Ankündigung

Einklappen
Keine Ankündigung bisher.

edomi über Reverse-Proxy

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    edomi über Reverse-Proxy

    Hallo zusammen,

    edomi sollte man ja besser nicht öffentlich zugänglich machen. Sehe ich ein - alleine weil das CentOS nicht geplegt werden darf/soll.

    Eine Möglichkeit per VPN gibts aber nicht immer.

    Für diverse "dumme" Netzwerkgeräte (z.B. meine Helios-KWL) hab ich dazu eine Apache2 mit SSL und separater Authentifizierung dazwischengeschaltet.

    Hat das schon mal jemand gemacht? Mit welchen Ergebnis?
    Spricht irgendwas dagegen?
    OpenKNX www.openknx.de | NanoBCU und OpenKNX-HW verfügbar
    Stichworte: -
    #2
    Zitat von SirSydom Beitrag anzeigen
    Hat das schon mal jemand gemacht?
    Ja.

    Zitat von SirSydom Beitrag anzeigen
    Mit welchen Ergebnis?
    Funktioniert.

    Zitat von SirSydom Beitrag anzeigen
    Spricht irgendwas dagegen?
    Höchstens das persönliche Sicherheitsbedürfnis.

    Es gibt ja auch unterschiedliche Ausprägungen:
    - mit/ohne echte DMZ
    - mit/ohne zertifikatsbasierter Authentifiszierung

    Ich nutze einen Reverse Proxy mit einer echten DMZ für den Zugriff des Amazon Alexa Service auf den Custom Alexa Skill, der auf meinem EDOMI Server läuft.
    Daher ist der Reverseproxy nur für die Amazon Alexa IP Range freigeschaltet. Wenn ich von außen direkt auf EDOMI zugreifen wollte, würde ich es wohl mit Client Zertifikaten machen. Bedeutet aber auch, dass der Rechner von dem du aus zugreifen möchtest, dieses Client Zertifikat haben muss. Ansonsten nutze ich VPN.

    Hier, hier und hier gibt es eine längere Diskussionen darüber. Wären übrigens die ersten Treffer gewesen, wenn man nach Reverse Proxy im Edomi Forum sucht.

    Kommentar

      #3
      ich hab sogar nach Proxy gesucht im edomi-Forum, bei den Treffern dann LBS und Alexa gelesen und es gleich als irrelevant eingestuft. War zu vorschnell.

      Bzgl Sicherheit - der Kanal ist per SSL gesichert, und eine Authentifizierung mit einem hinreichend sicherem Passwort gegeben. Das Passwort wird durch SSL ausreichend geschützt.
      Klar, dem Browser/Rechner muss ich vertrauen. Das muss ich aber auch bei SSL mit Zertifikat.
      Oder wo seht ihr potentielle Sicherheitlücken? Bei "nur" SSL mit mod_auth ?

      Ich hab den Proxy bei mir nicht zum laufen gebracht mit

      Code:
                      ProxyRequests Off                                                                         
                <Proxy *>
                        RequestHeader unset Accept-Encoding
                        Order deny,allow
                        Allow from all
                </Proxy>

               ProxyHTMLEnable On
               ProxyHTMLExtended On

               ProxyPass / http://192.168.178.101/
               ProxyPassReverse / http://192.168.178.101/
               ProxyHTMLURLMap http://192.168.178.101 /
      allerdings hat mich dann https://knx-user-forum.de/forum/proj...253#post998253 auf den richtigen Pfad gebracht:

      Code:
                      ProxyRequests Off                                                                         
                <Proxy *>
                        RequestHeader unset Accept-Encoding
                        Order deny,allow
                        Allow from all
                </Proxy>

               ProxyPass / http://192.168.178.101/
      Simpel, funktioniert.

      OpenKNX www.openknx.de | NanoBCU und OpenKNX-HW verfügbar

      Kommentar

      Vorherige template Weiter
      Lädt...
      X

      Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

      Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

      Ich stimme zu