Passwort für Webinterface

[kjub]

Hallo,

habe mich heute den ganzen Abend mit dem Inet-Access beschäftigt und habe nur noch ein Problem: Das offene Scheunentor! Gibts denn mittlerweile eine User/Passwort-Abfrage beim Webinterface?

Gruß kjub

[Light-Hunter]

Moin Kjub!

...und habe nur noch ein Problem: Das offene Scheunentor! Gibts denn mittlerweile eine User/Passwort-Abfrage beim Webinterface?

Schöner kann man es nicht beschreiben!!

Meines Wissens nach nicht!! ...und es sollte von Topfield hier eine schnellst mögliche Änderung erfolgen!!!

Weiter fehlt ja auch noch das "Wake on LAN". Was macht es sonst für einen Sinn, eine Fernbedienbarkeit via Internet anzubieten?!? Hier sollte sich Topfield auch dringend etwas überlegen.

Es gäbe da aber eine kleine Abhilfe. Du mußt Dich nur ein wenig belesen (Guckst Duuhhh hier und hier), Dir dieses Teil hier kaufen und ein wenig basteln.

Das Webinterface des IP-I/O-Interface hat eine Option für ein Kennwort. Weiter kann das Teil bis zu 8 Geräte steuern!!! ...Du könntest z.B. das WLan einer FritzBox, die Du per WLan mit Deinem Topf verbunden hast (vorrausgesetzt, Dein Topf hat WLan und Du hast eine FritzBox) damit ein-/ausschalten. Wäre eine doppelte Sicherheit.
Weitere Vorraussetzungen wären natürlich auch Deine räumlichen Verhältnisse zu Hause: Du müßtest natürlich LAN-Kabel vor Ort haben bzw. nachträglich legen... ...das IP-I/O-Interface hat leider kein WLan... ...ach ja, wie sangen doch die Stones: You can't always get what you want ...aber dafür ist der Frauenchor doch sehr schön in diesem Lied. Oder?!

....ooohhhh... habe ich doch glatt übersehen: Willkommen im Forum!!!

[hgdo]

[quote="Light-Hunter"]Schöner kann man es nicht beschreiben!!

Meines Wissens nach nicht!! ...und es sollte von Topfield hier eine schnellst mögliche Änderung erfolgen!!![/quote]

Wozu denn das? Das LAN/WLAN an sich muss abgesichert werden, aber doch nicht der Receiver.

Und was ist da schon an sicherheitsrelevanten oder vertraulichen Daten drauf?

[Light-Hunter]

Moin hgdo!

Wozu denn das? Das LAN/WLAN an sich muss abgesichert werden, aber doch nicht der Receiver.

Der LAN/WLAN-Datenstream ist bei mir verschlüsselt. Jeder der dieses nicht macht, handelt in meinen Augen grob fahrlässig!

Aber was machst Du, wenn via Portfreigabe einen Zugriff auf den Topf via Internet realisiert hast?! Das hat ja nun mit der LAN/WLAN-Verschlüsselung nix zu tun. Im Prinzip kann jeder, der zufällig an den richtigen Adress-Link kommt auf dem Topf zugreifen, Daten löschen, Timer löschen oder verändern und und und...

Eine Kennwort-Option für des Webinterface des Topfs ist ein MUSS!! Ich schreibe ganz bewußt "Option": Jeder der es nicht für nötig hält, ein Kennwort zu vergeben, schaltet halt eben diese Option aus.

Und was ist da schon an sicherheitsrelevanten oder vertraulichen Daten drauf?

Mag ja sein. Aber im Prinzip könnte man auch vertrauliche Daten auf den Topf legen, um diese überall auf der Welt abrufen zu können. Hat man eine FritzBox, kann man eine hohe Sicherheit per VPN-Datentunnenlung erzielen.

Wenn letzters nicht auch ein unschlagbares Verkaufsargument für einen Topfield wäre... ...mir kann es egal sein.

Bitte verstehe es nicht falsch, ich finde meine Töpfe absolut klasse und komme sehr gut mit ihnen zurecht (...auch dank dieses Forums!!!). Reparaturen hatte ich noch keine (...und das schon über 10 Jahre!!!)! ABER: Es ist nicht sehr professionell von Topfield die Fernbedienbarkeit via Internet so halbherzig umzusetzen. Schade. Da ich aber nicht unbedingt mit dieser Funktionalität leben muss, würde ich immer wieder zu einem Topf greifen!!

[kjub]

Danke für die Antwort =)

Dann werde ich wohl auf VPN-Tunnelung ausweichen müssen. Blöd nur, dass mein Router diese Funktion nicht unterstützt.

Ist natürlich die Frage, ob eine Firewall mit VPN einfach in mein Netzwerk zu integrieren ist. Das ist nämlich wie folgt aufgebaut: Router -> Access Point -> Repeater -> Clients
Internetanschluss erfolgt jedoch nicht aus der Dose, sondern über einen Hotspot.
Mit Firewall müsste das dann so aussehen: Router -> Firewall -> Access Point...

Müsste ich dann per Port-Forwarding des Routers die IP der Firewall nehmen um einen VPN-Tunnel aufzubauen? Könnte mir das mal jemand genauer erklären

Danke schonmal!

Viele Grüße kjub

[Light-Hunter]

Dann werde ich wohl auf VPN-Tunnelung ausweichen müssen.

...hmm, also ich glaube VPN realisiert nur, dass Daten quasi "nicht abgreifbar" über die Internetnetze der Welt flitzen können... ...das zugreifen auf Dein Topfield-Interface aus dem WWW ist möglich, wenn dem Zugreifer 1. Deine Topf-Adresse bekannt ist, 2. ein Port des Routers geöffnet ist und 3. auf diesem freien Port der Topfield gesetzt ist, der angeschaltet (!) sein muss. Insofern bringt da VPN nix. Ich bin mir aber da nicht allzu sicher, da ich da nicht so tief in die VPN-Materie eingetaucht bin.

Nach wie vor halte ich eine Kennwort-Option für das Topfield-Interface für ein Muss.

Natürlich könnte man sagen, woher soll denn ein dritter den Link zu Deinem Topfield kennen?! ...aber Zufallstreffer kann es immer geben und in wie weit Suchmaschinen da etwas "ersuchen" können... Also im Netz ist nix zu 100% sicher. Und vor diesem Hintergrund sollte man immer maximale Vorsicht walten lassen. Ist jedenfalls mein Standpunkt.

Also ich würde das IP-I/O-Interface von ELV zum Einsatz bringen: Dort ist das Interface Kennwortgeschützt > Du schaltest Deinen Topfield erst mal über das IP-I/O-Interface ein > und greifst dann sofort auf Deinen Topf zu: Denn es kann immer nur EINER zugreifen!! > hast Du Deine Einstellungen vorgenommen > schaltest Du den Topf über das IP-I/O-Interface sofort wieder aus.

Allerdings: Ist der Router-Port ständig geöffnet, dann kann man auch auf dem Topf zugreifen, wenn er gerade programmiert aufnimmt!! Ich habe die FritzBox 7170 und meinen Topf per WLan verbunden > das WLan kann man mittels eines Tasters an der FritzBox aktivieren/deaktivieren... ...oder dieses "tasten" an der FritzBox könnte auch das IP-I/O-Interface übernehmen... Du verstehst!?! Das wäre eine hohe Sicherheit!

[kjub]

Natürlich, auch aus meiner Sicht ist eine User/Passwort-Abfrage ein absolutes Muss.

Allerdings wären 60 Euronen für eine einmalige Investition des IP-I/O-Interface, welches ich aller Wahrscheinlichkeit nach nur dafür verwende und verwenden werde, zu viel.

Mir würde es ja schon fast reichen, wenn ich den Port bei Bedarf forwarde und dann das ganze wieder deaktivieren kann. Da wäre aber mein nächstes Problem: Wie kann ich auf den Router per HTTP, quasi Port 80, zugreifen, wenn dieser Port geforwarded ist auf den Topf?

Gruß kjub

[Light-Hunter]

Moin Kjub!

Mir würde es ja schon fast reichen, wenn ich den Port bei Bedarf forwarde und dann das ganze wieder deaktivieren kann. Da wäre aber mein nächstes Problem: Wie kann ich auf den Router per HTTP, quasi Port 80, zugreifen, wenn dieser Port geforwarded ist auf den Topf?

Sorry! ...aber mit dem Begriff forward kann ich nix anfangen?! Auch via Googel finde ich nix erklärendes Ich bin aber Neugierig, könntest Du es bitte kurz erklären.

Ich kann erst morgen hier wieder vorbei schauen > muss morgen früh raus und nun in die Heia!!

[matzi99]

Wie kann ich auf den Router per HTTP, quasi Port 80, zugreifen, wenn dieser Port geforwarded ist auf den Topf?

Gruß kjub

Via https:// auf die Fritzbox, http:// auf den Topf

[kjub]

@Light-Hunter:
Mit "Forwarding" mein ich natürlich Port-Forwarding, also Port-Weiterleitung.

@matzi99:
Mit HTTPS, also Port 443, hab ichs schon ausprobiert, leider kann mein Router damit garnix anfangen =) Habe einen Linksys WRT54GL mit spezieller Provider-Software und empfange wie gesagt mein Singal nicht aus der Dose, sondern über WLAN von nem Hotspot.

[Light-Hunter]

Moin Kjub!

Also an meiner Fritzbox ist der Port 80 für den http-Zugang und Port 21 für den FTP-Zugang zu meinem Topf "vorgedacht". Und diese lassen sich in der FritzBox wirklich total easy einrichten. Ich nehme an, dass Du mein PDF-Skript mittlerweile kennst, wo ich das genauer beschreibe.

Ich nehme aber mal an - also ich vermute es -, dass es eine Art Standard bei allen Routern ist, die Ports 80 und 21 für diese Zwecke zur Verfügung zu stellen. Bin mir da aber nicht sicher.

Meine Schwierigkeit nun ist, dass ich Deinen Router nicht kenne und somit leider nix zur Einrichtung Deiner Ports sagen kann. Weiter ist Dein Router ja wahrscheinlich auch Provider-Gebrandet... ...ich glaube eine Rückfrage Deinerseits an Deinen Provider ist von nöten. Das sich eklatante Unterschiede durch Deinen Hot-Spot-Zugang ergeben können... ...glaube ich irgendwie nicht. Muss doch eigentlich egal sein, ob die Daten per Kabel oder Funk in einen Router rein oder rausgehen. Bin mir da aber auch nicht allzu sicher...

Mal eine andere Frage: Kommst Du denn eigentlich in Deinem normalen Home-Netzwerk auf das Web-Interface Deines Topfes?!? Ist nur eine Verständnisfrage.

[kjub]

Ich schätze mal, wir reden ein wenig aneinander vorbei

Die Einrichtung stellt nicht das Problem dar. Mein Problem ist lediglich auf den Router per HTTP von Außen zuzugreifen, wenn der Port 80 schon auf den Topf weitergeleitet ist, um eben diese Port-Weiterleitung wieder zu deaktivieren.

Dass der Router eine spezielle Provider Firmware hat, habe ich deshalb erwähnt, da es mit Sicherheit für diesen Router Open-Source-Lösungen mit VPN-Tunneling oder HTTPS-Unterstützung gibt, ich aber explizit die Provider Firmware für die Authentifizierung benötige.

Und ja, ich kann auf den Topf lokal und per Internet zugreifen, sowohl per HTTP als auch per FTP

[Light-Hunter]

Moin Kjub!

Ich schätze mal, wir reden ein wenig aneinander vorbei ... ...und ja, ich kann auf den Topf lokal und per Internet zugreifen, sowohl per HTTP als auch per FTP

...neeeee tun wir nicht!! Wollte ich nur mal prinzipiell wissen. Ich weiß schon, was Du meinst!

Die Einrichtung stellt nicht das Problem dar. Mein Problem ist lediglich auf den Router per HTTP von Außen zuzugreifen, wenn der Port 80 schon auf den Topf weitergeleitet ist, um eben diese Port-Weiterleitung wieder zu deaktivieren.

...also die Portweiterleitung hast Du doch in Deinem Router eingerichtet, also kann sie auch nur da wieder deaktiviert werden??!?? ...oder verstehe ich Dich falsch...?!?

Und "von außen" gibts Du ja in die Adresszeile eines Browsers den Link ein, der den Topf direkt anspricht... ...oder was meinst Du?! Der Router tritt doch eigentlich gar nicht in Erscheinung... ...so langsam tun sich mir wirklich große ??? auf.

Hast Du eigentlich einen Link zu Deinem Topf via einer Dynamischen DNS eingerichtet? ...oder versuchst Du anders auf dem Topf zuzugreifen?!

[kjub]

...also die Portweiterleitung hast Du doch in Deinem Router eingerichtet, also kann sie auch nur da wieder deaktiviert werden?

Richtig.

Und "von außen" gibts Du ja in die Adresszeile eines Browsers den Link ein, der den Topf direkt anspricht... ...oder was meinst Du?! Der Router tritt doch eigentlich gar nicht in Erscheinung...

Nein, ich gebe in die Adresszeile des Browsers die IP des Routers ein, der mich dann per Port-Forwarding weiterleitet auf den Topf. Nur wie komm ich dann an den Router wieder dran, wenn ich stets auf den Topf weitergeleitet werde?!

Hast Du eigentlich einen Link zu Deinem Topf via einer Dynamischen DNS eingerichtet? ...oder versuchst Du anders auf dem Topf zuzugreifen?!

Jop, DynDNS ist eingerichtet - Update erfolgt automatisch über den Router.

[Light-Hunter]

Hallo nochmal Kjub!

Also dann "dröseln" wir das mal auf!

Jop, DynDNS ist eingerichtet - Update erfolgt automatisch über den Router.

O.K.! ...dann gibts Du also beim externen Zugriff (...wenn Du gerade in Deiner Hütte in Alaska bist ) die bei Deinem DynamikDNS-Anbieter hinterlegte Adresse ein und kannst auf dem Topf zugreifen. Oder?!?

Nein, ich gebe in die Adresszeile des Browsers die IP des Routers ein, der mich dann per Port-Forwarding weiterleitet auf den Topf. Nur wie komm ich dann an den Router wieder dran, wenn ich stets auf den Topf weitergeleitet werde?!

...machst Du das so auch von extern??! Also was nun "Port-Forwarding" genau bedeutet, verstehe ich immer noch nicht so richtig und ich habe so etwas auch bei meiner Fritzbox nicht gefunden. Ich habe einfach die Ports 80 und 21 über das Web-Interface meiner Fritzbox für meinen Topf eingerichtet und das wars.

Ist Deine Idee folgende?: Die Ports im Router Ein-/ und Ausschalten von extern, da Du ja einen Kennwort-Zugriff für Deinen Router hast??!

Also ich greife intern (Intern: Nur in meinem Home-Netzwerk!) mit jeweils unterschiedlichen IPs auf meine FritzBox und meinem Topf zu. Ist es denn bei Dir nicht differenziert?!?!?????

FritzBox: ht tp://123.456.789.1/
Topfield: ht tp://123.456.789.101/INDEX.HTM

....und das müsste doch bei so ähnlich aussehen. Oder?! ...Du hast doch nicht die gleiche IP für das Web-Interface Deines Routers und für den Topf... ...ginge das überhaupt??? Ich bin hier gerade am Überlegen...

[kjub]

O.K.! ...dann gibts Du also beim externen Zugriff (...wenn Du gerade in Deiner Hütte in Alaska bist ) die bei Deinem DynamikDNS-Anbieter hinterlegte Adresse ein und kannst auf dem Topf zugreifen.

Richtig.

...machst Du das so auch von extern??!

Jop.

Also was nun "Port-Forwarding" genau bedeutet, verstehe ich immer noch nicht so richtig und ich habe so etwas auch bei meiner Fritzbox nicht gefunden. Ich habe einfach die Ports 80 und 21 über das Web-Interface meiner Fritzbox für meinen Topf eingerichtet und das wars.

Genau diese Einrichtung deiner Fritzbox nennt man Port-Weiterleitung.

Ist Deine Idee folgende?: Die Ports im Router Ein-/ und Ausschalten von extern, da Du ja einen Kennwort-Zugriff für Deinen Router hast??!

Genau.

Also ich greife intern mit jeweils unterschiedlichen IPs auf meine FritzBox und meinem Topf zu. Ist es denn bei Dir nicht differenziert?

Na doch, aber eben nur Intern. Von Extern hat mein Netzwerk nur eine IP und zwar die vom Router. Von dort aus wird, je nach Port, zu einer anderen IP weitergeleitet.

[Light-Hunter]

Hallo nochmals Kjub!

Also erst mal hier an 1. Stelle: Für diesen Gedanken, den Router von extern dahin gehend zu bedienen, die Ports an und aus zu schalten > HUT AB MEIN LIEBER!!!

...warum bin denn nicht ich darauf gekommen. Damit wäre der fehlende Passwortschutz des Topfes eigentlich kein Problem mehr! Aber ob es funktioniert, kann ich für mein Teil erst in den nächsten Tagen in Angriff nehmen...

Aber soviel konnte ich eben gerade über meine FritzBox schon mal in Erfahrung bringen und vielleicht kannst Du das ja auf Deinen Router übertragen:

• Bei der FritzBox kann man eine "Fernwartung" einrichten, mit der man Einstellungen von extern vornehmen kann!
• Für das Einrichten dieser "Fernwartung" muss bzw. sollte ein eigener (!) DynamikDNS-Zugang eingerichtet werden!

...also wenn ich das gedanklich übertrage, schau doch mal ob es vergleichbares für Deinen Router gibt. Dann müßte es doch klappen... ...oder?!?

Also ich glaube, wenn es Dir gelingt einen eigenen (!) DynamikDNS-Zugang für das Web-Interface Deines Routers einzurichten, dann würde das das Problem lösen.

Ich werde mir das auf alle Fälle in den nächsten Tagen anschauen... ...ich habe die nächsten Tage privat ziemlich viel um die Ohren.

Aber egal wie: Sollte es bei Dir klappen > BITTE SOFORT HIER INS FORUM!!!

[kjub]

Erste Sahne, das läuft!

Hab' ein bisschen im Router rumgestöbert und das Feld "Remote Access" aktiviert.
Kann nun auf den Router per http://xy:8080 und auf den Topf per [url]http://xy(:80[/url]) zugreifen.
Port 8080 stellt einen "alternativen HTTP-Port" dar. Funktioniert somit alles :

Vielen Dank für eure Hilfe und natürlich ganz besonders dir Light-Hunter

Grüße kjub

[Light-Hunter]

Erste Sahne, das läuft!

...dem schließe ich mich an!! Super, das wir zu einer Lösung gekommen sind.

Ich werde mir denn das mit der in den nächsten Wochen - hab zur Zeit so viel um die Ohren - an meiner FritzBox auch noch mal anschauen und dann muss ich Deinen Gedanken ja auch noch in mein PDF-Skript "Den Topf via Internet fernbedienen" aufnehmen. Ich werde dazu schreiben, dass diese Idee von Dir stammt!

[kjub]

Tu das.

Einziger Nachteil bei dieser Variante ist, dass die Verbindung Client -> Router abgehört werden kann, weil diese unverschlüsselt ist (zumindest bei mir).

Gruß kjub