Kein WEB-IF über STunnel

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
staubsauger-nono

staubsauger-nono

Aktives Mitglied
Mitglied seit
27 Apr 2005
Beiträge
1,518
Punkte für Reaktionen
2
Punkte
38
Hallo,
folgendes Problem:
ds-mod 15.01 mit STunnel. FW .37
hat früher wunderbar funktioniert.
wenn ich über https://fritz.box aufrufe bekomme ich ganz normal die Zertifikatswarnung und anschliessend mein Web-IF der Box.
Wenn ich das selbe über Dyndns also INet mache sehe ich nach dem Zertifikat nur eine weisse Seite und in der Statuszeile des FF steht fertig.
Port 443 ist an die .253 (Virtual-IP) weitergeleitet.
Wiegesagt, bisher hat es funktioniert, ich habe es aber schon länger nicht mehr gebraucht, kann also nicht sagen, seit wann nicht mehr.
 
Kann es sein, dass virtualip Probleme macht? Probier doch direkt mit ar7.cfg.

MfG
 
Richtig, schau am besten im Rudi-Wiki nach. Ich habe es gerade ausprobiert, allerdings mit dem viiiiel schlankeren Matrixtunnel statt Stunnel, weil ich den immer in der Firmware habe. Läuft einwandfrei. Am besten nach der Änderung der ar7.cfg einen Reboot machen, dann flutscht es.
 
kriegaex schrieb:
Richtig, schau am besten im Rudi-Wiki nach. Ich habe es gerade ausprobiert, allerdings mit dem viiiiel schlankeren Matrixtunnel statt Stunnel, weil ich den immer in der Firmware habe. Läuft einwandfrei. Am besten nach der Änderung der ar7.cfg einen Reboot machen, dann flutscht es.
Zum Vergrößern anklicken....
Den Server-Modus hab ich nicht probiert, aber zumindest der Client-Modus von Stunnel funktioniert einwandfrei mit dem neuen dsmod. Deswegen tippe ich auch auf Probleme die anderswo liegen.
Ansonsten: Log-Level auf "debug" setzen und entsprechende Fehler-Meldungen posten.

Was matrixtunnel angeht, so sollte sich jeder im Klaren darüber sein, dass er eine experimentelle Software einsetzt. Sie ist eine Modifikation von Stunnel die vom Entwickler selbst noch nicht ausgiebig getestet wurde und auch nicht als "stabil" bezeichnet wird (alpha).
Ausserdem könnte sie gegenüber Stunnel Sicherheitsprobleme haben ! So funktioniert beispielsweise die Zertifikats-Überprüfung nicht.

Wer keine Platzprobleme hat und bspw. sowieso OpenVPN einsetzt und damit die SSL libraries drauf hat, sollte lieber auf Stunnel setzen.
 
Klar, STunnel sollte auch gehen, siehe meine Anleitung. Die ist auch getestet, wenngleich mit einer älteren Mod-Version.

Was soll das bedeuten, die Zertifikatsprüfung funktioniere in Matrixtunnel nicht? Die Zertifikate werden angezogen und dem Client zum Abnicken vorgelegt. Falls Du von Client-Zertifikaten redest, das braucht man nicht für einen einfachen paßwortgesicherten Zugang. Client-Zertifikate sind für mich die Kür im VPN-Bereich, das nutze ich nicht (eher schon Key-Login bei Dropbear), aber davon ist hier ja auch nicht die Rede. Wer möchte, darf gern versuchen, meinen Matrixtunnel zu knacken. ;-)

Klar, auf meine 7170 würde STunnel auch noch drauf passen, da ich auch nicht so an "Paketitis" leide wie viele meiner "Kunden" hier. Aber Platzsparen ist nun einmal hier bei den Fritz!Boxen einfach ein Thema, das man nicht ignorieren kann, deshalb erwähne ich immer wieder die Alternative zu STunnel. Ich bin jedenfalls begeistert, da sie für meinen Anwendungszweck voll tauglich ist.
 
kriegaex schrieb:
Was soll das bedeuten, die Zertifikatsprüfung funktioniere in Matrixtunnel nicht? Die Zertifikate werden angezogen und dem Client zum Abnicken vorgelegt. Falls Du von Client-Zertifikaten redest, das braucht man nicht für einen einfachen paßwortgesicherten Zugang. Client-Zertifikate sind für mich die Kür im VPN-Bereich, das nutze ich nicht (eher schon Key-Login bei Dropbear), aber davon ist hier ja auch nicht die Rede.
Zum Vergrößern anklicken....
Nein, ich rede schon von Server-Zertifikaten im Client-Modus. Ich zitiere mal den matrixtunnel Entwickler zn:
client mode is not tested. don't know if it works now. certification validation is not tested and will not work (i beleive).
Zum Vergrößern anklicken....
Sprich: wenn matrixtunnel eine Verbindung zu einem SSL geschützten Server aufgebaut, wird das Zertifikat nicht geprüft. Mit anderen Worten könnte jemand einen Server "vorgaukeln" und die Daten abfangen, ohne dass Stunnel das (auf Grund eines manipulierten Zertifikats) merken würde.

Wer möchte, darf gern versuchen, meinen Matrixtunnel zu knacken. ;-)
Zum Vergrößern anklicken....
:D :lol:, solche Angebote würde ich nicht machen !!!
Falls du dein Web-IF von außen per matrixtunnel/Stunnel zugreifbar gemacht hast, kommt auch jeder auf das Web-IF drauf (sofern er deine IP + Port kennt). Okay, man muss dann halt noch die PW-Abfrage der Oberfläche umgehen ;-)
Jedenfalls findet keine Authentisierung des Clients statt, nur die Verbindung wird verschlüsselt. Beim Einsatz von Client-Zertifikaten kommt nur diejenige drauf, der auch tatsächlich ein vom Server signiertes Zertifikat hat ... also ähnlich wie das bei OpenVPN abläuft.
Aus dem Grund habe ich auch den Server-Modus in Stunnel nicht direkt konfigurierbar gemacht - weil ich noch nicht dazu gekommen bin die ganze Zertifikats-Geschichte komfortabel konfigurierbar zu machen.

Klar, auf meine 7170 würde STunnel auch noch drauf passen, da ich auch nicht so an "Paketitis" leide wie viele meiner "Kunden" hier. Aber Platzsparen ist nun einmal hier bei den Fritz!Boxen einfach ein Thema, das man nicht ignorieren kann, deshalb erwähne ich immer wieder die Alternative zu STunnel. Ich bin jedenfalls begeistert, da sie für meinen Anwendungszweck voll tauglich ist.
Zum Vergrößern anklicken....
[offtopic]
Paketitis :lol: ... ja, das scheint um sich zu greifen ! Übrigens mal einen dicken Respekt für dein / Olivers Durchhaltevermögen bei den zig wiederholten Fragen wie man Linux bedient. Ich bin ja der Meinung wer es nicht einmal hinkriegt den dsmod zu kompilieren sollte lieber die Finger vom flashen der Fritz!Box lassen ;-) Und das war jetzt nicht speziell an jemanden gerichtet, nur dass mir das hier keiner in den falschen Hals kriegt :D

Das über matrixtunnel war übrigens nicht als Kritik gedacht, sondern nur als Hinweis :)
[offtopic ende]
 
DPR, Du redest hier, glaube ich, von etwas völlig anderem als der Thread-Starter im Sinn hatte. Es geht nicht um den Client-Modus, sondern um den Server-Modus. Es geht auch nicht um VPN, sondern lediglich um HTTPS-Zugiff aufs Web-IF der Box. Daß dessen Sicherheit bei bekannter IP einzig und allein vom Paßwort abhängt, ist klar. Nicht jedermanns Router ist ein Hochsicherheitstrakt. Mein PW ist aber z.B. so lang und kompliziert, daß Du mit Brute Force oder Wörterbüchern nicht weiter kommen würdest. Da müßtest Du schon eine Lücke im httpd kennen. Wer gleichzeitig technisch so gut ist, etwa so Exotisches wie einen Busybox-httpd auf einer Fritz!Box zu hacken, außerdem meine IP kennt und dann noch über die kriminelle Energie verfügt, meine Box zu hacken, der müßte immer noch erst mal einen Grund haben, den Aufwand überhaupt zu treiben, weil in meinem LAN entsprechend wertvolle Informationen zu finden hoffen müßte.

Das gesagt habend, zurück zum Ausgangspunkt: Ich habe beschrieben, wie man im Server-Modus sowohl mit STunnel als auch mit Matrixtunnel eine sicher verschlüsselte Verbindung hinbekommt, und der Fakt bleibt bestehen, daß dem so ist, da ich vom Client-Modus gar nicht rede und ihn auch nicht verwende.

D.h., Du hast bestimmt Recht mit dem, was Du über die Client-Zertifikate sagst, aber off-topic ist es trotzdem. Von daher gibt es keinen Grund, den Leuten Angst zu machen wegen des angeblich unsicheren Matrixtunnels.
 
kriegaex schrieb:
[...]der müßte immer noch erst mal einen Grund haben, den Aufwand überhaupt zu treiben, weil in meinem LAN entsprechend wertvolle Informationen zu finden hoffen müßte.
Zum Vergrößern anklicken....
Okay, ich versuch nur kurz darauf einzugehen, weil ich nicht zu sehr offtopic werden will. Ich gebe dir Recht, weil es viel leichter ist, den Zugriff auf viele Rechner/Daten über Phishing-Mails/Viren/Sicherheitslücken im System & Co zu bekommen. Das Interesse daran besteht aber unbestritten, wie wir alle an den zig Versuchen pro Tag sehen.

kriegaex schrieb:
D.h., Du hast bestimmt Recht mit dem, was Du über die Client-Zertifikate sagst, aber off-topic ist es trotzdem. Von daher gibt es keinen Grund, den Leuten Angst zu machen wegen des angeblich unsicheren Matrixtunnels.
Zum Vergrößern anklicken....
Ich will den Leuten nicht Angst machen. Tatsache ist, dass matrixtunnel, egal ob man es im Server- oder im Client-Modus einsetzt eine weitestgehend ungetestete Software ist. Da im Vergleich zu Stunnel durchaus sicherheitsrelevante Code-Teile verändert wurden, ist der Einsatz nicht vollkommen unbedenklich !

Mehr wollte ich in den Posts zu matrixtunnel eigentlich gar nicht anmerken.

Was mich jetzt interessieren würde ist, ob es denn staubsauger-nono nun hinbekommen hat oder nicht :)
 
Kann ich heute wohl nicht mehr mitteilen.
Ich darf noch einige Stunden in der Arbeit verbringen :(
Und die AR7.CFG über eine I-Netverbindung (wie das mit der Rudishell gehen soll, hab ich noch nicht so ganz verstanden) zu bearbeiten ist mir dann doch noch zu heiss.
Meine bessere Hälfte steinigt mich, wenn ich ihr Inet + Telefon klaue.
Trotzdem danke vorerst für die Tips.
 
Das ist kein Problem über Rudi, aber mir sind allemal Benutzer lieber, die sich selbst richtig einschätzen können und von etwas nicht ganz so Einfachem die Finger lassen, als diejenigen, die sich das System zerschießen und dann um Hilfe ersuchen und sagen "ich hab' gar nix gemacht". Schönen Feierabend für Dich dann irgendwann nachher.

P.S.: Ja, wenn man als Mann überleben möchte, sollte man eines ganz bestimmt nicht tun: die Telephonleitung unterbrechen, während eine Frau im Haus anwesend ist.
 
Also, ich habe mal euren Tip probiert.
Erfolg: keiner, immer noch leere weisse Seite
Wenn ich jedoch den DS-Mod auf den SSH-Port lege, funktioniert alles wie gewünscht.
Vieleicht sollte ich nach der ganzen flasherei mit den Mod doch mal ein recovery + zurücksetzten auf Werkseinstellungen machen.
Kann aber ein wenig dauern, da ich ein neues Spielzeug habe.
Ein kleiner privater Linux-server, den ich jetzt installieren und einrichten werde,
mal sehen ob das so klapp wie ich mir das vorstelle
 
Hast Du websrv auf Port 80 oder als Ersatz httpd?
 
Ich habe den "originalen" Webserver in betrieb.
 
Ich erinnere mich nicht, ob ich es damals mit dem ausprobiert habe, weil ich hauptsächlich an den auf Port 81 (httpd) heran wollte wegen der Rudi-Shell. Ich habe jetzt auch keine Lust, ihn samt STunnel probeweise wieder hinein zu flashen. Kannst ja mal schauen, ob es mit dem httpd als Ersatz für websrv besser geht.
 
Was mich nur wundert ist, das es vorher mal funktioniert hat.
 
staubsauger-nono schrieb:
Was mich nur wundert ist, das es vorher mal funktioniert hat.
Zum Vergrößern anklicken....
Okay, ich hab mir die Mühe gemacht das zu testen, weil ich ja eh Stunnel auf meiner Box habe.

So wie ich das sehe, hat AVM hier einen neuen Schutzmechanismus eingebaut:
Code: 
Jul 14 16:27:04 fritz user.err webcm[1737]: SECURITY VIOLATION -> just jump to index.html

Versuch mal probeweise auf die dsmod Config-Oberfläche weiterzuleiten, das müsste gehen, zumindest ging es bei mir. Ausserdem war die HTML-Seite nicht wirklich leer, kannst dir ja mal den Quelltext ansehen. Bspw. ging bei mir auch der explizite Aufruf der Seite "/html/login.html", auch wenn man sich damit trotzdem nicht einloggen kann.
 
ich hatte ja schon weiter oben geschrieben DS-Mod funktioniert.
Was seltsam ist, https aufgerufen aus dem eigenen Netz funktioniert. Das Web-IF der Box wird korrekt dargestellt.
Nur wenn ich über das INet komme habe ich die weisse Seite. Quelltext stimmt.
Jetzt habe ich mit ../html/login.html probiert und sehe da, damit funktionert es.
Browser sowohl IE als auch FF.
Sehr mysteriös:noidea::noidea:
 
Das ist doch unter allen neueren Firmwares so, dass der websrv nicht mehr von extern erreichbar ist. Und das ist auch gut so, da es ja wirklich Leute gibt die den einfach so freigeben.

MfG Oliver
 
olistudent schrieb:
Das ist doch unter allen neueren Firmwares so, dass der websrv nicht mehr von extern erreichbar ist. Und das ist auch gut so, da es ja wirklich Leute gibt die den einfach so freigeben.
Zum Vergrößern anklicken....
Stimme ich vollkommen zu ! Das ist meiner Meinung nach auch ganz klar die Ursache.
Allerdings ging bei mir wie gesagt auch der Login über die direkte URL nicht, da wurde nur die Seite angezeigt. Beim Versuch des Logins wird man dann wieder auf die Dummy-Seite weitergeleitet.

Eventuell könnte die Option "local = 192.168.178.1" für den Dienst-Eintrag helfen, wobei ich mir da nicht sicher bin ... dann müsste nämlich die Anfrage an den Web-Server quasi von einer lokalen IP kommen.
 
Zusatz-Info: Es liegt nicht an websrv, weil es mit httpd auch passiert. Es ist wohl eher webcm.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 700 (Mitglieder: 30, Gäste: 670)

Neueste Beiträge

Statistik des Forums

Themen
246,200
Beiträge
2,247,956
Mitglieder
373,765
Neuestes Mitglied
ja.solutions
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück