Wenn dies dein erster Besuch hier ist, lies bitte zuerst die Hilfe - Häufig gestellte Fragen durch. Du musst dich vermutlich registrieren, bevor du Beiträge verfassen kannst. Klicke oben auf 'Registrieren', um den Registrierungsprozess zu starten. Du kannst auch jetzt schon Beiträge lesen. Suche dir einfach das Forum aus, das dich am meisten interessiert.
Melde mich gerne nochmals, ja weiss ich, und? Die Zugriffe auf den HS selbst erfolgen ja schon auf dem HS via einen HA-Proxy. Da kümmert der verwendete Kernel recht wenig.
Den Threadtitel und meine Posts hast Du schon gelesen oder? Von direkt im Internet spricht niemand und ein Nginx Reverse-Proxy kann vorzügliches TLS 1.3
Mal von außen aufs Image geguckt: Der aktuelle HS (4.11.1) läuft auf Linux 4.9, das ist erst EoL im Januar 2023. Es ist ne Busybox 1.22.0 (unstable - nicht 1.22.1 (stable)), in der mehrere Squash-FS Images RO sowie lokale Verzeichnisse wie der Remanentspeicher zu einem System zusammengesteckt und dann gestartet werden. Es gibt zwar mehrere user (root, hs und einen gast), es scheint aber alles mit root gestartet zu werden.
Scheint auf einem Debian 9 - Stretch (noch als Oldstable maintained) zu basieren. Statt aber auf 9u9 zu sein, sind sie auf 9u4 verblieben. (Für alle die sich freuen, dass sie dann vermutlich dann auf Debian Stable (10) gehen und dann Python 3 kommt? Nein. Python 2.7 fliegt erst mit 11 raus.
Es ist auf den ersten Blick recht intransparent, was da passiert. Das kann aber auch an mir liegen. Es werden div. Dinge gemounted, dann chrootet und dann zwei dicke Blobs startet. Diese sind statisch gelinkt und laufen parallel. Wirkt auf mich so, dass sie sehr viel im Bauch haben und z.B. die http2/apache-Settings dynamisch generieren. Teile daraus kommen aus der großen Konfiguration aus dem Experten (stamm.dat). Vorteil: Jede Datei scheint einzeln für den Apache benannt zu werden und keine Verzeichnisse.
Es ist nicht falsch was sie da tun, es ist nur nicht einsichtig und Libraries nicht State of the Art. Würde ihn daher nicht ans Internet hängen. Zudem kann man über http auch ohne Auth das Sonos verstellen. Ggf. hilft hier via Reverse-Proxy nur "/opt/quad/" als Pfad zu erlauben, wenn man sich nicht vom ans Internet hängen abbringen lässt.
Ich habe kapituliert und mir ein ise KNX Remote Access für den QC Fernzugriff geholt, war günstiger als der S1. Eine zertifikatsbasierte Authentifizierung mittels der QC App auf Android hatte ich faktisch ausgeschlossen, daher rechnet es sich (für mich) nicht da noch mehr Zeit zu investieren.
Ich publishe daher nur Grafana Seiten und mein PRTG Monitoring via Reverse Proxy.
nachdem ich grade den ganzen Tag auf das Thema verschwendet habe und kurz vorm Ziel dann festgestellt habe, dass es grundlegend niemals funktionieren wird hier die Erklärung, damit sich andere die Zeit sparen können:
Es ist absolut möglich den HS hinter einem Reverse Proxy erreichbar zu machen (habe das mit einem Apache 2.4) hinbekommen
Es ist auch durchaus möglich diesen Zugriff per zertifikatsbasierter Client-Authentication abzusichern. Auch das habe ich noch hinbekommen
--> Jetzt kann ich direkt von meinem iPhone via LTE mit Zertifikat authentifiziert im Safari Browser auf den HS zugreifen und z.B. die HSLIST anschauen.... Jippie!!!
So, nun noch schnell in der HomeServer App das Zertifikat.... 🤬 natürlich funktioniert das nicht. Unter iOS (vermutlich Android genauso) können nur native Apple Apps auf den Cert Store und damit das Client Cert zugreifen. Andere Apps müssten einen eigenen Cert-Store implementieren und die Certs selbst verwalten - und das wird Gira natürlich niemals tun, sie wollen ja den S1 verkaufen.... Also Thema tot.
Ich hatte mir gedacht, dass ich sofern die Lösung mal läuft auch mit der Synology App auf meine Surveillance Station zugreifen kann... hier natürlich genau gleiches Problem, die App kann keine zertifikatsbasierte Client-Auth.
Damit also ein Haufen Zeit verschwendet... naja, wenigstens bissl was gelernt und wieder einen Misserfolg schlauer.
Dann schau ich mal wo ich nen S1 her bekomme.
Ergänzung: Für alle, die einfach auf die Browser Visu zugreifen wollen - Das ist so absolut realisierbar! Ich nutze die nicht, habe bisher nur Zeit gehabt den QuadClient einzurichten...
VG
Stephan
Zuletzt geändert von strupp3003; 26.08.2022, 16:33.
Da ich doch noch nicht davon überzeugt bin die 500€ für den S1 rauszuwerfen habe ich nach anderen Möglichkeiten gesucht und bin auf das Thema VPN-on-demand gestoßen.
Man kann sich am Mac ein VPN-Profil (simples XLM) basteln und das auf seine iOS Geräte übertragen. Darin kann man bestimmte Regeln angeben, wann das VPN automatisch auf- und abgebaut werden soll. Beispielsweise kann die domain homeserver.mydomain.com dort eingetragen werden. Das iOS prüft dann ob die domain erreichbar (bzw. öffentlich registriert) ist, wenn nicht baut es automatisch ein VPN auf... dauert zwar einen Moment bis die VPN Verbindung steht (nutze IPSec auf einer pFSense Firewall), ist dafür aber kostenlos realisierbar, genauso nutzerfreundlich und sicherer als der Zugriff via S1.
Habe es mit der Synology App schon zum laufen bekommen, die HomeServer App zickt aktuell noch rum. Wenn ich es schaffe melde ich mich mit einem Bericht...
Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.
Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.
Kommentar