Ankündigung

Einklappen
Keine Ankündigung bisher.

Zugriff von extern / WSS

Einklappen
X
Einklappen
 
  • Seite von 8
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 5 6 7 8 template Weiter
    #106
    Zitat von gspsteve Beitrag anzeigen
    Also wenn ich auf 443 umstelle kommt immer folgende Meldung
    Wenn EDOMI auf 443 läuft, dann musst du bei Ziel-Port 443 verwenden.
    Port 443 auf der Snyology ist sicherlich vom Synology Webserver belegt.

    Kommentar

      #107
      Der Synology-Webserver läuft auf 5000 (http) bzw. 5001 (https).
      Ich kann Dir allerdings nicht sagen, was bei Dir noch auf 443 läuft. Photostation vielleicht?
      Zertifikatsbasierte Authentifizierung nutze ich nicht.

      Kommentar

        #108
        Zitat von s01iD Beitrag anzeigen
        Photostation vielleicht?
        Hatte auch die PhotoStation in Verdacht (Webstation ist gar nicht installiert) aber auch nach deaktivieren ist es nicht möglich 443 zu ändern. Aber ist nicht tragisch, hab dies jetzt einfach mittels PortForwarding gelöst (443 auf 8081)

        Verwendet ihr auch den Alexa oder Spotify LBS, wenn ja, wie habt ihr das gelöst mit der Weiterleitung von zB https://DOMAINNAME/Alexa auf den jeweilligen Unterordner!?

        NGINX Konfig wäre zb folgende

        HTML-Code:
         location /alexa/ {                 proxy_redirect off;                
proxy_set_header Host $host;                
proxy_set_header X-Forwarded-For $remote_addr;  
proxy_pass https://<EDOMI_IP>/admin/include/php/alexa/;                
proxy_buffering off;                
proxy_connect_timeout 5; # more than http_server                
proxy_read_timeout 350; # 60 default, 300s is GNUnet's idle timeout                
proxy_http_version 1.1;                
proxy_next_upstream error timeout invalid_header http_500 http_503 http_502 http_504;         }
        In der Synology Config tu ich mir hier etwas schwer...

        Kommentar

          #109
          443 wird auch von openvpn (ssl vpn) genutzt. Habt ihr das aktiv? Oder https auf eurer synology aktiv?

          Kommentar

            #110
            Zitat von vento66 Beitrag anzeigen
            443 wird auch von openvpn (ssl vpn) genutzt. Habt ihr das aktiv? Oder https auf eurer synology aktiv?
            Das kann sein, dass OpenVPN aktiv ist, mit dem PortForwarding somit jedoch hinfällig

            Kommentar

              #111
              Zitat von saegefisch Beitrag anzeigen

              Hi Dariusz,
              wer so nett fragt...den bestraf' ich mit ein paar Zeilen nicht unter 10 Seiten...

              Anbei ein paar Zeilen zu meinen Erkenntnissen zum Gesamtthema SSL / https / CA / Zertifikate für Server im LAN einerseits und Clients eines Reverse Proxy. Möge es Dir und anderen vielleicht helfen, das Thema Reverse Proxy (weiter oben hier im Thread) und SSL etwas gesamtheitlicher zu begreifen und lösen zu können. Vielleicht habe ich auch falsche Erkenntnisse gesammelt und hier zum Besten gegeben - aber Ich bin jezt ganz zufrieden, da die CC wie auch die zentralen SC wunderbar funktionieren und sehr ähnlich ticken. Letztlich hat unsereins ja nur 1-2 handvoll Server und vielleicht ähnlich viele Anwender mit CC und das soll einfach laufen und einfach sein, wenn man MOnate später mal wieder dran muss.

              Sollte ich irgendwo falsch liegen, dann gerne Rückmeldung hier im Threat.

              VG, Carsten
              Hi, also ich versuche gerade Schritt für Schritt diese Anleitung durchzugehen. Allerdings stoße ich auf ein Problem. Ich habe keine Serverzertifikate erstellt und bin gleich zum Abschnitt mit den CC gesprungen. Ers sagt mit er hat keine ./certs/ca.crt gefunden sowie
              -CAkey ./private/ca.key . Ich kann auch nirgends in der Anleitung sehen das diese erstellt wurden ist. Was muss ich also machen oder ändern?


              Code:
              cd /etc/ssl/meineca
sudo openssl genrsa -des3 -out ./certs/users/user.key 4096
sudo openssl req -new -key ./certs/users/user.key -out ./certs/users/user.csr
sudo openssl x509 -req -days 365 -in ./certs/users/user.csr [MARKIEREN]-CA ./certs/ca.crt[/MARKIEREN] [MARKIEREN]-CAkey ./private/ca.key[/MARKIEREN] -CAserial ./serial -CAcreateserial - out ./certs/users/user.crt
sudo openssl pkcs12 -export -clcerts -in ./certs/users/user.crt -inkey ./certs/users/user.key -out ./certs/users/user.p12
              Grüße
              Jascha
              Zuletzt geändert von skyacer; 30.03.2020, 15:58. Grund: weiteren Fehler hinzugefügt

              Kommentar

                #112
                Eine eigen CA mit Eigenen Zertifikaten brauchst du in jedem Fall; wer sonst soll Deine CC zertifizierten/bestätigen? am Anfang aller Zertifikate steht eine eigen CA...

                SC hin oder her, Beim Thema Zertifikate kann man nicht beliebig abkürzen...

                Kommentar

                  #113
                  Hi,

                  lege ich damit nicht eine eigene CA an?

                  Code:
                  cd /etc/ssl/meineca
sudo openssl req -new -x509 -newkey rsa:4096 -keyout ./private/cakey.pem - out ./cacert.pem -days 9125
sudo openssl ca -name CA_default -gencrl -keyfile ./private/cakey.pem -cert ./cacert.pem -out ./private/ca.crl -crldays 9125
sudo chmod 400 /etc/ssl/meineca/private/*.crl
sudo chmod 400 /etc/ssl/meineca/private/*.pem
sudo chmod 400 /etc/ssl/meineca/*.pem

                  Kommentar

                    #114
                    Hab den Fehler gefunden:

                    Ist:
                    Code:
                    sudo openssl x509 -req -days 365 -in ./certs/users/user.csr -CA ./certs/ca.crt -CAkey ./private/ca.key -CAserial ./serial -CAcreateserial - out ./certs/users/user.crt
                    Muss:
                    Code:
                    sudo openssl x509 -req -days 365 -in ./certs/users/user.csr -CA ./cacert.pem -CAkey ./private/cakey.pem -CAserial ./serial -CAcreateserial - out ./certs/users/user.crt

                    Kommentar

                      #115
                      Ich setze bei mir EasyRSA3 ein. Damit ist es wirklich super einfach eine eigene CA zu erstellen und Zertifikate zu verwalten.

                      https://easy-rsa.readthedocs.io/en/latest/

                      Kommentar

                        #116
                        skyacer : ah, danke für den Hinweis! jonofe : guter Tipp... aber der andere Prozess steht in meinem Wiki und ist auch immer schnell erledigt... im nächsten Leben vielleicht...

                        ...aber für andere, die am Anfang stehen damit sicher eine gute Idee...

                        Kommentar

                          #117
                          Hi,

                          hab da mal eine Frage. Da mein Nachbar auch Zugriff auf die Visu bekommen soll steh ich gerade vor dem Problem wie ich ihm diese Freigeben kann.
                          Ich habe Clientzertifikate für "intern" und "extern". Für intern klappt dies Wunderbar. Nur für Extern weiß ich nicht wie ich das in meine Nginx Conf einbauen soll. Hat das so so mal einer gelöst?

                          Meine Config sieht derzeit so aus. Für extern klappt es so nicht weil er immer nach dem oberen Zertifikat fragt.
                          Code:
                          map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}

# Upstream Edomi IP
upstream websocket {
server xx.xx.xx.xx:xxxx;
}


server {
listen 443 ssl http2;
server_name meineDomain.com ;
set $base /var/www/meineDomain.com;
root $base;

index index.php index.html;

#Errorpages
include /etc/nginx/snippets/error.conf;

## SSL und Headereinstellungen ##
include /etc/nginx/snippets/edomi_ssl.conf;

##Let's encrypt Zertifikat ##
ssl_certificate /etc/letsencrypt/live/meineDomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/meineDomain.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/meineDomain.com/chain.pem;

## Clientzertifikat ##
ssl_client_certificate /etc/ssl/ca_intern/cacert.pem;
ssl_crl /etc/ssl/ca_intern/private/ca.crl;
ssl_verify_client on;






## Disable access to the web root, otherwise nginx will show the default site here. ##
location = / {
deny all;
return 500;
}

location / {
proxy_pass https://xx.xx.xx.xx/;
}




## Alexaplugin ##
location ^~ /edomi {
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass https://xx.xx.xx.xx/admin/lbs/alexa/;
proxy_buffering off;
proxy_connect_timeout 5;
proxy_read_timeout 350;
proxy_http_version 1.1;
proxy_next_upstream error timeout invalid_header http_500 http_503 http_502 http_504;
}


## Spotifyplugin ##
location ^~ /spotify {
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass https://xx.xx.xx.xx/admin/include/php/spotify/;
proxy_buffering off;
proxy_connect_timeout 5;
proxy_read_timeout 350;
proxy_http_version 1.1;
proxy_next_upstream error timeout invalid_header http_500 http_503 http_502 http_504;
}

error_log /var/log/nginx/edomi-error.log;
access_log /var/log/nginx/edomi-access.log;
}




#-------------------------------
# Edomi Websocketweiterleitung
#-------------------------------
server {
listen 8080;

ssl_certificate /etc/letsencrypt/live/meineDomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/meineDomain.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/meineDomain.com/chain.pem;

location / {
proxy_pass http://websocket;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}

error_log /var/log/nginx/ws-error.log;
access_log /var/log/nginx/ws-access.log;
}



#-------------------------------
# Edomiserver Zugriff (nur mit externem Zertifikat möglich)
#-------------------------------
server {
listen 443 ssl http2;
server_name meineDomain.com;
set $base /var/www/meineDomain.com;
root $base;

index index.php index.html;

#Errorpages
include /etc/nginx/snippets/error.conf;

#SSL und Headereinstellungen
include /etc/nginx/snippets/edomi_ssl.conf;

##Let's encrypt Zertifikat ##
ssl_certificate /etc/letsencrypt/live/meineDomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/meineDomain.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/meineDomain.com/chain.pem;

## Clientzertifikat ##

ssl_client_certificate /etc/ssl/ca_extern/cacert.pem;
ssl_crl /etc/ssl/ca_extern/private/ca.crl;
ssl_verify_client on;


#-------------------------------
# Edomiserver
#-------------------------------

location / {
proxy_pass https://xx.xx.xx.xx/;
}

error_log /var/log/nginx/edomi-error_extern.log;
access_log /var/log/nginx/edomi-access_extern.log;
}
                          Grüße
                          Jascha

                          Kommentar

                          Vorherige 1 5 6 7 8 template Weiter
                          Lädt...
                          X

                          Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                          Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                          Ich stimme zu