Den openWB-mosquitto fremd nutzen?

[zut]

Ich habe einen Pull-Request eingereicht, um den MQTT-Zweig "others/#" zum Schreiben freizugeben.

https://github.com/openWB/core/pull/1598

Der wican kann seit neuestem entsprechend konfiguriert werden. Ich hoffe, er wird aufgenommen. Ich vermute, die shellies können durch Vorgabe eines passenden Prefix entsprechend bedatet werden.

[zut]

Bis jetzt kein Kommentar vom Team zu meinem Pull Request und meinem Issue. Vermutlich wird Release 2.1.4 ohne einen beschreibbaren "others" - Zweig im MQTT-Broker kommen. Gerade habe ich mit dem MQTT-Explorer festgetellt, daß man unter openwb/set/ beliebige Untertopics schreiben kann. Vermutlich wäre das eine Krücke, bis was Sauberes existiert.

Screenshot_20240520_093400.png (131.27 KiB) 333 mal betrachtet

Möglicherweise wäre das auch für Dich, gero, eine Möglichkeit, die shellies schreiben zu lassen. Ich werde meinen wican mal umkonfigurieren und schauen, ob der Weg trägt.

[Gero]

Vielen Dank, das werde ich mal ausprobieren. Allerdings habe ich einige Shellies, die ich ja dann wieder umkonfigurieren müsste, wenn gemerged wird.

Ich fänd‘ es besser, wenn der PR gemerged würde. Da ist ja eigentlich nixhts drin, was Seiteneffek-mäßig irgend was zum Einsturz bringen könnte, oder?

[zut]

Ja, besser wäre der Merge. Ich baue den soc_helper trotzdem gerade um, damit Anwender ihn auch unter der 2.1.4 noch nutzen können. Allerdings wäre es blöd, wenn jeder Laie den wican dauernd umkonfigurieren müsste.

[LutzB]

Wir werden den Zweig "others/#" noch vor dem nächsten Release beschreibbar machen. Nach ausführlicher interner Diskussion gibt es nach unserer Ansicht keine unerwünschten Nebeneffekte.

Da im nächsten Entwicklungszyklus die Sicherheit weiter erhöht werden soll, ist geplant, alle unverschlüsselten Ports des Brokers abzuschalten. Für externe Anwendungen steht dann noch ein Websocket Port auf 9002 sowie MQTT Port auf 8883 zur Verfügung. Die unsicheren Ports 9001 (Websocket) und 1883 (MQTT) fallen dann weg.

Ist das ein Problem?

[zut]

Zumindest der WiCAN kann momentan leider noch kein verschlüsseltes MQTT. Siehe https://github.com/meatpiHQ/wican-fw?ta ... -file#mqtt.
Ich kann dort mal anfragen nach Verschlüsselung, bin aber nicht sicher, ob der verwendete esp8266 das noch schafft, zumal die Kollegen eine Nachfolgeversion in Arbeit haben.
Shellies scheinen TLS über 8883 zu beherrschen.

Könnte man unverschlüsselten Zugang ausschließlich auf others/ beschränken?

[LutzB]

Vermutlich wird es in mehreren Schritten umgesetzt.

1. Eine Einstellung "unsichere Verbindungen zulassen" wird eingeführt und steht im Standard auf "Ja". Es können eigene Zertifikate auf die openWB hochgeladen werden.

2. Nach einer Übergangszeit wird die Einstellung bei neu ausgelieferten openWB bzw. Neuinstallationen auf "Nein" vorbelegt.

Dann hätten wir quasi den Stand, den auch z.B. eine FritzBox von Haus aus hat.
Ob diese Einstellung dann mal entfernt wird und nur noch sichere Verbindungen möglich sind, hängt von den Rückmeldungen hier im Forum ab.
Uns ist nur wichtig, dass eine openWB ab Werk eine gewisse Sicherheit mitbringt, um auch in kritischeren IT-Umgebungen eingesetzt werden zu können.

[zut]

Ich habe jetzt beim WiCAN mal nachgefragt: https://github.com/meatpiHQ/wican-fw/issues/130

Die Option, bei Bedarf auch unverschlüsselte MQTT-Verbindungen zu erlauben, ist sehr beruhigend. Danke für die Darlegung des Plans!

[Gero]

Von mit auch ein Danke dafür. Ich finde es auch gut, in nicht ganz so sicherheitsbedürftigen Gegenden auf SSL verzichten zu können.

[Pendragon]

Auch von mir beide Daumen hoch. Die Möglichkeit zu verschlüsseln sollte da sein.
Die Möglichkeit, dies auf eigenes Risiko zu deaktivieren aber auch.

Finde den Plan gut!