Jump to content

UnRaid Wiregurad Tunnel für Home Assistant vom Pi Mitznutzen?


Recommended Posts

Hallo zusammen,

 

ich habe hier jetzt nichts schlüssiges gefunden was Up to Date ist daher frage ich dies einfach nochmal, dass es ein neues Thema ist und mit dem aktuellen Stand versorgt wird.

 

Folgendes, ich betreibe Home Assistant auf einem Pi und habe mich von der Clound verabschiedet, zur Zeit habe ich hier dann einen DuckDNS Dienst laufen hier habe ich meine ip v4 und v6 Adresse eingepflegt, die v4 habe ich aufgrund von Homeoffice bei Unitymedia bzw Vodafone bekommen da ich über den Kabelanschluss mit Internet versorgt werde.

 

Ich möchte lieber bei der Lösung mit zwei "Ökosystemen" bleiben also HA auf dem Pi und als nach den UnRaid der über die VPN das Internet an mein Handy weiterreicht, anfänglich hatte ich hier meine Probleme aber jetzt läuft es 1a.

 

Jetzt zu meinem HA Pi,  da hier DuckDNS einfach eingebunden ist hat man mir geraten dies noch abzusichern, jetzt kam mir aber ich kann dies doch über meinen Unraid laufen lassen zwar schon noch auf dem Pi aber da ich sowiso im Netzwerk hänge dass ich auch von unterwegs druck kann bietet sich doch dies an, korrekt ?

 

Jetzt ist die Frage in Punkto Sicherheit, an sich ist das so über Unraid und den VPN zu LAN Verbindung doch die sicherere Alternative oder ist das Wurst ?

 

Mir ist klar, dass ich auf die UnRaid VPN vertrauen muss weil wenn die streikt habe ich keinen Zugriff mehr auf mein HA.

 

Jetzt frage ich euch, wie lange läuft eure WireGruard VPN (mit dem gleichen Aufbau wie bei mir ) bei euch schon ? Zwecks Stabilität, kann man darauf bauen, wieviele Leute hatten damit schon Probleme ?

 

Wenn wir in ein Paar Wochen in den Urlaub gehen ins EU Ausland will ich natürlich die VPN auch eingeschalten lassen und auf mein HA Pi zugreifen können und ggf über die VPN gleich Bilder Zuhause ablegen.

 

Könnt ihr mir zu meinem Vorhaben raten oder soll ich doch den Weg gehen einen Wireguarddienst auf dem Pi seperat zu starten ?

An sich vertraue ich auf meinen UnRaid der jetzt ca 3/4 Jahr mit neuen Komponenten läuft.

 

 

Danke für Eure Ratschläge / sichweise  für beide Arten also über UnRaid ins LAN zum HA die Verbindung oder Wireguard aufs Pi spielen und  sich direkt draufschalten.

 

 

Grüße in die Runde 😊

 

 

 

 

 

Link to comment
11 minutes ago, Megacayman said:

Jetzt zu meinem HA Pi,  da hier DuckDNS einfach eingebunden ist hat man mir geraten dies noch abzusichern, jetzt kam mir aber ich kann dies doch über meinen Unraid laufen lassen zwar schon noch auf dem Pi aber da ich sowiso im Netzwerk hänge dass ich auch von unterwegs druck kann bietet sich doch dies an, korrekt ?

 

...erklär das nochmal etwas genauer.

ich kenne HA nicht, aber was soll da abzusichern sein? Was ist der Use-Case?

 

11 minutes ago, Megacayman said:

Jetzt ist die Frage in Punkto Sicherheit, an sich ist das so über Unraid und den VPN zu LAN Verbindung doch die sicherere Alternative oder ist das Wurst ?

[...]

Danke für Eure Ratschläge / sichweise  für beide Arten also über UnRaid ins LAN zum HA die Verbindung oder Wireguard aufs Pi spielen und  sich direkt draufschalten.

Wireguard ist Wireguard...ist vom Konzept her - und das wird oft vergessen - eh ein Mesh und kein Client-Server Konzept.

Siehe oben, was genau willst Du absichern und warum ist Dein HA aktuell nicht sicher?

Link to comment
4 hours ago, Ford Prefect said:

...erklär das nochmal etwas genauer.

ich kenne HA nicht, aber was soll da abzusichern sein? Was ist der Use-Case?

HA = Home Assistant,  ist ja eig nur für die Heimautomatisierung wofür ich es auch nutze.

Ich habe das mal so hingewurstelt , ist halt ohne SSL nur über das DuckDNS Addon in HA  (oder ist das immer abgesichert ?) um die Heimautomatisierung zu erreichen ohne die Kostenpflichtige Cloud, das war ja mein Sinn und zweck von der Operation.

 

Aber ob das SSL Zertifikat hier so relevant ist  ist die Sache, ist ja eig nur Infozeugs auslesen WENN es überhaupt soweit kommt,

dass jemand in das Pi kommt bzw daran Interesse hat.

 

Habe mich jetzt wortwörtlich totgelesen und etwas verunsichert über mein Vorhaben bzw was ich probeweise gestartet habe und ob das so richtig war.

 

Wenn einer in meinem Netz ist bzw reinkommt KÖNNTE er ja sonstnoch was für  Hacks starten auf Netzgeräte wie z.B. andere Mediaplayer Pi´s die laufen , Handys, Tablets,  Notebooks , Email, Banking etc, ist ja alles im Netz oder kann ich sowas ausschliesen bei der DUCK DNS Hürde + den Passwörtern die ich habe?

An sich sehe ich ja im Deshborad vom HomeAssistant auch immer wenn fehlerhafte Logins  stattgefudnen haben.

 

Und jetzt habe ich mir die Frage gestellt, ob das überhupt so weit kommen kann  WENN es jemand darauf ansetzt ins Pi zu kommen und ob die weiterleitung durch DuckDNS das  nicht schon absichert die ja den ewiglangen Token enthält + mein PW?

 

Jetzt wollte ich eig. wissen ob es sehr viel sicherer ist , wenn ich das ganze über meine Ohnehin laufende VPN vom  UnRaid+Wireguard vom Unraid laufen lasse , die VPN hat sowiso zugriff aufs LAN dann ich von unterwegs auf Drucker etc zugreifen kann.

 

 

 

Edited by Megacayman
Link to comment

 

11 hours ago, Megacayman said:

Jetzt wollte ich eig. wissen ob es sehr viel sicherer ist , wenn ich das ganze über meine Ohnehin laufende VPN vom  UnRaid+Wireguard vom Unraid laufen lasse , die VPN hat sowiso zugriff aufs LAN dann ich von unterwegs auf Drucker etc zugreifen kann.

Das wichtigste zuerst: Ja, das solltest Du unbedingt *nur* so machen.

Dein HA Setup ist nicht sicher, bzw. der RPI ist - soweit ich das jetzt verstanden habe - *nicht* sicher.

 

11 hours ago, Megacayman said:

HA = Home Assistant,  ist ja eig nur für die Heimautomatisierung wofür ich es auch nutze.

Ich habe das mal so hingewurstelt , ist halt ohne SSL nur über das DuckDNS Addon in HA  (oder ist das immer abgesichert ?) um die Heimautomatisierung zu erreichen ohne die Kostenpflichtige Cloud, das war ja mein Sinn und zweck von der Operation.

Mir scheint Du verwechselt die Nutzung von DuckDNS mit einem sicheren Remote Zugang auf Deinen HA.

DuckDNS ist ein Service, der lediglich den DNS-Namen zu Deiner IP am WAN/I-Net logisch verlinkt und kein VPN.

Da Deine IP zwar öffentlich ist - damit kannst Du diese von aussen erreichen - aber nicht statisch - die IP kann sich ändern, zB wenn Dein Modem/Router die Internet-Verbindung zum Provider neu aufbaut, nach einem Neustart etcpp - und daher sorgt das DuckDNS Addon dafür das die IP dann wieder neu hinterlegt wird im öffentlichen DNS Servioce von DuckDNS.

 

Du nutzt also auf Deinem Phone wohl eine HA App oder den Web Browser um aus der Ferne auf den HA (der auf Deinem RPi läuft) zuzugreifen.

Dafür nutzt Du dann den DNS-Namen von Duck-DNS (damit die App im Hintergrund die IP rausbekommt um die Verbindung herzustellen).

Das hat ausser den Namensauflösung nix mit DuckDNS zu tun und es ist mMn gar keine gute Idee.

 

11 hours ago, Megacayman said:

Aber ob das SSL Zertifikat hier so relevant ist  ist die Sache, ist ja eig nur Infozeugs auslesen WENN es überhaupt soweit kommt,

dass jemand in das Pi kommt bzw daran Interesse hat.

 

Habe mich jetzt wortwörtlich totgelesen und etwas verunsichert über mein Vorhaben bzw was ich probeweise gestartet habe und ob das so richtig war.

Denn um das tun zu können hast Du - genau wie für wireguard - eine Portweiterleitung auf den RPi gemacht.

Hoffentlich war die Weiterleitung auf einen dedizierten, nicht Standard-Port - oberhalb port-Nummer 1024 - und nicht für die ganze IP (alle Ports erlaubt) des RPi.

 

11 hours ago, Megacayman said:

Wenn einer in meinem Netz ist bzw reinkommt KÖNNTE er ja sonstnoch was für  Hacks starten auf Netzgeräte wie z.B. andere Mediaplayer Pi´s die laufen , Handys, Tablets,  Notebooks , Email, Banking etc, ist ja alles im Netz oder kann ich sowas ausschliesen bei der DUCK DNS Hürde + den Passwörtern die ich habe?

An sich sehe ich ja im Deshborad vom HomeAssistant auch immer wenn fehlerhafte Logins  stattgefudnen haben.

Ja natürlich.

Die Verbindung in den HA (angenommen Du hast nur einen Port für HA und nicht den ganzen RPi freigegeben) es wohl - wie oben beschrieben - keine Standard Port.

Ansonsten hätten Dich die bösen Buben längst todgescannt und erwischt und zumindest Dein Log (im HA oder sogar im RPi) wäre übervoll mit (hoffentlich nur) Fehlversuchen.

Auf einem VPS, der frei im Internet steht, zB dauert es keine 3 Sekunden nach hochfahren des OS und die ersten Login-Versuche auf Standard-Ports sind da....

 

11 hours ago, Megacayman said:

Und jetzt habe ich mir die Frage gestellt, ob das überhupt so weit kommen kann  WENN es jemand darauf ansetzt ins Pi zu kommen und ob die weiterleitung durch DuckDNS das  nicht schon absichert die ja den ewiglangen Token enthält + mein PW?

 

siehe oben. Es geht nicht um den Token, sondern wie Du die Portweiterleitung zum RPi/HA gemacht hast.

Das wäre das erste Einfallstor.

Aber auch dann, wenn die Freigabe nur auf den HA-Port beschränkt ist, mit Token und PWD ist das eine unnötige, offene Stelle in Deiner Firewall.

Wenn Du wireguard am Start hast ist das die sichere Alternative und völlig ausreichend.

In Deiner HA App müsstest Du - nachdem die VPN/Wireguatd Verbindung steht - dann die interne LAN-IP des rPi und den HA-Port nehmen, statt die externe IP (über DuckDNS.

 

BTW: wie hast Du denn für die Wireguard Clients die WAN-IP bekannt gegeben...auch DuckDNS?...hast Du das dann zweimal installiert?

Edited by Ford Prefect
  • Thanks 1
Link to comment

Vielen dank für die Tolle Antwort das hat alles geklärt, dann werde ich die ohnehin bestehende Verbindung von UnRaid nutzen, ich hatte nur zweifel, da Wireguard anfangs bei mir spiränzchen gemacht hat, aber die Idee hatte ich schon dass ich die "kosten" für die ☁ umgehe für HA.

4 hours ago, Ford Prefect said:

BTW: wie hast Du denn für die Wireguard Clients die WAN-IP bekannt gegeben...auch DuckDNS?...hast Du das dann zweimal installiert?

ja ich hatte einmal auf dem UnRaid DuckDNS und habs jetzt auch auf dem Pi aber das ja erst seit ein paar Tagen weil ich eig den Plan hatte das ich mich nicht von der gehosteten VPN-Verbindung vom UnRaid abhängig machen muss, ich binn da  ein wenig kritisch und denke auch immer soweit "was passiert wenn" in dem Fall wenn die VPN nichtmehr gehostst wird und ich im Ulruab bin oder weil ich vll in Griechenland / Serbien / Türkei / USA / Alaska oder sonstnoch  bin und am ende mich mit meiner VPN nicht verbinden kann weil irgendwas blockiert aus dem Wlan Netz im Urlaubsland ; oder muss ich hier keine Angst vorhaben, dass ich plötzlich vor verschlossenen  Toren stehe wenn ich auf meine VPN möchte ? Dies hat halt für mich schon ein kleines "Geschmäckchen" weil  die VPN mir anfagns regelmäsig zusammengebrochen ist , zwar läuft sie jetzt tedellos aber ich möchte nicht auf der anderen Seite der Welt sein oder am anderen Ende der EU und nichtmehr in meinen HA kommen; zwar ist das glaube ich eher unwarscheinlich aber naja.

Werde das aber erstmal so machen wie du es auch bejat hast, also DuckDNS vom Pi runter und das vom UnRaid nutzen, sollte ja eig anständig laufen, gut gekühlt und neue HW ist bis aufs Netzteil erst 3/4 Jahr alt, gibts hier eig ein hardwarecheckaddon oder so, ähnlich dem Paritycheck dass z.B. alle 3 Wochen mal die Hardware gecheckt wird ?

 

 

Nachtrag:

 

Habe alles wieder zum laufen gebraucht, letzt verbindet sich die HA App über die IP vom Pi über Wireguard.

So werde ich es jetzt erstmal stehenlassen oder gibts noch was zu nachzutragen ?

Edited by Megacayman
Link to comment
3 hours ago, Megacayman said:

Vielen dank für die Tolle Antwort das hat alles geklärt, dann werde ich die ohnehin bestehende Verbindung von UnRaid nutzen, ich hatte nur zweifel, da Wireguard anfangs bei mir spiränzchen gemacht hat, aber die Idee hatte ich schon dass ich die "kosten" für die ☁ umgehe für HA.

Wenn Dein Wireguard setup so funktioniert und andere Ressourcen im Heim-LAN verfügbar/erreichbar sind, dann brauchst Du ja nicht mehr.

 

3 hours ago, Megacayman said:

ja ich hatte einmal auf dem UnRaid DuckDNS und habs jetzt auch auf dem Pi aber das ja erst seit ein paar Tagen weil ich eig den Plan hatte das ich mich nicht von der gehosteten VPN-Verbindung vom UnRaid abhängig machen muss, ich binn da  ein wenig kritisch und denke auch immer soweit "was passiert wenn" in dem Fall wenn die VPN nichtmehr gehostst wird und ich im Ulruab bin oder weil ich vll in Griechenland / Serbien / Türkei / USA / Alaska oder sonstnoch  bin

Wenn Du den unraid in dieser Zeit ausschaltest, dann ist das natürlich so.

Du könntest wireguard auch auf dem RPi installieren oder direkt auf dem Router (angeblich soll das für FritzOS bald mal kommen...wenn Du aber eine HomeBox von VF hast, dann evtl. nicht, da die die Firmware selten aktuell halten oder teilweise einschränken.

Ich nutze auch VF-Cable Max habe aber die VF-Station im Bridge-Mode (geht wohl - noch - nicht für ex-UM Kundenbereiche) und nutze einen Mikrotik Router..der hat Wireguard im Bauch.

 

3 hours ago, Megacayman said:

und am ende mich mit meiner VPN nicht verbinden kann weil irgendwas blockiert aus dem Wlan Netz im Urlaubsland ; oder muss ich hier keine Angst vorhaben, dass ich plötzlich vor verschlossenen  Toren stehe wenn ich auf meine VPN möchte ?

Das ist eine andere Ursache.

Ja, es gibt externe I-Net Zugänge die beschnitten sind. Meist sind es UDP-Ports...meist aber auch nur für das "freie"/Gast-WLAN...der Premium/Business-Tarif im Hotel hat dann sowas nicht. Umgehen kann man das nur, wenn das Ziel über TCP und Port 80 erreichbar ist...aber da genau liegt die Gefahr, wenn Du diese Ports freigibts.

 

Aber wenn es nur für SmartHome ist und Du nicht die Filme vom heimschen Server auch im Urlaub im Hotel streamen willst, tut es ja gerade bei einem Phone auch einfach LTE/4G und Roaming (in der EU eh ohne Zusatzkosten...noch).

 

3 hours ago, Megacayman said:

Dies hat halt für mich schon ein kleines "Geschmäckchen" weil  die VPN mir anfagns regelmäsig zusammengebrochen ist , zwar läuft sie jetzt tedellos aber ich möchte nicht auf der anderen Seite der Welt sein oder am anderen Ende der EU und nichtmehr in meinen HA kommen; zwar ist das glaube ich eher unwarscheinlich aber naja.

...verstehe nicht, was Du damit meinst....meine Erfahrung ist, dass das Problem dann vor der Tastatur ist.

Alternative wäre, sich einen externen VPN-Provider zu suchen, bei dem die eigenen Clients - wenn verbunden - dann auch untereinander kommunizieren können *und* der Zugnag beim Provioder auf Port80/tcp erfolgen kann )(damit die Hotel-WKLANs denken, es wäre http Traffik.

Dann zuhause unraid und/oder RPi dahin verbinden und von unterwegs dann auch das Phone/Tablet.

Das gibt es aber nicht kostenlos.

 

3 hours ago, Megacayman said:

Werde das aber erstmal so machen wie du es auch bejat hast, also DuckDNS vom Pi runter und das vom UnRaid nutzen,

DuckDNS ist egal ob auf dem rPi oder auf unraid...brauchst Du aber eben nur einmal.

 

3 hours ago, Megacayman said:

sollte ja eig anständig laufen, gut gekühlt und neue HW ist bis aufs Netzteil erst 3/4 Jahr alt, gibts hier eig ein hardwarecheckaddon oder so, ähnlich dem Paritycheck dass z.B. alle 3 Wochen mal die Hardware gecheckt wird ?

Nein, sowas gibt es nicht. 

Bei sowas hilft allgemein nur Redundanz, zB auch mehr als ein NIC mit Fallback/Bond im unraid.

Wenn Du da nervös bist, dann wireguard auf den Router umziehen und den am besten mit redundanten NT nutzen.

Mein Router kann zB Power via NT und PoE nutzen.

Alles noch an eine USV...der ganze Netzwerk-Schrank und IT über PoE (WiFi APs und Switche in den Räumen) und auch der unraid, welcher Services bereitstellen muss.

 

Auch habe Ich bei mir zuhause zum VF-Kabel  noch Telekom LTE als Fallback...mein Router verbindet via Wireguard zu einer Router-VM auf einem VPS als Endpunkt. Dieser stellt dann für Clients auch den Wireguard Service bereit...

Link to comment
1 hour ago, Ford Prefect said:

Wenn Du den unraid in dieser Zeit ausschaltest, dann ist das natürlich so.

der läuft 24/7 durch

1 hour ago, Ford Prefect said:

angeblich soll das für FritzOS bald mal kommen

schon probiert in eine LaborFW aber diese hebelt mein DHCP Server aus also hab ich wieder gewechselt auf die "alte"

1 hour ago, Ford Prefect said:

TCP und Port 80 erreichbar ist...aber da genau liegt die Gefahr

ja hiervon wollte ich abstand nehmen, sowas steht in fast jedem Artikel den ich darüber gelsen habe, sind halt die 0815 Ports

Notfalls kann man ja wenns im Hotelwlan nicht geen sollte in Kneipen oder so es probieren, heutzutage hat ja schon fast jeder Laden/Kaffee/Bar ein Kundenwlan

1 hour ago, Ford Prefect said:

Alles noch an eine USV...der ganze Netzwerk-Schrank

Ja bei mir is auch die Komplette Serverelektronik an einem USV

 

1 hour ago, Ford Prefect said:

Auch habe Ich bei mir zuhause zum VF-Kabel  noch Telekom LTE

das ist eine gute Lösung aber so prisant ist dies nicht, geht ja auch so.

Wenn Vodafone die v4 Adresse irgendwann kappt ist es eine ander Sache

28 minutes ago, Ford Prefect said:

...das Portforwarding auf den rPi in Deinem Router deaktivieren

sogar gelöscht 😉

Nurnoch der vom Unraid für den Wiregurad tunnel auf 51820 ist aktiv

 

 

Edit; kann ich über den 51820er Port eig auch parallel noch  Array / ControlIR App nutzen ? Diese bekomme ich nichtmehr zum laufen.

Die Adresse der Array App wäre ja dann

http://ip-vom-UnRaid-Intern:51820

und halt:

User

&

#

 

oder ?

Edited by Megacayman
Link to comment
  • 5 weeks later...

sorry das habe ich hier ganz übersehen im Posteingang dass hier etwas sich getan hat , ja die Array App liest Daten aus, an sich wie im Deshboard blos hlat über das App und dass man den Browser nicht seperat öffnen muss 😅,   habe es jetzt leider noch nicht hinbekommen weil ich paar andere Baustellen  hatte, wenn ich mal dazu komme werde ich hier bisschen rumprobieren.

 

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...