https und webgui antwortet nicht mit allowfrom

riker1 · 02 Januar 2019, 13:27:46

Hallo
wollte fhem sicherer machen .

habe Zuhause folgendes Subnetz :

192.168.0.0/24

passend dazu:

allowfrom
127.0.0.1|^168\.192\.([0-9]|[1-9][0-9]|1[0-1][0-9])\.([1-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])$

regelcheck: https://regex101.com/r/rsDPU4/4

Devise:

Code Auswählen

defmod WEB8087 FHEMWEB 8087 global
attr WEB8087 JavaScripts codemirror/fhem_codemirror.js
attr WEB8087 allowfrom 127.0.0.1|^168\.192\.([0-9]|[1-9][0-9]|1[0-1][0-9])\.([1-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])$
attr WEB8087 codemirrorParam {"theme":"neo","autocomplete":true,"smartIndent":true,"jumpToLine":true,"lineWrapping":true,"height":"auto","lineNumbers":true, "viewportMargin": 10000 }

trotzdem kann ich es nicht aufrufen mit : http://192.168.0.9:8087/fhem

im log finde ich trotz verbose 5 irgendwie nichts richtiges.

Danke fürs Helfen.

Frohes Neues noch.

LG T

Otto123 · 02 Januar 2019, 13:42:24

Hi

Fehler Reihenfolge -> ^168\.192

Hat funktioniert

Gruß Otto

riker1 · 02 Januar 2019, 13:44:56

Hi Otto,

man wie blöd bin ich denn......

4 Augen helfen.

Super danke

Man schaut ständig drauf aber.....

Schönes Jahr

LG Thomas

....und schon geht es....!!

riker1 · 02 Januar 2019, 14:52:56

Hallo Otto,

habe aber nun das problem, wollte es mit https kombinieren.

https falg = 1

die allow regel geht aber dann nicht?

Otto123 · 02 Januar 2019, 16:10:50

das allowfrom hat doch nix mit https zu tun. Das ist doch eine reine IP Regel. Wohl aber was mit dem WEB und dem Port.
Hast Du alles gemacht?

ZitatHTTPS
Enable HTTPS connections. This feature requires the perl module IO::Socket::SSL, to be installed with cpan -i IO::Socket::SSL or apt-get install libio-socket-ssl-perl; OSX and the FritzBox-7390 already have this module.
A local certificate has to be generated into a directory called certs, this directory must be in the modpath directory, at the same level as the FHEM directory.
mkdir certs
cd certs
openssl req -new -x509 -nodes -out server-cert.pem -days 3650 -keyout server-key.pem

riker1 · 02 Januar 2019, 17:50:52

Hallo Otto,
dachte ich eigentlich auch.

ohne allowfrom , bzw explizit mit der adresse des Client läuft es .

Certificat habe ich angelegt. ein Fhemweb läuft schon länger mit https.

Hatte dann zum Testen noch ein 2. Fhemweb mit https gemacht, aber das läuft nicht so richti., habe ich wieder rausgenommen.
Müsste aber gehen mit 2 https instanzen, oder?

Teste dann mit 2 verschiedenen Browsern Chrome, Firefox.

Ansonsten nutzte ich für interne Tablets und http request http instanzen.

Devices:
allow:

Code Auswählen

defmod allowed allowed
attr allowed room Fhem
attr allowed validFor WEB8087,WEBS8082,WEBS8083

fhemweb: Die Fhemwebs sehen gleich aus.

Code Auswählen

defmod WEBS8083 FHEMWEB IPV6:8083 global
attr WEBS8083 HTTPS 1
attr WEBS8083 allowfrom 127.0.0.1|^192\.168\.([0-9]|[1-9][0-9]|1[0-1][0-9])\.([1-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])$
attr WEBS8083 codemirrorParam {"autoCloseBrackets":false,"theme":"eclipse","autocomplete":true,"smartIndent":true,"jumpToLine":true,"lineWrapping":true,"height":"auto","lineNumbers":true, "viewportMargin": 10000 }
attr WEBS8083 editConfig 1
attr WEBS8083 longpoll websocket
attr WEBS8083 mainInputLength 120
attr WEBS8083 menuEntries Shutdown,cmd=shutdown,Update,cmd=update,UpdateCheck,cmd=update+check,Restart,cmd=shutdown+restart, Backup,cmd=backup,ReReadCfg,cmd=rereadcfg,ReloadMyUtils,cmd=reload+99_myUtils.pm,Save,cmd=save fhem.save
attr WEBS8083 plotEmbed 1
attr WEBS8083 room Fhem,Z_Control
attr WEBS8083 stylesheetPrefix default
attr WEBS8083 verbose 5

Bin wie immer etwas verwirrt.

Danke fürs Schauen und Tipps

Thomas

Otto123 · 02 Januar 2019, 21:09:24

Hallo Thomas,

du machst ein Web mit IPV6 und das allowfrom mit IP4 Adressen?

Das von Dir beschriebene Verhalten würde ich dann erwarten

Gruß Otto

riker1 · 03 Januar 2019, 07:20:58

Hallo Otto,

ich dachte die IPV6 wäre quase enabling dualstack und würde auf beide Adressen IPV4 und IPV6 reagieren.

Exkurs:musste da wegen Kabel Deutschland ran, als ich dual stack light hatte. Nach langem hin und her wurde ich auf dual stack umgestellt.
Leider hat ja nur Telekom IPV6 wenn man von aussen richtig ran will.

Merkwürdigerweise kam ich an das IPV6 FHEMWEB ran, als ich die IP4 des client explizit, nicht via regex , aufgenommen hatte.

Ich probiere mal noch was rum

Danke Thomas

Otto123 · 03 Januar 2019, 09:28:00

Moin Thomas,

ehrlich gesagt, weiß ich nicht, was wirklich geht und was nicht mit IPV6. Ich weiß auch nicht ob dort schon alle Entwicklung seitens FHEM abgeschlossen und ausgetestet ist. Ich kann mich erinnern, dass es noch vor einem Jahr (?) nur rudimentär oder nicht ging.

Gruß Otto

riker1 · 03 Januar 2019, 10:32:27

Zitat von: Otto123 am 03 Januar 2019, 09:28:00
Moin Thomas,

ehrlich gesagt, weiß ich nicht, was wirklich geht und was nicht mit IPV6. Ich weiß auch nicht ob dort schon alle Entwicklung seitens FHEM abgeschlossen und ausgetestet ist. Ich kann mich erinnern, dass es noch vor einem Jahr (?) nur rudimentär oder nicht ging.

Gruß Otto

Hi Otto,
ja das ist irgendwie merkwürdig.

verusche ich an eine IPV6 instanz mit ip4 oder v6 zu kommen steht im log:

Code Auswählen

2019.01.03 10:05:18.340 4: Connection accepted from WEB8082SV6_::ffff:192.168.0.25_33448
Connection refused from the non-local address 2a02:810b:c740:131e:a98a:46fe:214f:2af3:42266, as there is no working allowed instance defined for it

aufgerufen mit:

Code Auswählen

https://[2a02:810b:c740:131e:b3f1:1962:5c91:206d]:8082/fhem

Instanzen werden gestartet aber nicht sichtbar:

Code Auswählen

WEB8082SV6_::ffff:192.168.0.25_33570
WEB8082SV6_::ffff:192.168.0.25_33572

fehler:

Code Auswählen

the connection to [2a02:810b:c740:131e:b3f1:1962:5c91:206d]:8082 was interrupted while the page was loading.
analog für IP4

wenn ich dann allow mit der IPV6 fülle:
steht im logfile:

Code Auswählen

2019.01.03 10:23:30.635 4: Connection accepted from WEB8082SV6_2a02:810b:c740:131e:a98a:46fe:214f:2af3_42636
2019.01.03 10:24:02.060 4: Connection closed for WEB8082SV6_2a02:810b:c740:131e:a98a:46fe:214f:2af3_42636: EOF

aber ein timeout

wenn ich dann noch ipv4 ins allowfrom einbaue:

sehe ich connections und instanzen, aber wieder timeouts

Code Auswählen

WEB8082SV6_2a02:810b:c740:131e:a98a:46fe:214f:2af3_42862
WEB8082SV6_::ffff:192.168.0.25_34210

irgendwie immer noch verwirrend

Scheinbar haben IPV6 und HTTPS Probleme

PS. noch ne Frage: Was definiert FHEM als "non local address"?

Danke Thomas

Otto123 · 03 Januar 2019, 10:50:50

In der Doku steht:

ZitatAttributes

allowFrom - Regexp the allowed IP addresses or hostnames. If this attribute is set, only connections from these addresses are accepted.
Attention: If allowfrom is not set, and no kind allowed instance is defined, and the remote has a non-local address, then the connection is rejected. The following addresses are considered local:
IPV4: 127/8, 10/8, 192.168/16, 172.16/10, 169.254/16
IPV6: ::1, fe80/10

riker1 · 03 Januar 2019, 11:12:57

ah Otto,

danke habe ich wohl in der Doku überlesen.

Das Thema local address ist nun eindeutig .

Nun weiss ich was ich für das VPN genau eingeben muss.

warum aber fhemweb per HTTPS und IPV6 mit akzeptierter Connection einen Timeout bekommt weiss ich nicht.
Das ist wohl wie du vorgergeschrieben hast, nicht richtig funktionieren.

Zum Glück habe ich nun dual Stack wieder.

Danke und schönen Tag