ist die smartvisu auf der ziel ip via http oder https erreichbar?
Ankündigung
Einklappen
Keine Ankündigung bisher.
Reverse Proxy
Einklappen
X
-
Falls jemand meine Meinung hören will: Genau so würde ich es auch machen, wenn alles auf einem Gerät sein soll.Zitat von psilo Beitrag anzeigenstarte den apache doch mit port 80 (ist er wahrsch. sowieso) und lass nginx auf 443. und aender die weiterleitung auf http. dann sollte es jetzt schon gehen
Auch bei getrennten Systemen kannst du innerhalb des LAN auf HTTPS verzichten, falls du keine internen Angriffe befürchten musst.
In beiden Fällen dann nach aussen im Router bzw. der Firewall natürlich nur Port 443 des nginx durchlassen.
- Likes 1
Kommentar
-
smai Kannst du dazu auch etwas sagen? Besteht der Bug im atktuellen Master noch?Zitat von psilo Beitrag anzeigendann gab es da noch einen bug mit der konfiguration und dem smarthome_io treiber. ich weiss nicht, ob smai das inzwischen behoben hat? ich musste den 443er auch noch direkt in den driver reinschreiben
Gruß,Max
Kommentar
-
Hi, da ich das ganze mittlerweile mal mit apache2 nachgebaut habe, wollte ich euch damit auch erhellen - sicher kanns der ein oder andere gebrauchen.
Damit wird für den kompletten Webserver bei zugriffen von EXTERN ein Basic Auth geschalten, das MUSS natürlich über eine HTTPS Webseite laufen, damit es auch sicher ist (darauf will ich hier aber jetzt nicht eingehen). Die Interne Ausnahme ist mit dem "Allow from ..." realisiert. Die Ordner die auch ohne Basic-Auth abrufbar sein sollen, einfach wie hier mit dem /public-folder "freischalten".Code:<IfModule mod_rewrite.c> RewriteEngine on <IfModule mod_proxy.c> ProxyPreserveHost On ProxyVia On # socket.io 1.0+ starts all connections with an HTTP polling request RewriteCond %{QUERY_STRING} transport=polling [NC] RewriteRule /(.*) http://localhost:2424/$1 [P] # When socket.io wants to initiate a WebSocket connection, it sends an # "upgrade: websocket" request that should be transferred to ws:// RewriteCond %{HTTP:Upgrade} websocket [NC] RewriteRule /(.*) ws://localhost:2424/$1 [P] </IfModule> </IfModule> <Location /> AuthName "Private" AuthType Basic AuthUserFile /etc/apache2/htpasswd Order allow,deny Require valid-user Allow from 192.168.0.0/16 2a02:XXXX:XXX:XXX::/64 fd00:XXXX:XXXX:XXXX::/64 fe80::/64 Satisfy any </Location> <Location /public-folder> Satisfy any </Location>
Ich hab da mal an die anderen noch eine Frage, die das noch umgesetzt haben. Im Web-Backend von sh.ng sieh man als Client so leider nur localhost. Kann man das durch einen Header ändern? Oder müsste man dazu was an sh.ng anpassen?
Zu dem Trennen der Systeme kann ich für mich sagen - unnötig - weil es bringt auch nicht unbedingt mehr Sicherheit und frisst somit nur mehr Strom.
GrußZuletzt geändert von TCr82; 27.09.2017, 21:20.
Kommentar


Kommentar