Hallo,
ich habe erfolgreich eine Verbindung von einem externen PC über den Dienst no-ip.org zu FHEM aufgebaut. Im Router ist eine entsprechende Port Weiterleitung definiert. FHEM ist bei mir also von überall über http://meinName.no-ip.org (//meinName.no-ip.org) erreichbar.
Nun möchte ich die SSL Verschlüsselung aktivieren. Hierzu habe ich nach Anleitung auf meinem FHEM-Server ein Zertifikat erstellt. Wenn ich dann das HHTPS Attribut von FHEM Web auf 1 setze, kann ich lokal über https://<ipAdresse>:8083/fhem eine sichere Verbindung aufbauen.
Allerdings funktioniert dies dann nicht mehr über meinen no-ip alias. Selbst wenn ich angebe https://meinName.no-ip.org, (//meinName.no-ip.org,) also explizit https, funktioniert es nicht. Weiß jemand, an welcher Stelle ich hier eingreifen muss? Der Router, der no-ip Dienst oder FHEM selbst?
Hallo broadway,
klingt für mich schwer nach einer fehlenden Portweiterleitung von TCP Port 443 (HTTPS).
Viele Grüße
Markus
Zitat von: Markus Bloch schrieb am Sa, 23 Februar 2013 19:01Hallo broadway,
klingt für mich schwer nach einer fehlenden Portweiterleitung von TCP Port 443 (HTTPS).
Viele Grüße
Markus
Also ich habe auch nur den Port 8083 intern weitergeleitet durch Änderung der ar7.cfg, wie im Wiki beschrieben und es funktioniert. Also ohne Weiterleitung von Port 443. (dies wäre ja nur der Standardport für SSL. Aber wir sagen ja explizit, dass wir über 8083 gehen)
Ich weiß nicht, ob jeder DynDNS-Dienst HTTPS unterstützt? Bei
dyndns.org klappt es.
Und das mit den Zertifikaten scheint ja alles zu funktionieren, denn sonst würde es ja lokal auch nicht klappen.
crissiloop
DynDNS & co hat nichts mit http/https zu tun, sie uebersetzen nur http://meinName.no-ip.org (//meinName.no-ip.org) auf die aktuelle IP-Adresse (z.Bsp. 123.4.56.78).
Ich habe auf dem FB bisher nur Freigaben zu weiteren Rechner (nicht das FB selbst) eingerichtet, das klappt in zwei Varianten zuverlaessig: auf dem zweiten Rechner wird FHEMWEB mit aktivierten SSL per HTTPS direkt angesprochen, oder ueber Apache/HTTPS per Proxy weitergeleitet zu einem Nicht-SSL FHEMWEB Port. Ich habe auf dem FB nie 443 direkt freigeschaltet, sondern Portnummer wie 51234 verwendet, da 80 bzw. 443 oefters von Portscanner geprueft wird.
Ich habe Probleme gesehen mit FHEMWEB+SSL+plotfork, ich empfehle beim SSL (oder generell auf langsamen Systemenwie ein FB) kein plotfork.
Prinzipiell sollte mit dem ar7.cfg-Hack FHEMWEB via HTTPS auch direkt auf dem FB von aussen ansprechbar sein, getestet habe ich es aber nicht.
Danke für die Antworten. Meine Portweiterleitung gilt für 8085.
Ich werde es mal mit dyndns.org versuchen.
Zitat von: broadway schrieb am Do, 28 Februar 2013 14:10Ich werde es mal mit dyndns.org versuchen.
Aber Rudolf hat doch schon geschrieben, dass die Dyn-DNS Dienste nichts mit den Ports zu tun haben. Das war nur meine laienhafte Vermutung.
Also muss der Fehler ja irgendwo anders liegen.
Hast du die Portweiterleitung wirklich durch Ändern der ar7.cfg
http://www.meintechblog.de/2012/08/fritzbox-interne-portweiterleitungen-einrichten/der Fritzbox gemacht? Und da auch geprüft, ob die Regel wirklich har genau so ausschaut, wie die anderen Portregeln in Bezug auf die Syntax?
Zitat von: broadway schrieb am Do, 28 Februar 2013 14:10Danke für die Antworten. Meine Portweiterleitung gilt für 8085.
Welchen WAN-Port leitest du denn konkret auf welchen LAN-Port um? 8085 ist der interne Port von FHEM?
Wenn du 8085 auch extern verwendest, musst du auch
https://DeinName.No-IP.org:8085 aufrufen. Das ist dir bewußt?
Ohne Portangabe funktioniert https i.d.R. nur auf Port 443. Port 443 könnte aber auf der FB problematisch sein, da dieser imho auch für die Fernwartung der Box verwendet wird. Ist also möglicherweise in irgendeiner Form reserviert.
Gruß
Carsten
OK, ich gebe zu, ich bin etwas verwirrt. Ich beschreibe mal die nicht SSL-Variante, die funktioniert.
Router Einstellung:
(siehe Anhang / see attachement)
Im Browser rufe ich auf: http://name.no-ip.org (//name.no-ip.org) (gebe den Port also nicht explizit an) und erhalte:
(siehe Anhang / see attachement)
Ich nutze keine Fritzbox sondern ein NAS, siehe Signatur. Gerade beim öffnen der Router-Konfig bekam ich die Meldung, dass dessen SSL-Zertifikat abgelaufen ist. Kann das eine Rolle spielen?
Nein, das hat auch nix damit zu tun.
Steht denn deine Definition von WEB auch auf "global"?
z.B. so: define WEBtablet FHEMWEB 8085 global
Benutze mal nur TCP und nicht UDP und nimm für beide
Einträge erst mal zum Testen die 8085. Dann muss es
gehen. Später kannst du dann für den Port "Öffentlich"
auch eine andere Portnummer nehmen, falls z.B. der
Arbeitgeber gerade diesen Bereich gesperrt hat.
Wie Carsten schon sagte, rufst du FHEM dann so auf:
https://DeinName.No-IP.org:8085/fhem (//deinname.no-ip.org:8085/fhem)
Gruß
Frank
Hallo Frank,
tausend Dank, jetzt klappts! Die entscheidenden Punkte:
Zitat von: fiedel schrieb am Do, 28 Februar 2013 22:16Benutze mal nur TCP und nicht UDP und nimm für beide 8085.
Zitat... rufst du FHEM dann so auf:
https://DeinName.No-IP.org:8085/fhem
Die Verbindung klappt einwandfrei.
Ab und zu erhalte ich jedoch diese Einträge im Logfile:
2013.03.12 04:26:02 1: FHEMWEB SSL/HTTPS error:
2013.03.12 04:26:43 1: FHEMWEB SSL/HTTPS error: Transport endpoint is not connected
2013.03.12 04:27:26 1: FHEMWEB SSL/HTTPS error: Transport endpoint is not connected
Weiß jemand, was das Problem ist?