Hauptmenü

SSL

Begonnen von frober, 16 September 2021, 12:09:05

Vorheriges Thema - Nächstes Thema

frober

SSL
Zitat von: Tueftler1983 am 16 September 2021, 10:07:42
Ich habe mein Fhem web mit Password und selbst signierten Zertifikat geschützt. Diese Kombi würde ich gerne auch für die websocket Connection nutzen um auch von unterwegs ohne VPN Zugriff zu haben.

Geht das und wenn ja was muss ich wie und wo einstellen?

Wenn du Fhem ins Inet lässt, solltest du einen Reverseproxy benutzen (Apache/Nginx). Fhem ist nicht auf Sicherheitslücken getestet!!
Fürs Internet empfehle ich dir ein Zertifikat von Letsencypt (kostenos), selbstsignierte werden immer weniger akzeptiert.

Trotz allem, das Zertifikat musst du auf Betriebssystemebene installieren (Inetsuche), in Fhemnativ brauchst du, ausser Benutzerdaten und SSL, nichts einzustellen.
Raspi 3b mit Raspbian Bullseye und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

Wo ich das in der App einstelle ist mir klar. Aber in Fhem muss ich da in dem websocket device Attribute setzen und wenn ja welche und wie müssen die definiert sein?

frober

Zitat von: Tueftler1983 am 16 September 2021, 13:52:33
Wo ich das in der App einstelle ist mir klar. Aber in Fhem muss ich da in dem websocket device Attribute setzen und wenn ja welche und wie müssen die definiert sein?

Ich habe Fhemweb auf websocket stehen.
Das websocketdevice kenne ich nicht, vermutlich brauchst du dazu ein alloweddevice...
Raspi 3b mit Raspbian Bullseye und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

So ein allowed device mit attr valid for websocket habe ich damit klappt die basicAuth aber mit der SSL Verschlüsselung stehe ich auf dem Schlauch wie ich was einstellen muss.

frober

Zitat von: Tueftler1983 am 16 September 2021, 17:51:09
So ein allowed device mit attr valid for websocket habe ich damit klappt die basicAuth aber mit der SSL Verschlüsselung stehe ich auf dem Schlauch wie ich was einstellen muss.

Es müsste ein Attribut SSL im websocketdevice geben.
Hast du Mal ein help Websocket in der Befehlszeile eingegeben?
Raspi 3b mit Raspbian Bullseye und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

Ja das attr SSL gibt es aber was muss da dann eingetragen werden?
Ein help Websocket führt nur zur Ausgabe: No help found for module: websocket

Deswegen, finde leider wenig Doku dazu.


frober

Zitat von: Tueftler1983 am 16 September 2021, 21:09:32
Ja das attr SSL gibt es aber was muss da dann eingetragen werden?
Ein help Websocket führt nur zur Ausgabe: No help found for module: websocket

Deswegen, finde leider wenig Doku dazu.

Versuche es analog zu Fhemweb und setzte das Attr auf 1.
Im Modulcode ist am Ende eine Hilfe, daher bin ich davon ausgegangen, dass sie mit Help angezeigt wird.
Raspi 3b mit Raspbian Bullseye und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

Hey,
Also so einfach scheint es nicht zu sein, mit einer 1 im attr SSL und in der App mit dem harken sichere Verbindung geht nix.

Nach löschen des attr SSL muss Fhem erst neu starten um über den websocket wieder erreichbar zu sein.

frober

Zitat von: Tueftler1983 am 16 September 2021, 22:11:29
Hey,
Also so einfach scheint es nicht zu sein, mit einer 1 im attr SSL und in der App mit dem harken sichere Verbindung geht nix.

Nach löschen des attr SSL muss Fhem erst neu starten um über den websocket wieder erreichbar zu sein.
Laut Doku von Websocket braucht SSL kein Argument.
Kannst du vom Betriebssystem (Fhemnativ) mit dem Browser auf Fhemweb mit dem Zertifikat zugreifen und wird dieses dann vom Browser akzeptiert oder gibt es eine Warnung?
Raspi 3b mit Raspbian Bullseye und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

Also mit dem Browser Greiner ich nur via https:meine-Adresse.com:6557 auf mein Fhem zu habe dann aber die Warnung das es ein selbstsigniertes Zertifikat ist und ob ich die Seite trotzdem aufrufen möchte.

frober

Zitat von: Tueftler1983 am 17 September 2021, 08:44:12
Also mit dem Browser Greiner ich nur via https:meine-Adresse.com:6557 auf mein Fhem zu habe dann aber die Warnung das es ein selbstsigniertes Zertifikat ist und ob ich die Seite trotzdem aufrufen möchte.

Das könnte schon das Problem sein...mein selbstsigniertes wird anerkannt ( ohne Warnmeldung).
Wenn du es im Inet benutzt, muss auch deine Zertifizierungsstelle entsprechend erreichbar sein.
Raspi 3b mit Raspbian Bullseye und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Syrex-o

Ich habe mal den Thread geteilt.
Zum Thema SSL gibt es sicher einige Interessenten  ;)

frober

Zitat von: Syrex-o am 17 September 2021, 10:45:52
Ich habe mal den Thread geteilt.
Zum Thema SSL gibt es sicher einige Interessenten  ;)
OK, passt.

Verweise aber bitte im ursprünglichen Thread darauf. Ich hatte schon vermutet dass du die Posts gelöscht hast....
Raspi 3b mit Raspbian Bullseye und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

Ich dachte auch das es gelöscht wurde,

Also ich benutze für Fhem ein selbst signiertes SSL Zertifikat, in Chrome wird immer gesagt das das Zertifikat nicht geprüft werden könnte und ob ich die Webseite trotzdem öffnen möchte.

Das selbige Zertifikat würde ich jetzt gerne für die FhemNativ websocket Verbindung nutzen.


frober

Mache es dir einfacher und benutze Letsencrypt. Beim Zertifikat geht es um Sicherheit, gerade wenn du ins Internet gehst!

Ein selbstsignierts Zertifikat zu erstellen, das akzeptiert wird, ist nicht einfach und, wie geschrieben, deine Zertifizierungsstelle muss auch erreichbar sein!
Raspi 3b mit Raspbian Bullseye und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

Naja was ich bis jetzt gelesen habe.... Einfach ist anders.

Ich habe eine ddns bei noip.com, geht aber nicht bei letsencrypt.
Ich habe keinen Apache Server installiert.

Und ne gescheite Anleitung von a bis z für das Vorhaben habe ich auch noch nicht gefunden.

frober

Vielleicht hilft dir das
https://forum.fhem.de/index.php/topic,96461.30.html


Ich würde Fhem, ohne vernünftige Absicherung nicht ins Internet lassen.
Ich selbst benutzte VPN und das ist bei Nichtgebrauch abgeschaltet (kann ich von außen schalten).

Raspi 3b mit Raspbian Bullseye und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

Leider nicht, war froh das ich mein Fhem mit dem selbst signierten Zertifikat ans laufen bekommen habe. Aber damit scheint es in FhemNativ ja nicht zu klappen.

frober

Da dein selbstsignierte Zertifikat nicht akzeptiert wird, funktioniert es mit Fhemnativ nicht. Da sich Fhemnativ hier auf das Betriebssystem verlässt!

Wenn du dich nicht in der Lage siehst, Letsencrypt zu benutzen, dann bleibe bei VPN.
Raspi 3b mit Raspbian Bullseye und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

So habe mein Fhem web nun auf Reverse Proxy mit letsencrypt Zertifikat geschützt.
Brauche also nur noch meine-Domain.zapto.org eingeben und bin in meiner Fhem Oberfläche.

Im Web device habe ich das attr Longpool auf websocket gestellt aber in FhemNativ bekomme ich mit den Einstellungen keine Verbindung hin egal ob ich Port 80, 443 oder gar nichts Einträge.

Was kann ich noch tun?

Wernieman

ZitatBrauche also nur noch meine-Domain.zapto.org eingeben und bin in meiner Fhem Oberfläche.
Ich hoffe mit Passwort o.Ä. ... sonst können alle User des Internets auf Dein FHEM ....
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

Tueftler1983

Ja mit Passwort und Benutzer Name, beides mit Groß/klein Schreibung, Sonderzeichen und zahlen war es vorher  auch schon gesichert, ist in Fhem auch base64 verschlüsselt hinterlegt.

frober

Zitat von: Tueftler1983 am 22 September 2021, 00:21:31
So habe mein Fhem web nun auf Reverse Proxy mit letsencrypt Zertifikat geschützt.
Brauche also nur noch meine-Domain.zapto.org eingeben und bin in meiner Fhem Oberfläche.

Im Web device habe ich das attr Longpool auf websocket gestellt aber in FhemNativ bekomme ich mit den Einstellungen keine Verbindung hin egal ob ich Port 80, 443 oder gar nichts Einträge.

Was kann ich noch tun?

Hast du den Verbindungstyp auf Fhemweb, den Port vom Reverse-Proxy und User/Passwort ohne Leerzeichen?
Raspi 3b mit Raspbian Bullseye und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

Ja habe Fhem web und als Port 80, 443 und nix versucht klappt alles nicht.
Ein anderer Port dir eine andere webinstanz die keine SSL hat funktioniert. Liegt also wieder nur an der ssl

frober

In dem Fall, das du Fhemweb benutzt, musst du den gleichen Port angeben, den du auch für den Zugriff die Fhemweb-Oberfläche benutzt.
Wenn der Zugriff fehlerfrei auf die Oberfläche funktioniert ( von aussen), sollte das mit Fhemnativ auch so sein.
Raspi 3b mit Raspbian Bullseye und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983

Hmm also Port 80 oder 443 da diese Ports auf mein Fhem durch den Proxy weitergeleitet werden.
Für den webzugriff rufe ich einfach. meine-Domain.zapto.org/Fhem auf

frober

Hast du die Domain in Fhemnativ genauso eingetragen, mit /fhem?
Ansonsten habe ich keine Idee mehr.

Vielleicht hat Syrex-o noch eine?
Raspi 3b mit Raspbian Bullseye und relativ aktuellem Fhem,  FS20, LGW, PCA301, Zigbee, MQTT, MySensors mit RS485(CAN-Receiver) und RFM69, etc.,
einiges umgesetzt, vieles in Planung, smile

********************************************
...man wächst mit der Herausforderung...

Tueftler1983


Tueftler1983

Hat das hier jemand mit SSL am laufen???

Tueftler1983

Hallo zusammen, nachdem es bei mir jetzt ziemlich lange mit SSL lief ( mit Apache2 Server, Reverse Proxy und Zertifikat von Let's Encrypt) kann ich nur wieder nicht via Internet und SSL verbinden.

Ich habe meinen Raspberry von Jessie auf buster geupdatet und seid dem funktioniert es wieder nicht.

Ich habe aber keine Ahnung ob es an Native liegt oder am PI

Mein verschlüsselter zusang über Internet und Browser via
" meine-Adresse.zapto.com/fhem" läuft weiterhin ohne Probleme.

Mag jemand bei der Fehlersuche helfen?