Node-Red aus dem Internet erreichbar machen

[Howcountry]

Hallo, ich habe ein Node Red auf einer VM "im Internet" laufen da Node-Red default ohne Login auf das Dashboard funktioniert, greife ich ausschließlich via VPN auf dieses zu. Soweit so gut. Gleichzeitig kann der MQTT Broker dadurch auch auf meine shellys zugreifen.

Wie könnte eine Lösung ohne VPN aussehen?

Authentifizierung für Node-Red
Zugriff des MQTT Brokers auf die Shellys (könnte der Schwierigere Teil werden evtl. via ipv6 und whitelist in der heimischen Firewall das nur die node-Red vm Zugriff bekommt von außen)

Für Ideen und Vorschläge wie ihr das lösen würdet oder vl. selbst gelöst habt bin ich dankbar.

 

[EOL60]

Aus welchem Grunde willst Du weg vom VPN? Ich finde das ziemlich unsicher ohne VPN und es erfordert viel mehr Arbeit das richtig abzusichern.

 

[Howcountry]

Meine Überlegung ist den Zugriff für Familien angehörige etc. zu vereinfachen und da ist eine VPN auf dem Handy nicht unbedingt zuträglich. Außerdem hätte ich gerne ein möglichst einfaches Setup um z.b. auch shellys in mein Node Red zu bekommen, welchen nicht in meinem Heimnetz sind bzw. wo es nicht möglich wäre (ausser der shelly baut das VPN selbst auf) ein vpn tunnel zu installieren.

Die Sicherheit des VPN würde ich dann durch andere Mittel (Authentifizierung der Shellys und User, Firewall regeln für den Zugriff auf die Shellys) kompensieren.

Ich weiß Halt nicht in wie weit MQTT und Node Red bzw. die Shellys sich unter einander authentifizieren können oder ob die Protokolle welche untereinander gesprochen werden dafür nicht ausgelegt sind, es ist meiner Meinung nach ähnlich einer SAMBA/WIndows Freigabe im Internet ja es gibt Authentifizierung aber man sollte das auf keinen Umständen nackt im Internet haben. Frage wäre hierbei selbst wenn es die Möglichkeiten gibt sind dann brute force Angriffe mitgierbar über fail2ban o.ä. bzw. auth nur via Zertifikat realisierbar.

 

[FSC830]

...und da ist eine VPN auf dem Handy nicht unbedingt zuträglich...

Das ist KEIN Argument! Ich kann sowohl mit IPsec als auch mit Wireguard eine VPN Verbindung zum Heimnetz aufbauen, das ist nur 1 Klick!, das Trennen auch.
Wer damit überfordert ist, den würde ich erst gar nicht ins LAN lassen, und wenn es der Mann im Mond höchstpersönlich wäre... .

Wenn die Shellys kein VPN können (ich kenne mich damit nicht aus), dann solltest Du überlegen, ob Du LAN-seitig evtl. was trennen kannst (z.B. verschiedene VLANs).

Aber die größte Sicherheit hat man eben mit VPN.

Gruss

 

[Howcountry]

Die Shellys sind bereits in einem komplett eigenem Netz und können via vpn nur Node-Red erreichen und natürlich den router als NTP Quelle.

Das ist KEIN Argument! Ich kann sowohl mit IPsec als auch mit Wireguard eine VPN Verbindung zum Heimnetz aufbauen, das ist nur 1 Klick!, das Trennen auch.
Wer damit überfordert ist, den würde ich erst gar nicht ins LAN lassen, und wenn es der Mann im Mond höchstpersönlich wäre... .

ok Du kannst Das , ich auch. Meine Oma nicht und Deine? per Messenger einen Link zur Webseite zu verschicken um die Shellys etc. zu Steuern via Node Red ist einfach und dazu zuschreiben sich bitte mit xyz anzumelden Kennwort steht auf dem Toaster ist trivial. jemand zu erklären wie er/Sie ein vpn einrichtet auf dem Device, keine Ahnung z.b. wie das bei iOS geht, oder auch bei verschiedenen android Versionen ist deutlich aufwändiger.

 

[Barungar]

Das ist KEIN Argument! Ich kann sowohl mit IPsec als auch mit Wireguard eine VPN Verbindung zum Heimnetz aufbauen, das ist nur 1 Klick!, das Trennen auch.

Und selbst DAS ist kein Argument, weil es nicht einmal einen Klick braucht. Zumindest nicht bei Androiden. Da gibt es eine schnuckelige kleine App, heißt VPNcilla. In der legt man die VPN Konfiguration ab und dann sagt man der App noch wie das eigene WLAN heißt. Fertig... die App läuft im Hintergrund. Wenn Sie im eigenen WLAN ist schläft ist. Ist man außerhalb des eigenen WLANs z.B. auf LTE oder einem fremden WLAN... ist routet sie alles durch das VPN.

So ist man IMMER mit daheim verbunden.

https://play.google.com/store/apps/details?id=com.gmail.mjm4456.vpncilla&hl=de

 

[the other]

Moinsen,
Wenn ich dich richtig verstanden habe @Howcountry dann

• Hast du ein home automation system auf einer vm
• Zwei Orte, die du mit der home automation managen willst, voneinander entfernt liegend
• Du willst von extern Zugriff auf das System für node red (konfigurieren von automation) und
• Einen Zugriff für Geräte an Ort b zum system auf der vm an Ort a

Soweit?
Dein Argument gegen vpn ist einmal der Aufwand beim Verbindungsaufbau, dann aber auch die Frage, wie sich die dummen IoT Teile da einwählen.

Bevor ich auf die Sicherheit von vpn verzichte würde ich eher andere Alternativen andenken...
...darauf verzichten von extern zuzugreifen (warum von extern node red?)
...an Ort a ein system aufsetzen (raspi) und davon separat eines für Ort b (und dann per vpn auf die Systeme gehen)
...überlegen, wofür die Familie und Oma und Opa auf mein smarthome system Zugriff benötigen (und dann den Zugang erklären...per vpn....aber ich sehe da den sinn nicht)
...das Netz segmentieren und den ganzen IoT/ smarthome Kram in ein abgeschottet Quarantäne subnet verfrachten (zusätzlich zum vpn)

Aber iot Kram einfach so am Netz...IMHO keine gute Idee.

 

[blurrrr]

Spontan einfallen würde da ein ReverseProxy mit extra Authentifizierung (inkl. fail2ban, ggf. Geoblocking, etc.), von dem Rest hab ich keine Ahnung, aber ggf. wäre da Portknocking noch eine Möglichkeit (welche heutzutage kaum noch genutzt wird).

 

[underwood]

Wie wäre als Alternative ein ChatBot?

Ich nutze z.B. Discord, geht aber sicher mit jedem anderen Messenger mit API auch. Node-Red sendet mir darauf Warnmeldungen und ich kann Befehle darüber an Node-Red schicken. In Node-Red kannst Du dann gleich das "Rechtemanagement" für die einzelnen Benutzer regeln, in dem Du bestimmte Befehle nur bestimmten Chatmitgliedern erlaubst. Ich kann z.B. im Gruppenchat auf meinem Server auch mal schnell ein "printercam" raus schicken und schon bekomme ich ein Standbild von meiner Cam am 3D Drucker und brauche nicht zu meinem privaten Raum zu wechseln. Wenn meine Freunde das tippen, wird das ignoriert.