[gelöst] FHEMWEB SSL/HTTPS error - ungebetener Gast?

Begonnen von t1me2die, 31 Juli 2018, 13:02:16

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1 2 Alle
Benutzer-Aktionen

t1me2die

31 Juli 2018, 13:02:16 Letzte Bearbeitung: 06 August 2018, 07:04:47 von t1me2die
Moin liebe Leute,

pro Tag tauchen in meinem Log mehrere solcher Einträge auf:

Code Auswählen

2018.07.31 12:49:38 1: FHEMWEB SSL/HTTPS error: SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 5.8.54.27)


Was sagt mir diese Meldung?
Jemand hat per HTTP versucht auf mein FHEM zuzugreifen?
Muss ich mir Sorgen / Gedanken machen?

Wie entstehen diese Fehlermeldungen?
Wenn ich versuche über http anstatt https auf FHEM zuzugreifen, wird solch eine Fehlermeldung nicht geschrieben.

Insgesamt ca. 10-20 Stück am Tag, meistens immer unterschiedliche IP's.
Meistens aus Russland oder China.

Mein FHEM ist von außen erreichbar über DynDNS.

Gruß
Mathze

networker

#1
31 Juli 2018, 13:48:01
Lies mal da weiter?

Frank_Huber

#2
31 Juli 2018, 13:53:25
Die Russen sind es!

Code Auswählen
Source: whois.ripe.netIP Address: 5.8.54.27
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '5.8.48.0 - 5.8.55.255'

% Abuse contact for '5.8.48.0 - 5.8.55.255' is 'abuse@pinspb.ru'

inetnum:        5.8.48.0 - 5.8.55.255
netname:        PIN-DATACENTER-NET
descr:          public vlans of DC
country:        RU
org:            ORG-PINl1-RIPE
admin-c:        PIN44050-RIPE
tech-c:         PIN44050-RIPE
status:         ASSIGNED PA
mnt-routes:     MNT-PINSUPPORT
mnt-routes:     MNT-PIN
mnt-domains:    MNT-PINSUPPORT
mnt-domains:    MNT-PIN
mnt-by:         MNT-PINSUPPORT
mnt-by:         MNT-PIN
created:        2012-05-05T08:01:14Z
last-modified:  2016-03-15T08:51:51Z
source:         RIPE

organisation:   ORG-PINl1-RIPE
org-name:       Petersburg Internet Network ltd.
org-type:       LIR
address:        Obuhovskoy oborony pr. 120-b, office 620.
address:        192012
address:        Saint-Petersburg
address:        RUSSIAN FEDERATION
phone:          +78126772525
fax-no:         +78123093916
admin-c:        MNV32-RIPE
tech-c:         SEO-RIPE
abuse-c:        PIN44050-RIPE
mnt-ref:        RIPE-NCC-HM-MNT
mnt-ref:        MNT-PIN
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         MNT-PIN
created:        2009-05-28T09:40:17Z
last-modified:  2017-10-30T14:39:31Z
source:         RIPE # Filtered

role:           PIN Support and NOC Teams
org:            ORG-PINl1-RIPE
address:        Petersburg Internet Network ltd. Obuhovskoy oborony pr. 120-b, office 620, Saint-Petersburg, RUSSIAN FEDERATION
phone:          +78126772525
fax-no:         +78123093916
abuse-mailbox:  abuse@pinspb.ru
admin-c:        MNV32-RIPE
tech-c:         SEO-RIPE
nic-hdl:        PIN44050-RIPE
mnt-by:         MNT-PIN
mnt-by:         MNT-PINSUPPORT
created:        2013-06-08T06:08:16Z
last-modified:  2015-07-19T21:35:49Z
source:         RIPE # Filtered

% Information related to '5.8.54.0/24AS44050'

route:          5.8.54.0/24
descr:          PINROUTE
origin:         AS44050
mnt-by:         MNT-PINSUPPORT
mnt-by:         MNT-PIN
created:        2015-12-16T17:05:01Z
last-modified:  2015-12-16T17:05:01Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.91.2 (HEREFORD)

Christoph Morrison

#3
31 Juli 2018, 13:56:24
Zitat von: t1me2die am 31 Juli 2018, 13:02:16
Mein FHEM ist von außen erreichbar über DynDNS.

Ich wiederhole es immer wieder gerne: Das ist keine gute Idee. Entweder einen Reverse Proxy davor oder eben - und das ist IMHO der Goldstandard - nur über VPN.

Frank_Huber

#4
31 Juli 2018, 14:04:16
Das absolute MINIMUM-MUST-DO ist IMHO: Finger weg von default ports.

Also nie nie nie port 80 oder 443 nach aussen freigeben.
Wenn dann nimm einen hohen viersteligen Port.

Aber wie schon geschrieben, besser reverse proxy oder VPN.

CoolTux

#5
31 Juli 2018, 14:36:08
Zitat von: Frank_Huber am 31 Juli 2018, 13:53:25
Die Russen sind es!

Code Auswählen
Source: whois.ripe.netIP Address: 5.8.54.27
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '5.8.48.0 - 5.8.55.255'

% Abuse contact for '5.8.48.0 - 5.8.55.255' is 'abuse@pinspb.ru'

inetnum:        5.8.48.0 - 5.8.55.255
netname:        PIN-DATACENTER-NET
descr:          public vlans of DC
country:        RU
org:            ORG-PINl1-RIPE
admin-c:        PIN44050-RIPE
tech-c:         PIN44050-RIPE
status:         ASSIGNED PA
mnt-routes:     MNT-PINSUPPORT
mnt-routes:     MNT-PIN
mnt-domains:    MNT-PINSUPPORT
mnt-domains:    MNT-PIN
mnt-by:         MNT-PINSUPPORT
mnt-by:         MNT-PIN
created:        2012-05-05T08:01:14Z
last-modified:  2016-03-15T08:51:51Z
source:         RIPE

organisation:   ORG-PINl1-RIPE
org-name:       Petersburg Internet Network ltd.
org-type:       LIR
address:        Obuhovskoy oborony pr. 120-b, office 620.
address:        192012
address:        Saint-Petersburg
address:        RUSSIAN FEDERATION
phone:          +78126772525
fax-no:         +78123093916
admin-c:        MNV32-RIPE
tech-c:         SEO-RIPE
abuse-c:        PIN44050-RIPE
mnt-ref:        RIPE-NCC-HM-MNT
mnt-ref:        MNT-PIN
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         MNT-PIN
created:        2009-05-28T09:40:17Z
last-modified:  2017-10-30T14:39:31Z
source:         RIPE # Filtered

role:           PIN Support and NOC Teams
org:            ORG-PINl1-RIPE
address:        Petersburg Internet Network ltd. Obuhovskoy oborony pr. 120-b, office 620, Saint-Petersburg, RUSSIAN FEDERATION
phone:          +78126772525
fax-no:         +78123093916
abuse-mailbox:  abuse@pinspb.ru
admin-c:        MNV32-RIPE
tech-c:         SEO-RIPE
nic-hdl:        PIN44050-RIPE
mnt-by:         MNT-PIN
mnt-by:         MNT-PINSUPPORT
created:        2013-06-08T06:08:16Z
last-modified:  2015-07-19T21:35:49Z
source:         RIPE # Filtered

% Information related to '5.8.54.0/24AS44050'

route:          5.8.54.0/24
descr:          PINROUTE
origin:         AS44050
mnt-by:         MNT-PINSUPPORT
mnt-by:         MNT-PIN
created:        2015-12-16T17:05:01Z
last-modified:  2015-12-16T17:05:01Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.91.2 (HEREFORD)

Haha, steht er mal wieder vor der Tür. Und dabei dachte ich echt 40 Jahre "Ein Kessel Buntes" hält der stärkste Besatzer nicht aus.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Otto123

#6
31 Juli 2018, 15:17:49
Hatte ihr den Hinweisschon? Da hat sich der TE ja schlussendlich unterm Tisch verkrochen, Hauptsache das wird nicht zur Standardlösung. ;D

Gruß Otto
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

CoolTux

#7
31 Juli 2018, 19:14:01
Zitat von: Otto123 am 31 Juli 2018, 15:17:49
Hatte ihr den Hinweisschon? Da hat sich der TE ja schlussendlich unterm Tisch verkrochen, Hauptsache das wird nicht zur Standardlösung. ;D

Gruß Otto

Den kannte ich schon. Auch böse. So schlimm war nicht mal Udo in seiner Trotzphase drauf.
Sorry Udo.  :-*
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

t1me2die

#8
01 August 2018, 09:24:59
So, ich habe nun alle Portweiterleitungen aus meiner Fritz.Box rausgenommen und nutze nur noch VPN.
Ich habe auch keinerlei Zugriff mehr von außen auf meine VM.
Um meine IP aufzulösen benutze ich NOIP.com

Jedoch musste ich eben folgendes feststellen:
Code Auswählen

2018.08.01 08:52:56 1: FHEMWEB SSL/HTTPS error: SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 196.52.43.63)


Dazu muss ich sagen, mein FHEM befindet sich in einer VM auf einem NAS.
Das NAS ist auch nur über VPN erreichbar.

Nun frage ich mich jedoch, wie diese Fehlermeldung entstanden ist.

Gruß
Mathze

Wernieman

#9
01 August 2018, 09:46:09
Dazu die Frage:
Weile IP-Range benutzt Du in Deinem Netz? Und im VPN?

Allerdings sind es diesmal die Amis:
Code Auswählen
inetnum:        196.52.43.0 - 196.52.43.255
netname:        NetSystems
descr:          Net Systems Research, LLC
country:        US
admin-c:        CA12-AFRINIC
tech-c:         CA12-AFRINIC
status:         ASSIGNED PA
mnt-by:         LOGICWEB-MNT
source:         AFRINIC # Filtered
parent:         196.52.0.0 - 196.55.255.255

person:         Chad Abizeid
address:        LogicWeb Inc.
address:        4509 Steeplechase Dr.
address:        Easton, PA 18040
address:        USA
phone:          tel:+1-866-611-1556
org:            ORG-LWI1-AFRINIC
nic-hdl:        CA12-AFRINIC
mnt-by:         LOGICWEB-MNT
source:         AFRINIC # Filtered


Bist Du Dir sicher, mit dem Rauslöschen aller IP-Forwardingregeln?
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

t1me2die

#10
01 August 2018, 10:07:23
Ich hoffe, ich verstehe deine Frage richtig.

In meinem Netz benutze ich 192.168.178.1 - 192.168.178.255.
Dies ist ja aber meine interne IP Adresse, darauf kann ja niemand drauf zugreifen.

Mein FHEM in der VM auf: 192.168.178.47
Die VM arbeitet auf meinem QNAP auf 192.168.178.46 / 192.168.178.48 (2 LAN Anschlüsse am QNAP).

Auf der FritzBox habe ich DynDNS von NOIP.com eingerichtet.
Auf der FritzBox habe ich VPN eingerichtet und laut deren Anleitung auf meinem iPhone (und auch auf meinem MacBook eingerichtet).

Ohne VPN komme ich also gar nicht an meine internen IP Adressen ran, korrekt?

Ich habe alle Portweiterleitungen raus, bis auf Geofancy.

Internetzugriff auf die FritzBox via HTTPS ist auch deaktiviert!
FTP/FTPS ist auch deaktiviert!

Gruß
Mathze

Christoph Morrison

#11
01 August 2018, 10:26:39
Zitat von: t1me2die am 01 August 2018, 10:07:23
Ich habe alle Portweiterleitungen raus, bis auf Geofancy.

Das wäre meine favorisierte Erklärung. Portweiterleitungen sind halt immer ein offenes Tor.
Ich mache Geofancy auch nur über VPN. iOS unterstützt dazu VPN-on-demand.

Wernieman

#12
01 August 2018, 11:16:33
Und .. hast Du eventuell ein "Exposed Host" eingerichtet?
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

t1me2die

#13
01 August 2018, 11:30:51
Nein, Exposed Host ist nicht aktiv!

Die VPN-on-demand Anleitung im Wiki führt leider ins leere.
Gibt es eine andere Anleitung, wie ich VPN in Verbindung mit Geofancy einrichten kann?

Gruß
Mathze

t1me2die

#14
01 August 2018, 14:33:31
Zitat von: Christoph Morrison am 01 August 2018, 10:26:39
Das wäre meine favorisierte Erklärung. Portweiterleitungen sind halt immer ein offenes Tor.
Ich mache Geofancy auch nur über VPN. iOS unterstützt dazu VPN-on-demand.

Moin Christoph, nach ungefähr 5h und reichlich ausprobieren, habe ich es nun hinbekommen.
Habe nun alle Portweiterleitungen deaktiviert und mache alles über VPN, auch Geofancy.

Ich mache hier erstmal noch nicht dicht, weil ich gerne die nächsten Tage / Logeinträge abwarten möchte.

Falls jemand vor dem selben Problem stehen sollte, wie ich, habe ich hier folgende hilfreiche Seiten rausgesucht:
Erläuterung "VPN-on-demand" Profil erstellen: https://www.loxwiki.eu/display/LOX/VPN+on-demand
SharedSecret Key muss ab iOS10 in base64 umgewandelt werden: https://gc.de/gc/base64/

Erst einmal recht herzlichen Dank für deinen Gedankenanstoß  :)

Gruß
Mathze
Drucken
Nach oben Seiten1 2 Alle
Benutzer-Aktionen