausfinden, so es eigentlich auch funktionieren sollte. Haber nur im Moment andere Prioritäten.

Ganz konkret setze ich diesen Router ein:

https://routerboard.com/RB2011UiAS-RM (ca. 110€)

Ausreichend wäre aber sicher auch dieser hier: (ca. 60€)



Vielleicht hilft das ja weiter. Man muss allerdings wissen, dass die Konfiguration nicht mit einer Fritzbox zu vergleichen ist. Hier sind ein paar Netzwerkkenntnisse schon wichtig, ansonsten wird die Lernkurve recht steil.

EDIT: gaert : Ich weiss ja nicht wieviel Aufwand es ist, aber es würde sicher Sinn machen, wenn man die Beiträge #60, #63, #78 - #82 in einen separaten Thread "DMZ und Reverse Proxy für EDOMI" verschieben könnte.

Über diese Diskussion würde sich MarkusS sehr freuen, eine Netzwerker und MikroTik Fan ...

Ich hatte fürüher einen UPC-Kabel-Router (~FB) und die pfSense (FW) ...
Ohne es jetzt auswendig zu wissen, im Kabelrouter hatte ich ein 192.160.0.0/32 Netz und die einzige LAN-Adresse war gleichzeitig die WAN-Adresse der pfSense. In der pfSense habe ich mehrere VLANS ...
Heute habe ich den Kablerouter auf "Bridge" umgestellt und die pfSense macht seine Arbeit ...
Soweit ich es gesehen habe, kann man der pfSense auch einen Proxy verpassen uvm.

Jetzt muss ich aber noch mal auf das "starte Edomi" zurück kommen...
Mir ist aufgefallen das es scheinbar nur bei "Edomi" benötigt wird hat es hierfür einen Grund?

Die Frage habe ich nicht verstanden. Was heisst nur bei EDOMI? Es ist doch ein EDOMI Custom Skill. Und dafür ist es nötig.

Bei jedem anderen Custom Skill ist ebenfall ein Invocation Name nötig. Nur die built-in Skills und die Smarthome Skills benötigen keinen Invocation Name.

Ich hab mir ein paar "videos" bezüglich knx und Alex angesehen und hierbei Festgestellt das es zb. Bei openhab2 reicht "Alexa schalte..." zu sagen

Daher meine Frage ob es von dir so gewollt ist oder es bei edomi einfach anders nicht funktioniert

Das hat nichts mit EDOMI zu tun, sondern wie gesagt, mit Custom-Skill vs. SmartHome-Skill.
Ich habe mich für den Custom-Skill entschieden, da gehts (derzeit) nicht anders. Dafür hat der Smarthome-Skill andere Einschränkungen. Hier gibt mehr oder minder Amazon die Funktionalität vor. Beim Custom Skill hat man höhere Flexibilität, dafür aber z.B. den Zwang zum Invocation Name. Es sind zwei völlig unterschiedliche Konzepte. Siehe auch hier:

https://developer.amazon.com/public/...ypes-of-skills

Kannst du hier mal die erwähnten Videos verlinken? Ich meine wenn es via openhab ohne Invocation funktioniert, dann könnte man sich da ja evtl. anschauen, was die anders machen?!

https://youtu.be/Sj_jCM-gqUg

Hier wird z.B. nur "Alexa schalte..." gesagt und das ganz läuft auf openhab2
Bin auch am überlegen das ganze auf Openhab2 zu ändern da es zwar gut funktioniert jedoch auf Dauer zu nervig ist immer starte Edomi zu sagen





​

https://github.com/unityfire/alexa-h...utterances.txt

Das sieht man mal, was das für ein Aufwand ist, wenn man "starte XXX" weglässt! Da müsste man relativ viele Sample utterances anlegen in allen möglichen kombination und keiner würde durchblicken, bei einer kleinen Änderung.

Ich sage, "Alexa, starte Haus, ..." damit kommen alle zurecht.