Ankündigung

Einklappen
Keine Ankündigung bisher.

Zugriff von extern / WSS

Einklappen
X
Einklappen
 
  • Seite von 8
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 3 4 5 6 8 template Weiter
    #31
    Hi
    großen dank an luxi - ich hab so einiges ausprobiert... und mangels zeit auch immer wieder aufgehört... aber deine Anleitung hat mir meinen Fehler vor Augen gefürt:
    das "listen 8080" hat bei mir gefehlt ...

    @Geaert: wenn du das ws/wss thema mit einbauen könntest währe super.
    Natürlich funktioniert es nur mit reverse proxy... aber ohne das funktioniert es ja garnicht :-)
    Und das offiziell supportete HTTP funktioniert ja weiterhin so wie vorher.

    Gruß
    Thorsten

    Kommentar

      #32
      Zitat von ThorstenGehrig Beitrag anzeigen
      das "listen 8080" hat bei mir gefehlt ...
      das stand auch schon in Beitrag #2
      OpenKNX www.openknx.de | NanoBCU und OpenKNX-HW verfügbar

      Kommentar

        #33
        HI,

        ich hab mal ne Frage.
        Ich habe einen ReverseProxy nach der Anleitung von jonofe mit Apache unter Caspian Jessie erstellt. Ergänzend nach Anleitung von luxi den Apache um den virtualhost 8080 erweitert, in der FritzBox die Portweiterleitung auf den RPi eingerichtet und im Edomi Server die main.js angepasst. So wie ich es gesehen habe, hat gaert die app0.php bei Update auf 1.53 ja schon entsprechend angepasst?!

        Mit welcher URL müsste ich, sofern alles richtig eingestellt ist, nun auf die Edomi Admin Seite gelangen?

        per https://<meineddns> lande ich korrekterweise auf der Apache2 InfoSeite
        per https://<meineddns>/phpinfo.php lande ich auf der PHP Infoseite

        nun habe ich schon alles mögliche versucht an Adressen um auf die Adminseite von Edomi zu gelangen, leider ohne Erfolg.
        Ganz ehrlich, ich habe von der ganze Programmiersprache keine wirkliche Ahnung und war sehr dankbar für die beiden Anleitungen, die ich blind übernommen habe.

        Viele Grüße
        David
        Gruß David

        Kommentar

          #34
          wie sieht denn deine Reverse Proxy Config aus?
          Wenn ich mich richtig erinnere geht DDNS/edomi auf /usr/local/edomi.

          Dann müsste es eigentlich

          https://<DDNS>/edomi/www/admin

          sein.
          • Likes 1

          Kommentar

            #35
            Meine 000-default-le-ssl.conf sieht wie folgt aus

            Der Aufruf mit https://<meine.ddns.net>/edomi/www/admin klappt leider auch nicht

            Code:
            <IfModule mod_ssl.c>

<VirtualHost *:443>
        ServerName [MARKIEREN]meine.ddns.net[/MARKIEREN]
        ServerAdmin [MARKIEREN]meine E-Mail Adresse[/MARKIEREN]
        DocumentRoot /var/www/html
        <Location />
                <RequireAll>
                # Erlaubt Zugriff von überall
                        Require all granted
                # Folgende Zeile erlaubt Zugriff aus dem eigenen Netzwerk
                # (192.168.0.0/24) und von Amazon-Alexa (54.240.197.0/24)
                # Require ip 192.168.0.0/24 54.240.197.0/24
                </RequireAll>
        </Location>
        SSLEngine on
        SSLProxyEngine On
        SSLProxyVerify none
        SSLProxyCheckPeerCN off
        SSLProxyCheckPeerName off
        SSLProxyCheckPeerExpire off
        ProxyPass /edomi https://[MARKIEREN]IP vom Edomi Server[/MARKIEREN]/admin/lbs/alexa
        ProxyPassReverse /edomi https://[MARKIEREN]IP vom Edomi Server[/MARKIEREN]/admin/lbs/alexa
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
        SSLCertificateFile /etc/letsencrypt/live/[MARKIEREN]meine.ddns.net[/MARKIEREN]/fullchain.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/[MARKIEREN]meine.ddns.net[/MARKIEREN]/privkey.pem
        Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>

<VirtualHost *:8080>
        ServerName [MARKIEREN]meine.ddns.net[/MARKIEREN]
        ServerAdmin [MARKIEREN]meine E-Mail Adresse[/MARKIEREN]
        DocumentRoot /var/www/html
        ProxyPass / ws://[MARKIEREN]IP vom Edomi Server[/MARKIEREN]:8080/
        ProxyPassReverse / ws://[MARKIEREN]IP vom Edomi Server[/MARKIEREN]:8080/
        SSLEngine on
        SSLCertificateFile /etc/letsencrypt/live/[MARKIEREN]meine.ddns.net[/MARKIEREN]/fullchain.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/[MARKIEREN]meine.ddns.net[/MARKIEREN]/privkey.pem
</VirtualHost>

</IfModule>
            Gruß David

            Kommentar

              #36
              Nachdem nun der Zugriff von extern klappt (danke nochmal für die Hilfe) habe ich ein "Problem" bei der Visu anzeige.
              Bei Zugriff von extern werden manche Icons nicht angezeigt. Genauer gesagt sind es Icons die aus einem Font stammen (z.B. WetterIcons). Bei zugriff über das Locale Netzwerk besteht dieses Problem nicht. anbei mal ein Beispielbild. Die beidem Rechtecke im Bild sind, bei korrekter Anzeige, eben solche Wettericons aus einem Wetterfont.

              Woran kann das liegen?

              VG David

              IMG_5658.jpg
              Gruß David

              Kommentar

                #37
                Hallo,

                habe nachfolgend mal meine Erfahrungen zum Thema Zugriff von Extern auf Edomi über einen Reverse Proxy zusammen gestellt.

                Eventuell hilf das ja denen, die nach mir vor dieser Aufgabe stehen.

                Die Anleitung ist eine Zusammenfassung der bisherigen Historie aus diesem Forum mit Ergänzungen zu meinen Erfahrungen. Eine kleine Erweiterung mit einer zusätzlichen Anmeldung am Reverse Proxy ist auch noch dabei.

                Danke allen, die es ermöglichten, dass ich es nach vielen Stunden doch noch geschafft habe, die Funktion hin zu bekommen. Kurz und knapp, es funktioniert jetzt und ich bin froh.

                Anleitung für die Einrichtung des Fernzugriffs auf Edomi über einen Reverse Proxy.pdf

                Kommentar

                  #38
                  die beiden Modifikationen in der app0.php und in der main.js, sind die in der letzten Version enthalten?
                  Heißt, kann ich bedenkenlos updaten (hab aktuell 1.52 manuell gepatched)
                  OpenKNX www.openknx.de | NanoBCU und OpenKNX-HW verfügbar

                  Kommentar

                    #39
                    Danke plarad für die Anleitung, das mit dem externen Zugriff steht auch noch auf meiner Liste.
                    Da ich leider nicht vom Fach bin Versuch ich viel zu lesen um ein möglichst sicheres Setup hin zu bekommen. Vielleicht bin ich auch einfach nur ein bisschen Paranoid .
                    Deswegen hätt ich hier an die Profis die Frage wie man die Sicherheit noch weiter erhöhen kann.
                    Hab jetzt mal folgende Sachen gefunden, wäre toll wenn jemand der sich auskennt was dazu sagen könnte ob das wichtig ist oder totaler Quatsch.

                    1. Perfect Forward Secrecy
                    2. Fail2Ban für die Anmeldung am nginx
                    3. 'server_tokens off' in der nginx.conf aktivieren um Version von nginx zu verschleiern
                    4. 'SSLv3' in der nginx.conf auskommentieren, da nicht mehr sicher
                    5. User "pi" ändern, security by obscurity?
                    6. Iwo hab ich noch gelesen das man bestimmte Länder anhand der IP blocken kann, wäre vielleicht auch ne Sache vom Router?
                    7. Folgends soll ein wenig gegen DDOS Atacken helfen, in der nginx.conf
                    client_header_timeout 10;
                    client_body_timeout 10;
                    keepalive_timeout 10 10;
                    send_timeout 10;
                    8. Client Zertifikat (erhöht die Sicherheit zwar enorm, find ich aber doof, weil man doch nicht von jedem Rechner auf Edomi bzw. seine Cloud darauf zugreifen kann)

                    Das sind jetzt mal so die Sachen die ich bisher gelesen hab, wie gesagt ich bin in dem Thema meine Meinung nach ein Laie, deswegen wäre es toll zu wissen auf was man noch achten sollte.

                    Was ich auch cool fände wäre so ne 2Faktor Authentifizierung ala Timberwolf um sich am Reverse-Proxy anzumelden. Mit so nem Hardware-Dongle wird das wohl bloß nicht so einfach zu lösen sein, leider . Das Teil ist echt cool. Aber wie siehts z.B. mit dem google authenticator aus?


                    Noch was zu der Anleitung, was müsst ich anderst machen, um edomi nicht direkt über mein DynDns zu erreichen sondern zum Beispiel über edomi.dyndns.de?
                    Damit ich dann später über cloud.dyndns.de meine cloud erreichen kann.
                    Gruß Ben

                    Kommentar

                      #40
                      Zitat von stonie2oo4 Beitrag anzeigen
                      6. Iwo hab ich noch gelesen das man bestimmte Länder anhand der IP blocken kann, wäre vielleicht auch ne Sache vom Router?
                      Info...habe ich zum Beispiel hier gelesen: https://github.com/smarthomeNG/smart...s-ReverseProxy

                      Kommentar

                        #41
                        Ja genau, so ein Zufall da hat ichs auch her. Bloß wusst ich den Link nicht mehr.
                        Dank dir
                        Gruß Ben

                        Kommentar

                          #42
                          Gerne

                          Frage zu den Client Zertifikaten: Bei dem Link aus meinem Post vorhin wird im nginx eine CRL-Datei eingebunden per
                          ssl_crl /etc/ssl/ca/private/ca.crl;
                          , die zuvor erzeugt wurde mit
                          openssl ca -name CA_default -gencrl -keyfile ./private/ca.key -cert ./certs/ca.crt -out ./private/ca.crl -crldays 1095
                          Dafür müssen Änderungen an der /etc/ssl/openssl.cnf vorgenommen werden.

                          Andere Tutorials verzichten auf die Erzeugung und Nutzung einer CRL-Datei. Es scheint also auch ohne zu gehen und die Sperre scheint bei ssl_verify_client on; auch verlässlich zu greifen. Welchen Vorteil hat die Erzeugung/Nutzung oder kann auf sie tatsächlich problemlos verzichtet werden?

                          Habe ich den Sinn der Certificate Revoke-Datei richtig verstanden, dass ohne die erstellten Client-Zertifikate ohne Zeitbegrenzung laufen und ich keine client Zertifikate zurück ziehen kann? Oder kann ich zurückziehen, aber es bleibt die unendliche Gültigkeitsdauer? Welches Risiko habe ich konkret, wenn ich den "kurzen" weg ohne CRL gehe?

                          Kommentar

                            #43
                            shortyle wie hast du den Aufruf über Reverse Proxy zur Adminseite jetzt realisiert?? Ich habe einen Reverse Proxy mit nginx für Alexa am laufen. Dieser entspricht ja dem Ordner /usr/local/edomi/www/ auf dem Server. Was müsste ich jetzt umbauen um auf meine Adminseite zu gelangen???

                            Gruß

                            Kommentar

                              #44
                              benji :Ich habe in nginx stehen (abseits aller sinnvollen und erforderlichen ssl_* und proxy_* Paramter):
                              Code:
                              root /var/www/html;
[...]
       # >> ReverseProxy - EDOMI
        location /edomi/ {
                proxy_pass http://<IP von edomi>/;
        }
                              Unter der Annahme einer DMZ muss eine entsprechende Forward-Regel in die Firwall von SRC <IP des RevProxy> zu DST <IP edomi>.
                              Aufruf erfolgt mit (dazu die üblichen Parameter user, pass)
                              Code:
                              https://<dyndns-Adresse>/edomi/admin/
                              Für die visu entsprechend, aber da braucht es noch was für websocket (Port 8080) - da bin ich selber noch dran. Und wenn Du edomi per https ansprechen kannst, dann oben in der nginx-Location entsprechend mit https.

                              Siehe auch Beitrag von plarad bzw. das PDF dort, er löst es ohne /edomi/. Ich kämpfe leider noch mit websocket - bei mir will es einfach noch nicht laufen...admin geht, visu mit rotem Kreis auch, aber websocket will nicht für den grünen Kreis...
                              Zuletzt geändert von saegefisch; 29.01.2018, 10:23.

                              Kommentar

                                #45
                                Zitat von saegefisch Beitrag anzeigen

                                Info...habe ich zum Beispiel hier gelesen: https://github.com/smarthomeNG/smart...s-ReverseProxy
                                Dieses Paket läuft be mir auf der pfSense (Firewall), jedoch ist die Grundidee eine andere ... Da eh alles was nicht erlaubt blockiert ist, erlaubt man nur bestimmte Länder/Kontinente, der Rest bleibt weiterhin blockiert.
                                Danke und LG, Dariusz
                                GIRA | ENERTEX | MDT | MEANWELL | 24VDC LED | iBEMI | EDOMI | ETS5 | DS214+ | KNX/RS232-GW-ROTEL

                                Kommentar

                                Vorherige 1 2 3 4 5 6 8 template Weiter
                                Lädt...
                                X

                                Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                                Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                                Ich stimme zu