Neue Insider Version IP 3

NEUES Widget: Energieflussmonitor
NEUES Widget: Navigationswidget
Upgrade Gebäudeinformationssystem


Alle Informationen hier: https://elabnet.atlassian.net/wiki/x/AYDOmQ

[DISKUSSION] [V4.0.1] Timberwolf Server 3500XL nach 2 Jahren

Eure Wünsche und Phantasien
Forumsregeln
  • Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
  • Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
  • Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
  • Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln

jhaeberle
Reactions:
Beiträge: 44
Registriert: Do Aug 24, 2023 11:07 am
Hat sich bedankt: 22 Mal
Danksagung erhalten: 9 Mal

#11

Beitrag von jhaeberle »

Hallo Uwe,

danke für die Details!
cybersmart hat geschrieben: So Aug 11, 2024 10:54 am Aber generell könnte Elabnet natürlich mit LetsEncrypt und ggf auch Traefik als Proxy eine integrierte Lösung bauen, nur ist das aktuell m.E. definitiv nichts wo man bei Elabnet Zeit drauf einsetzen sollte, die Prios müssen anders liegen.
Weiss nicht, das muss Elabnet wissen, wo die Schmerzpunkte bei den Kunden/Interessenten liegen. Ich für meinen Teil würde einen separaten Linuxhost wohl auch hinkriegen, aber eigentlich will ich das nicht. Ich hätte das gerne alles, was zum SmartHome gehört im Elektroschrank. Ein Raspi gehört für mich da nicht hin :D
Vom aktuellen Ansatz mit Portainer bin ich bisher enttäuscht. Verständlicherweise beschränkt, mit einigen Problemen, steinalte Versionen, damit geht leider vieles nicht oder nur mit Kopfständen… Aber da muss ich auch aufpassen, mittel- bis langfristig darf es nicht sein, dass nur ich was am Smarthome machen kann und das "mir" das womöglich auch noch immer wieder um die Ohren fliegt.

Aber, ich könnte mir vorstellen, dass man mit dem Ansatz, Traefik mit auszuliefern, einiges bewegen könnte. Einerseits liesse sich das Zertifikatsthema lösen, indem Elabnet dafür für alle TWS eine Domain zur Verfügung stellt und Traefik das für den jeweiligen TWS holt. Bei so einem Ansatz könnte auch die Visu out of the box mit sauberem Zertifikat laufen.
Für Bastler und die, die es noch werden wollen, wäre das aber auch erheblicher Fortschritt, damit würden die Möglichkeiten für eigene Dockercontainer deutlich verbessert. Für Portainer mit Traefik findest du draussen massig Anleitungen, wie man alles mögliche aufsetzt.

Mit Zertifikaten kenne ich mich eigentlich ganz gut aus, aber das TWS-CA hat mich doch auch beschäftigt. Nächste Woche kommen die Schwiegereltern für ein paar Tage zu besuch und ich freu mich schon… Für Otto-Normalkunde, der eine flexible Visu und ein bisserl Logik und evtl. etwas Modbus für PV und Heizung haben will, ist das schon flott eine ordentliche Herausforderung.

Ich weiss natürlich nicht, wo der Fokus von Elabnet liegt, in einem anderen Thread habe ich gelesen, dass Integratoren eine wichtige Kundengruppe sind. Sind Integratoren IT-Profis? Die einfach mal so eine DMZ beim Kunden einrichten? Verkauft sich einem interessierten Kunden leicht eine weitere Kiste mit Linux, Docker und Co.? Würde nicht im Gegenteil eine fertige Infrastruktur mit SSL und sauberen Zertifikaten, die in vielen Heimsetups problemlos funktioniert, den Integratoren weitere Möglichkeiten eröffnen, vielleicht sogar langfristig oder wiederkehrend? Wäre das nicht sogar ein Grund für integratoren, um auf den TWS zu setzen?

Jedenfalls glaube ich nicht, dass die Leute hier im Forum wirklich repräsentativ für die durchschnittlichen TWS-Nutzer sind, aber was weiss ich schon… ;)

Gruß
Jochen
TWS 3500XL, ID: 1409 (VPN offen, Reboot nach Rücksprache)
Benutzeravatar

cybersmart
Reactions:
Beiträge: 257
Registriert: Do Jan 20, 2022 6:15 pm
Wohnort: Germering
Hat sich bedankt: 167 Mal
Danksagung erhalten: 168 Mal
Kontaktdaten:

#12

Beitrag von cybersmart »

Hi Jochen,
jhaeberle hat geschrieben: So Aug 11, 2024 4:10 pm
Ich hätte das gerne alles, was zum SmartHome gehört im Elektroschrank. Ein Raspi gehört für mich da nicht hin :D
Naja, gehört ein Reverse Proxy der das ganze Heimnetz auch mit Zertifikaten versorgt auf einen SmartHome Server/Gateway? Der TWS bringt schon viel IT mit, was auch echt gut ist, aber ihn zum Reverse Proxy und Certificate Issuer auszubauen hat auch Risiken. Da bin ich eher ein Freund davon genau diese Funktionen extra laufen zu lassen, muss ja nicht zwingend in einer eigenen DMZ sein wie bei mir, aber auf eigener Hardware (oder VM).
jhaeberle hat geschrieben: So Aug 11, 2024 4:10 pm Aber, ich könnte mir vorstellen, dass man mit dem Ansatz, Traefik mit auszuliefern, einiges bewegen könnte. Einerseits liesse sich das Zertifikatsthema lösen, indem Elabnet dafür für alle TWS eine Domain zur Verfügung stellt und Traefik das für den jeweiligen TWS holt. Bei so einem Ansatz könnte auch die Visu out of the box mit sauberem Zertifikat laufen.
Für so einen Use-Cases macht es durchaus Sinn, aber weitere IT-Systeme darüber zu "versorgen" ist dann evtl. ein Schritt zuviel. Auch für Integratoren wäre das sicher sinnvoll mit eigenen Subdomains je Integrator und dort haben die dann auch ihre Systeme und die Zertifikate werden automatisch generiert, etc. Sozusagen "mandantenfähig".
jhaeberle hat geschrieben: So Aug 11, 2024 4:10 pm
Jedenfalls glaube ich nicht, dass die Leute hier im Forum wirklich repräsentativ für die durchschnittlichen TWS-Nutzer sind, aber was weiss ich schon… ;)
Genau das ist aber Teil des Problems, denn man muss das ja so aufbauen, dass auch nicht besonders technikversierte User und auch Integratoren mit limitiertem IT-Know-How das absolut sicher beherrschen können.

Traefik ist nicht trivial, wenn man es nicht stark beschneiden will. Dafür halt sehr mächtig.
Meine Docker-Umgebung läuft nun auf einer eigenen VM die ich auf einem vorhandenen Synology als Debian 12 aufgesetzt habe und über den 2. NIC in meine DMZ gehängt habe. Optimale Ausnutzung der Synology, die sonst im internen Netz steht (bis auf diese VM in der DMZ).

Mein Setup ist etwas komplexer als das der meisten Heimnutzer:
INTERNET <-> IONOS managed FW <->Public IPv4+IPv6 auf IONOS VPS 1EUR Server mit Pi-hole, Unbound, 6tunnel, Wireguard <-> Wireguard-Tunnel via Kabel-Internet <-> Fritz Cable <-> DMZ (10.82.0.0/24) <-> Lancom Router ohne NAT mit FW <-> 10.82.1.0/24 bis 10.82.10.0/24 als VLANS / Subnetze hinter Lancom

Alle Services sind je nach Zone (DMZ, Home, etc.) für den internen Gebrauch mit Wildcard-Zertifikaten wie *.dmz.cybersmart.eu abgesichert, von außen aber garnicht erreichbar, aber so habe ich immer intern gültige Zertifikate und keine Zertifikatswarnungsthematik mehr. Services die von außen erreichbar sein sollen bekommen dann ggf. ein eigenes LE-Zertifikat für den dann von außen per DNS durchgereichten Hostnamen.Domain.

Bei mir ist z.B. http://status.dmz.cybersmart.eu aktuell von außen über Reverse Proxy erreichbar, aber ohne Details zu den Services zu verraten, nur "Gruppen". So kann die Familie schnell checken ob ein Service ein Problem hat. Ich kann dann drill-down machen. Bei Bedarf kann ich eine Authentication noch davor setzen wenn man von Extern zugreift.

Heimdall hingegen ist ein Service der aktuell nur von innen erreicht werden kann.

Bild

Bild
Zuletzt geändert von cybersmart am Di Sep 03, 2024 8:18 pm, insgesamt 4-mal geändert.
VG, Uwe

timberwolf765 VPN: closed Reboot: no

Ersteller
Protheus
Reactions:
Beiträge: 6
Registriert: So Okt 08, 2023 9:03 am
Hat sich bedankt: 5 Mal
Danksagung erhalten: 21 Mal

#13

Beitrag von Protheus »

cybersmart hat geschrieben: Di Sep 03, 2024 7:57 pm ...
Mein Setup ist etwas komplexer als das der meisten Heimnutzer:
INTERNET <-> IONOS managed FW <->Public IPv4+IPv6 auf IONOS VPS 1EUR Server mit Pi-hole, Unbound, 6tunnel, Wireguard <-> Wireguard-Tunnel via Kabel-Internet <-> Fritz Cable <-> DMZ (10.82.0.0/24) <-> Lancom Router ohne NAT mit FW <-> 10.82.1.0/24 bis 10.82.10.0/24 als VLANS / Subnetze hinter Lancom
...
Wow die Netzwerk-Kette hat ja mehr Glieder als das BlingBling von nem Rapper :lol:

Aber wenns funktioniert...
(Warum aber die VPN Tunnel usw. vor der FB? Hoste doch alles gleich auf der NAS.)

Grundsätzlich stimme ich aber zu: wir "IT-Spezies" sind eher weniger die Zielgruppe für ElabNet.
Wenn man aber zugänglichkeit haben will, muss man es (zumindest die Visu) auch allgemein zugänglich machen.

Der TWS hat ja einen integrierten (und leider nur Pfadbasierten) Reverse Proxy, aber leider kann der keine unterschiedlichen Zertifikate, was aber so ziemlich jeder mir bekannte Reverseproxy kann und können sollte.

Erklärung (für die nicht-Spezies):
Ein Reverseproxy stellt ein Netzwerkziel (meist aus dem Internet erreichbar, geht aber auch intern) dar, welches dann die Anfrage nach intern weiterleitet/weiter reicht.
Ziel ist, dass man seine Webserver nicht vollständig erreichbar machen will, sondern nur eine Seite oder Protokoll.
Wenn das (vom RP genutzte) Zertifikat aber nicht allgemein akzeptiert ist (Wie LetsEncrypt oder andere Zertifizierungsstellen) bekommt man die bekannte Zertifikatswarnung.
TWS 3500XL #1177, VPN offline, Reboot nur nach Absprache

jhaeberle
Reactions:
Beiträge: 44
Registriert: Do Aug 24, 2023 11:07 am
Hat sich bedankt: 22 Mal
Danksagung erhalten: 9 Mal

#14

Beitrag von jhaeberle »

Hallo Uwe!
cybersmart hat geschrieben: Di Sep 03, 2024 7:57 pm Naja, gehört ein Reverse Proxy der das ganze Heimnetz auch mit Zertifikaten versorgt auf einen SmartHome Server/Gateway? Der TWS bringt schon viel IT mit, was auch echt gut ist, aber ihn zum Reverse Proxy und Certificate Issuer auszubauen hat auch Risiken. Da bin ich eher ein Freund davon genau diese Funktionen extra laufen zu lassen, muss ja nicht zwingend in einer eigenen DMZ sein wie bei mir, aber auf eigener Hardware (oder VM).
Na ja. Das ist nun aber schon so und Elabnet legt viel Wert auf die Sicherheit und Stabilität des Systems, was aus dieser Warte sehr gut ist.
cybersmart hat geschrieben: Di Sep 03, 2024 7:57 pm Für so einen Use-Cases macht es durchaus Sinn, aber weitere IT-Systeme darüber zu "versorgen" ist dann evtl. ein Schritt zuviel. Auch für Integratoren wäre das sicher sinnvoll mit eigenen Subdomains je Integrator und dort haben die dann auch ihre Systeme und die Zertifikate werden automatisch generiert, etc. Sozusagen "mandantenfähig".
jhaeberle hat geschrieben: So Aug 11, 2024 4:10 pm Jedenfalls glaube ich nicht, dass die Leute hier im Forum wirklich repräsentativ für die durchschnittlichen TWS-Nutzer sind, aber was weiss ich schon… ;)
Genau das ist aber Teil des Problems, denn man muss das ja so aufbauen, dass auch nicht besonders technikversierte User und auch Integratoren mit limitiertem IT-Know-How das absolut sicher beherrschen können.
Genau! Aber es wäre doch möglich, ein TWS-System zu bauen, das nicht nur - wie jetzt - Portainer enthält, sondern zusätzlich einen Traefik. Der sorgt über eine Domain von Elabnet für ein allgemein gültiges LE-Zertifikat für diesen Server. Damit geht erst mal genau so viel wie jetzt , nur, dass das Zertifikatsproblem weg ist.
Für nicht so IT-affine User und Integretoren ändert sich erst mal nix, nur das Cert-Problem ist weg, die Elannet-CA wird dafür nicht mehr benötigt.

Für ambitioniertere User aber gibt es viel mehr und bessere sowie sichere Möglichkieten. Es wäre so wie jetzt: nichts muss, vieles kann.

Gruß
Jochen
TWS 3500XL, ID: 1409 (VPN offen, Reboot nach Rücksprache)

jhaeberle
Reactions:
Beiträge: 44
Registriert: Do Aug 24, 2023 11:07 am
Hat sich bedankt: 22 Mal
Danksagung erhalten: 9 Mal

#15

Beitrag von jhaeberle »

Hi,
Protheus hat geschrieben: Di Sep 03, 2024 8:56 pm Wenn das (vom RP genutzte) Zertifikat aber nicht allgemein akzeptiert ist (Wie LetsEncrypt oder andere Zertifizierungsstellen) bekommt man die bekannte Zertifikatswarnung.
LetsEncrypt ist aktuell aber wirklich weit verbreitet. Wo gibt es denn mit deren Zertifikaten noch Probleme???

Gruß
Jochen
TWS 3500XL, ID: 1409 (VPN offen, Reboot nach Rücksprache)
Benutzeravatar

cybersmart
Reactions:
Beiträge: 257
Registriert: Do Jan 20, 2022 6:15 pm
Wohnort: Germering
Hat sich bedankt: 167 Mal
Danksagung erhalten: 168 Mal
Kontaktdaten:

#16

Beitrag von cybersmart »

Protheus hat geschrieben: Di Sep 03, 2024 8:56 pm
Wow die Netzwerk-Kette hat ja mehr Glieder als das BlingBling von nem Rapper :lol:

Aber wenns funktioniert...
(Warum aber die VPN Tunnel usw. vor der FB? Hoste doch alles gleich auf der NAS.)
:-)

Die Fritte brauche ich wegen Kabel-Netz, der IONOS VPS bietet mir statische IP-Adressen inkl. IPv4 (bin im Kabel leider CG-NAT Opfer und daher nur public IPv6 inbound).
Gleichzeitig ist der VPS mein WireGuard Einstiegspunkt für mobile Clients, daher steht auch der Pi-Hole da draussen (aber nicht public erreichbar), löst aber public Domains auch auf interne IP-Adressen auf (für die LE-Zertifikate) ohne dass ein externer DNS befragt werden muss.
Das Setup ist super robust bisher und ich brauche keine IPv6 Portmapper mehr und habe aus dem Heimnetz nur noch ausgehende Verbindungen offen.

An sich bei CG-NAT der für mich beste und sicherste Aufbau, das Fritz-Netz ist ne reine DMZ.
Zuletzt geändert von cybersmart am Di Sep 03, 2024 11:19 pm, insgesamt 1-mal geändert.
VG, Uwe

timberwolf765 VPN: closed Reboot: no

Ersteller
Protheus
Reactions:
Beiträge: 6
Registriert: So Okt 08, 2023 9:03 am
Hat sich bedankt: 5 Mal
Danksagung erhalten: 21 Mal

#17

Beitrag von Protheus »

jhaeberle hat geschrieben: Di Sep 03, 2024 9:05 pm Hi,
Protheus hat geschrieben: Di Sep 03, 2024 8:56 pm Wenn das (vom RP genutzte) Zertifikat aber nicht allgemein akzeptiert ist (Wie LetsEncrypt oder andere Zertifizierungsstellen) bekommt man die bekannte Zertifikatswarnung.
LetsEncrypt ist aktuell aber wirklich weit verbreitet. Wo gibt es denn mit deren Zertifikaten noch Probleme???

Gruß
Jochen
Sorry, hab ich schlecht formuliert.
Ich wollte ausdrücken: LE und andere Zertifizierungsstellen sind weitläufig akzeptiert (und in den meisten Browsern/Systemen direkt als vertrauenswürdig eingestuft) aber die CA von ElabNet eben nicht.
cybersmart hat geschrieben: Di Sep 03, 2024 11:16 pm
Protheus hat geschrieben: Di Sep 03, 2024 8:56 pm
Wow die Netzwerk-Kette hat ja mehr Glieder als das BlingBling von nem Rapper :lol:

Aber wenns funktioniert...
(Warum aber die VPN Tunnel usw. vor der FB? Hoste doch alles gleich auf der NAS.)
:-)

Die Fritte brauche ich wegen Kabel-Netz, der IONOS VPS bietet mir statische IP-Adressen inkl. IPv4 (bin im Kabel leider CG-NAT Opfer und daher nur public IPv6 inbound).
Gleichzeitig ist der VPS mein WireGuard Einstiegspunkt für mobile Clients, daher steht auch der Pi-Hole da draussen (aber nicht public erreichbar), löst aber public Domains auch auf interne IP-Adressen auf (für die LE-Zertifikate) ohne dass ein externer DNS befragt werden muss.
Das Setup ist super robust bisher und ich brauche keine IPv6 Portmapper mehr und habe aus dem Heimnetz nur noch ausgehende Verbindungen offen.

An sich bei CG-NAT der für mich beste und sicherste Aufbau, das Fritz-Netz ist ne reine DMZ.
Ah verstehe :D
die statische IP war einer der Gründe, für nen VF Business Vertrag. (hat aber den Nachteil, das ich keinen echten DualStack bekommen kann (Supportaussage Stand letztes Jahr) :evil: Statische IPv4 und IPv6 geht wohl nicht gleichzeitig...)
TWS 3500XL #1177, VPN offline, Reboot nur nach Absprache
Benutzeravatar

cybersmart
Reactions:
Beiträge: 257
Registriert: Do Jan 20, 2022 6:15 pm
Wohnort: Germering
Hat sich bedankt: 167 Mal
Danksagung erhalten: 168 Mal
Kontaktdaten:

#18

Beitrag von cybersmart »

Denke da ist mein 1 EUR VPS günstiger als Dein Business Vertrag :-) Kann die Lösung absolut so empfehlen wie sie hier gerade läuft und löst halt das Thema mit CG-NAT auch noch elegant auf. Braucht aber etwas "Pflege".
VG, Uwe

timberwolf765 VPN: closed Reboot: no

Ersteller
Protheus
Reactions:
Beiträge: 6
Registriert: So Okt 08, 2023 9:03 am
Hat sich bedankt: 5 Mal
Danksagung erhalten: 21 Mal

#19

Beitrag von Protheus »

cybersmart hat geschrieben: Mi Sep 04, 2024 9:14 am Denke da ist mein 1 EUR VPS günstiger als Dein Business Vertrag :-) Kann die Lösung absolut so empfehlen wie sie hier gerade läuft und löst halt das Thema mit CG-NAT auch noch elegant auf. Braucht aber etwas "Pflege".
Mit Sicherheit :D
Die feste IP ist aber nicht der einzige Grund (exzessives Homeoffice, Zuverlässigkeit usw.)
Ich hab hier zu Hause auch noch andere Dienste (E-Mail, VPN usw.) die gut erreichbar sein müssen. Daher macht das bei mir Sinn.
Standard ITler Antwort: Es kommt immer drauf an was man braucht/will/kann :lol:
TWS 3500XL #1177, VPN offline, Reboot nur nach Absprache
Antworten

Zurück zu „Feature Requests & Diskussionen Timberwolf Allgemein“