Seite 1 von 2
Octopi per Fernzugriff
Verfasst: So 28. Mär 2021, 19:41
von Digibike
Hi,
die kleinen Raspberrys sind ja sehr beliebte und vielseitige kleine Helferlein. Der Druck über Sie und Octopi ist stabil und recht schnell eingerichtet. Nur hat mich immer schon gewurmt, dass ich unterwegs keinen Zugriff habe. Da ich eine Fritzbox habe, dachte ich mir, im Zuge von Julians Drucker gehe ich beim einrichten mal das volle Programm an... Drucken und Streamen der Onboard-Kamera sind kein Problem. Aufs Smartphone die MyFritz-App und die Freigaben einrichten. Nun sollte es eigentlich laufen. Wlan am Smartphone aus und per MyFritz einen VPN-Tunnel auf. Von der Ferne sehe ich nun alle derzeit eingebundenen Geräte, auch den Octopi. Die IP intern ändert sich ja nicht. Und nun wird es etwas verwirrend: Schalte ich den VPN-Tunnel aus und mein Wlan ein - also wieder Zuhause über den Router, kann ich mich bei Octopi anmelden. Über 4G im VPN-Tunnel akzeptiert er das selbe Paßwort nicht - eigentlich gar keins, da ich ja nichts anderes eingerichtet habe... Hmmh! Selbe Adresse, selbe IP, mal im Heimnetzwerk über den Router, mal über den VPN-Tunnel. Eigentlich sollte die Reaktion doch identisch sein. Kennt jemand das? Funktionieren sollte und müßte es ja eigentlich. Nutzen ja einige auch von Unterwegs aus... Vielleicht weiß jemand, wo ich noch den Denkfehler habe bzw. was ich übersehen habe?
Gruß, Christian
Re: Octopi per Fernzugriff
Verfasst: So 28. Mär 2021, 21:08
von mhier
Hm, das klingt seltsam. Ich dachte, ich teste das mal kurz, aber das klappt so ohne weiteres nicht. Ich habe mir mit Apache einen reverse proxy aufgesetzt, so dass ich per https und zusätzlichem Passwort direkt vom Internet einloggen kann. Das geht daher immer am VPN vorbei... (Interne IP hilft nicht, weil der Server per virtuellen Hosts verschiedene Domains hostet.)
Das ist genauso sicher wie ein VPN, wenn man es korrekt einrichtet, aber natürlich etwas umständlicher. Wichtig ist auf jeden Fall https mit echtem Zertifikat (let's encrypt), und das zusätzliche Passwort hilft gegen Bugs in Octoprint (wer weiß ob es ne Sicherheitlücke gibt, die einen ohne Passwort reinlässt). Mangelnde Sicherheit kann hier echt gefährlich werden (theoretisch bis hin zu nem ausgelösten Wohnungsbrand!), also aufgepasst!
Re: Octopi per Fernzugriff
Verfasst: So 28. Mär 2021, 21:55
von Digibike
Ja, deshalb hab ich auch die Finger weg gelassen von der "Quick & Dirty"-Lösung mit Ports im Router öffnen. Das ginge am schnellsten, aber da hast auch die ganze Security-Geschichte an der Backe, weil du hast Sie ja selber "ausgehebelt"...
Ich bin, mit ein paar Fragezeichen, aber mittlerweile einen Schritt weiter: Ich kann Ihn erreichen, Steuern, Druckaufträge starten und abbrechen/Pausieren, Streams usw. anfertigen über 4G! Wlan ist aus, also das Internet. Nur halt kann ich mich nicht in Octopi anmelden. Aber über die App Printoid premium - mit den selben Daten...! Kurios. Oder ich habe da einen Denkfehler, warum ich mich nicht direkt anmelden kann... Eigentlich ist/sollte es ja das selbe sein... Aber funktionieren tut es soweit. Die App habe ich ja. Nur eben nicht direkt, was etwas unzufriedenheit zurück läßt. Eben ein "g´schmäckle"... Aber an sich ist das einrichten usw. recht locker. Allerdings dürfte es bei meinem Ultimaker 3 eine etwas härtere Nuss sein. Der hat extern USB, aber nur für Sicks. Andere Geräte werden nicht unterstützt. Arbeitet eigentlich nur über Wlan und USB-Stick oder Netzwerkkabel. Ultimaker hält sich da ab dem 3er sehr bedeckt, was FW und fremdsteuerung an geht. Geht halt Richtung Mittelständische Betriebe. Da will man nicht zuviel Offenlegen, es muß Save bedienbar und möglichst wenig modifizierbar sein. Zwecks Fehlereingrenzung sicher kein schlechter Ansatz, allerdings mag ich nicht unbedingt Cura sonderlich, aber der Ultimaker will Fernzugriff eigentlich nur über Cura... Wenn Cura in der Lage wäre, Gcodes zu laden und zu drucken, wäre es mir ja grundsätzlich einerlei, aber das funzt ja nicht wirklich.
Aber interessanter Ansatz deinerseits. Kann ich mir bei Gelegenheit mal näher anschauen. Klingt auf jedenfall interessant! Danke!
Gruß, Christian
Re: Octopi per Fernzugriff
Verfasst: So 28. Mär 2021, 22:25
von af0815
Grundlegend ist die Voraussetzug ein echter stabiler VPN. Die Fritz Lösung kann ich nur soweit beurteilen, das die Treiber gerne echt VON Lösungen des BS stören.
Ich hebe eine industrielle VPN fähige Firewall und kann mich mit allen meiner Geräte (Win, Android,...) im VPN so bewegen als wäre ich im eigenen Netz. Wenn der L2TP VPN steht - wird von Windows als auch Android nativ unterstützt - dann habe ich eine Adresse im eigenen Netz und auch dieselben Rechte. Genaue Zgriffsregeln werden auf Ebene der Firewall unterstützt. Klar das ist kein 50 bis 100 Euro Gerät und setzt auch das Wissen für die Einrichtung und Betrieb voraus.
Zu der Fritzboxlösung. Sollte genauso funktionieren, halt ev. mit Einschränkungen. Ports freigeben oder Sicherheit nur über NATist heutzutage keine Alternative. Das Netz muss dicht sein, sonst wird man im besten Fall nur als Tauschplattform für illegale Inhalte verwendet.
Ich kontrolliere den Drucker und den Druckserver im VPN genauso als wäre ich anwesend. Inklusive Lifekamera, ich sehe also auch, was im Drucker passiert. Und die Steckdose, wo der Drucker hängt ist natürlich auch über eine andere Hausautomatisierung abschaltbar. Damit kann ich virtuell auch den Stecker hart herausziehen. Und das ist komplett unabhängig. Daher wenn der Drucker und/oder Server spinnt, kann ich trotzdem den Stecker ziehen und gut ist es.
Re: Octopi per Fernzugriff
Verfasst: So 28. Mär 2021, 23:02
von mhier
Ne, also VPN ist erstmal VPN. Die unterscheiden sich in Punkt Sicherheit und wie die Authentifizierung gelöst ist, aber bist du mal drin, verhalten sie sich eigentlich alle mehr oder weniger gleich: du bekommst eine IP im Ziel-Netz und kannst damit alles im Ziel-Netz erreichen, als wärest du physisch dort. Das passiert auf dem IP Layer, und damit ist egal, was das VPN genau macht.
Was genau meinst du, wenn du sagst du kannst dich in Octopi nicht anmelden? Erstmal meinst du wohl Octoprint (Octopi ist ein Raspberry Pi Image, welches Octoprint zur Verfügung stellt), oder? Machst du das über den Browser oder über die App? Vielleicht umgeht die App aus irgendwelchen Gründen das VPN...
Re: Octopi per Fernzugriff
Verfasst: Mo 29. Mär 2021, 21:24
von af0815
Die Frage ist mal, macht die Fritzbox nur den VPN auf sich selbst und routet nicht weiter oder ist der VPN selbst nicht funktionsfähig. Im Consumerbereich habe ich schon öfters Geräte gehabt, die nur auf sich selbst einen VPN gemacht haben, den restlichen Verkehr aber nicht weitergeroutet haben. Bei manchen Geräten muss man das weiterrouten auch konfigurieren.
Ich teste das meistens nit einem Laptop wo ich mich mit dem Tunnel verbinde und einen IP Scan des Zielnetzerkes mache. Da sieht man ganz schnell ob man weitergeroutet wird oder nicht. Alternativ kann man das auch mit normalen Pings nachstellen.
Zwischen VPN und den Ergebnissen direkt im Netz sollten bei funktionierenden VPN keine Unterschiede sein.
Re: Octopi per Fernzugriff
Verfasst: Di 30. Mär 2021, 12:21
von mhier
Die Fritzbox macht schon ein ganz normales VPN. Daran ist nichts "unecht" oder "eingeschränkt". Meine FritzBox gibt meinem Handy eine IP aus dem Heimnetz, und ich kann dann vom Handy aus alle IPs im Heimnetz anpingen und auch angepinged werden. Ein Routing in andere Netze findet nicht statt, d.h. ich kann nicht über den Heim-Internetzugang surfen, wenn ich z.B. in einem potentiell überwachten Netz bin und den Traffic verschlüsseln will (ob das eine Einschränkung oder ein Feature ist, hängt davon ab, was man will). Es muss aber für diesen Zweck auch gar kein Routing stattfinden, da das Handy sich ja über die Heimnetz-IP direkt im Heimnetz befindet. Konkret muss der Raspberry Pi nichts davon wissen, dass der Traffic durch ein VPN kommt - der sieht einfach nur, dass die Heimnetz-IP des Handys über die MAC-Adresse der FritzBox kommt (so als hätte die FritzBox zwei IPs), das fällt aber nicht weiter auf und ist auch nichts weiter ungewöhnliches. Höchstwahrscheinlich hat der Raspberry Pi die Fritzbox ohenhin als Router eingetragen (wegen Internetzugriff), so dass echtes Routing mit einem anderen IP-Netz sogar funktionieren würde.
So wie ich Digibike verstanden habe, funktioniert aber ja auch nur der Login nicht, die Verbindung zum Login-Bildschirm und zu anderen Funktionen ohne Login kann aber sehr wohl aufgebaut werden. Damit ist im Grunde das VPN als Übeltäter raus - das kann doch realistischerweise gar nicht auf der Ebene eine Unterscheidung hervorrufen.
Evtl. ist es aber vielleicht möglich, den Login an eine bestimmte IP zu binden. Das geht zwar m.W. nicht direkt in Octoprint, aber vielleicht gibt es Plugins. Dann wäre es sogar möglich, anderen Rechnern, die sich physisch im Heimnetz befinden, das Login zu verbieten.
Auch bin ich mir wie gesagt nicht sicher, ob es vielleicht Unterschiede der Octoprint App gegenüber dem Zugriff per Browser gibt. Theoretisch kann eine Android App m.W. es unterbinden, dass der Traffic durch ein VPN geht (das ist z.B. wichtig, wenn die App selbst ein VPN aufmachen soll).
Ich habe Octoprint gleich so eingerichtet, dass ich nicht mal vom Heimnetz ran komme, weil ich grundsätzlich den reverse proxy verwende. Das macht es für mich dann ebne auch schwer, mal eben kurz zu testen, ob das bei mir funktionieren würde
Ich kann das aber bei Gelegenheit noch mal kurz umkonfigurieren. Da müsste Digibike noch mal genauer beschreiben, was sein Problem eigentlich ist, sonst weiß ich ja gar nicht, worauf ich achten muss...
Re: Octopi per Fernzugriff
Verfasst: Di 30. Mär 2021, 17:27
von Digibike
Hi,
und danke für eure Unterstützung! Es geht um diesen Anmelderequester in Octoprint. Er öffnet sich, aber die Einlogdaten kennt er nur, wenn ich über den PC über den Router mit Ihm Kontakt aufnehme. Dann geht der Bildschirm auf. Und ich bin auf der Druckeroberfläche, kann den Drucker verbinden/trennen etc. - wie im Film zu sehen.
Im Smartphone, unabhängig davon, ob ich mit Wlan im Netz oder über MyFritz-VPN die 192.168.178.53, bei mir, aufrufe, jedesmal kommt der Einlog-Requester. Nur erkennt er die Daten nicht. Dafür bekomme ich auf Printoid sofort connect und kann alles kontrollieren. Eigentlich sollte es sich doch gleich verwalten, wenn ich über die Seite 192.168.178.53 auf Octoprint gehe. Naja. So muß ich mich halt immer umstellen, je nachdem, ob ich vom Smartphone oder PC/Laptop darauf zugreife. Das es mit dem VPN-Tunnel zu tun hat, glaube ich auch nicht, um ehrlich zu sein. Nüchtern betrachtet, erreiche ich ja die Seite. Wenn es am VPN-Läge, dürfte er mich gar nicht auf die Seite lenken. Allerdings ist es möglich, das ein Android (andere habe ich hier nicht), gar nicht sich auf die Seite einloggen kann? Aber Printoid hat jetzt auch keine Nachteile und gekoppelt mit Astrobox ist es schon eine schöne Kombi...
Gruß, Christian
Re: Octopi per Fernzugriff
Verfasst: Mi 31. Mär 2021, 11:18
von af0815
Ok, du bist ja drinnen in OctoPrint - ich verstehe jetzt die Frage nicht ? Geht es nur über den Einlogdialog oder um was anderes ?
Re: Octopi per Fernzugriff
Verfasst: Mi 31. Mär 2021, 12:10
von Digibike
Ja, ich bin in Octoprint. Funktioniert auch alles - auf dem PC über den Router. Versuche ich das selbe übers Smartphone, egal ob über WLAN im eigenen Netz oder über 4G über VPN Tunnel, sehe ich Octopi und alle Geräte, die sonst noch gerade eingeloggt sind, die IP kann ich auch Aufrufen, Octoprint meldet sich mit der Abfrage der Login- Daten und genau da endet die ganze Herrlichkeit... unbekannter Nutzer, Passwort falsch/vergessen... Über Printoid wiederum kein Problem.... da funzt sowohl VPN Tunnel als auch Zuhause mit dem Smartphone. Eigentlich sollte ja Octoprint auch über Smartphone funktionieren, aber irgendwo muss da noch ein Wurm drin sein...