Smart-Home mittels myfritz.net oder HomeKit o.ä.? Sicherster Weg?

[whispet]

Hi Zusammen,

wenn man sich so die vergangenen Artikel zu Fernzugriff auf die FRITZ!Box anschaut, wird ja mehr als oft geraten, diesen abzuschalten und wenn überhaupt nur den Weg über ein VPN zu gehen.
Soweit logisch und verständlich.

Doch mit dem Einzug von SmartHome Devices in die FRITZ!Box (was von AVM ja aktuell sehr viel angeboten wird), sollte/müsste man den Fernzugriff ja mehr oder weniger nutzen, um das alles gescheit einsetzen zu können.
Doch dann eben macht man halt auch den Port auf, die Verbindung zu myfritz.net etc.

Dem gegenüber steht ja z.B. auch die Möglichkeit das alles über Apples HomeKit umzusetzen. Wenn ich das richtig verstehe, ist das doch die weitaus sicherere Variante (vorausgesetzt man nutzt Apple Devices natürlich).

Wie seht Ihr das, bzw. wie löst Ihr das? Und setzt Ihr evtl. auch auf ganz andere Lösungen?

 

[synack]

Wenn du wirklich smart home machen willst und dabei relativ unabhängig bleiben willst von einzelnen Herstellern und diverse unterschiedliche Sachen unter einer Haube möchtest dann unbedingt Home Assistant ansehen. Steuerung remote entweder über die Cloud von denen oder VPN, keine offenen Ports usw.

 

[Brati23]

Wie seht Ihr das, bzw. wie löst Ihr das?

Ich löse das klassisch mit einem Wireguard VPN auf einem PI4.
Ursprünglich VPN über die Fritzbox 7490. Das war mir aber zu langsam und lief damals auch nicht per WG.
Heute würde ich es ggf. nochmal über die Fritze versuchen. Glaube da wurde per Software noch einiges nachgebessert.

 

[Azghul0815]

Je nachdem um was es geht, ist die Frage ob du wirklich Zugriff von aussen brauchst.
Vieles realisiere ich via VPN und Alexa App.
Allerdings geht bei mir auch alles mit den nativeln Apps der hersteller über VPN.

Edit : auch wireguard, nicht über Fritzbox sondern auch auf eigenem Gerät

 

[thealex]

Wie seht Ihr das, bzw. wie löst Ihr das?

Aktuell noch ein Hybrid zwischen HomeKit (weil alles Apple-Geräte) und Home Assistant. Letzteres vor allem aktuell, weil ich aus älteren Tagen noch SmartHome Geräte von (damals) RWE besitze. Die können dank Home Assistant nun vollständig funktional weiterleben, anstatt entsorgt zu werden.

Für den Zugriff auf Home Assistant von außen habe ich WireGuard VPN auf der 7590 eingerichtet.

 

[R O G E R]

Ursprünglich VPN über die Fritzbox 7490. Das war mir aber zu langsam und lief damals auch nicht per WG.
Heute würde ich es ggf. nochmal über die Fritze versuchen. Glaube da wurde per Software noch einiges nachgebessert.

Wireguard läuft auf ner Fritzbox ohne Probleme.
Hatte es selber früher auf nem Pi2 laufen aber seitdem es in FritzOS drin ist bin ich umgeschwenkt.

Also mein Smarthome ist Homatic mit pivccu3 und iobroker.
Komplett vom inet abgekoppelt.
Bedienung von außerhalb über Telegram oder halt VPN an und dann ganz normal.

 

[SaxnPaule]

Steuerung remote entweder über die Cloud von denen oder VPN, keine offenen Ports usw.

VPN benötigt aber einen offenen Port. Wie willst du sonst die VPN Verbindung herstellen

Ansonsten gebe ich dir Recht. Wenn ich von unterwegs in mein Smart-Home gucken möchte, dann fix ins VPN eingewählt und dann "lokal" drauf zugegriffen.
Bei mir ists OpenVPN, weils damals noch keine WireGuard Unterstützung in meinem Asus Router gab.

 

[JustOne]

Hi Zusammen,

wenn man sich so die vergangenen Artikel zu Fernzugriff auf die FRITZ!Box anschaut, wird ja mehr als oft geraten, diesen abzuschalten und wenn überhaupt nur den Weg über ein VPN zu gehen.
Soweit logisch und verständlich.

Doch mit dem Einzug von SmartHome Devices in die FRITZ!Box (was von AVM ja aktuell sehr viel angeboten wird), sollte/müsste man den Fernzugriff ja mehr oder weniger nutzen, um das alles gescheit einsetzen zu können.
Doch dann eben macht man halt auch den Port auf, die Verbindung zu myfritz.net etc.

Wo hast du das gelesen? Ich nutze den myfritz dienst von AVM, dachte es geht nur um den externen Zugriff auf die Fritzbox selbst und nicht um den myfritz dienst/domain/VPN selbst?

 

[Azghul0815]

Wireguard läuft auf ner Fritzbox ohne Probleme.
Hatte es selber früher auf nem Pi2 laufen aber seitdem es in FritzOS drin ist bin ich umgeschwenkt.

Geht bei mir leider nicht, da die Fritte als Erweiterungen meiner Routers von Salt läuft. Aber ist an sich ja egal.

Die Steuerung mit Apple geht leider nicht, liegt aber vermutlich daran, dass kein Homedinges von Apple vorhanden ist. Das geht nur im nativen Wlan. Aber ich hab versch. WlanRelais für Lampen, Hue, Wlan Steckdosen usw. Geht bisher alles tiptop via Alexa oder eben AlexaApp

 

[Raijin]

Man muss ein wenig die Details unterscheiden.

DDNS
Eine dynamische Domain, welche die aktuelle öffentliche IP des Routers beinhaltet. Dies kann über Anbieter wie no-ip, clickip oder eben myfritz realisiert werden. Letzteres ist bei Fritzboxxen gewissermaßen ab Werk eingebaut. DDNS selbst hat nichts mit Sicherheit zu tun und stellt auch noch keinerlei Fernzugriff dar, sondern ist lediglich ein dynamisch generierter Eintrag im Telefonbuch des Internets. Mehr ist DDNS nicht und DDNS hat genausowenig mit der eigentlichen Verbindung zu tun wie ein Telefonbuch mit einem tatsächlichen Anruf.

Portweiterleitungen
Eine Portweiterleitung beschreibt eine Regel im Router, die bestimmte eingehende Verbindungen in das lokale Netzwerk durchreicht. Also www--->ZuHause. Dies ist Teil des Fernzugriffs, die Katzenklappe in der Haustür und schlimmstenfalls eben auch jene Klappe direkt neben dem Türgriff.
Die Sicherheit einer Portweiterleitung wird dadurch definiert welcher Dienst die eingehende Verbindung am anderen Ende der Weiterleitung annimmt. Steht dort beispielsweise ein VPN-Server, der eine verschlüsselte VPN-Verbindung erwartet, ist dies als weitestgehend sicher anzusehen, weil VPN-Server für diesen Zweck vorgesehen sind. Sitzt am Ende der Weiterleitung aber zB eine Sicherheitskamera ohne Passwortabsicherung, kann jeder Hans und Franz auf dieser Erde das Bild der Kamera abgreifen, einfach so. Portweiterleitungen sind daher ausschließlich auf sichere Dienste und Geräte vorzunehmen.

VPN
Bei einem VPN baut man eine explizit verschlüsselte Verbindung zum Router oder einem VPN-Server dahinter - dann mit dem Stichwort Portweiterleitung - auf. Über diese verschlüsselte Verbindung kann man das Heimnetzwerk gefahrlos nutzen als säße man zu Hause auf der Couch.

Cloud
Bei einer Cloud ist es in der Regel so, dass cloudgesteuerte Geräte innerhalb eines Heimnetzwerks "nach Hause" telefonieren und sich bei der Cloud melden. Über eben diese Verbindung können sie auch Anweisungen erhalten, zB Licht an/aus. Da es sich um eine ausgehende Verbindung handelt, also ZuHause--->Cloud, werden weder Portweiterleitungen noch DDNS benötigt. Die Steuerung erfolgt über den Aufruf der Cloud, die in irgendeinem Rechenzentrum sitzt.

Direktzugriff auf den Router
MyFritz bietet soweit ich weiß - man möge mich bitte korrigieren - neben DDNS (=unkritisch) auch einen eingebauten Direktzugriff auf den Router selbst, also dessen Einstellungen. Genau das ist nicht ratsam, da Zugriff auf den Router von allen Sicherheitsrisiken das Größte darstellt. Hat ein Angreifer Zugriff auf den Router, kann er diesen als Brückenkopf nutzen und das gesamte Netzwerk infiltrieren, den Internetverkehr überwachen und dergleichen. Der Zugriff auf den Router sollte daher entweder komplett unterbunden werden oder maximal durch ein verschlüsseltes VPN erfolgen (s.o.), was sogesehen einem "lokalen" Zugriff ähnelt, eben nur via VPN Remote-Auf-Der-Couch.

 

[synack]

VPN benötigt aber einen offenen Port. Wie willst du sonst die VPN Verbindung herstellen

Jaaaa, is gut, keine extra offenen und keine Weiterleitung, nur Wireguard was eh schon da ist (bei mir).

 

[R O G E R]

Geht bei mir leider nicht, da die Fritte als Erweiterungen meiner Routers von Salt läuft. Aber ist an sich ja egal.

Das geht schon.
Meine FB hängt auch hinterm Speedport Hybrid der Telekom.

Einfach eine Portweiterleitung machen, und als Adresse die DynDNS Adresse die dein Router hat, in der Konfig Datei von Wireguard editieren.

 

[Azghul0815]

Das geht schon.
Meine FB hängt auch hinterm Speedport Hybrid der Telekom.

Nein,
Ich habe den Punkt wireguard nicht im Menü. Der taucht bei der Einstellung bei mir nicht auf.

 

[R O G E R]

Ich habe den Punkt wireguard nicht im Menü. Der taucht bei der Einstellung bei mir nicht auf.

In welchem Menü?

 

[JustOne]

Wie seht Ihr das, bzw. wie löst Ihr das? Und setzt Ihr evtl. auch auf ganz andere Lösungen?

Ich nutze auch als VPN nur den AVM eigenen myfritz dienst, allerdings ohne die Möglichkeit auf die Fritzbox selbst von aussen zuzugreifen - das kann man so einstellen und sind auch zwei unterschiedliche Dinge.
Der Zugriff auf die Fritzbox geht bei bedarf über den VPN und Browser.

Über die myfritz adresse, die man bekommt, kann man auch Dienste bereitstellen wie z.B. Nextcloud - statt der Fritzbox oberfläche - je nach Weiterleitung... Nur die Domain ist dann eben kryptisch.

 

[Azghul0815]

In welchem Menü?

Ich habe oben bei Freigaben gar nichts stehen. Liegt aber an der Einstellung der Fritzbox. Die ist bei mir als reiner Verteiler ohne DHCP konfiguriert.

 

[R O G E R]

Habe ich aber auch so konfiguriert:

 

[Azghul0815]

Witzig.
Muss Myfrittz aktiv sein oder der DHCP?

 

[R O G E R]

Ich denke mal beides.
MyFritz auf jedenfall.

 

[Azghul0815]

Gut. Das würde es erklären. Aber da eh der DHCP über meinen PiHole laufen muss und der Wireguardserver ebenfalls auf dem Proxmox Server läuft, hab ich keinen Vorteil davon. Eher den Nachteil, wenn die Fritte nen Problem hat, komm ich von aussen nicht mehr rein.
vielleicht macht ein 2ter Wireguardserver Sinn, als Redundanz 😂