Ankündigung

Einklappen
Keine Ankündigung bisher.

GiraHS Quad Client hinter einem Reverse Proxy

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    HS/FS GiraHS Quad Client hinter einem Reverse Proxy

    Hallo!

    Ich würde gerne über einen Reverse Proxy (nginx) mit der Gira Quad Client Software/App auf meinen älteren Gira HomeServer 3 zugreifen. Hat das schon mal jemand hin bekommen? Auf die "normale" http-Seite komme ich, aber leider klappt es nicht mit dem Quadclient. Nach dem starten der Software sehe ich wohl unter Client-Gateway, dass es eine Verbindungsaufnahme gibt, aber er lädt nicht weiter.

    #2
    Bist du hier bereits weitergekommen?

    es gab hier mal einen Thread zu Apache2 und Reverse Proxy...

    wie es jetzt aber mit der Verbindung zum quadclient aussieht.....?

    mich würde mal interessieren, ob die Möglichkeit besteht die HomeServer App via iPhone über einen Reverse Proxy mit Zertifikat , zu kontaktieren? Dann könnte man sich nämlich hier auch den VPN sparen. Hat das mal jemand ausprobiert?
    Zuletzt geändert von Shine120; 01.01.2021, 12:48.

    Kommentar


      #3
      Hallo Shine210,

      leider Nein.

      Habe auch nicht weiter herum experimentiert. Wenn man sich jedoch mal die Dateien des Gira S1 anschaut, so meine ich daraus lesen zu können, dass dort auch ein nginx genutzt wird. Was mich zu der Annahme führt, dass es vielleicht doch gehen müsste.

      Kann dieses vielleicht jemand bestätigen und oder widerlegen?

      Grob würde ich vermuten, dass es so läuft, dass ein S1 einen Reverse Proxy beinhaltet, der dann mit einem OpenVPN Client den Gira Server von sich aus kontaktiert und dort auf dem Server auch wieder ein Revers Proxy läuft, der dann die Verbindung zum Reverse Proxy des einzelnen S1 aufnimmt (über den OpenVPN Tunnel), der dann sich die Daten von den unterschiedlichen Web-Servern im lokalen Netz holt. Ist aber nur eine Vermutung.

      Kommentar


        #4
        Ja, normal sollten sich ja die Funktionen des S1 auch auf eine andere Art abbilden lassen. Vielleicht kann das ja mal jemand im Detail "skizzieren"...

        Kommentar


          #5
          Zitat von Shine120 Beitrag anzeigen
          Ja, normal sollten sich ja die Funktionen des S1 auch auf eine andere Art abbilden lassen. Vielleicht kann das ja mal jemand im Detail "skizzieren"...
          Vielleicht solltest Du ja mal bei Gira nachfragen

          Kommentar


            #6
            Hallo zusammen,
            im Prinzip hatte ich genau die selbe Idee und stehe vor dem selben Problem. Gibt es mit dem Projekt schon Neuigkeiten?

            Zitat von BigMc Beitrag anzeigen
            Hallo!
            Ich würde gerne über einen Reverse Proxy (nginx) mit der Gira Quad Client Software/App auf meinen älteren Gira HomeServer 3 zugreifen. Hat das schon mal jemand hin bekommen? Auf die "normale" http-Seite komme ich, aber leider klappt es nicht mit dem Quadclient. Nach dem starten der Software sehe ich wohl unter Client-Gateway, dass es eine Verbindungsaufnahme gibt, aber er lädt nicht weiter.
            Der Zugriff per HTTP und HTTPS auf den HS3 funktioniert über die externe Domain (https://xURLx/hs).
            Über die APP (Android) funktioniert es bei mir weder über den Port 80 noch 443. Die Verbindung testet beide Ports und kann sich auf keinem connecten.

            Die Verbindung kann mit der APP über eine interne Verbindung oder über Portweiterleitung auf Port 80 (unsicher) erfolgreich hergestellt werden.

            Mich verwundert es, dass ich mit der APP noch nicht mal über den nginx über Port 80 auf den HS zugreifen kann. Das müsste doch auf jeden Fall funktionieren.
            Ich vermute deshalb das Problem eher auf Seite des nginx oder in der APP, denn eigentlich dürfte das doch nichts mit dem HS zu tun haben?

            Falls jemand eine Idee hat, wie wir mit Traces oder LOGs das Problem eingrenzen, kann ich hier gerne mitwirken.

            Viele Grüße
            TimmK

            Kommentar


              #7
              Guten Morgen,

              habe das Thema nicht mehr weiter verfolgt. Finde es aber immer noch sehr interessant. Ziel wäre es, was ähnliches zu schaffen, wie den S1(oder ISE), jedoch komplett als freie Software und nur über eigene Server laufen zu lassen.

              Kommentar


                #8
                Hallo BigMc,

                ich wäre dabei, bin mir nur nicht sicher, wie wir das Thema angehen sollen, bin nicht wirklich ein Experte mit HTTP/HTTPS.
                Infrastruktur mit HS3, Fester IP, RemoteProxy (nginx) wäre vorhanden. Wäre auch gerne zum Testen bereit.

                Ich verstehe nicht so richtig, warum es über den Browser funktioniert und über die APP nicht. Läuft ja beides über den P80? Zumal es ja über die Port-Weiterleitung funktioniert. DH für die APP und für den HS ist es ja eigentlich das selbe (Port-Weiterleitung oder Reverse Proxy) ?!?

                Kennt sich jemand mit dem Protokoll der APP aus oder kann sich das Phänomen erklären?
                Danke und einen schönen Tag

                Kommentar


                  #9
                  Ich versuche mich auch gerade daran. Wir brauchen einen Mitschnitt des Traffics. Port 80 wird wohl gar nicht benutzt darum geht es auch nicht mit Port 80.
                  Die App scheint im Pfad /quad zu arbeiten.
                  Gruss Daniel

                  Kommentar


                    #10
                    Hallo abeggled,

                    ich hatte heute morgen die selbe Idee :-)

                    Es gibt bei mir im Mitschnitt einen Unterschied nach dem GET /QUAD/LOGIN:

                    Direkte Verbindung:
                    HTML-Code:
                    .100||.90|USER|.91|280321756|.92|PW|.93|1643529480.57.71.797381863|1642869329.1|7|0|0|| 000AB3021760|20220122172022019.99||.99||.94||.2|1098|1.0|0.2|1099|1.0|0.2|1100|1.0|0.2|1101|1.0| 0.2|1102|1.0|0.2|1103|1.0|0.2|1104|1.0|0.2|1105|1. 0|0.2|1106|1.0|0.2|1107|1.0|0.2|1108|0.0|0.2|2490| 23.1|0.2|2493|27.1|0.2|2825|0.0|0.2|2828|0.0|0.2|3 252|1.0|0.2|3253|1.0|0.2|3254|1.0|0.2|3255|1.0|0.2 |3256|0.0|0.2|3257|0.0|0.2|3654|0.0|0.2|3740|0.0|0 .2|4387|100.0|0.2|4389|100.0|0.2|4391|100.0|0.2|43 93|100.0|0.2|4397|100.0|0.2|4399|100.0|0.2|4401|10 0.0|0.2|4824|1.0|0.2|5259|8.0|0.2|7923|0.0|0.2|792 6|1.0|0.2|7929|0.0|0.2|8016|0.0|0.2|8487|4.4|0.2|9 140|0.0|0.2|9141|0.0|0.2|10889|1.0|0.2|11015|80.0| 0.2|11020|1.0|0.2|11299|22.6|0.2|11302|23.5|0.2|11 304|0.0|0.2|11306|0.0|0.2|11307|0.0|0.2|11311|0.0| 0.2|11316|21.8|0.2|11319|21.5|0.2|11321|0.0|0.2|11 323|0.0|0.2|11324|0.0|0.2|11328|0.0|0.2|11333|20.0 |0.2|11336|19.0|0.2|11338|0.0|0.2|11340|0.0|0.2|11 341|0.0|0.2|11345|0.0|0.2|11350|22.1|0.2|11353|22. 0|0.2|11355|0.0|0.2|11357|0.0|0.2|11358|0.0|0.2|11 362|0.0|0.2|11367|0.0|0.2|11508|0.0|0.10|100000007 0|0|5|5.11|1000000070|1|11111111000001300150000001 2.11|1000000070|2|11111111000001301000000002.11|10 00000070|3|111111000000001060000000012.11|10000000 70|4|111111000000001090000000001.11|1000000070|5|1 0000011000000110000000001.10|1000000104|0|0|0.10|1 000000080|1|1|1.11|1000000080|1|111111110000001085 700000014.95||.99||.99||.
                    Proxy-Verbindung:
                    HTML-Code:
                    .<html>
                    <head><title>404 Not Found</title></head>
                    <body>
                    <center><h1>404 Not Found</h1></center>
                    <hr><center>openresty</center>
                    </body>
                    </html>
                    99||.
                    Ich habe von beiden Szenarien (einmal über einen einfachen Portforward und über den Proxy) einen Mitschnitt erstellt (Wireshark pcapng-File). Allerdings mit Wireshark nicht wirklich fit. Kann das jemand interpretieren?

                    Aufgrund Datensicherheit möchte ich diese hier nicht ungeschützt veröffentlichen.
                    Falls Du mit den Mitschnitten was anfangen kannst, kann ich diese gerne vertraulich zur Verfügung stellen.

                    Danke Timm_K
                    Zuletzt geändert von TimmK; 30.01.2022, 09:47.

                    Kommentar


                      #11
                      Kurz eingeworfen, dass ein reverseproxy nicht viel Sicherheit hinzufügt. Das einzige was ihr sicherstellt ist, dass der HS keinen Bug in der TCP oder dem SSL handshakes hat. Alles auf http ist quasi gleich unsicher.
                      Ihr könnt nun noch http Verben abschalten, aber viele Sicherheitslücken beruhen einfach auf falscher Methoden-/URL-Sicherheit.
                      Einzig ihr baut ne eigene Auth davor, was dann aber im Quadclient in meinen Augen nicht mehr geht.

                      Ich rate dringend davon ab. Das ist ne Kiste für Elektriker und aus der Zeit gefallen. Da sind 15 Jahre IT vorbeigezogen. Ich schätze, das Teil hat noch nie einen Pentest gesehen.
                      Das gehört nicht ans Internet. Nutzt ein VPN oder S1 oder ähnliche VPN-Ähnliche Lösungen. Aber schraubt weder unmittelbar noch mittelbar den http Endpunkt ans Internet!

                      Wenn ihr dahinter keine VLANs habt, hangelt sich ein Angreifer auch direkt weiter.

                      Kommentar


                        #12
                        Im Endausbau, sollte zumindest bei mir, genau der Auth Teil mittels Zertifikaten gelöst werden.
                        Auf dem PC ist VPN kein Thema, auf Android leider in der 12. Version immer noch eine Plage.
                        Ich investiere nun noch max. 5 Stunden und es klappt oder ich kaufe mir einen S1, bzw, das "Original" (ISE).
                        Und ja mein Netzwerk ist zonentechnisch korrekt aufgebaut
                        Gruss Daniel

                        Kommentar


                          #13
                          SvenB full ack, das was mit der 'neuesten' HS firmware so mitgeliefert wird, war bis jetzt immer bei allen packetmanagern als 'deprecated' markiert. Man konnte also sicher sein, das alle bis dahin bekannten Sicherheitslücken auf dem HS installiert wurden. Wie es aktuell ausschaut weis ich aber nicht, wird sich aber nichts geändert haben.

                          Kommentar


                            #14
                            vento66 Micha hier mal ein aktueller Nessus Scan meines HS4 mit 4.11.1.210701

                            nessus scan hs4.png

                            Das einzige was höher als Info ist, ist das Zertifikat welches in meinem Fall von einer internen CA kommt. So schlimm wie Du es gerne darstellen möchtest ist es nicht.
                            Gruss Daniel

                            Kommentar


                              #15
                              dann schau doch mal was für ein OS auf der Kiste läuft, und dann meld Dich nochmal! Und komischerweise sehe ich auch kein TLS 1.3 Wie auch, man hat ja erst TLS 1.2 eingeführt.....

                              Und hier: https://www.cvedetails.com/vulnerabi...ernel-2.6.html

                              EOL für den Kernel war ja erst 2014 also alles nix tragisches, kann man so ins Internet stellen!
                              Zuletzt geändert von vento66; 30.01.2022, 21:30.

                              Kommentar

                              Lädt...
                              X