Ankündigung

Einklappen
Keine Ankündigung bisher.

GiraHS Quad Client hinter einem Reverse Proxy

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    #16
    Melde mich gerne nochmals, ja weiss ich, und? Die Zugriffe auf den HS selbst erfolgen ja schon auf dem HS via einen HA-Proxy. Da kümmert der verwendete Kernel recht wenig.
    Den Threadtitel und meine Posts hast Du schon gelesen oder? Von direkt im Internet spricht niemand und ein Nginx Reverse-Proxy kann vorzügliches TLS 1.3
    Gruss Daniel

    Kommentar


      #17
      Mal von außen aufs Image geguckt: Der aktuelle HS (4.11.1) läuft auf Linux 4.9, das ist erst EoL im Januar 2023. Es ist ne Busybox 1.22.0 (unstable - nicht 1.22.1 (stable)), in der mehrere Squash-FS Images RO sowie lokale Verzeichnisse wie der Remanentspeicher zu einem System zusammengesteckt und dann gestartet werden. Es gibt zwar mehrere user (root, hs und einen gast), es scheint aber alles mit root gestartet zu werden.

      Scheint auf einem Debian 9 - Stretch (noch als Oldstable maintained) zu basieren. Statt aber auf 9u9 zu sein, sind sie auf 9u4 verblieben. (Für alle die sich freuen, dass sie dann vermutlich dann auf Debian Stable (10) gehen und dann Python 3 kommt? Nein. Python 2.7 fliegt erst mit 11 raus.

      Es ist auf den ersten Blick recht intransparent, was da passiert. Das kann aber auch an mir liegen. Es werden div. Dinge gemounted, dann chrootet und dann zwei dicke Blobs startet. Diese sind statisch gelinkt und laufen parallel. Wirkt auf mich so, dass sie sehr viel im Bauch haben und z.B. die http2/apache-Settings dynamisch generieren. Teile daraus kommen aus der großen Konfiguration aus dem Experten (stamm.dat). Vorteil: Jede Datei scheint einzeln für den Apache benannt zu werden und keine Verzeichnisse.

      Es ist nicht falsch was sie da tun, es ist nur nicht einsichtig und Libraries nicht State of the Art. Würde ihn daher nicht ans Internet hängen. Zudem kann man über http auch ohne Auth das Sonos verstellen. Ggf. hilft hier via Reverse-Proxy nur "/opt/quad/" als Pfad zu erlauben, wenn man sich nicht vom ans Internet hängen abbringen lässt.

      Kommentar


        #18
        Nachdem der Thread ein wenig abgedriftet ist, hoffe ich hiermit wieder auf das Thema zurück zu kommen:

        Hat es schonmal jemand geschafft, den QC hinter einem Reverse Proxy zu betreiben?

        Irgendwie will mich mit dem Gedanken für ein zusätzliches Gerät mit dem S1 anfreunden....

        Jemand eine Idee, ich kann gerne Tests und Traces anbieten.

        Danke

        Kommentar


          #19
          Ich habe kapituliert und mir ein ise KNX Remote Access für den QC Fernzugriff geholt, war günstiger als der S1. Eine zertifikatsbasierte Authentifizierung mittels der QC App auf Android hatte ich faktisch ausgeschlossen, daher rechnet es sich (für mich) nicht da noch mehr Zeit zu investieren.
          Ich publishe daher nur Grafana Seiten und mein PRTG Monitoring via Reverse Proxy.
          Gruss Daniel

          Kommentar


            #20
            Hallo Zusammen,

            nachdem ich grade den ganzen Tag auf das Thema verschwendet habe und kurz vorm Ziel dann festgestellt habe, dass es grundlegend niemals funktionieren wird hier die Erklärung, damit sich andere die Zeit sparen können:
            • Es ist absolut möglich den HS hinter einem Reverse Proxy erreichbar zu machen (habe das mit einem Apache 2.4) hinbekommen
            • Es ist auch durchaus möglich diesen Zugriff per zertifikatsbasierter Client-Authentication abzusichern. Auch das habe ich noch hinbekommen
              --> Jetzt kann ich direkt von meinem iPhone via LTE mit Zertifikat authentifiziert im Safari Browser auf den HS zugreifen und z.B. die HSLIST anschauen.... Jippie!!!
            • So, nun noch schnell in der HomeServer App das Zertifikat.... 🤬 natürlich funktioniert das nicht. Unter iOS (vermutlich Android genauso) können nur native Apple Apps auf den Cert Store und damit das Client Cert zugreifen. Andere Apps müssten einen eigenen Cert-Store implementieren und die Certs selbst verwalten - und das wird Gira natürlich niemals tun, sie wollen ja den S1 verkaufen.... Also Thema tot.
            • Ich hatte mir gedacht, dass ich sofern die Lösung mal läuft auch mit der Synology App auf meine Surveillance Station zugreifen kann... hier natürlich genau gleiches Problem, die App kann keine zertifikatsbasierte Client-Auth.
            Damit also ein Haufen Zeit verschwendet... naja, wenigstens bissl was gelernt und wieder einen Misserfolg schlauer.
            Dann schau ich mal wo ich nen S1 her bekomme.

            Ergänzung: Für alle, die einfach auf die Browser Visu zugreifen wollen - Das ist so absolut realisierbar! Ich nutze die nicht, habe bisher nur Zeit gehabt den QuadClient einzurichten...

            VG
            Stephan
            Zuletzt geändert von strupp3003; 26.08.2022, 16:33.

            Kommentar


              #21
              Nochmal ein Follow-Up zu dem Thema Fernzugriff:

              Da ich doch noch nicht davon überzeugt bin die 500€ für den S1 rauszuwerfen habe ich nach anderen Möglichkeiten gesucht und bin auf das Thema VPN-on-demand gestoßen.
              Man kann sich am Mac ein VPN-Profil (simples XLM) basteln und das auf seine iOS Geräte übertragen. Darin kann man bestimmte Regeln angeben, wann das VPN automatisch auf- und abgebaut werden soll. Beispielsweise kann die domain homeserver.mydomain.com dort eingetragen werden. Das iOS prüft dann ob die domain erreichbar (bzw. öffentlich registriert) ist, wenn nicht baut es automatisch ein VPN auf... dauert zwar einen Moment bis die VPN Verbindung steht (nutze IPSec auf einer pFSense Firewall), ist dafür aber kostenlos realisierbar, genauso nutzerfreundlich und sicherer als der Zugriff via S1.

              Habe es mit der Synology App schon zum laufen bekommen, die HomeServer App zickt aktuell noch rum. Wenn ich es schaffe melde ich mich mit einem Bericht...

              Kommentar


                #22
                Das wird wohl auch so bleiben, die Gira App unterstützt das meines Wissens nicht. Ist aber bestimmt nur Zufall.

                Kommentar


                  #23
                  Hallo Stephan,

                  ich habe mit VPN-on-Demand leider keinen Erfolg. Sobald ich die URL im Safari angeben, wird die VPN-Verbindung aufgebaut, per App geht es nicht.

                  Scheint aber ein generelles Thema zu sein, habe es auch mit einer Remote Desktop App versucht, auch die initiiert nichts.

                  Hier der Thread und meine Config: https://knx-user-forum.de/forum/öffe...68#post1788368

                  Viele Grüsse
                  Stefan

                  Kommentar

                  Lädt...
                  X