openWB hat geschrieben: ↑Do Mär 28, 2024 10:49 am
Beim einrichten fällt doch auf das man auf das Webinterface zugreifen kann oder nicht? Das macht nichts anderes als die MQTT Befehle zu visualisieren......
Jaja, wie geschrieben tolle Box mit tollen Features und Funktionalität für nen schmalen Taler. Wenn das nicht so wäre hätte ich jetzt nicht schon die 16 openWB im Einsatz.
Aber du weiss selber das im prof. Umfeld die offenen Scheunentore immer muniert werden, und egal was sonst noch zugänglich oder nicht sicher wäre und in wieweit ein ITler dafür die Verantwortung hat. Genau diese Dinge werden bei eine Kauentscheidung mit einfliesen. Und eine vorab Klarstellung eben auch für solche Kunden wie mich die zwar ein bisschen Verständniss, aber nicht so den ganzen Durchblick haben helfen eine Vertrauensbasis beim Kauf zu schaffen
In diesem Sinne, frohe Ostern
PhilW
ich lerne jeden Tag dazu, es werden aber zu wenig Tage sein...
IONIQ 5, Q5 e-tron
Solaredge PV 12,51 kWp
16kWh BYD LVS
1 x openWB series2 Standard
1 x openWB pro
Kitmgue hat geschrieben: ↑Do Mär 28, 2024 11:12 am
Die normale UI ist doch aber schon immer ohne jegliche Authentifikation erreichbar, oder nicht?
Von daher ist es grundsätzlich erstmal egal, ob MQTT offen ist oder nicht.
Sobald im Netz jemand die IP der openWB hat, kann er lustig rumkonfigurieren, solange es nicht physisch (oder per VLAN) getrennt ist.
Ich kann mich dran erinnern das bei der 1.9 eine User Identifikation gab...
ich lerne jeden Tag dazu, es werden aber zu wenig Tage sein...
IONIQ 5, Q5 e-tron
Solaredge PV 12,51 kWp
16kWh BYD LVS
1 x openWB series2 Standard
1 x openWB pro
LutzB hat geschrieben: ↑Do Mär 28, 2024 8:30 am
Die openWB hatt noch nie eine Anmeldung am Broker vorausgesetzt. Wenn Du das mal so eingerichtet hattest, frage ich mal ganz einfach: wo hast Du die Zugangsdaten im Mosquitto der openWB eingetragen? Da gibt es keine Möglichkeit ohne SSH Zugang.
Einen Mehrwert bieten Anmeldedaten, die nicht verifiziert werden, auch nicht.
Ich muss hier einen User und Passwort hinterlegen damit ich die Brücke nutzen kann. Das ist nun aber nutzlos.
Screenshot_20240328-102039.png
Du wirfst hier einiges durcheinander. Direkter Zugriff ist nicht gleich Brücke.
Addy hat geschrieben: ↑Do Mär 28, 2024 9:27 am
Es mag zwar sein dass der Sicherheitsgewinn bei den Heim-Usern nicht groß ist, aber im Business Umfeld wird jede Verbindung verschlüsselt und wenn möglich durch Zertifikate abgesichert. Ich verstehe den Anspruch hinter der Lösung, dass nicht nur Heim-User im Fokus stehen, vor allem da die Verbindung bis vor kurzem noch abgesichert war.
Auch das stimmt so nicht. Direkte MQTT Verbindungen waren noch nie mit Zugangsdaten geschützt. Seit der 2.0 gibt es zumindest auch einen verschlüsselten Zugang (nicht mit Authentifizierung verwechseln!) zum lokalen Broker.
Wir schließen das "Scheunentor" Schritt für Schritt. Mit der letzten Anpassung kann man nun endlich nicht mehr alle Topics überschreiben. Das erspart uns hoffentlich die ganzen falsch konfigurierten SmartHome Systeme, die die openWB komplett zerschießen konnten. Demnächst wird der unverschlüsselte Zugang abgeschaltet. Freue mich nach diesen Rückmeldungen schon tierisch drauf!
Erst dann macht es überhaupt Sinn, über die Umsetzung einer Benutzerverwaltung und Absicherung des Brokers mit Anmeldedaten zu sprechen. Ansonsten wird das ja alles im Klartext ausgetauscht und kann theoretisch mitgelesen werden. Wenn das für einen Dritten möglich ist, hat man im Firmenumfeld aber sicher interessantere Systeme als eine openWB stehen.
PhilW35 hat geschrieben: ↑Do Mär 28, 2024 11:20 am
Kitmgue hat geschrieben: ↑Do Mär 28, 2024 11:12 am
Die normale UI ist doch aber schon immer ohne jegliche Authentifikation erreichbar, oder nicht?
Von daher ist es grundsätzlich erstmal egal, ob MQTT offen ist oder nicht.
Sobald im Netz jemand die IP der openWB hat, kann er lustig rumkonfigurieren, solange es nicht physisch (oder per VLAN) getrennt ist.
Ich kann mich dran erinnern das bei der 1.9 eine User Identifikation gab...
Für den Webserver bzw. nur die Einstellungen, ja, aber nicht den Broker oder generelle Bedienung.
Und wo kann ich das nachlesen, wie ich das bei der OpenWB "richtig" anlege, bzw. was welchen Zusammenhang hat?
Warum bist du der Meinung eine Brücke zu benötigen?
Ich frage die Topics der openWB über den ioBroker ab.
A) Für die Visualisierung und
B) für die Ladesteuerung per Skript (z.B. 1h vor Sonnenaufgang Hausspeicher in BEV laden)
Wenn ich das garnicht will/ benötige, warum muss ich dann dort beim Anlegen einer Brücke verpflichtend User & PW hinterlegen?
Weil wir gesagt haben wenn schon jemand eine Brücke konfiguriert und ggf sich garnicht bewusst über die Folgen ist dann erzwingen wir wenigstens eine Authentifizierung. Schließlich geht die Brücke oft in Richtung Internet.
Ok, also wäre hier ein Hinweis auf dem UI der Brücke hilfreich, dass User&PW zwar eingetragen werden müssen, aber im lokalen Netz nicht nötig sind, oder?
Zuletzt geändert von hoaloha am Do Mär 28, 2024 11:57 am, insgesamt 1-mal geändert.
Ich frage die Topics der openWB über den ioBroker ab.
Die Brücke in der openWB wird eigentlich nur konfiguriert wenn es um entferntes Ziel geht.
Für deinen Anwednungsfall würde die Brücke im ioBroker konfiguriert werden.
Es sei denn dein ioBroker sitzt in der Cloud und kann die openWB gar nicht erreichen.
Ist der ioBroker lokal ist der richtige Weg die benötigten Topics zu abonnieren und in die gewünschten zu schreiben.
Eine Brücke verursacht hier bei Falschkonfiguration nur Probleme.
Supportanfragen bitte NICHT per PN stellen.
Hardwareprobleme bitte über die Funktion Debug Daten senden mitteilen oder per Mail an support@openwb.de
openWB hat geschrieben: ↑Do Mär 28, 2024 11:56 am
Die Brücke in der openWB wird eigentlich nur konfiguriert wenn es um entferntes Ziel geht.
Für deinen Anwednungsfall würde die Brücke im ioBroker konfiguriert werden.
Es sei denn dein ioBroker sitzt in der Cloud und kann die openWB gar nicht erreichen.
Ist der ioBroker lokal ist der richtige Weg die benötigten Topics zu abonnieren und in die gewünschten zu schreiben.
Ok, verstanden. War mir nicht bewußt und dann werde ich die rausnehmen. Meine bisherigen lokalen MQTT Gehversuche haben immer eine Authentifizierung benötigt (Robonect, Sonoff, Shellys (ohne Cloud), etc.).
openWB hat geschrieben: ↑Do Mär 28, 2024 11:56 am
Eine Brücke verursacht hier bei Falschkonfiguration nur Probleme.
Lief seit Anfang 2021. Ist jetzt erst durch die Änderungen in software 2.1.4 Alpha 1 aufgetaucht.
Zuletzt geändert von hoaloha am Fr Mär 29, 2024 6:17 pm, insgesamt 1-mal geändert.
Netzwerk Separierung ist nicht mit Authentifizierung gleichzusetzen, aber beides gemeinsam ist wichtig.
Beispiel, die Wallbox(en) sind in einem Netz, aber von einem oder mehreren definierten Punkten muss darauf zugreifen werden. Auf diesem access server sind in der Regel mehrere Admins tätig, aber nicht jeder soll das System bedienen können. Zudem gibt es auch Personen als Anwender die das System bedienen dürfen.
Warum ist der Zugriff auf die Wallbox per MQTT interessant, bei uns in der Firma wurde aktuell alles was Verteiler oder Stromverbraucher sind, per Stromzähler zentral überwacht. Zudem ist Automatisierung oder zentrale Visualisierung ein immer größeres Thema.
Ich würde mir generell noch die Unterstützung vom einer Benutzerverwaltung wünschen und damit einhergehend zur sicheren Anmeldung die Unterstützung von Zertifikaten.
Aus IT Sicherheit ist es auch notwendig ein individuelles root Kennwort zu hinterlegen, wir würden bei uns keine Systeme anschaffen welche ein uns nicht bekanntes und nicht zu ändern Kennwort haben.
Wir haben bei uns auch die Passwörter der Produktionsmaschinen und nein, wir verlieren dadurch nicht die Garantie.
Hier wäre auch für openwb ein Geschäftsmodell, Wartungsverträge für Firmenkunden um die Software Wartung zu übernehmen.
Netzwerk Separierung ist nicht mit Authentifizierung gleichzusetzen, aber beides gemeinsam ist wichtig.
Beispiel, die Wallbox(en) sind in einem Netz, aber von einem oder mehreren definierten Punkten muss darauf zugreifen werden. Auf diesem access server sind in der Regel mehrere Admins tätig, aber nicht jeder soll das System bedienen können. Zudem gibt es auch Personen als Anwender die das System bedienen dürfen.
Wie schonmal erwähnt tun sich da noch ganz andere "Probleme" auf wenn man es aus Sicherheitssicht betrachtet. z.B. die SmartMeter die manipuliert werden können oder die ModbusTCP Schnittstellen über die je nach Hersteller auch ziemlich viel möglich ist. Damit ich durchaus auch steuernd. Durch entsprechende Manipulation kann man damit auch ein Lastmanagement aushebeln.
Aber wie LutzB schon ausgeführt hat. Wenn jemand so tief im Netz ist gibt es üblicherweise interessanteres.
Ich würde mir generell noch die Unterstützung vom einer Benutzerverwaltung wünschen und damit einhergehend zur sicheren Anmeldung die Unterstützung von Zertifikaten.
Steht auf der Agenda.
Hier wäre auch für openwb ein Geschäftsmodell, Wartungsverträge für Firmenkunden um die Software Wartung zu übernehmen.
Nochmal eins zur Klarstellung mit der erzwungenen Authentifizierung bei der Konfiguration einer Bridge: das betrifft die Bridge. Die MQTT-Topics der openWB sind weiterhin ohne Authentifizierung beschreibbar und werden erst später in der Bridge mit user/PW geschützt.
Was die netzwerkseitige Integration in große vorhandene Netzwerkinfrastrukturen angeht, würde ich dann eher zu einer Selbstinstallation greifen. Da habe ich den Netzwerkpart - und auch das root-PW - komplett in der Hand. Aber da wird openWB sicherlich entsprechendes anbieten können.
openWB-series2, openWB-Buchse, E3/DC S10pro+19.5kWh, 30kWp Ost-Süd, Model 3 und Ion