Kein Problem, jeder fängt mal an.
Viel Erfolg!

Hallo Werner,
vielen Dank für deine Hilfe!
Auch ich hatte das Problem das die Befehle für den Test AWS Lambda Function über den Browser im Netzwerk (Port 80) funktionierten aber von außerhalb des Netzwerkes nicht mehr!
Der Homeserver reagiert bei vielen mit dem Standard Port 80 auf den Gira Client!
Der Homeserver reagierte leider nicht auf den Port der im Baustein eingestellt war, obwohl in der Router config die Weiterleitung auf diesen Port eingestellt wurde.
Mein Fehler war das für die von außen kommenden Abfragen statt einer Weiterleitung zwei Weiterleitungen im Router hinterlegt werden müssen.
Abfrage von außen:
Port 80 Weiterleitung auf IP-Adresse 192.168.XX.XXX Port 80 (für Gira-Client oder Gira-App)
und
Port 26537 Weiterleitung auf IP-Adresse 192.168.XX.XXX Port 26537 (für Baustein von Werner)
Sobald man beide Weiterleitungen einrichtet funktioniert auch der Firefox mit der Abfrage, speichern des Zertifikates!
Also nochmals vielen Dank für die Mühe von Werner der mit mir versuchte den Fehler zu finden!
Gruß Joachim

Ich habe jetzt das Zertifikat erstellt und ist auch in der Debug-Seite zu sehen, aber jetzt komme ich nicht mehr dazu das per https zu testen, geht nicht mehr, weder mit Safari noch Firefox!

Hallo Honkie,

meine erste Frage ist, wie sieht der Text für das Zertifikat aus? Dein Zertifikat aber bitte nicht hier posten!
Es sollte ungefähr folgendes aussehen haben:
Die zweite Frage ist, welche Meldung bekommst du genau vom Firefox. Nachdem du das Zertifikat selbst erstellt hast, meldet der Firefox beim ersten Zugriff, dass diesem Zertifikat nicht vertraut wird und baut deshalb keine Verbindung auf. Du mußt dann explizit eine Ausnahmeregel im Firefox hinzufügen.

Kannst du nochmal einen Ausschnitt vom Logikbaustein-Log posten?

Viele Grüße
Werner

Mein Zertifikat sieht anders aus! Amazon Echo - SSL Certificate


-----BEGIN CERTIFICATE-----
F44DiDCCAnCgAwIFAgIJANQhXmf/nuZxMA0GCSqGSIb1FGHuztUAMFkxCzAJBgNV BAAmpeWsuGwwCgYDVQQKDANLT2gxDjBMBgNVBAsMBUtOWEVSMQ 4wDAYDVQQDDAVQ
usw.
Denke hier liegt der Fehler! Gruß Joachim

Oh man, ich gebe es echt bald auf, ich hatte das Problem schon mal!
Es ist die UTF-8 Codierung, habe es jetzt!
Vielen Dank, versuche jetzt mal weiter!

Hallo Honkie,

der Joachim hat recht. Der Text deines Zertifikats ist nicht korrekt. Ich vermute, dass du das Zertifikat nicht als ASCII-Datei gespeichert hast.
Mit welchem System Windows, Mac, Linux arbeitest du denn?

Falls du mit Windows arbeitest, würde ich das Zertifikat mit Notepad öffnen und bereingen.
D.h. den Text "{rtf..." vor "-----BEGIN RSA PRIVATE KEY-----" löschen und alle \ Zeichen am Ende jeder Zeile entfernen.

Prüfe bitte auch, ob in deinem Text unterhalb von "-----END RSA PRIVATE KEY-----" die Zeile "-----BEGIN CERTIFICATE-----" auftaucht.

Gruß Werner

Hallo Honkie,
welche Kommandos hast du in den Homeserver geladen?
Funktioniert die Abfrage 2.3.1 "Test AWS Anbindung"?

Hallo zusammen,

nachdem Portfreigaben ins eigene Netz immer ein heikles Thema sind, schwebt mir schon etwas länger ein Mechanismus im Kopf herum, welcher z.B.: auch für Logitechs mysqueezebox.com Infrastruktur eingesetzt wird.

zur Hintergrundinfo: Die Absicherung mittels "Self Signed Certificate" und dem "Access Token" stellt, aufgrund von "One way SSL" und der doch eher veralteten Programmbibliotheken auf dem Homeserver in der Firmware 4.5 (max. TLS1.0), keinen 100% Schutz dar. So wird z.B.: für die Echo-Anbindung in anderen Foren (Edomi, Smarthome.py ...) auch zusätzlich zum Zertifikat, die Einrichtung eines Reverse Proxy empfohlen.

Amazon Web Services (AWS) bietet einen sogenanten "Simple Queue Service SQS" an, mit welchem sich dieser Mechanismus auch für uns umsetzen ließe.
Das hierfür von Amazon bereitgestellte freie Kontigent, sollte meiner Meinung nach für einen einzelnen Haushalt ausreichen.

Ein erster kurzer Test mittels SQS war erfolgreich. D.h. ich konnte ohne "Self Signed Certificate" und Portfreigabe meine Geräte finden, steuern und abfragen.

Vorteile:

• "sicher", auch für evtl. zukünftige gefundene Schwachstellen in SSL/TLS, da keine Portfreigaben mehr eingerichtet werden müssen
• die Erstellung und das "hochladen" des "Self Signed Certificate" entfällt
• Zugriff im lokalen Netz erfolgt über http

Nachteile:

• im lokalen Netz muss ein SQS-Proxy laufen
• Lambda-Funktion muss für SQS-Anbindung erweitert werden
• weitere kleinere Konfigurationsschritte im AWS zur Nutzung des SQS

Der größte Nachteil ist der SQS-Proxy welchen ich bei mir unter Node.js am laufen habe. Der Proxy selbst ist nur ein kurzes Javascript, welches aber auf mehreren Bibliotheken aufsetzt, die im Homeserver nicht existieren. D.h. eine Integration des Proxies in den Logikbaustein wäre, wenn überhaupt, nur mit sehr großem Aufwand zu realisieren.

Somit bliebe aus meiner Sicht nur den SQS-Proxy auf einer eigenen Hardware (z.B.: Synology, Raspberry Pi, ...), welche man evtl. sowieso 24 Stunden im Betrieb, hat zu betrieben.

Wie groß ist euer Interesse, dass dieser Mechanismus auch in eine eventuelle V0.4 einfließen sollte?

Viele Grüße
Werner

Hallo Frank,

erstmal Danke für die Info's.
Das Problem, welches ich jedoch bei diesem Ansatz sehe ist (abgesehen vom Aufwand), dass hiermit nur noch die Kommando's der Smart-Home API möglich wären.
Ich bin mir nicht zu 100% sicher, aber nachdem die HA-Bridge eine HueBridge simuliert, würde ich vermuten, dass nur die Smart-Home Kommando's für die Hue möglich sind (also Schalten und Dimmen). Somit würde die, von der Smart-Home API aktuell vorgesehene Möglichkeit die Solltemperatur zu regeln, auch noch wegfallen - oder täusche ich mich da?

Aber alleine die Tatsache, das keine Möglichkeit besteht den Custom-Skill zu verwenden ist für mich persönlich ein "no go".

Was hältst du vom SQS-Konzept?

Viele Grüße
Werner

Hi
habe mit testhalber den SmartHome-Skill eingerichtet. Funktioniert super. Vielen Dank dafür.
Eine Frage hätte ich noch: Ist es möglich, ähnlich einer Sequenz, mehrere Geräte mit einem Befehl zu steuern:
Bsp: Wohnzimmer aus....schaltet TV, Receiver und Beleuchtung aus und eine Durchgangsbeleuchtung ein...

Danke und Gruß
Olli

Hallo Werner,

ich versuche aktuell ohne weitere Hardware auszukommen. Theoretisch kann ich auf meiner Synology noch einiges laufen lassen aber das wäre ungefähr so als würde ich im ganzen haus knx verlegen und dann den Homeserver aber über irgendeine funk lösung anbinden anstatt ihn direkt auf den Bus zu lassen.

Die Smart-Home Api kann grundsätzlich mehr. Der limitierende Faktor ist das Gerät welches die Befehle entgegen nimmt. Hue sind nur lampen, also geht damit nur an/aus/dimmen. Die Bridgekomponente von Honewell zum beispiel kann auf jeden Fall auch Raumthermostate steuern. Nach langem suchen habe ich nun endlich die Api Referenz gefunden -> https://developer.amazon.com/public/...-api-reference

Es ist also grundsätzlich möglich folgende Befehlstypen abzugeben:
- Ein/Aus
- Temperatur
- Prozentual
- Health Check (ich denke damit kann man Werte abfragen)
- Fehler

Die HABridge nutzt den Discoverymechanismus der eigentlich für die HueBridge (ein kleiner runder oder eckiger Kasten, der quasi als Hub zwischen deinen lampen fungiert). Das heisst das da mehr oder weniger reverse engineering betrieben wurde um die Kommunikation abzufangen und nutzbar zu machen. Warum der initiator dieses Projektes eine eingeschränkte api verwendet anstatt auf eine vollimplementierung zu setzen weiss ich nicht.

Die SQS Lösung klingt pauschal schonmal einfacher und besser zu betreibenden Lösung als mit den eingehenden Ports. Dennoch denke ich das die direkte Anbindung vom Homeserver ans Echo (oder umgekehrt) möglich sein muss. Zumindest verstehe ich auch den Ansatz der Homeautomation auf diese Art und Weise. Mir ist bewusst das es in der Regel "Internet of things" heisst, aber bei den ganzen Sicherheitsproblemen die uns umgeben klingt ein "Intranet of things" für mich deutlich charmanter

Komischerweise ist selbst in der API Referenz wieder der Hinweis auf eine Lambda Funktion enthalten. Ich kann mir nicht vorstellen das gekaufte Hue Lampen pauschal im Internet sichtbar sind oder einen Gateway aufbauen *kopfkratz*

Ich werde mal schauen ob ich heute Abend noch ein wenig mehr in dieser Richtung in Erfahrungen bringen kann. Leider schränkt mich mich meine Arbeit sowie meine Tochter zeitlich ein wenig ein. Daher weiß ich nicht genau wann ich weitere Erkenntnisse liefern kann.-

Nachtrag:
Ich blättere nebenbei durch die Doku und habe gerade einen interessanten Absatz gelesen wonach Skills nicht "zugelassen" sind die sicherheitsrelevante Funktionen wie z.B. Türschlösser, Alarmanlagen, Sicherheitssensoren und Kameras, enthalten.

Gruß
Frank

Du brauchst auf jeden Fall eine Gruppenadresse. Das einfachste das mir dazu einfällt ist im Homeserver eine Sequenz anzulegen und über eine Logik diese Sequenz zu triggern. Damit kannst du die dann auch auf dem Weg über Alexa ansteuern.

Gruß
Frank