Ankündigung

Einklappen
Keine Ankündigung bisher.

EDOMI-Releases/Updates | Aktuell: Version 2.03

Einklappen
Dieses Thema ist geschlossen.
X
Das ist ein wichtiges Thema.
X
X
Einklappen
 
  • Seite von 203
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 75 125 165 172 173 174 175 176 177 178 185 203 template Weiter
    #2611
    Clientseitig ist WSS kein Problem - aber Serverseitig Da EDOMI keine fertigen Libs nutzt, bedeutet das sehr viel Arbeit für mich... Und die setze ich lieber sinnvoll ein, statt Portforwarding etc. zu unterstützen

    Die "Sicherheitsdebatte" hatten wir ja bereits in der Vergangenheit - daher hier nur kurz: EDOMI ist prinzipiell *unsicher* konfiguriert und das ist auch nicht's Schlimmes, da EDOMI typischer Weise im Heimnetz Verwendung findet (dort sind eher selten Hacker und Man-In-The-Middle zu erwarten). Ein Zugriff von extern ist m.E. nur über ein VPN sinnvoll und praktikabel - insb. Portforwarding/etc. sind Schwachsinn und MUSS vermieden werden. Natürlich kann man jetzt noch SSL/etc. druffpacken - und sich mit 1000 Details plagen (Kamera-Streams, Browser-Gedöhns, abgelaufene Zertifikate, Serverabsicherung, uvm.), aber warum sollte man sich das antun?!

    @gulk2k
    Im Grunde jederzeit möglich... Das nächste Update ist auch schon in Planung - ich wollte nur noch ein paar Dinge von der Liste reinnehmen, daher dauert's noch ein paar Tage.
    EDOMI - Intelligente Steuerung und Visualisierung KNX-basierter Elektro-Installationen (http://www.edomi.de)
    • Likes 4

    Kommentar

      #2612
      geht ein VPN "on demand" auch unter Android?

      Kommentar

        #2613
        Zitat von eriche Beitrag anzeigen
        geht ein VPN "on demand" auch unter Android?
        Ich würde vorschlagen zu diesem Thema.
        VPN ios und Android einen eigenen thread zu öffnen.

        Nur soviel. Ich mache das mit "Tasker"
        Jean-Luc Picard: "Things are only impossible until they are not."

        Kommentar

          #2614
          Hi
          @Gaert: es ist OK wenn EDOMI kein https/ssl unterstützt - und simples portforwarding sehe ich auch als unsicher.
          Allerdings ist das ganze was einige (u.a. ich) hier machen nicht völlig unsicher und unsinn.
          Anstatt einem simplen portforwarding setze ich hier einen Apache-Reverse proxy mit zertifikatsbasierender authentifizierung ein.
          Apache prüft ob der client zugelassen ist - und setzt dann das HTTPS auf HTTP um.
          So ist das ganze VIEL kompfortabler als ein VPN (es funktioniert "unsichtbar" auf authorisierten clients).
          VPNs muss man ein/ausschalten - oder bei "vpn on demand" spezifisch auf die App einschränken oder einen Split-Tunnel machen (um nicht den ganzen regulären Internet-Traffic durch das VPN zu leiten).
          So gesehen finde ich ein VPN eher antequiert B-)

          Ich denke der richtige weg müsste - wie von Ratzi vorgeschalten - den reverse proxy auch für den websocket WS/WSS zu konfiguieren... jetzt hab ich nur relavtiv wenig ahnung von dem Websocket-Kram... aber irgendwie kriegen wir das hin.

          Gruß Thorsten
          • Likes 4

          Kommentar

            #2615
            Zitat von ThorstenGehrig Beitrag anzeigen
            Hi
            @Gaert: es ist OK wenn EDOMI kein https/ssl unterstützt - und simples portforwarding sehe ich auch als unsicher.
            Allerdings ist das ganze was einige (u.a. ich) hier machen nicht völlig unsicher und unsinn.
            Anstatt einem simplen portforwarding setze ich hier einen Apache-Reverse proxy mit zertifikatsbasierender authentifizierung ein.
            Apache prüft ob der client zugelassen ist - und setzt dann das HTTPS auf HTTP um.
            So ist das ganze VIEL kompfortabler als ein VPN (es funktioniert "unsichtbar" auf authorisierten clients).
            VPNs muss man ein/ausschalten - oder bei "vpn on demand" spezifisch auf die App einschränken oder einen Split-Tunnel machen (um nicht den ganzen regulären Internet-Traffic durch das VPN zu leiten).
            So gesehen finde ich ein VPN eher antequiert B-)

            Ich denke der richtige weg müsste - wie von Ratzi vorgeschalten - den reverse proxy auch für den websocket WS/WSS zu konfiguieren... jetzt hab ich nur relavtiv wenig ahnung von dem Websocket-Kram... aber irgendwie kriegen wir das hin.

            Gruß Thorsten
            ​​​​​​Schon interessant wie unterschiedlich doch wir alle an sowas gehen.
            Interessant ist das alles.

            Ich möchte z. B in fremden WLANs meinen gesamten traffic durch den vpn leiten.
            Aber vielleicht bin ich auch nur paranoid

            Jean-Luc Picard: "Things are only impossible until they are not."

            Kommentar

              #2616
              Zitat von gaert Beitrag anzeigen
              Clientseitig ist WSS kein Problem - aber Serverseitig Da EDOMI keine fertigen Libs nutzt, bedeutet das sehr viel Arbeit für mich... Und die setze ich lieber sinnvoll ein, statt Portforwarding etc. zu unterstützen
              Zitat von ThorstenGehrig Beitrag anzeigen
              Hi
              @Gaert: es ist OK wenn EDOMI kein https/ssl unterstützt - und simples portforwarding sehe ich auch als unsicher.
              Allerdings ist das ganze was einige (u.a. ich) hier machen nicht völlig unsicher und unsinn.

              Ich denke der richtige weg müsste - wie von Ratzi vorgeschalten - den reverse proxy auch für den websocket WS/WSS zu konfiguieren... jetzt hab ich nur relavtiv wenig ahnung von dem Websocket-Kram... aber irgendwie kriegen wir das hin.

              Gruß Thorsten
              Für eine Zugriffsmöglichkeit ohne VPN gibt es Use-Cases. z.B. hinter einem kastrierten Internetzugang (besser: Webzugang) mit HTTP-Proxy.

              Serverseitig müsste edomi wohl kein SSL bei den WSS können, das könnte ja der proxy übernehmen.
              Nur müsste der edomi-client dann wss:// aufrufen statt ws:// - es sei denn man kann das mit mod_rewrite genauso umbiegen wie bei http/https...

              Vielleicht kommt ich am Sonntag dazu etwas rumzuprobieren. Wetter erlaubt eh keine Arbeiten im Garten.
              OpenKNX www.openknx.de | NanoBCU und OpenKNX-HW verfügbar

              Kommentar

                #2617
                Hallo miteinander,

                vermutlich lässt sich da was mit mod_proxy_wstunnel machen, oder?
                Kind regards,
                Yves

                Kommentar

                  #2618
                  starwarsfan Hi Yves, das wurde schon hier vorgeschlagen ...

                  ​​​​​​​
                  Zitat von ratzi82 Beitrag anzeigen
                  ThorstenGehrig

                  ​​​​​​​Ich nutze Edomi zwar selber nicht, aber evtl. könnte das hier https://httpd.apache.org/docs/2.4/mo..._wstunnel.html weiterhelfen.

                  Gruß
                  Danke und LG, Dariusz
                  GIRA | ENERTEX | MDT | MEANWELL | 24VDC LED | iBEMI | EDOMI | ETS5 | DS214+ | KNX/RS232-GW-ROTEL

                  Kommentar

                    #2619
                    Hi
                    bin ein bisschen am recherchieren. Der proxy_wstunnel scheint nicht zu reichen... weil der client ja ws:// abfragt.
                    Aber hier bin ich fündig geworden:
                    https://stackoverflow.com/questions/...s-to-ws-apache

                    So ähnlich müsste es vermutlich in
                    /usr/local/edomi/www/visu/include/js/main.js rein um Zeile 634 rein, oder?

                    Code:
                    var protocol = 'ws://'; 
if (window.location.protocol === 'https:') {
            protocol = 'wss://';
   }socket=new WebSocket(protocol+serverIp+':'+serverPort);
                    Damit wird der websocket bei http-verbindung mit ws:// geöffnet und bei https:// mit wss://

                    Jetzt müsste man noch mit dem proxy_wstunnel das redirect auf den edomi machen bei gleichzeitiger umsetzung auf ws://

                    Gruß
                    Thorsten

                    Kommentar

                      #2620
                      Zitat von ThorstenGehrig Beitrag anzeigen

                      So ähnlich müsste es vermutlich in
                      /usr/local/edomi/www/visu/include/js/main.js rein um Zeile 634 rein, oder?

                      Code:
                      var protocol = 'ws://';
if (window.location.protocol === 'https:') {
protocol = 'wss://';
}socket=new WebSocket(protocol+serverIp+':'+serverPort);
                      Damit wird der websocket bei http-verbindung mit ws:// geöffnet und bei https:// mit wss://
                      Ich denke, dass es reichen önnte, wenn man im proxy ein URL-Rewrite vornimmt - so wie man es bei einer Weiterleitung von https auf http macht.
                      Der client will ws://xxxxx
                      Server (proxy) antwortet mit 301 moved permanently => wss://xxxxx
                      client holt sich wss://xxxxxx

                      so zumindest bei "normalem" http. Ob das bei websocket so geht, kann ich nicht sicher sagen, glaube aber schon!
                      OpenKNX www.openknx.de | NanoBCU und OpenKNX-HW verfügbar

                      Kommentar

                        #2621
                        Bitte macht doch einen neuen Thread dafür auf... Wird ein bisschen OT hier
                        EDOMI - Intelligente Steuerung und Visualisierung KNX-basierter Elektro-Installationen (http://www.edomi.de)

                        Kommentar

                          #2622
                          Da ist was im Busch... Noch nicht fertig, aber die Richtung stimmt:

                          Bildschirmfoto 2017-09-03 um 08.53.00.png
                          Zuletzt geändert von gaert; 03.09.2017, 08:53.
                          EDOMI - Intelligente Steuerung und Visualisierung KNX-basierter Elektro-Installationen (http://www.edomi.de)
                          • Likes 6

                          Kommentar

                            #2623
                            schick...
                            Die Selbsthilfegruppe "UTF-8-Probleme" trifft sich diesmal abweichend im groüen Saal.

                            Kommentar

                              #2624
                              Top! Wird das "dynamisch" von der .ini generiert? Denn das wäre auch eine tolle Sache wenn man als LBS-Entwickler auf zugehörige LBSxxx.ini Dateien zurück greifen könnte. Denn das würde bei komplexen LBS vieles vereinfachen und teilweise eine Menge Eingänge sparen...

                              Kommentar

                                #2625
                                Die edomi.ini wird ausgelesen und daraus ein "Formular" erstellt. Es bleibt also alles beim Alten - die edomi.ini kann also wie gehabt auch per Texteditor modifiziert werden. Das ist auch gut so, denn ggf. ist nach einer Installation die Adminseite noch gar nicht erreichbar.

                                LBS-INI-Dateien sind m.E. überflüssig, denn ein Rechtsklick auf einen LBS (Konfiguration) öffnet den LBS-Editor - und dort könnte man ggf. doch diverse Parameter im Quelltext verfügbar machen...
                                EDOMI - Intelligente Steuerung und Visualisierung KNX-basierter Elektro-Installationen (http://www.edomi.de)

                                Kommentar

                                Vorherige 1 75 125 165 172 173 174 175 176 177 178 185 203 template Weiter
                                Lädt...
                                X

                                Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                                Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                                Ich stimme zu