Ankündigung

**lordofchaos** · 27.12.2018, 17:29

komischerweise ging ab heute kein Befehl mehr
xxx reagiert leider nicht
und musste In der edomi-smarthome-skill-PLv3.php

//if (validate_token($token) === false)
// fail('OAUTH Access Token invalid');

machen. Immerhin geht es nun wieder . Nur wieso es zunächst OAUTH ging und jetzt nicht mehr ist schon komisch.

edit:
Nein zu früh gefreut. Manche Lichter gehen und manche nicht mehr.

**jonofe** · 27.12.2018, 19:17

Ohne Log kann man dazu nichts sagen.

**benji** · 29.12.2018, 18:16

Hi,

ich habe ein Problem welches jetzt nicht direkt was mit Alexa zu tun hat alt hat aber jemand eine Idee. Ich nutze nginx auf einem raspPi als reverseProxy. Läuft eigentlich schon Ewigkeiten das ding...Hatte damals mit dem CustomSkill angefangen.

Jetzt ist mein letsencrypt Zertifikat abgelaufen und wurde nicht erneuert. Wenn ich mittels
/opt/letsencrypt/letsencrypt-auto renew das Zertifikat erneuern möchte bekomme ich folgende Fehlermeldung:

Code:

   Attempting to renew cert (xxxxxxxx.ddnss.de) from /etc/letsencrypt/renewal/xxxxxxxxxxx.ddnss.de.conf produced an unexpected error: Failed authorization procedure.      

Domain: xxxxxx.ddnss.de    
Type:   connection    
Detail: Fetching     http://xxxxxxx.ddnss.de/.well-known/acme-challenge/Vh6UZxWG8Esu01vUE9PDNiKdnZjidvdjSbI-GEZC-lU:     Error getting validation data

Hatte eventuell schon einmal jemand Probleme damit?? Eigentlich lief das ganze immer automatisch via cronjob.

**jonofe** · 29.12.2018, 19:17

Ja, wurde hier auch schon mehrfach diskutiert. Letsencrypt die Authentisierungsvariante, die über https funktioniert abgeschaltet. Du musst jetzt auch Port 80 von außen erreichbar machen, damit das Update funktioniert. Danach kannst du ihn wieder zumachen.

**benji** · 29.12.2018, 19:57

Hi,

danke. Ich hab es eben auch noch auf einer anderen Seite gefunden. Hat jetzt funktioniert, hm da muss ich wohl ein Kalendereintrag machen alle 85Tage den Port öffnen und Zertifikat installieren

**jonofe** · 29.12.2018, 21:33

Mit einem Mikrotik Router könnte man das automatisieren.

**benji** · 29.12.2018, 21:35

Ja ich hab auch einen Mikrotik Router, müsste nur die NAT Regel auf enabled setzen. Allerdings hängt vor dem Mikrotik eine Fritzbox und in der muss ich es ja dann auch aktivieren.

EDIT: Oder meinst du in der Fritzbox den Port 80 dauerhaft auf den Mikrotik forwarden und dann im Mikrotik die NAT Regel schalten??

**jonofe** · 29.12.2018, 21:47

Ja, im Mikrotik kannst incoming traffic blocken, wenn du kein Update machst und vor dem Update dann auf den Reverse Proxy weiterleiten.

Ich habe die Fritzbox bei mir komplett eliminiert und im Mikrotik SFP Slot ein DSL Modem installiert. Damit ist es dann noch einfacher, da man dann direkt den incoming traffic am DSL Interface blocken kann.

**benji** · 29.12.2018, 22:07

Ok, verstanden habe ich es. Ich muss jetzt nur mal schauen wie ich es umsetze.

Funktionieren müsste doch folgendes:

-Fritzbox den port 80 auf Mikrotik
-Im Mikrotik unter Firewall->Filter Rules -> eine inputChain auf Port80 mit accept. Diese dann mittels dem Mikrotik LBS vor dem Update auf enabled schalten und nach dem Update auf disabled
- NAT für Portforwarding auf den ReverseProxy kann ja eigentlich immer auf enabled bleiben da ja der Traffix am WAN Port geblockt wird.

Nächstes Jahr 1 Quartal soll bei uns Internetausbau fertig sein. Bis dahin warte ich noch bzgl des sfp Modems. Nutzt du das Versa Modem auf einem VDSL2??

**jonofe** · 29.12.2018, 22:30

Ich denke du müsstest eine BLOCK Regel für Incoming Port 80 und Incoming Interface FritzBox erstellen. Die sollte ganz oben in der Input Queue stehen. Und zusätzlich eine DST-NAT Regel, welche Port 80 an den Reverse Proxy weiterleitet. Diese aktivierst du vor einem Update und deaktivierst sie danach.
DST-NAT wird vor der Firewall durchgeführt, d.h. sobald die Regel aktiv ist geht der Traffic zum Reverse Proxy. Wenn sie deaktiviert ist, wird Port 80 in der Input Queue geblockt. Sollte eigentlich so funktionieren.

Ich nutze dieses Modem

https://www.mikrotik-shop.de/Interfa...ml?language=de

und habe es auch in diesem Shop gekauft. Der Support ist gut. Ich habe Ende 2017 allerdings diese Info dazu bekommen:

Desweiteren möchte ich Sie darüber informieren, dass das SFP Modem mit Telekom DSL-Anschlüssen momentan noch nicht kompatibel ist, das Update, das das möglich macht ist erst im nächten Jahr verfügbar. Ich hoffe, dieser Fall betrifft Sie nicht.

Vermutlich sollte das also inzwischen auch mit Telekom DSL Anschlüssel funktionieren.

**benji** · 29.12.2018, 23:01

Du meinst quasi eine drop Regel ganz am Anfang mit Dest Port 80 auf meinem WAN Interface (Fritzbox)??

image_79245.jpg

Die DST-NAT hab ich eben schon angelegt für die Erneuerung des Zertifikates und anschließend nochmal deaktiviert.

Unbenanntdst.JPG

Kannst du mir sagen, wie ich diese über den Mikrotik LBS schalte?? Funktioniert ja über E10 & E11 gehe ich von aus, nur werde ich aus der Hilfe nicht so ganz schlau.

Angehängte Dateien

Unbenanntdst.JPG (23,9 KB, 112x aufgerufen)

**jonofe** · 29.12.2018, 23:20

Zitat von benji Beitrag anzeigen

Du meinst quasi eine drop Regel ganz am Anfang mit Dest Port 80 auf meinem WAN Interface

ja genau. Allerdings ist in deinem Screenshot der SRC Port 80 gewählt. Es muss der DST Port sein.

Zitat von benji Beitrag anzeigen

Kannst du mir sagen, wie ich diese über den Mikrotik LBS schalte?? Funktioniert ja über E10 & E11 gehe ich von aus, nur werde ich aus der Hilfe nicht so ganz schlau.

Schaue ich mir morgen mal an.

**benji** · 30.12.2018, 08:54

Zitat von jonofe Beitrag anzeigen

ja genau. Allerdings ist in deinem Screenshot der SRC Port 80 gewählt. Es muss der DST Port sein.

stimmt, hab ich mich vertan. Merci

Zitat von jonofe Beitrag anzeigen

Schaue ich mir morgen mal an.

Dankeschön

**jonofe** · 30.12.2018, 10:09

Zitat von jonofe Beitrag anzeigen

Schaue ich mir morgen mal an.

Also, es funktioniert wie folgt:

Du musst folgenden String an E10 oder E11 senden:

/ip firewall nat|comment|<Dein Kommentar im NAT Eintrag des MT Routers>

Aktivieren => E10
Deaktivieren => E11

Der Text in rot ist ein frei wählbarer Text, den du im Comment des NAT Eintrages im Mikrotik Router einträgst.
Der LBS verwendet dann diesen Text, um den richtigen Eintrag zu selektieren.
Sendest du dann diesen String auf E10, dann wird die Regel aktiviert, beim Senden auf E11 wird sie deaktiviert.

Da die Gültigkeit der Letsencrypt Zertifikate 90 Tage beträgt, das Update aber immer schon nach 60 Tagen möglich ist, kann man diese Freischaltung z.B. alle 75 Tage einmalig machen und sicherstellen, dass dann zu gleichen Zeit das Update der Zertifikate gemacht wird. Auch der Cron Job des Letsencrypt Updates muss also nicht jede Nacht gestartet werden, sondern kann alle 75 Tage gemacht werden. Man kann das entweder mit CRON auf dem Reverse Proxy und mit ZSU auf dem EDOMI Server synchronisieren oder aber der ReverseProxy triggert die Aktivierung der NAT Regel via EDOMI Remote API.

**benji** · 30.12.2018, 11:25

Hi,

vielen Dank. Funktioniert bestens, eine Sache habe ich aber nicht ganz hinbekommen. Ich hab ein RemotKO freigegeben und schalte über Binärauslöser dann meine Freigabe. Wenn ich die Remotadresse im Browser aufrufe funktioniert dies wunderbar 1=Freigabe 0=Gesperrt.
Jetzt wollte ich im cronjob einfach die Remotadresse vor dem starten des renew mittels wget -q abfragen. Wenn ich allerdings von meinem ReverseProxy aus folgendes abfrage funktioniert dies nicht.

Code:

wget -q http://192.168.xx.xxx/remote/?login=xxx&pass=xxx&koid=xxxx&kovalue=1

Mit curl funktioniert es auch nicht. Kann es sein, dass ich die url so wegen den Parameter nicht abrufen kann???

Ankündigung

Alexa Smarthome Skill (Payload Version 3)

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar