Hallo Alle,
Ich versuche (für Geofancy) FHEM hinter ein ReverseProxy zu verstecken.
Dafür habe ich HAProxy installiert auf meinem Pi, im config
listen abc
mode http
bind :x
acl isabc path_end -i /bli/bla
http-request deny unless isabc
server server1 localhost:y
hineingefügt und HAProxy gestartet.
Nun versuche ich Egigeozone ein Bericht ein zu schicken über https://meinserver:x/bli/bla, aber das wirkt nicht. Es wirkt aber mit https://meinserver:y/bli/bla.
Was mache ich falsch? Hat jemand vielleicht irgendeine Vorschläge?
Freundliche Grüße,
Paul
vielleicht besser path_begin statt path_end ...
Danke, Loredo, aber das war nicht das einzige Problem. Später hatte ich Anweisungen gefunden dass die benötigde SSL PassThrough das Problem wäre. Jetzt hat es geklappt, mit hilfe von https://serversforhackers.com/using-ssl-certificates-with-haproxy.
Was wirkt:
listen abc
bind :x
mode tcp
option tcplog
acl isabc path_sub -i /bli/bla
http-request deny unless isabc
server server1 localhost:y
Freundliche Grüße,
Paul
Man will hier aber kein Pass-Trough haben, man möchte eigentlich die Chance nutzen vernünftiges SSL Offloading zu machen.
Ansonsten hast du nichts an Sicherheit gewonnen, wenn du die Verbindung einfach auf Layer3 durchreichst. Da kannst du auch einfach nur NAT in deiner Firewall machen.
Gruß
Julian
Hallo Julian,
Du hast vielleicht recht, ich bin daran nicht sachverständig.
Aber https://wiki.fhem.de/wiki/Anwesenheitserkennung gab die Anweisung der FHEMWEB Modul HTTPS zu verarbeiten.
Ich habe versucht
bind :x ssl crt /opt/fhem/certs/server-cert.pem
oder
bind :x ssl crt /opt/fhem/certs/server-key.pem
oder
bind :x ssl crt /etc/ssl/certs/ssl-cert-snakeoil.pem
aber HAProxy gab dazu die Fehler:
sudo haproxy -f /etc/haproxy/haproxy.cfg -c
[ALERT] 356/224624 (10303) : parsing [/etc/haproxy/haproxy.cfg:46] : 'bind *:8085' : unable to load SSL private key from PEM file '/opt/fhem/certs/server-cert.pem'.
Wenn ich das geklärt habe ...
Und jedenfalls habe ich den Zugang zu alles andere als /bli/bla abgesperrt.
Freundliche Grüße,
Paul
Zitat von: Paul Guijt am 22 Dezember 2016, 23:14:15
Und jedenfalls habe ich den Zugang zu alles andere als /bli/bla abgesperrt.
Da bin ich mir gerade nicht sicher, meine aber im TCP Modus stehen diese Auswertungen aus den höheren Layern nicht zur Verfügung. Sprich, alles aus dem HTTP Protokoll wird nur geparst und bereitgestellt, wenn das Frontend im http Modus und nicht im tcp Modus betrieben wird. Das hieße dann, dass du die URI auf diese Art ebenfalls nicht eingeschränkt hättest.
Mehr dazu sagt aber sicher die HAproxy Doku.