Ankündigung

Einklappen
Keine Ankündigung bisher.

Amazon Alexa Plugin

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Cannon
    antwortet
    Zitat von gklein Beitrag anzeigen
    nutzt Ihr ggf. TLS-ALPN-01 als challenge-Methode?
    Damit soll 443 ausreichen (hab es auch noch nicht getestet)
    https://community.letsencrypt.org/t/...hallenge/75859
    Tja.... ich teste und teste, aber es funktioniert auch ohne irgendwelche Portfreigaben auf Port 80. Und das macht mich doch etwas stutzig. Als challenge benutzt der selbst "http-01 challenge".

    Einzige Rückmeldung beim Abruf, dass das Zertifikat noch nicht erneuert werden muss, ich es aber dennoch machen kann, was für ein crontab dann ungünstig wäre.

    Einen Kommentar schreiben:


  • gklein
    antwortet
    Hi,

    nutzt Ihr ggf. TLS-ALPN-01 als challenge-Methode?
    Damit soll 443 ausreichen (hab es auch noch nicht getestet)
    https://community.letsencrypt.org/t/...hallenge/75859

    Grüße
    Gunnar

    Einen Kommentar schreiben:


  • henfri
    antwortet
    Reicht 443 vielleicht?​​​​​​

    Einen Kommentar schreiben:


  • Cannon
    antwortet
    Ich habe jetzt ein wenig mehr mit dem certbot getestet. In der Tat und ich kann nicht nachvollziehen warum, muss ich den Port 80 in der Fritz!Box gar nicht öffnen. Es geht auch so. Mir ist nur nicht klar wieso?

    Mit "standalone" geht es übrigens alles fehlerfrei.

    Einen Kommentar schreiben:


  • Cannon
    antwortet
    Zitat von henfri Beitrag anzeigen
    Ich hattee das schon produktiv im Einsatz mit upnpc
    Das ist natürlich auch ein Weg. In der Fritz!box muss man dann natürlich noch einstellen "Selbstständige Portfreigaben für dieses Gerät erlauben.".

    Ich werde das demnächst mal auch so testen. Dann stehen den automatischen Updates nichts mehr im Weg. :-)

    Einen Kommentar schreiben:


  • henfri
    antwortet
    Ich hattee das schon produktiv im Einsatz mit upnpc. Das ist auf Debian per apt verfügbar. Damit ist das ein Einzeiler an der Kommandozeile.

    Aktuell mache ich allerdings

    Code:
    do_update_new.sh
    #!/bin/bash
    letsencrypt certonly --standalone --http-01-port 90 --preferred-challenges http  --config /etc/letsencrypt/cli.ini -d friedel.my-wan.de  #--webroot-path /var/lib/openmediavault/
    service nginx restart

    Zuvor

    Code:
    do_update.sh
    #!/bin/bash
    service monit stop
    service nginx stop
    
    #Need 443 and 80. 443 is always open for Alexa --> only need to open 80
    echo "port 80 in Fritzbox öffnen"
    upnpc -r 80 TCP #> /dev/null 2>&1
    sleep 20
    letsencrypt certonly --standalone #--http-01-port 443  #--webroot-path /var/lib/openmediavault/
    
    upnpc -d 80 TCP # > /dev/null 2>&1
    
    service nginx start
    ​​

    Gruß,
    ​​​​​​​Hendrik
    Zuletzt geändert von henfri; 15.08.2019, 06:34.

    Einen Kommentar schreiben:


  • Cannon
    antwortet
    Zitat von AndreK Beitrag anzeigen
    man kann an der FB via TR-064 mittels curl aus der shell Ports freigeben und die Freigabe auch wieder entfernen. Siehe hier und hier.
    Falls ihr hierzu eine Lösung realisiert wäre das sicherlich für alle interessant. Eventuell kann man hier auch was beim AVM-Plugin abschauen
    Ich finde den Ansatz toll. Ich habe mir das angeschaut und das ist sicherlich umsetzbar. Ich werde mich damit demnächst mal beschäftigen und das testen.

    Einen Kommentar schreiben:


  • AndreK
    antwortet
    Hallo Jürgen, hallo Cannon,

    man kann an der FB via TR-064 mittels curl aus der shell Ports freigeben und die Freigabe auch wieder entfernen. Siehe hier und hier.
    Falls ihr hierzu eine Lösung realisiert wäre das sicherlich für alle interessant. Eventuell kann man hier auch was beim AVM-Plugin abschauen

    Gruss Andre

    Einen Kommentar schreiben:


  • Jürgen
    antwortet
    Hallo Cannon,

    "durch" kommst Du, wenn Du im NGINX eine Route definierst, z.B. auf Alexa oder die SmartVISU. Wenn der Proxy "aus" ist (restart), dann antwortet auch niemand auf Port 80, also kommt man nicht "überall ran". Nach meinem Weltbild kommst du mit einer Weiterleitung von Port80 auf den NGINX genau auf dessen Startseite.
    Damit genug des Halbwissens, vielleicht kommt ja noch Input von einem Netzwerkprofi.

    Gruß Jürgen

    Einen Kommentar schreiben:


  • Cannon
    antwortet
    Zitat von Jürgen Beitrag anzeigen
    ich bin da eher kein Fachmann
    Ich leider auch nicht. Und mir ist nicht ganz klar, welches Problem da überhaupt auftreten könnte. Allerdings läuft mein NGINX auf dem gleichen Raspi, wie auch SmartHomeNG und auch die SmartVISU und da bin ich nicht sicher, ob es da Sicherheitsprobleme geben kann.

    Aber wenn ich so darüber nachdenke ist ja der NGINX aus, während der Zertifikatsaktualisierung. Das heißt aber auch, dass nicht jeglicher Verkehr über den NGINX läuft, denn sonst würde sich das Zertifikat ja auch nicht aktualisieren lassen. Und somit käme man sicherlich auch mit Port 80 überall ran. Nur per SSL geht es durch den NGINX durch.

    Einen Kommentar schreiben:


  • Jürgen
    antwortet
    Hallo Cannon...

    der geht auch auf den NGINX. Wenn der da ein Problem macht, dann ist die Weiterleitung des 443 auf den NGINX wohl ebenso gefährlich, oder?
    Gerne lasse ich mir von einem Netzwerkspezi erklären, welches zusätzliche Risiko ich damit eingehe, ich bin da eher kein Fachmann..

    Gruß Jürgen

    Einen Kommentar schreiben:


  • Cannon
    antwortet
    Zitat von Jürgen Beitrag anzeigen
    einen Cronjob erstellt, der das Zertifikat jeden Monat erneuern soll
    Würde ich auch gern machen. Der Haken an der Sache ist aber, dass du dann Port 80 am Router ja immer offen lassen musst. Wie sicherst du den ab?

    Einen Kommentar schreiben:


  • Jürgen
    antwortet
    Hallo Cannon,

    ja, der Restart ist wichtig. Ich habe mal nach
    https://goneuland.de/certbot-lets-en...ian-9-stretch/
    einen Cronjob erstellt, der das Zertifikat jeden Monat erneuern soll. Ich Berichte im September wieder, ob es geklappt hat.

    Gruß Jürgen

    Einen Kommentar schreiben:


  • Cannon
    antwortet
    Das LetsEncrypt läuft wieder. Im Wesentlichen habe ich das nach der Anleitung hier gemacht, also ohne webroot usw. Wichtig ist in diesem Fall auch den NGINX-Service zu stoppen.

    https://orioles.de/2019/02/21/zertif...aktualisieren/

    Einen Kommentar schreiben:


  • AndreK
    antwortet
    psilo Ist erledigt

    Einen Kommentar schreiben:

Lädt...
X