Hallo Manuel,

ich rate Dir jetzt Dich mal mit Deiner Beschreibung für den Router auseinanderzu setzen. Seite 58 findest Du ganz toll beschrieben, wie Du Kontakt mit dyndns aufnimmst und wie Du dies aktivierst.

Vorher solltest Du noch klären welchen Hardwarestand Dein Router hat. Es gibt 3 Varianten von V2 bis V6

Du bekommst von deinem Provider eine dynamische IP, welche täglich wechselt.
Eine statische mußt Du bezahlen.

gesicherte remote Verbindung zum HS

Hallo,

weil ich den Zugriff auf den HS aus dem Internet gerade gebraucht habe
und wegen der nicht abgesicherten Übertragung bedenken hatte, habe ich die Verbindung auf die folgende Art und Weise realisiert. (Allerdings braucht die Lösung einen SSH-Server im Heimnetzwerk)

Ich würde natürlich gerne Euer Meinung dazu hören bzw. lesen.

Konfiguration zu Hause:
=======================
-Ich habe also einen linux-Server in lokalen Netzwerk, der diverse andere Aufgaben erledigt und auf dem ein SSH-Server gestartet ist. (Der SSH-Server für Linux ist kostenlos und wird bei vielen Distributionen standardmässig installiert/gestartet.)
-Mein DSL-Router hält ständig die Verbindung ins Internet offen und
aktualisiert nach jedem Einwählen die Ip-Adresse für den registrierten
DNS-Alias (in diesem Beispiel:meinalias.dnsalias.com).
-Weiterhin habe ich im Router folgende NAT-Regel definiert: alle SSH-Verbindungsanfragen (Port:22) aus dem Internet auf meinalias.dnsalias.com werden auf den Linux-Server in das lokale Heimnetzwerk umgeleitet.

Konfiguration unterwegs:
========================
-auf dem Rechner von dem ich auf den HS zugreifen will bzw auf dem HS-Expoerte installiert ist (z.Bsp mein Laptop), habe ich einen kostenlosen SSH-Client (Putty)installiert. Dort ist eine SSH-Verbindung zu meinalias.dnsalias.com und eine getunnelte Port-Weiterleitung definiert (sh. Screenshots).

Somit kann ich auf dem lokalen Rechner einen Port (zBsp:8000) definieren , der über die SSH-Tunnel zum meinalias.dnsalias.com auf
den definierten Port 80 des HS (IP-Adresse:192.168.15.85) umgeleitet wird.

Beim Übertragen der Daten aus dem HS-Expoerten habe ich "andere Adresse" ausgewählt und Localhost und Port 8000 eingetragen. Die Visu ist dann über http://localhost:8000/hs, die hslist entsprechend über http://localhost:8000/hslist zu erreichen. Die Einstellungen sind im Screenshots zu sehen.

Auf diese Weise wird vom Lokalen Rechner zum HS eine Verbindung über das Internet getunnelt, wobei die übertragenen Daten per SSH verschlüsselt sind.

Was haltet Ihr von dieser Lösung?

Gruß
Zoltan

Hallo Zoltan,

hier dann meine Meinung:

Die Lösung gefällt mir gut !!!, da dann die Verbindung sowohl verschlüsselt ist als man auch (z.B. mit Zertifikaten) eine deutlich sichere Anmeldung als mit Username / Passwort hinbekommen könnte.

Für z.B. Fernwartung oder den Zugriff von einem (eigenen) Laptop aus ist das alles wunderbar, der Fallstrick ist halt die notwendige Installation eines SSH-Clients auf dem (Visu-)PC, damit entfällt dann die Möglichkeit des Zugriffs durch einen beliebigen PC, den man unterwegs gerade nutzen kann.
Nachteilig ist vielleicht auch der nicht unerhebliche Know-How-Bedarf bei der Einrichtung, nicht jeder EIBler mit mit Begriffen wie "SSH-Tunneling", "NAT" oder "Port-Forwarding" auf Anhieb zurecht kommen. Auch die SSH-Komponenten müssen erfahrungsgemäß wegen Sicherheitsmängeln ständig aktuell gehalten werden, man reißt sich da leicht ein Sicherheitsloch rein, das dann vielleicht stärker wiegt als der "unsichere" Zugang über ein Portal oder ähnliches.


Gruß
Hartmut

Hallo Hartmut,

vielen Dank für Deine Antwort/Meinung.

Erlaube mir bitte folgende Bemerkungen zu Deinem Antwort:

Der Zugriff über den bisherigen weg (Portal bzw. über registrierten DynDNS) funktioniert weiterhin genauso. Die beschriebene Lösung würde ich zusätzlich einrichten. So bleibt die Flexibilität erhalten.

Das stimmt, aber: jedem, der diese Lösung realisieren möchte, werde ich - soweit ich kann - helfen und unterstützen. Denn: wenn ich hier im Forum eine Frage stelle, wird mir AUCH immer geholfen.
Ich denke, man braucht noch viel mehr know how um diese Lücken auszunutzen. Und man sollte natürlich immer die neueste Version von SSH aus dem Netz laden.
Einen grösseren Sicherheitsloch als Nutzung von unverschlüsselten Kennwörtern kann ich mir schwer vostellen (ist ja eine Ansichtssache).

Gruß
Zoltan

Hallo Zoltan,

erstmal danke für den aufschlussreichen Beitrag.!!!.

Welchen zusätzlichen Gewinn hab ich denn, wenn der normale Zugang nach wie vor möglich ist? Oder anders gefragt, worin liegt denn die Gefahr bei dem Standard Zugang?

Gruß Bruno

Hallo Bruno,

der "zusätzliche Gewinn" aus meiner Sicht ist, dass der normale Zugang immer noch (zBsp. im Notfall: wenn die gesicherte Verbindung, aus welchem Grund auch immer, nicht geht) möglich ist.
Die Gefahr bei der standard Zugang liegt darin, dass, nachdem man Benutzername und Kennwort zwecks Anmeldung am HS (http://hs-hostname/hs) eingibt, werden diese im KLATEXT (!!!) im aufgerufenen URL übertragen http://hs-hostname/hshtm?user=Benutzername&pw=Kennwort... ).
Wenn ich nachdenke, was man mit meinem Benutzername/Kennwort Kombination jeder der das Kennwort und die notwendigen Programme hat (HS-Expoerte), meine Ganze Wohnung übernehmen und bösartige Funktionen/Abläufe programmieren kann, dann habe ganz viel bedenken.
Und ohne den HS-Experten kann man über die Web-Visu alles was ich programmeirt habe auch aufrufen.

Gruß
Zoltan

Wenn du statt .../hs .../shs eingibst, wird nichts mehr in Klarschrift angezeigt!

Ist das KW auch beim HS-Experten verschlüsselt?

Hallo Matthias,

denke für den Tip. Wenn ich es gewußt hätte, wäre es einiges einfacher gewesen (anders gesagt: wer lesen kann hat Vorteil, denn es steht auf dem Beipackzettel zum HS)
Es wird dabei aber nur das Kennwort verschlüsselt, der Benutzername und die sonstige Kommunikation nicht.
Ich habe damals (am Anfang meiner "mein Leben mit HS"-Zeit) den Gira-Support angerufen und gefragt, ob es geplant ist die Kommunikation über Web zu verschlüsseln. Die damalige Aussage war:nein es ist nicht geplant.
Wie ist es bei der Übertragung der Daten aus dem HS-Experten? Wird das Kennwort dort auch verschlüsselt? Ich konnte es leider jetzt nicht testen, weil ich den Zugriff zum HS vom HS-Experten NUR über die gesicherte Verbindung hinbekomme, über den Portal oder andere Adresse kommt die Verbindung gar nicht zustande.

Gruß
Zoltan

So ich habe grad nach Wochen langen warten einen Anruf von meinem Provider (Paracom) erhalten.
Der TP-Link Support hatte ja vermutet, dass die Ports nicht durchgeschaltet werden.
Daran liegt es aber leider auch nicht, lt. Paracom werden die Ports 20-21 und 80 durchgeschaltet.

Der Paracom Mitarbeiter sagte nur etwas von:
Ich muß damit der Zugriff von extern funktioniert am Router NAT einstellen/einschalten???
Weiß jemand von euch, was NAT heißt oder bedeutet?
evtl. auch wo ich das bei meinem Router einschalte?

Nat ist network allocation table oder network address translation.

Die sorgt dafür, dass daten vom externen Port am richtigen Port im Lan (in dem Fall der HS) landen.

meinen tut er aber wahrscheinlich ein Portforwarding.

Wenn Du den Router schon für den Zugriff inss Internet benutzt und in Deinem lokalen Netzwerk "private Adressen verwendest", dann ist an deinem Router das sog. natting eingeschaltet.

Private Adressen sin unter anderem:192.168.*.*, 10.*.*.* usw.

Natting macht nichts anderes, als deine private ip-Adressen aus dem lokalen Netzwerk auf die - von Deinem provider dem Router dynamisch zugeordneten - IP-Adresse ändert. Natting ist notwendig, weil die private Adressen im Internet nicht geroutet werden, woduch diese auch keinen Ziel erreichen können. Durch Natting erscheinen alle Pakete aus Deinem lokalen Netz im Internet als würden sie von Deinem Router kommen.

Gruß
Zoltan

Nach dem ich den Paracom Mensch gefragt habe ob da wirklich nur NAT steht meinte er ja nur NAT einschalten dann würde es gehen?
Denn ich habe mit dem Support von TP-Link die Einstellungen für das Port Forwarting vorgenommen, leider ohne Erfolg.
Es gibt noch Port Triggering bei den Einstellungen im Router,
könnte evtl. das damit gemeint sein?

Welcher Router? Poste mal eine paar Screenshots von den Einstellungen.

Hi Zoltan,
ja ich benutze den Router auch zum Zugriff ins www, das funktioniert ja auch und der HS kommt auch ins Netz um die Infos der Uhrzeit und der Webabfragen abzuholen. aber er meldet sich nicht am Portal an oder ich komme von außen auch nicht auf Ihn drauf?
Ok habe das mit NAT habe ich nun verstanden, nur was ich jetzt noch tun muß damit der Zugriff funktioniert weiß ich immer noch nicht

hast Du das Manual als PDF-File? Kannst du es hier posten?