SSL Verschlüsselung und DynDNS

broadway · 23 Februar 2013, 18:47:33

Hallo,

ich habe erfolgreich eine Verbindung von einem externen PC über den Dienst no-ip.org zu FHEM aufgebaut. Im Router ist eine entsprechende Port Weiterleitung definiert. FHEM ist bei mir also von überall über http://meinName.no-ip.org erreichbar.

Nun möchte ich die SSL Verschlüsselung aktivieren. Hierzu habe ich nach Anleitung auf meinem FHEM-Server ein Zertifikat erstellt. Wenn ich dann das HHTPS Attribut von FHEM Web auf 1 setze, kann ich lokal über https://<ipadresse>:8083/fhem eine sichere Verbindung aufbauen.

Allerdings funktioniert dies dann nicht mehr über meinen no-ip alias. Selbst wenn ich angebe https://meinName.no-ip.org, also explizit https, funktioniert es nicht. Weiß jemand, an welcher Stelle ich hier eingreifen muss? Der Router, der no-ip Dienst oder FHEM selbst?

Markus Bloch · 23 Februar 2013, 19:01:28

Hallo broadway,

klingt für mich schwer nach einer fehlenden Portweiterleitung von TCP Port 443 (HTTPS).

Viele Grüße

Markus

crissiloop · 27 Februar 2013, 08:07:48

Zitat von: Markus Bloch schrieb am Sa, 23 Februar 2013 19:01Hallo broadway,

klingt für mich schwer nach einer fehlenden Portweiterleitung von TCP Port 443 (HTTPS).

Viele Grüße

Markus

Also ich habe auch nur den Port 8083 intern weitergeleitet durch Änderung der ar7.cfg, wie im Wiki beschrieben und es funktioniert. Also ohne Weiterleitung von Port 443. (dies wäre ja nur der Standardport für SSL. Aber wir sagen ja explizit, dass wir über 8083 gehen)

Ich weiß nicht, ob jeder DynDNS-Dienst HTTPS unterstützt? Bei dyndns.org klappt es.
Und das mit den Zertifikaten scheint ja alles zu funktionieren, denn sonst würde es ja lokal auch nicht klappen.

crissiloop

rudolfkoenig · 27 Februar 2013, 09:38:57

DynDNS & co hat nichts mit http/https zu tun, sie uebersetzen nur http://meinName.no-ip.org auf die aktuelle IP-Adresse (z.Bsp. 123.4.56.78).

Ich habe auf dem FB bisher nur Freigaben zu weiteren Rechner (nicht das FB selbst) eingerichtet, das klappt in zwei Varianten zuverlaessig: auf dem zweiten Rechner wird FHEMWEB mit aktivierten SSL per HTTPS direkt angesprochen, oder ueber Apache/HTTPS per Proxy weitergeleitet zu einem Nicht-SSL FHEMWEB Port. Ich habe auf dem FB nie 443 direkt freigeschaltet, sondern Portnummer wie 51234 verwendet, da 80 bzw. 443 oefters von Portscanner geprueft wird.

Ich habe Probleme gesehen mit FHEMWEB+SSL+plotfork, ich empfehle beim SSL (oder generell auf langsamen Systemenwie ein FB) kein plotfork.

Prinzipiell sollte mit dem ar7.cfg-Hack FHEMWEB via HTTPS auch direkt auf dem FB von aussen ansprechbar sein, getestet habe ich es aber nicht.

broadway · 28 Februar 2013, 14:10:44

Danke für die Antworten. Meine Portweiterleitung gilt für 8085.

Ich werde es mal mit dyndns.org versuchen.

crissiloop · 28 Februar 2013, 15:03:08

Zitat von: broadway schrieb am Do, 28 Februar 2013 14:10Ich werde es mal mit dyndns.org versuchen.

Aber Rudolf hat doch schon geschrieben, dass die Dyn-DNS Dienste nichts mit den Ports zu tun haben. Das war nur meine laienhafte Vermutung.
Also muss der Fehler ja irgendwo anders liegen.
Hast du die Portweiterleitung wirklich durch Ändern der ar7.cfg http://www.meintechblog.de/2012/08/fritzbox-interne-portweiterleitungen-einrichten/der Fritzbox gemacht? Und da auch geprüft, ob die Regel wirklich har genau so ausschaut, wie die anderen Portregeln in Bezug auf die Syntax?

Carsten · 28 Februar 2013, 16:35:52

Zitat von: broadway schrieb am Do, 28 Februar 2013 14:10Danke für die Antworten. Meine Portweiterleitung gilt für 8085.

Welchen WAN-Port leitest du denn konkret auf welchen LAN-Port um? 8085 ist der interne Port von FHEM?
Wenn du 8085 auch extern verwendest, musst du auch https://DeinName.No-IP.org:8085 aufrufen. Das ist dir bewußt?
Ohne Portangabe funktioniert https i.d.R. nur auf Port 443. Port 443 könnte aber auf der FB problematisch sein, da dieser imho auch für die Fernwartung der Box verwendet wird. Ist also möglicherweise in irgendeiner Form reserviert.

Gruß

Carsten

broadway · 28 Februar 2013, 21:30:18

OK, ich gebe zu, ich bin etwas verwirrt. Ich beschreibe mal die nicht SSL-Variante, die funktioniert.

Router Einstellung:

(siehe Anhang / see attachement)

Im Browser rufe ich auf: http://name.no-ip.org (gebe den Port also nicht explizit an) und erhalte:

(siehe Anhang / see attachement)

Ich nutze keine Fritzbox sondern ein NAS, siehe Signatur. Gerade beim öffnen der Router-Konfig bekam ich die Meldung, dass dessen SSL-Zertifikat abgelaufen ist. Kann das eine Rolle spielen?

fiedel · 28 Februar 2013, 22:16:49

Nein, das hat auch nix damit zu tun.
Steht denn deine Definition von WEB auch auf "global"?

z.B. so: define WEBtablet FHEMWEB 8085 global

Benutze mal nur TCP und nicht UDP und nimm für beide
Einträge erst mal zum Testen die 8085. Dann muss es
gehen. Später kannst du dann für den Port "Öffentlich"
auch eine andere Portnummer nehmen, falls z.B. der
Arbeitgeber gerade diesen Bereich gesperrt hat.

Wie Carsten schon sagte, rufst du FHEM dann so auf:

https://DeinName.No-IP.org:8085/fhem

Gruß

Frank

broadway · 01 März 2013, 15:31:45

Hallo Frank,

tausend Dank, jetzt klappts! Die entscheidenden Punkte:

Zitat von: fiedel schrieb am Do, 28 Februar 2013 22:16Benutze mal nur TCP und nicht UDP und nimm für beide 8085.

Zitat... rufst du FHEM dann so auf:
https://DeinName.No-IP.org:8085/fhem

broadway · 13 März 2013, 17:18:55

Die Verbindung klappt einwandfrei.

Ab und zu erhalte ich jedoch diese Einträge im Logfile:

Code Auswählen

2013.03.12 04:26:02 1: FHEMWEB SSL/HTTPS error: 
2013.03.12 04:26:43 1: FHEMWEB SSL/HTTPS error: Transport endpoint is not connected
2013.03.12 04:27:26 1: FHEMWEB SSL/HTTPS error: Transport endpoint is not connected

Weiß jemand, was das Problem ist?