Synology és Xiaomi is hazatalál

Hálózati eszközök

Sziasztok!

Talán sokunknál gyűlnek otthon a távolról elérhető eszközök. Egyre több Xiaomi lett (légtisztító, hálószoba lámpa, stb.). Ezeket elég jól lehet működtetni app-ból, de szeretném megérteni a működését is.

Xiaomi: otthoni hálózatra csatlakozik, kilát a netre, biztosan "hazatelefonál". A Xiaomi-nál tartanak egy szervert arra, hogy _minden_ xiaomi a világ minden pontjáról oda feljelentkezik? (Talán még websocket-et is tartanak fenn, hogy ha kézzel felkapcsolom a lámpát, akkor az APP-banm azonnal látszik? Mennyi szerver kell ehhez?)És ha az APP-ból megszólítom, akkor proxy-zza a kérésemet? Vagy a távoli szerver csak arra való (valahogy) hogy a legközelebbi IP címet visszaadja, amin elérem az eszközt? Ha helyi hálón van a telefonom is, akkor is kimegy a kommunikáció a netre?

Synology: publikusan elérhető, de privátosított ("csak én tudom" url) megosztást csinál a synology NAS, amely egy http://gofile.me/..../... formátumú. Ha ezt megnyitom az irodában, akkor lassan átvált a böngésző az otthoni fixIP-mre/otthoni dyndns oldalra. Ha viszont otthon nyitom meg, akkor böngésző még lassabban eljut a 192.168.x.x-es helyi hálózatos címre. A gofile.me szerverre mi/mivel jelentkezik meg és mit tárol ott?

ps: a sok kérdés nem egyenkénti válaszokért kiált, inkább az én szakmai segélykiáltásom, hogy akkor ezt így hogy?

  • 1509 megtekintés

( VincentV | 2020. 01. 05., v – 16:43 )

Szerkesztve: 2020. 01. 05., v – 17:07

Xiaomi: felhős az egész kócerájuk, a lámpát úgy kapcsolja fel az app, hogy szól a cloudnak, az pedig a lámpának, agyrém az egész, mint minden felhős iot megoldás, messzire el kell kerülni. Egyébként igen, nyilván rengeteg szerverük van, ezek régiókra vannak osztva, ha jól rémlik, akkor az appon belül tudsz váltani régiót, de vannak eszközök pl. amik csak a kínai régióban mennek. Ha mindkét eszköz (mobilapp, lámpa) egy hálózatban van, akkor persze előállhat a LAN-os működés, ilyenkor az app direktben szólítja a lámpát, persze internet ilyenkor is kell, mert egyébként el sem indul az alkalmazás (loginolnia kell a cloudba).

Ha már megvetted, akkor olvass utána, hogy ezen a héten éppen hogy lehet az adott device-ot lan-os működésre kényszeríteni úgy, hogy ne csak az apptól fogadjon kapcsolódást. Ez némely cuccuknál egyszerű, némelynél bonyolult, és vannak olyanok is amiknél lehetetlen. A Xiaomi egyébként folyamatosan veszi el ezeket a lehetőségeket, ezért keress rá a pontos eszközre, és a rajta levő pontos firmware verzióra, hogy milyen megoldások vannak éppen. Általában egyébként egy apikey-t lehet kinyerni az mobilapp-ból, amit a megfelelő opensource tooloknak beadagolva már tudni fogod te is vezérelni az eszköz. Szóval ha találsz ilyen lehetőséget, és élsz vele, akkor tűzfalazhatod az eszközt, így nem fog tudni hazatelefonálni. A kulccsal hozzáférhetővé vált LAN-on elérhető API-n ezután valamilyen otthonautomatizációs eszközzel (pl. Home Assistant, Domoticz, stb..), vagy pl. saját scriptekkel tudod vezérelni.

Amik egyébként jók, és érdemes velük foglalkozni, azok a Zigbee alapú cuccaik, ott a protokoll sajátossága miatt nem nagyon tudnak felhős működést kikényszeríteni, illetve amire tudnak (is meg is teszik) a Xiaomi Mi Home gateway (Zigbee gw) de ezt egy Zigbee2Mqtt-vel remekül lehet helyettesíteni, ami mára már az összes cuccukat támogatja.

felhős az egész kócerájuk, a lámpát úgy kapcsolja fel az app, hogy szól a cloudnak, az pedig a lámpának, agyrém az egész, mint minden felhős iot megoldás, messzire el kell kerülni.

Nem tudom, hogy _minden_ megoldásra igaz-e, de hajlok rá, hogy igazat adjak.

Nekem a videós kaputelefont oldották meg cloud alapon. Szinte jó volt, csak annyi volt a baja, hogy a gomb megnyomása után több másodperccel kezdett el jelezni a telefon, ha ilyenkor a telefont az ember elővette, feloldotta, az értesítésre rábökött (ez plusz 10 másodperc körül), akkor még az alkalmazás elindult (még 10 másodperc), aztán kiírta, hogy kapcsolódik, és kb. egy következő 5-10 másodperc után kapcsolódott a stream-hez. Mivel a csengetés után eddig már eltelt jó 30-40 másodperc, sokszor csak azt láttam, hogy valaki már nincs ott.

Ja, meg a másik baja az volt, hogy ugyan én a drágább modellt vettem, mert abban 720-as helyett 1080-as kamera volt, de a cloudba tömörítve felküldött video stream kb. akkora négyzetekkel dolgozott, hogy saját magamat nem tudtam volna felismerni a felvételeken. (Mielőtt kötözködni kezdene valaki, a házba jön az üvegszál, van elegendő sávszélesség felfele irányba is)

Szerintem a cloud megoldás lehet jó, ha nem kell minimálisnál nagyobb adatmennyiséget küldeni és nem szükséges, hogy gyorsan történjen valami.

Pl. lámpa felkapcsolásra nem használnám, de arra jó, ha távolról akarok jelet adni a fűtés rendszernek, hogy 2 óra múlva hazaérek, kezdje el felfűteni a házat, .

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Igen, az a másik fele, hogy mi van, ha bezár a bolt.

De én arról beszélek, hogy sok olyan cucc van, ami akkor is szar, ha egyébként a cég nem húzta le a rolót.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Nekem is ez a meglátásom. Hazaszól, majd onnan megy vissza az eszközhöz. Nem láttam a helyi hálón kommunikációt, még ha egy WIFI-n vannak is. Van 4 eszköz a telefonomon, de azok 3 helyen vannak (munkahely, hálószoba, kolléga shared device-ja). Ezek egyszerre mennek vagy nem mennek, amikor az app elindul és felveszi velük a kapcsolatot. (Ezek szerint a HU/EU szerverrel). Mondjuk ahhoz képest tök gyors a kommunikáció, hogy a lámpákba épített (app-ból csak a beállítást küldöd el) időzítők, opciók lekérdezése gyors.

A cloud egyetlen értelme, hogy ismeretlen külső IP és vagy mobilos CNAT esetében is működőképes. Lévén a device és az app is aktívan a cloudos szervízhez fordul és az köti össze őket.

Ezzel szemben az összes emlegetett hátrányt hozza.

Hogy azonos wifin minek is használja a cloudot? Ennek szvsz nem (feltétlen) az adatgyűjtés az oka, az csak egy kis "mellékes". SZVSZ leginkább azért mert így csak egy architektúrára fejleszt, így erőforrást "takarít meg".

Ja, és az átlag usert nem érdekli. Az igény kb ennyi: működik? Igen. OK, megveszem...

( end | 2020. 01. 05., v – 16:50 )

Szerkesztve: 2020. 01. 05., v – 16:55

Úgy, hogy csak kizárólag szerzői jogi oldalról jogszerűen tárolható anyagokat kell ezeken az eszközökön tartani. Minden más megoldás, (Pl. torrentezett filmek, FLAC-ok, mp3-ak magukban hordozzák majd valamikor egy kiadós szerzői jogi per nyakadba akasztását. - Persze nem akasztanak fel azonnal, ha kifizeted a pár ezer eurótól-dollártól pár millióig terjedhető kártérítést az ezzel (is!) pénzt kereső ügyvédi irodának.

Az eszközökön tárolt egyéb dokumentumaid közkincsnek számítanak és az emberiség javát fogják szolgálni (majd egyszer..,) előtte még azért néhány multi keres vele egy kis aprópénzt. - Ami bizalmas és megtartandó magadnak, azt nem szokás internetközelbe tenni, sem mobilon, sem internetre kötött NAS-en. (Amit Te elérsz távolról, azt mások is biztosan, amit Te sem, azt még azért lehet, mások igen. - Ilyen egyszerű az egész.)

Kicsit persze túlzok a jobb érthetőség kedvéért, - ez egyébként az én személyes "üzleti" filozófiám, gondoltam megosztom itt. :)

Azért ennyi zöldséget nem kellene összehordani, pláne egy Synology kapcsán. Nem éri el a gyártó a file-jaidat, és és pláne nem írja elő hogy mit tárolhatsz rajta meg mit nem.

Írom mindezt úgy, hogy nem ismerem a Synology teljes szolgáltatáspalettáját, nyilván ha van olyan service náluk, ami Dropbox szerű működést eredményez (azaz a Synology-n keresztül történik a file-ok publikálása), akkor arra igaz lehet amit írtál (persze így is óriási sarkítás, viszont abban egyetértünk, hogy nem biztonságos megoldás).

A példában szereplő sharing megoldás biztosan nem így működik, a Synology szerverek nem férnek hozzá a local tartalomhoz.

"... a Synology szerverek nem férnek hozzá a local tartalomhoz."

ebben azert vagy ennyire biztos, mert a forraskodot atnezve erre jutottal vagy talaltal erre utalo passzust az eula-ban ill. tetszoleges jogi nyilatkozatban a Synology reszerol? tudsz idezni / linkelni barmilyen nyilatkozatot ahol ezt kijelentik? ha nem is jelentik be a hozzaferes tenyet az nem jelenti azt, hogy nincs ilyen lehetoseguk. tegyuk hozza: nem sok gyarto buszkelkedik nyiltan ilyen kepessegekkel. (persze kivetelek mindig vannak...)

Le van írva egyértelműen hogy hogy működik ez a szolgáltatás náluk, keress rá (Qucik connect). Sima punch holingot használ egyébként. Innentől időpazarlás szerintem az EULA-t bújni, mert vagy igaz, és akkor technikailag nincs hozzáférés, vagy hazudnak, az pedig könnyen kideríthető, pláne ennyire ismert, és ekkora reflektorfényben levő cég esetén. Jómagam dumpoltam e quick connect forgalmat? Nem, nem dumpoltam. De ettől függetlenül elhiszem, hogy úgy van ahogy írják, mert abban kb. biztos vagyok, hogy megtették már ezt mások, és teszik is folyamatosan. Egyébként nincs Synologym se, de jól ismerem a gyártót és a megoldásaikat is, és nem beszélnék le arról senkit, hogy torrenten letöltött filemeket tároljon a cuccukon, quick connect alapú sharing mellett, mondván, hogy akkor biztosan eljön érte a fekete autó. Ez ostobaság lenne.

lehet hogy felreertheto voltam: en a beidezett reszre reagaltam, ezt te hatarozottan kijelentetted. en ennek a kijelentesnek az alatamasztasat kertem toled, de ilyet nem mondtal. "many eyeball?" regi sztori, de jo pelda: debiant is meglehetosen sokan hasznaltak es talan 1 evnel is hosszabb ido volt mire eszrevettek, hogy le lett korlatozva a lehetseges ssh kulcsszam egy meglehetosen csekely mennyisegre. az eula / jogi blabla legalabb egy minimalis eselyt ad hogy azt es ugy csinalnak ahogy mondjak.

eleg lazan kapcsolodik: hp szerver, hdd hiba. support: kuldjem el az active health logot. kivalasztom, hogy a hiba jelentkezes elott-utan 1-1 nap legyen az intervallum es keletkezik egy 5mb-os file. na vajon mi van benne? binaris vacak, nem tudhatod. kerdezem a supportot, mi van benne? valasz a hp oldalan van megnezo hozza. aha, szoval majd ok jol megmutatnak belole valamit amit meg akarnak mutatni. egyebkent kb 15 sor latszott a megnezoben. vajon a tobbi 4994kb-ban mi lehetett? megkerdeztem, valasz azota sincs...

Az utolsó két mondatoddal fogalmaztad meg jól: elviekben megoldható lenne, de nem akarják magukat lebuktatni azzal, hogy meg is teszik pár darad $50-os film kedvéért. A népharag elsöpörné őket. Majd ha Borkai lesz a nevem és Győrbe költözöm, akkor valakinek meg fogja érni a NAS-omról letölteni az Ibiza videót (bocs, Horváto.) hogy kezdjen vele valamit. De amíg Tóth János vagyok, addig a Tóth János videók nem sokat érnek.

A kínai kamerámat lehet hogy egyszer botnet hálózatba fogja közni a kis kínai és velem együtt fogják ddos-olni a valamit... de a Synology NAS-ba való ki/be járkálást nem hiszem hogy megengedi magának egy cég. Pláne egy tárolón, amiben 3Tb-os diszk-ek vannak. Ekkora adat átvitele észrevehető lenne, még ha hónapokig is tart.

Félre érted. Itt legtöbbször nem az ellen kell védekezni, hogy ne lopják el a gyártók a NAS-eden tárolt anyagaidat, - Itt a gond alapvetően az, hogy hátsó kapukat tartanak fenn maguknak. A gyakori frissítésekkel persze a "bejárati kulcsokat" is frissítik, kizárják a napvilágra került kulcsok miatt a felderített "illetéktelen bejárókat", de a lehetőség, hogy bárki bejöjjön a nyomdokaikon, folyó időben különböző mértékben de fennáll... Mert pl., a technikával, tudással jól felszerelt különböző nemzeti kibervédelmi egységeknél is gyarló emberek dolgoznak, mert más és más ezeknél a személyi fegyelmi helyzet különböző országokban, valamint ők azok, akik pontosan tudják, hogyan tüntessék el a behatolásuk utolsó nyomait is. /Ja, és Kínában, Indiában, Dél-Koreában, stb., mondjuk csak 100 millió droidos okostelefonon a világon minden percben szerinted hányan játszanak a kis kiberzsenik "hackerest"?/ - Tehát a NAS-en tárolt "házipornód" esetleg megosztásra kerülhet egy külsős haverhoz, és onnantól a nagy nyilvánosság már csak a "János és a város" esete. - A szerzői jogi eseteknél pedig, nem kell letölteniük a gépedről a "60 GB-s UHD" filmet, van az elegendő példányban az interneten mindenütt. Elég csak az indexelt állománynév és esetleg HAS értékek "leszívása". Bármilyen bíróság odaát a kártérítési perben elfogadja majd a szakértői bizonyítást ez alapján. - Egészen más a "9. generációs" vadászgépek terveinek esete, azok a cégek már megtanulták saját kárukon, hogy rendszereik lokális hálón működnek, azaz nem elérhetők internetről. - Ettől függetlenül mindig "van az a pénz"..., tehát azokat is ellopják valahogyan mégis... :) /Tovább bonyolítja a helyzetet az egyre nagyobb számú Wi-Fi rádiós eszköz és az alkalmazott DNS-t használó applikációk nagy száma, valamint a mind nagyobb, gyorsabb elérhetőségű mobil internettel használt eszközök jelenléte a hálózatok környezetében. E téren az 5G megjelenése valóságos kánaán lesz az adathalászoknak./ Azaz ebből az is következik, hogy a kábel, - bár elavultnak bélyegezik, - de jelenleg sokkal kézben tarthatóbb megoldás.

Tehát csak annyit akartam mondani mindezzel, amit nem tudnak a NAS-en tárolt dolgaidról, - bár annak neve magában foglalja a "hálózati" jelzőt, - az a későbbiekben neked sem, nekik sem "fog fájni." - Nem kell feleslegesen lehetőséget adni még a statisztikázáshoz sem senkinek.

( dotnetlinux | 2020. 01. 05., v – 22:21 )

Volt a kérdésemben egy kis terv is: itthoni, lejárt garanciájú, de aktívan használt elektronikai cuccokat szeretnék felokosítani. Párologtatónak van IR távirányítója, de a légtisztítónak nincs (csak az egyik Xiaomi). Ezekbe tennék ESP32-t, amely a gombokat "írja", a LED-eket "olvassa" 1-1 PIN-en (íráshoz multiplexer és darlignton IC (ULN23xx) lenne), majd a "felhőben" elérhetővé teszem. Okos lesz a buta eszköz. Még a KV főzőt is átalakítom, hogy 6h-kor bekapcsoljon, 6.15-kor pedig főzze le a KV-t. Ehhez kell alá egy mozgó járda, mert a kezdővíz ne menjen a csészébe.

( lcsaszar v | 2020. 01. 06., h – 13:58 )

Más okostelefonra feltett MiUI is hazabeszél a Xiaomi-nak.

( Proci85 v | 2020. 01. 06., h – 14:44 )

Synology: én megadtam a routernek, hogy a NAS IP címével nem mehet ki forgalom new state-tel, tehát az nem kezdeményezhet kifelé, csak ha én megszólítom, nekem válaszolhat.

Továbbá tűzfalszabállyal gyűjtöttem a kimenő próbálkozásait.

Frissítésekért akart időnként kimenni. Ha ebben bújtatva infót szivárogtatna, a fenti miatt bukta.

Érdemes minden ilyen okos vackot (a net letíltás mellett) külön VLAN-ba is tenni, hogy még a saját hálódat se lássa.  Ezt még én sem végeztem el, jó is, hogy felhoztad a témát :)
Persze, ami eleve felhőre épít és közvetlen nem tudod elérni az appból, ott bukta. Ott max azt tudod tenni, hogy külön VLAN, net kijárat, mint egy vendég wifi és legalább a saját hálód, adataid el vannak zárva előle.