[Gelöst] fhem hinter pfSense

MarcIdel · 07 November 2017, 11:42:51

Hallo Leute,

ich habe FHEM hinter pfSense am laufen. Leider bekomme ich keinen Zugriff von extern drauf.
Eine Portweiterleitung auf HTTPS auf einen anderen Host funktioniert. Nur die HTTP Weiterleitung auf Fhem nicht.

Mein Modem ist im BridgeMode. pfSense hat also eine öffentliche IP.

Meine NAT Regel:
Schnittstelle Protokoll Quelladresse Quellports Zieladresse Zielports NAT IP NAT-Ports
WAN TCP * * WAN address 8088 10.0.1.11 8088

In den States des Firewall steht TIME_WAIT:TIME_WAIT.

Einer ne Idee?

CoolTux · 07 November 2017, 12:17:16

Schau in die Logdatei von FHEM.
Wurde ein allowed Device für die aufgerufene FHEMWEB Instanz angelegt?

tealc · 07 November 2017, 13:13:48

Ich würde dir empfehlen die Pfsense für FHEM als Reverse Proxy und nicht nur zum NATten zu nutzen.

Dies geht mit dem PFsense Package HAProxy. Dieses kann dann auch Zertifikatshandling, SSL-Termination und Authentifizierung übernehmen.

Hollo · 07 November 2017, 13:56:06

Zitat von: MarcIdel am 07 November 2017, 11:42:51
...
Schnittstelle Protokoll Quelladresse Quellports Zieladresse Zielports NAT IP NAT-Ports
WAN TCP * * WAN address 8088 10.0.1.11 8088

Hinter der pfsense ist für mich aber die LAN Seite und nicht WAN!
Dein FHEM müsste dann eigentlich in die DMZ und ich würde dann auch nur einen definierten Port durchrouten.

MarcIdel · 07 November 2017, 20:02:23

Zitat von: CoolTux am 07 November 2017, 12:17:16
Schau in die Logdatei von FHEM.
Wurde ein allowed Device für die aufgerufene FHEMWEB Instanz angelegt?

Danke ^^

Zitat von: tealc am 07 November 2017, 13:13:48
Ich würde dir empfehlen die Pfsense für FHEM als Reverse Proxy und nicht nur zum NATten zu nutzen.

Dies geht mit dem PFsense Package HAProxy. Dieses kann dann auch Zertifikatshandling, SSL-Termination und Authentifizierung übernehmen.

Was für einen Vorteil ziehe ich daraus?

Zitat von: Hollo am 07 November 2017, 13:56:06
Hinter der pfsense ist für mich aber die LAN Seite und nicht WAN!
Dein FHEM müsste dann eigentlich in die DMZ und ich würde dann auch nur einen definierten Port durchrouten.

Tue ich doch auch. Nur Port 8088.

CoolTux · 07 November 2017, 20:13:36

Sehr schön, da das Problem anscheinend gelöst ist bitte ein gelöst im Betreff setzen.

tealc · 07 November 2017, 20:17:53

Zitat von: MarcIdel am 07 November 2017, 20:02:23
Was für einen Vorteil ziehe ich daraus?

Du hast eine zusätzliche Sicherheitsschicht zwischen FHEM und dem bösen Internet.

Die ganze Geschichte sauber per HTTPS auszuliefern steigert natürlich auch die Sicherheit. Gerade wenn man mehrere Webdienste nach außen published ist es einfacher, sich nur an einer Stelle um die Verschlüsselung und die Zertifikate kümmern zu müssen. PFsense kann dir z.B. automatisiert regelmäßig Zertifikate von Let's Encryt beantragen.

Weiterhin kann der Reverse Proxy auch Content Switching. Also mehrere Webdienste alle über Port 443 ausliefern, sodass man sogar über sehr restriktive Hotspots auf seine Systeme zugreifen kann.

MarcIdel · 07 November 2017, 20:20:06

Jetzt ist es gelöst. Danke, das werde ich so machen

Ich habe noch ein anderes Problem, das gehört aber in eine andere Rubrik.

CoolTux · 07 November 2017, 20:32:09

Man könnte eventuell noch für andere schreiben wie genau Deine Lösung aus sieht. Dann muss ein anderer mit gleichem Problem kein Thread auf machen und noch mal fragen.

MarcIdel · 07 November 2017, 20:39:03

Ich habe öffentliche IP´s in einer allowed Instanz freigegeben. Den teil habe ich erst mal gelöscht da ich an einem anderen Problem hänge. Wenn ich dies gelöst bekommen habe, poste ich hier einen ausführlichen Lösungsweg.

FHEM Forum

[Gelöst] fhem hinter pfSense

MarcIdel

CoolTux

tealc

Hollo

MarcIdel

CoolTux

tealc

MarcIdel

CoolTux

MarcIdel