Ankündigung

Einklappen
Keine Ankündigung bisher.

Visu Zugriff von außen

Einklappen
Dieses Thema ist geschlossen.
X
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    [wiregate] Visu Zugriff von außen

    Hallo, ich möchte zunächst folgendes realisieren:
    Erstmal Visu Zugriff von außen (i-Geräte, PCs, und Symbian)
    und dann im zweiten Schritt eine richtige VPN-Verbindung.

    Da iPhone und Symbian kein OpenVPN kann, und mein Cisco small Businines Router das auch nicht kann muss das wohl zunächst mal anderst gehen.

    Ich dachte da an was Browserbasiertes, habt ihr da Ideen für was sicheres?
    Im Schlimmsten Fall würd ich den Visu-Ordner mit htaccess schützen, aber das ist doch zu unsicher oder?


    Gruß
    David
    Stichworte: -
    #2
    Zitat von daviid Beitrag anzeigen
    Ich dachte da an was Browserbasiertes, habt ihr da Ideen für was sicheres?
    Im Schlimmsten Fall würd ich den Visu-Ordner mit htaccess schützen, aber das ist doch zu unsicher oder?
    Ist bei mir zwar unabhängig von Wiregate und von Comet Visu: ich setze für solche Anforderungen einen Apache SSL-Webserver als Reverse-Proxy mit lokaler Authentisierung auf einem separaten Access Point mit OpenWrt ein, mit Port Forwarding auf dem NAT-Router. Darüber lassen sich mehrere interne Webserver über eine einzige öffentliche IP-Adresse ansprechen und das separate Device würde im Ereignisfall recht zuverlässig Attacken von den internen Services fernhalten. Wenn man mag, kann man seine eigene Root CA erstellen, welche das Serverzertifikat signiert und das Zertifikat der Root CA könnte man auf allen Zugriffs-Geräten importieren.

    Gruss, Othmar
    EIB/KNX, VISU mit knxd + linknx + knxweb, Steuerbefehle via SMS und Email mit postfix + procmail

    Kommentar

      #3
      Nun der offizielle weg ist das Onboard-VPN, alles andere ist brutal erklärungsbedüftig, kompliziert oder gern auch beides.. Und Fehlerträchtig (eine Zeile: grosse Wirkung)

      Wenn weiss was man tut, kann man viel machen
      Es gibt hier eine sehr grobe Anleitung für den Reverse SSL-Proxy (eignet sich aber eher für andere interne Server wie HS)

      In jedem Fall muss aber der interne Webserver erst komplett abgedichtet werden, der ist relativ offen, damit ich nicht den anderen 95% aufwändig erklären muss, wie sie draufkommen
      Das führt aber vom hundertsten ins tausendste, letztlich müsste man die config vom 29.11.2010 nämlich schon wieder um aktuelle Problemlösungen zum Thema SSL ergänzen, das ist kaum zu leisten bei einem GW für 300.- EUR.. Die richtige SW (sowohl openssl, lighttpd als auch Apache sind im Repo seit langem gepatched!) kann ich liefern aber dann hörts auf..

      Makki
      EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
      -> Bitte KEINE PNs!

      Kommentar

        #4
        Makki, nach dem Firegate, vielleicht ein Access-Gate?
        Derzeit zwischen Kistenauspacken und Garten anlegen.
        Baublog im Profil.

        Kommentar

          #5
          Nun, das gibts mit dem WireGate+config oder dem IP-Extender (ist ja OpenWRT wie wir wissen) schon - theoretisch..

          Praktisch muss man es Otto-Normalverbraucher auch - in kurz - erklärt bekommen, da liegt eher der Hase im Pfeffer
          Und dann warten&pflegen, pemanent (mit dem integrierten VPN-Server kann ich das halbwegs gewährleisten..)
          Letztlich ziehe ich mich da aber gerne auf eines meiner Liebingszitate von Bruce Schneier zurück:
          Security is a process - not a product
          Böse gesagt, wir machen sowas ja, ab 95€/Monat

          Makki
          EIB/KNX & WireGate & HS3, Russound,mpd,vdr,DM8000, DALI, DMX
          -> Bitte KEINE PNs!

          Kommentar

          Vorherige template Weiter
          Lädt...
          X

          Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

          Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

          Ich stimme zu