Sicherer Zugriff via HTTPS von aussen für WebGui DS-Mod

rcb

Mitglied
Mitglied seit
10 Aug 2007
Beiträge
227
Punkte für Reaktionen
0
Punkte
0
Hallo habe folgendes Problem wie in Wiki beschrieben die Box via HTTPS mit Rudi-Shell von aussen erreichbar zumachen.

Es Funktioniert bis zu PW eingabe dann ist schluss und kommt die Standartmeldung' Seite kann nicht geladen bzw angezeigt werden' oder es wird nur ein teil von DS-Mod per Web-GuI angezeigt. Zertifikat und Box werden angesprochen.Ich habe es mit meheren Browser getestet mit verschiedenden Systemen.

Das Webinterface von der Fritzbox kann ich ohne Probleme über https: meinebox:port erichen
..sipp..
Die Client services von stunnel sieht so aus
[dsmod_web]
cert = /verz...../stunnel-key.pem
client = no
accept = 443
connect = 81

[fritzbox_web]
cert = /verz..../stunnel-key.pem
client = no
accept = 9000
connect = 80
..sipp...

Port forwardrules in der ar7.cfg entprechend gesetzt. Was mir auffällt in syslog
Starting stunnel client...2007.11.30 21:43:17 LOG4[1432:0]: Wrong permissions on /verz.../stunnel-key.pem
2007.11.30 21:43:17 LOG4[1432:0]: Wrong permissions on /# verz geändert in /verz.../stunnel-key.pem +verz. geändert.

Ist dies eine Meldung die was aufsich hat Wrong permissions? Doch es heist wie keine Berechtigung o.ä. ? Die Datei (Cert) wurde in das ensprechnede Verzeichnis entpackt wie in der debung.cfg eingetragen.

Ist das Problem bekannt von jemanden oder kann man dazu etwas sagen...

Danke für die Hilfe...
 
Hat die Datei executable-Rechte?

Gruß Niko
 
Wrong permissions heißt "falsche Zugriffsrechte", nicht "fehlende Zugriffsrechte".

Welche Zugriffsrechte sind denn gesetzt, und was erwartet stunnel?
 
Hat die Datei executable-Rechte?

Gruß Niko
Nee eigendlich nicht hmm sollte sie es? Der key wird in das endsprechende Verzeichnis angelegt und ist dann auch vorhanden.

RalfFriedl schrieb:
Wrong permissions heißt "falsche Zugriffsrechte", nicht "fehlende Zugriffsrechte".

Welche Zugriffsrechte sind denn gesetzt, und was erwartet stunnel?

OK dann hat stunnel die flaschen Zugriffsrechte?
 
Ist es nur eine Warnung, oder bricht es dann ganz ab?

Meine Vermutung ist, daß die Datei zu viele Zugriffsrechte hat. Auf einem Mehrbenutzersystem wäre das nicht so gut, auf der Box ist es ohne Bedeutung.

Versuche mal "chmod 600 stunnel-key.pem".
 
chmod 600 stunnel-key.pem
Ok habe dies in der Debug.cfg eingetragen und die Rechte werden demensprechend gesetzt.
Wrong permissions dauch in Syslog nicht mehr auf von start von stunnel.

Aber wiese komme ich nur teilweise per Anmeldung wie auf #1 beschrieben:
Es Funktioniert bis zu PW eingabe dann ist schluss und kommt die Standartmeldung' Seite kann nicht geladen bzw angezeigt werden' oder es wird nur ein teil von DS-Mod per Web-GuI angezeigt. Zertifikat und Box werden angesprochen.Ich habe es mit meheren Browser getestet mit verschiedenden Systemen.
nur teilweise auf die Box drauf von aussern per https? Liegt ja jetz nicht an stunnel.....
 
Häng mal Screenshots an, bitte.
 
Hier drei Screenshots über Verbindungsaufbau der Fritz/Speedport

Einmal mit Benutzerdaten Eingabe, dann nur oben in Fenster Symbol des DS-MOd und ein nicht richtiger Zeiten aufbau von der Box.
 

Anhänge

  • Fritz_Verbindungsaufbau.JPG
    Fritz_Verbindungsaufbau.JPG
    84.1 KB · Aufrufe: 64
  • Fritz mit halber darstellung.JPG
    Fritz mit halber darstellung.JPG
    75.7 KB · Aufrufe: 62
  • FritzBenutzereingabe.JPG
    FritzBenutzereingabe.JPG
    80.1 KB · Aufrufe: 62
Schalte mal den HTTP_REFERER im Firefox aus, das könnte helfen. AVM läßt Verbindungen von außen aus Sicherheitsgründen nicht zu.
 
Leider tritt das Problem auch noch auf. Ich habe es mit den IE 6 und 7 probiert gleiches Problem auch unter Linux Ubuntu 7.10 mit firefox 2.0.

Alle führen zum gleichen Ergebniss.
 
Du musst im Firefox den Referrer abschalten (about:config).

MfG Oliver
 
RefControl bietet für Firefox die Möglichkeit das pro Seite statt global zu machen.
 
So habe es mit den RefControl tool versucht was auch bei Firefox 2.0 teilweise funtioniert.

So habe es mal unter Winserver 2003 mit den IE7.0 eine Verbindung mit der Box auf herzustellen das klappt ohne Prob Seiten werden normal wie beim local Seitenaufbau aufgebaut für den DS-Mod.

Nutz der IE 7.0 den HTTP_REFERER garnicht ? Weil bei den IE 6.0 ist gibt es das gleiche Prob wie bei Firefox 2.0...
 
IE7 nutzt (bzw. sendet) den HTTP_REFERER, wie alle anderen Browsers das auch tun, aber ohne externe Tools kannst Du ihn nicht so einfach ausschalten wie bei Firefox oder Opera. Du mußt ihn wohl wegfiltern mit einem Proxy.
 
OK mit Proxy geht's.. :)

Kann ich auch stunnel auch mit openvpn nutzen .d.h das der aus und eingang Port offener port über die Box verschlüsselt wird. Hat das schon jemand gemacht oder gibt es eine Beschreibung über stunnel darüber ? Oder wie am andere Dienste mit Port ansteuern kann?
 
Wieso willst Du Stunnel mit OpenVPN nutzen? Um einen Tunnel durch einen Tunnel zu bauen? Wie man mit Stunnel oder - besser, weil viel kleiner - Matrixtunnel arbeiten kann, steht im Wiki-Eintrag der Rudi-Shell. Außerdem gibt es ja noch SSH-Tunnels, so daß man STunnel oder Matrixtunnel meistens nicht braucht - nur, wenn man irgendwo ist, wo man außer den HTTP-Ports wirklich auf nichts zugreifen darf und insbesondere kein SSH-Connect möglich ist.
 
Alexander hat vollkommen recht ! Ein dynamischer SSH Tunnel (Socks Proxy) ist recht komfortabel, sicher und vor allem sehr flexibel. Man braucht lediglich eine einzige Port-Freigabe auf der Fritz!Box um auf quasi alle Dienste (bspw. Remote-Desktop) im LAN zugreifen zu können. Dafür muss man sich halt remote per SSH auf der Fritz!Box einloggen, braucht damit einen SSH Client auf dem Client und eine Möglichkeit u.U. die Proxy-Einstellungen zu verändern. Das macht OpenVPN auf der Box für einfache Zwecke fast überflüssig.

Anleitungen dafür sollte es wohl hier irgendwo geben - oder im Netz.

Brauchst du Zugriff auf die Fritz!Box Weboberfläche vor allem von fremden Rechnern aus, eignet sich stunnel/Matrixtunnel durchaus. Ich kann aber nicht müde werden zu sagen, dass es ohne Client-Authentifizierung (--> Client-Zertifikate) eine recht unsichere Geschichte ist. Nur das Passwort der Fritz!Box Oberfläche steht dabei zwischen einem Angreifer und einem kompletten Zugriff auf die Box. Ich würde hier mehr Vertrauen in standardisierte und erprobte Methoden setzen (SSH, SSL+Client-Zertifikate).
 
Ok ihr habt ja recht ... :) aber ich dachte an was anderes. Hmm muss mal überlegen...ich dache so an mehre alternativen.
 
Und würdest Du uns an Deinen Gedanken teilhaben lassen, wenn wir schon Deine Ideen kommentieren und Dich zu beraten versuchen? Woran dachtest Du, wenn nicht daran, was wir vermuteten?
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Statistik des Forums

Themen
246,167
Beiträge
2,247,306
Mitglieder
373,705
Neuestes Mitglied
brunomuehl
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.