Ankündigung

Einklappen
Keine Ankündigung bisher.

Amazon Alexa Plugin

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Das LetsEncrypt läuft wieder. Im Wesentlichen habe ich das nach der Anleitung hier gemacht, also ohne webroot usw. Wichtig ist in diesem Fall auch den NGINX-Service zu stoppen.

    https://orioles.de/2019/02/21/zertif...aktualisieren/

    Kommentar


      Hallo Cannon,

      ja, der Restart ist wichtig. Ich habe mal nach
      https://goneuland.de/certbot-lets-en...ian-9-stretch/
      einen Cronjob erstellt, der das Zertifikat jeden Monat erneuern soll. Ich Berichte im September wieder, ob es geklappt hat.

      Gruß Jürgen

      Kommentar


        Zitat von Jürgen Beitrag anzeigen
        einen Cronjob erstellt, der das Zertifikat jeden Monat erneuern soll
        Würde ich auch gern machen. Der Haken an der Sache ist aber, dass du dann Port 80 am Router ja immer offen lassen musst. Wie sicherst du den ab?

        Kommentar


          Hallo Cannon...

          der geht auch auf den NGINX. Wenn der da ein Problem macht, dann ist die Weiterleitung des 443 auf den NGINX wohl ebenso gefährlich, oder?
          Gerne lasse ich mir von einem Netzwerkspezi erklären, welches zusätzliche Risiko ich damit eingehe, ich bin da eher kein Fachmann..

          Gruß Jürgen

          Kommentar


            Zitat von Jürgen Beitrag anzeigen
            ich bin da eher kein Fachmann
            Ich leider auch nicht. Und mir ist nicht ganz klar, welches Problem da überhaupt auftreten könnte. Allerdings läuft mein NGINX auf dem gleichen Raspi, wie auch SmartHomeNG und auch die SmartVISU und da bin ich nicht sicher, ob es da Sicherheitsprobleme geben kann.

            Aber wenn ich so darüber nachdenke ist ja der NGINX aus, während der Zertifikatsaktualisierung. Das heißt aber auch, dass nicht jeglicher Verkehr über den NGINX läuft, denn sonst würde sich das Zertifikat ja auch nicht aktualisieren lassen. Und somit käme man sicherlich auch mit Port 80 überall ran. Nur per SSL geht es durch den NGINX durch.

            Kommentar


              Hallo Cannon,

              "durch" kommst Du, wenn Du im NGINX eine Route definierst, z.B. auf Alexa oder die SmartVISU. Wenn der Proxy "aus" ist (restart), dann antwortet auch niemand auf Port 80, also kommt man nicht "überall ran". Nach meinem Weltbild kommst du mit einer Weiterleitung von Port80 auf den NGINX genau auf dessen Startseite.
              Damit genug des Halbwissens, vielleicht kommt ja noch Input von einem Netzwerkprofi.

              Gruß Jürgen

              Kommentar


                Hallo Jürgen, hallo Cannon,

                man kann an der FB via TR-064 mittels curl aus der shell Ports freigeben und die Freigabe auch wieder entfernen. Siehe hier und hier.
                Falls ihr hierzu eine Lösung realisiert wäre das sicherlich für alle interessant. Eventuell kann man hier auch was beim AVM-Plugin abschauen

                Gruss Andre

                Kommentar


                  Zitat von AndreK Beitrag anzeigen
                  man kann an der FB via TR-064 mittels curl aus der shell Ports freigeben und die Freigabe auch wieder entfernen. Siehe hier und hier.
                  Falls ihr hierzu eine Lösung realisiert wäre das sicherlich für alle interessant. Eventuell kann man hier auch was beim AVM-Plugin abschauen
                  Ich finde den Ansatz toll. Ich habe mir das angeschaut und das ist sicherlich umsetzbar. Ich werde mich damit demnächst mal beschäftigen und das testen.

                  Kommentar


                    Ich hattee das schon produktiv im Einsatz mit upnpc. Das ist auf Debian per apt verfügbar. Damit ist das ein Einzeiler an der Kommandozeile.

                    Aktuell mache ich allerdings

                    Code:
                    do_update_new.sh
                    #!/bin/bash
                    letsencrypt certonly --standalone --http-01-port 90 --preferred-challenges http  --config /etc/letsencrypt/cli.ini -d friedel.my-wan.de  #--webroot-path /var/lib/openmediavault/
                    service nginx restart

                    Zuvor

                    Code:
                    do_update.sh
                    #!/bin/bash
                    service monit stop
                    service nginx stop
                    
                    #Need 443 and 80. 443 is always open for Alexa --> only need to open 80
                    echo "port 80 in Fritzbox öffnen"
                    upnpc -r 80 TCP #> /dev/null 2>&1
                    sleep 20
                    letsencrypt certonly --standalone #--http-01-port 443  #--webroot-path /var/lib/openmediavault/
                    
                    upnpc -d 80 TCP # > /dev/null 2>&1
                    
                    service nginx start
                    ​​

                    Gruß,
                    ​​​​​​​Hendrik
                    Zuletzt geändert von henfri; 15.08.2019, 06:34.

                    Kommentar


                      Zitat von henfri Beitrag anzeigen
                      Ich hattee das schon produktiv im Einsatz mit upnpc
                      Das ist natürlich auch ein Weg. In der Fritz!box muss man dann natürlich noch einstellen "Selbstständige Portfreigaben für dieses Gerät erlauben.".

                      Ich werde das demnächst mal auch so testen. Dann stehen den automatischen Updates nichts mehr im Weg. :-)

                      Kommentar

                      Lädt...
                      X