TCr82 ja. wie gesagt, er geht dann immer auf port 80 oder 443, aber auf der lokalen ip (nicht via reverse proxy) ist es halt port 2424

warum nicht den reverse proxy auch intern benutzen? Hab ich auch gemacht.
Die Anmeldung kann man ja für interne Zugriffe deaktivieren.
Und alles andere sollte auch kein Problem sein.. Muss sagen dass der Webserver auf dem die Visu läuft auch der Webserver ist der den Reverse Proxy bereitstellt. Deswegen bleibt es auch einfach was fehlersuche angeht.

muss ich mal testen. bei mir sind untersch. kisten. auch aus gründen der sicherheit. mit physikalischer trennung ist mir wohler

Also ich finde das spielt keine Rolle. Auch wenn das Getrennt ist - wenn etwas verwundbar wäre kommt der Böse Hacker trotzdem rein

Die goldenen Regeln sind eigentlich:

- Wenn möglich keinen Standardport verwenden. Ganz besonders kein Port 80 oder 8080 oder so. Https auf Port 443 ist auch nicht unbedingt zu empfehlen. Aber https wird zumindest jetzt *noch* nicht von vielen Scanner-Skripten abgesucht...

- Auf einem Webserver wenn es geht einen Passwortschutz über Basic Auth oder sowas verwenden, dann kann kein Hacker ein Skript angreifen, ausser er kennt das Passwort - natürlich sollte das dann auch ausreichend sicher sein - heisst nicht nur ein sicheres Passwort sondern auch einen sicheren Benutzernamen (also kein admin oder Vorname/Nachname oder etwas aus dem fqdn)

- wenn Skripte verwendet werden die ohne Basic-Auth zugreifbar sind, dann diese nicht in Standardverzeichnissen oder der Root hinterlegen (aka phpmyadmin/webmail oder sonstwas). Dann kann man auch mal ruhigen Gewissens ein Update verschlafen (aber nicht aus lassen). Und auch kein Index oder so auf der Root platzieren, sonnst wären natürlich die ganzen Bemühungen umsonnst.

- das Linux-Betriebsystem auf dem der Webserver läuft sollte aktuell und unter Support stehen und Aktualisierungen automatisch installieren (unter Debian/Ubuntu das Paket unattended-upgrades installieren und konfigurieren). Wer unbedingt MS als OS verwenden will, sollte kein Apache oder so einsetzten, da das nicht automatisch aktualisiert wird! Stattdessen sollte er halt IIS verwenden, wobei da auch PHP nicht aktualisiert wird... also am besten kein MS OS verwenden

- wenn möglich die Rechte des Webservers eingrenzen (AppArmor/SELinux)

Wenn man das Beachtet ist man eigentlich auf der sicheren Seite. Wer noch sicherer sein will der sollte Portknocking einsetzten oder gleich VPN - wobei das wieder dazu führt das die Akzeptanz schwindet und es eine unnötige bürde ist. Wie schon gesagt, solange man sich an die oberen Regeln hält kann ich Garantieren dass man sehr sicher fährt.

TCr82 clientzertifikate sind mir lieber als basic auth. geht nur leider nicht bei jeden dienst... aber für die sv funzt es gut

Naja, solange die Webseite HTTPS geschützt ist, muss man sich den Aufwand nicht an tun, schaden tut er aber auch nicht

Guten Abend!

muss mal vorab hier ein Lob aussprechen - super freundlich und super kompetent hier!

Hab mit lesen (fast) alles hin bekommen und nach ein paar Startschwierigkeiten die SmartVISU (2.9) hinter einem Reverse Proxy zum laufen gebracht - dh. Zugriff incl. schalten von außen funktioniert.
Einziges Problem: alle Anfragen vom Google Kalender (iCal) und Wetter (sowohl Wunderground als auch yr.no) liefern einen "read request failed".

Aufbau: smarthome.NG mit onkelandy image (1.4.2) ; reverse proxy mit nginx auf Raspberry (https://github.com/smarthomeNG/smart...ReverseProxy);
Evt eine Eigenheit bei mir: ddns auf das Modem (huigate von drei) und portweiterleitung (443) auf fritzbox und nochmals (443) zum Reverse Proxy (Ist so, weil die Geräte räumlich getrennt stehen und ich jeweils das wlan nutzen will)

Muss ich evt. noch weitere Ports weiterleiten oder an der nginx config was ändern?
Danke vorab für eure Hilfe!

Wird evtl. der ausgehende Verkehr auch durch eine Firewall blockiert? Das Gerät, auf welchem die smartVISU läuft, muss je nach Dienst per http oder https die Wetter- bzw. Kalenderdaten abrufen können.

Wenn ich den Reverse Proxy in der smartVISU ausschalte funktionieren die Dienste. Kann es sein dass hier nginx ausgehend was blockt?