[gelöst] FHEMWEB SSL/HTTPS error - ungebetener Gast?

[t1me2die]

Moin liebe Leute,

pro Tag tauchen in meinem Log mehrere solcher Einträge auf:

Code Auswählen Erweitern


2018.07.31 12:49:38 1: FHEMWEB SSL/HTTPS error: SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 5.8.54.27)


Was sagt mir diese Meldung?
Jemand hat per HTTP versucht auf mein FHEM zuzugreifen?
Muss ich mir Sorgen / Gedanken machen?

Wie entstehen diese Fehlermeldungen?
Wenn ich versuche über http anstatt https auf FHEM zuzugreifen, wird solch eine Fehlermeldung nicht geschrieben.

Insgesamt ca. 10-20 Stück am Tag, meistens immer unterschiedliche IP's.
Meistens aus Russland oder China.

Mein FHEM ist von außen erreichbar über DynDNS.

Gruß
Mathze

[networker]

Lies mal da weiter?

[Frank_Huber]

Die Russen sind es!

Code Auswählen Erweitern

Source: whois.ripe.netIP Address: 5.8.54.27
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '5.8.48.0 - 5.8.55.255'

% Abuse contact for '5.8.48.0 - 5.8.55.255' is 'abuse@pinspb.ru'

inetnum:        5.8.48.0 - 5.8.55.255
netname:        PIN-DATACENTER-NET
descr:          public vlans of DC
country:        RU
org:            ORG-PINl1-RIPE
admin-c:        PIN44050-RIPE
tech-c:         PIN44050-RIPE
status:         ASSIGNED PA
mnt-routes:     MNT-PINSUPPORT
mnt-routes:     MNT-PIN
mnt-domains:    MNT-PINSUPPORT
mnt-domains:    MNT-PIN
mnt-by:         MNT-PINSUPPORT
mnt-by:         MNT-PIN
created:        2012-05-05T08:01:14Z
last-modified:  2016-03-15T08:51:51Z
source:         RIPE

organisation:   ORG-PINl1-RIPE
org-name:       Petersburg Internet Network ltd.
org-type:       LIR
address:        Obuhovskoy oborony pr. 120-b, office 620.
address:        192012
address:        Saint-Petersburg
address:        RUSSIAN FEDERATION
phone:          +78126772525
fax-no:         +78123093916
admin-c:        MNV32-RIPE
tech-c:         SEO-RIPE
abuse-c:        PIN44050-RIPE
mnt-ref:        RIPE-NCC-HM-MNT
mnt-ref:        MNT-PIN
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         MNT-PIN
created:        2009-05-28T09:40:17Z
last-modified:  2017-10-30T14:39:31Z
source:         RIPE # Filtered

role:           PIN Support and NOC Teams
org:            ORG-PINl1-RIPE
address:        Petersburg Internet Network ltd. Obuhovskoy oborony pr. 120-b, office 620, Saint-Petersburg, RUSSIAN FEDERATION
phone:          +78126772525
fax-no:         +78123093916
abuse-mailbox:  abuse@pinspb.ru
admin-c:        MNV32-RIPE
tech-c:         SEO-RIPE
nic-hdl:        PIN44050-RIPE
mnt-by:         MNT-PIN
mnt-by:         MNT-PINSUPPORT
created:        2013-06-08T06:08:16Z
last-modified:  2015-07-19T21:35:49Z
source:         RIPE # Filtered

% Information related to '5.8.54.0/24AS44050'

route:          5.8.54.0/24
descr:          PINROUTE
origin:         AS44050
mnt-by:         MNT-PINSUPPORT
mnt-by:         MNT-PIN
created:        2015-12-16T17:05:01Z
last-modified:  2015-12-16T17:05:01Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.91.2 (HEREFORD)

[Christoph Morrison]

Mein FHEM ist von außen erreichbar über DynDNS.

Ich wiederhole es immer wieder gerne: Das ist keine gute Idee. Entweder einen Reverse Proxy davor oder eben - und das ist IMHO der Goldstandard - nur über VPN.

[Frank_Huber]

Das absolute MINIMUM-MUST-DO ist IMHO: Finger weg von default ports.

Also nie nie nie port 80 oder 443 nach aussen freigeben.
Wenn dann nimm einen hohen viersteligen Port.

Aber wie schon geschrieben, besser reverse proxy oder VPN.

[CoolTux]

Die Russen sind es!

Code Auswählen Erweitern

Source: whois.ripe.netIP Address: 5.8.54.27
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '5.8.48.0 - 5.8.55.255'

% Abuse contact for '5.8.48.0 - 5.8.55.255' is 'abuse@pinspb.ru'

inetnum:        5.8.48.0 - 5.8.55.255
netname:        PIN-DATACENTER-NET
descr:          public vlans of DC
country:        RU
org:            ORG-PINl1-RIPE
admin-c:        PIN44050-RIPE
tech-c:         PIN44050-RIPE
status:         ASSIGNED PA
mnt-routes:     MNT-PINSUPPORT
mnt-routes:     MNT-PIN
mnt-domains:    MNT-PINSUPPORT
mnt-domains:    MNT-PIN
mnt-by:         MNT-PINSUPPORT
mnt-by:         MNT-PIN
created:        2012-05-05T08:01:14Z
last-modified:  2016-03-15T08:51:51Z
source:         RIPE

organisation:   ORG-PINl1-RIPE
org-name:       Petersburg Internet Network ltd.
org-type:       LIR
address:        Obuhovskoy oborony pr. 120-b, office 620.
address:        192012
address:        Saint-Petersburg
address:        RUSSIAN FEDERATION
phone:          +78126772525
fax-no:         +78123093916
admin-c:        MNV32-RIPE
tech-c:         SEO-RIPE
abuse-c:        PIN44050-RIPE
mnt-ref:        RIPE-NCC-HM-MNT
mnt-ref:        MNT-PIN
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         MNT-PIN
created:        2009-05-28T09:40:17Z
last-modified:  2017-10-30T14:39:31Z
source:         RIPE # Filtered

role:           PIN Support and NOC Teams
org:            ORG-PINl1-RIPE
address:        Petersburg Internet Network ltd. Obuhovskoy oborony pr. 120-b, office 620, Saint-Petersburg, RUSSIAN FEDERATION
phone:          +78126772525
fax-no:         +78123093916
abuse-mailbox:  abuse@pinspb.ru
admin-c:        MNV32-RIPE
tech-c:         SEO-RIPE
nic-hdl:        PIN44050-RIPE
mnt-by:         MNT-PIN
mnt-by:         MNT-PINSUPPORT
created:        2013-06-08T06:08:16Z
last-modified:  2015-07-19T21:35:49Z
source:         RIPE # Filtered

% Information related to '5.8.54.0/24AS44050'

route:          5.8.54.0/24
descr:          PINROUTE
origin:         AS44050
mnt-by:         MNT-PINSUPPORT
mnt-by:         MNT-PIN
created:        2015-12-16T17:05:01Z
last-modified:  2015-12-16T17:05:01Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.91.2 (HEREFORD)

Haha, steht er mal wieder vor der Tür. Und dabei dachte ich echt 40 Jahre "Ein Kessel Buntes" hält der stärkste Besatzer nicht aus.

[Otto123]

Hatte ihr den Hinweisschon? Da hat sich der TE ja schlussendlich unterm Tisch verkrochen, Hauptsache das wird nicht zur Standardlösung.

Gruß Otto

[CoolTux]

Hatte ihr den Hinweisschon? Da hat sich der TE ja schlussendlich unterm Tisch verkrochen, Hauptsache das wird nicht zur Standardlösung.

Gruß Otto

Den kannte ich schon. Auch böse. So schlimm war nicht mal Udo in seiner Trotzphase drauf.
Sorry Udo. 

[t1me2die]

So, ich habe nun alle Portweiterleitungen aus meiner Fritz.Box rausgenommen und nutze nur noch VPN.
Ich habe auch keinerlei Zugriff mehr von außen auf meine VM.
Um meine IP aufzulösen benutze ich NOIP.com

Jedoch musste ich eben folgendes feststellen:

Code Auswählen Erweitern


2018.08.01 08:52:56 1: FHEMWEB SSL/HTTPS error: SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 196.52.43.63)


Dazu muss ich sagen, mein FHEM befindet sich in einer VM auf einem NAS.
Das NAS ist auch nur über VPN erreichbar.

Nun frage ich mich jedoch, wie diese Fehlermeldung entstanden ist.

Gruß
Mathze

[Wernieman]

Dazu die Frage:
Weile IP-Range benutzt Du in Deinem Netz? Und im VPN?

Allerdings sind es diesmal die Amis:

Code Auswählen Erweitern

inetnum:        196.52.43.0 - 196.52.43.255
netname:        NetSystems
descr:          Net Systems Research, LLC
country:        US
admin-c:        CA12-AFRINIC
tech-c:         CA12-AFRINIC
status:         ASSIGNED PA
mnt-by:         LOGICWEB-MNT
source:         AFRINIC # Filtered
parent:         196.52.0.0 - 196.55.255.255

person:         Chad Abizeid
address:        LogicWeb Inc.
address:        4509 Steeplechase Dr.
address:        Easton, PA 18040
address:        USA
phone:          tel:+1-866-611-1556
org:            ORG-LWI1-AFRINIC
nic-hdl:        CA12-AFRINIC
mnt-by:         LOGICWEB-MNT
source:         AFRINIC # Filtered


Bist Du Dir sicher, mit dem Rauslöschen aller IP-Forwardingregeln?

[t1me2die]

Ich hoffe, ich verstehe deine Frage richtig.

In meinem Netz benutze ich 192.168.178.1 - 192.168.178.255.
Dies ist ja aber meine interne IP Adresse, darauf kann ja niemand drauf zugreifen.

Mein FHEM in der VM auf: 192.168.178.47
Die VM arbeitet auf meinem QNAP auf 192.168.178.46 / 192.168.178.48 (2 LAN Anschlüsse am QNAP).

Auf der FritzBox habe ich DynDNS von NOIP.com eingerichtet.
Auf der FritzBox habe ich VPN eingerichtet und laut deren Anleitung auf meinem iPhone (und auch auf meinem MacBook eingerichtet).

Ohne VPN komme ich also gar nicht an meine internen IP Adressen ran, korrekt?

Ich habe alle Portweiterleitungen raus, bis auf Geofancy.

Internetzugriff auf die FritzBox via HTTPS ist auch deaktiviert!
FTP/FTPS ist auch deaktiviert!

Gruß
Mathze

[Christoph Morrison]

Ich habe alle Portweiterleitungen raus, bis auf Geofancy.

Das wäre meine favorisierte Erklärung. Portweiterleitungen sind halt immer ein offenes Tor.
Ich mache Geofancy auch nur über VPN. iOS unterstützt dazu VPN-on-demand.

[Wernieman]

Und .. hast Du eventuell ein "Exposed Host" eingerichtet?

[t1me2die]

Nein, Exposed Host ist nicht aktiv!

Die VPN-on-demand Anleitung im Wiki führt leider ins leere.
Gibt es eine andere Anleitung, wie ich VPN in Verbindung mit Geofancy einrichten kann?

Gruß
Mathze

[t1me2die]

Das wäre meine favorisierte Erklärung. Portweiterleitungen sind halt immer ein offenes Tor.
Ich mache Geofancy auch nur über VPN. iOS unterstützt dazu VPN-on-demand.

Moin Christoph, nach ungefähr 5h und reichlich ausprobieren, habe ich es nun hinbekommen.
Habe nun alle Portweiterleitungen deaktiviert und mache alles über VPN, auch Geofancy.

Ich mache hier erstmal noch nicht dicht, weil ich gerne die nächsten Tage / Logeinträge abwarten möchte.

Falls jemand vor dem selben Problem stehen sollte, wie ich, habe ich hier folgende hilfreiche Seiten rausgesucht:
Erläuterung "VPN-on-demand" Profil erstellen: https://www.loxwiki.eu/display/LOX/VPN+on-demand
SharedSecret Key muss ab iOS10 in base64 umgewandelt werden: https://gc.de/gc/base64/

Erst einmal recht herzlichen Dank für deinen Gedankenanstoß 

Gruß
Mathze

[t1me2die]

Moin Christoph, ich habe noch eine Frage, ich habe auf der FritzBox nur einen VPN-User eingerichtet.
Bentuze diesen VPN User auf meinem iPhone und auf dem iPhone von meiner Freundin.
Was passiert, wenn wir beide versuchen gleichzeitig eine VPN Verbindung aufzubauen?
Wird die andere Verbindung gekappt?
Wäre es evtl. ratsam für jeden User einen eigenen VPN-User anzulegen?

Problem könnte entstehen, wenn wir beide gleichzeitig das Haus verlassen und Geofancy den Status via VPN melden möchte, wir uns aber gegenseitig rausschmeißen...

Gruß
Mathze

[Christoph Morrison]

Moin Christoph, ich habe noch eine Frage, ich habe auf der FritzBox nur einen VPN-User eingerichtet.
Bentuze diesen VPN User auf meinem iPhone und auf dem iPhone von meiner Freundin.
Was passiert, wenn wir beide versuchen gleichzeitig eine VPN Verbindung aufzubauen?
Wird die andere Verbindung gekappt?
Wäre es evtl. ratsam für jeden User einen eigenen VPN-User anzulegen?

Das gibt einen IP-Konflikt, da du ja einem Device eine feste IP-Adresse zuweisen musst. Du musst für jedes Gerät das sich möglicherweise konkurrierend verbinden soll, einen eigenen VPN-Zugang anlegen. Ich habe das so gelöst, dass ich User-basierte VPN-Accounts (für Verbindungen bei Bedarf) + gerätespezifische VPN-Accounts anlege.

Da du ja nun auch die Mobileconfig kennen solltest kannst du VPN-Accounts, die du in der Fritzbox angelegt hast, auch über Mobileconfig distribuieren (zusammen mit Wifi-Accounts, nur so als Hinweis).

[Wernieman]

? Man  muß doch keinem Gerät, für VPN, eine feste IP in der FritzBox anlegen ?

Allerdings ist es trotzdem gut, wenn man für jedes Gerät einen eigenen Akkount macht. Wenn dann eines verloren geht, ist die Sperrung einfacher!

[t1me2die]

...Da du ja nun auch die Mobileconfig kennen solltest kannst du VPN-Accounts, die du in der Fritzbox angelegt hast, auch über Mobileconfig distribuieren (zusammen mit Wifi-Accounts, nur so als Hinweis).

Das habe ich noch nicht so recht verstanden.
Ich wollte nun zwei Profile / Dateien (über .mobileConfig) erstellen mit den jeweiligen VPN Accounts aus der FritzBox versehen.
Ich würde dann z.B. Datei 1 mit meinen VPN Account auf meinem iPhone einrichten und auf dem iPhone von meiner Freundin würde die zweite Datei mit ihren Zugangsdaten von ihrem VPN Account eingerichtet werden.
Oder kann ich das auch innerhalb einer mobileConfig Datei machen?

Gruß
Mathze

[Christoph Morrison]

? Man  muß doch keinem Gerät, für VPN, eine feste IP in der FritzBox anlegen ?

Früher konnte man durchaus einen VPN-Zugang anlegen dem man auch eine feste IP-Adresse im lokalen Netz vorab zuweisen musste. Ich glaube in aktuellen Fritz!OS-Versionen wurde das zugunsten von Benutzer-VPN-Accounts aufgegeben. Diese Konfigurationen funktionieren auch noch, aber sie haben eben den Nachteil, dass man sich im Prinzip nicht mit zwei Geräten gleichzeitig über einen VPN-Account anmelden konnte.

Oder kann ich das auch innerhalb einer mobileConfig Datei machen?

Nein. Du kannst zwar mehrere VPN-Accounts über ein Mobileconfig-Profil einspielen, aber für das gleiche Netz bringt das nur Verwirrung. Ich meinte dass du auch die WIFI-Zugangsdaten in dieser Mobileconfig-Datei mitgeben kannst, für beliebig viele Netze. So hast du beide Datensätze (VPN + Wifi) an einer Stelle.

[t1me2die]

Alles klar, danke für die Aufklärung.
Seit der Umstellung komplett auf VPN habe ich auch keine ungebetenen Gäste mehr 

Danke für eure Hilfe.

Gruß
Mathze