Kein WEB-IF über STunnel

OK, aus Sicherheitsgründen ist das nachvollziehbar.
Jedoch muss man sich doch schon etwas tiefer mit der Box beschäftigen (ar7.cfg editieren oder mod mit virtualip), bevor man solche Freigaben hat.
Da sollte man schon wissen was man tut.
Aber so lange wie Oliver meint, kann dieses Verhalten auch noch nicht sein.
Mit der .29 und div. Labors hat es immer funktioniert. Ich weis nicht ob es mit der .31 angefangen hat.
 
Tröste Dich mit dem Mod-UI und der Rudi-Shell. Damit kannst Du alles von der Kommandozeile machen, was Du willst.

Wenn Dir wirklich langweilig ist, kannst Du die Verbindung ja noch über einen Proxy auf einem PC im LAN oder auf der Box laufen lassen (arrrgh!). Aber bitte den dann selbst aufsetzen und so konfigurieren, daß webcm denkt, die Verbindung komme von innen.
 
Ich wundere mich nur, wie webcm feststellt, dass die Pakete von Außen kommen. Eigentlich kommen die ja von "Innen", nämlich über die virtuelle IP. Stunnel tunnelt die Pakete ja.
Aber ich vermute, dass webcm hier die TCP/IP Header prüft und das irgendwie erkennt. Aber das zu untersuchen überlasse ich jemand anderem ;)
 
Du brauchst doch für stunnel aber eine Freigabe von Port 80, oder? Das ist der Unterschied zum SSH/Putty-Tunnel, da gibst du ja Port 22 frei...

MfG Oliver
 
olistudent schrieb:
Du brauchst doch für stunnel aber eine Freigabe von Port 80, oder? Das ist der Unterschied zum SSH/Putty-Tunnel, da gibst du ja Port 22 frei...
Nein, nicht wirklich ! Stunnel kann auf jedem beliebigem Port nach Außen hin lauschen (bei HTTPS bietet sich halt 443 an) und leitet dann die Anfrage auf Port 80 einer beliebigen lokalen IP weiter. D.h. die Verbindung nach Außen hin ist verschlüsselt und innerhalb der Box ist das dann eine normale HTTP Verbindung.

Und den Source-Port kann webcm ja schlecht prüfen, weil der dynamisch festgelegt werden kann, der Dest-Port ist korrekterweise 80.

Also ich hab auf meiner Box nicht den Port 22 zum Zugriff auf SSH freigeben, sondern einen anderen. Der Zugriff auf die Web-Oberfläche (und andere lokale Dienste) per SSH Socks-Proxy (dynamische Port-Weiterleitung) funktioniert - unabhängig vom SSH Port - einwandfrei.

Die Methode über den SSH Socks Proxy würde ich übrigens der Stunnel-Methode vorziehen, weil sie deutlich sicherer und flexibler ist (Stichwort Benutzer Authentisierung/Authentifikation).
 
DPR schrieb:
Ich wundere mich nur, wie webcm feststellt, dass die Pakete von Außen kommen.
Aber ich vermute, dass webcm hier die TCP/IP Header prüft und das irgendwie erkennt.
TCP/IP Header kommen bei einem Programm nicht an, das einzige, was man feststellen kann, ist die IP und Port der Gegenstelle.
An anderer Stelle wurde aber schon geschrieben, daß es funktionieren soll, wenn man den Referrer ausschaltet.
Irgendwo kam auch der Tip, einfach ein älteres webcm zu verwenden.
Ich habe es aber nicht überprüft.
 
Auf den Referrer hätte ich auch als nächstes getippt, allerdings gehen dann die Links im Menü auf Mod-UI und WoL nicht mehr, weil die den Referrer benutzen. Aber das ist zu verschmerzen, insbesondere weil die ja nicht durchgetunnelt sind.
 
Nachdem das "Problem" ja nicht allzu gravierend für mich ist, werde ich wohl mit der jetzigen Situation leben können.
Der techn. Hintergrund hätte mich schon auch mal interessiert, aber was solls.
 
Es gibt jede Menge Debugging-Werkzeuge in 15.1, z.B. strace, ltrace, gdb bzw. gdbserver, lsof, inotify-tools, tcpdump, mtr. Viel Erfolg beim Herausfinden der technischen Hintergründe. ;-)

Update: Es liegt tatsächlich am Header HTTP_REFERER. Wenn man ihn unterdrückt, klappt es mit dem HTTPS-Tunnel:
  • Firefox: In Adreßzeile about:config eingeben, dann nach network.http.sendRefererHeader suchen, Wert auf 0 ändern (Standard ist 2), vgl. Abb. 1
  • Opera: F12 und dann im Kontextmenü "Herkunft (Referer) übertragen" deaktivieren, vgl. Abb. 2
  • Internet Explorer: Mir ist keine direkte Einstellung bekannt, um das direkt in IE zu unterdrücken, aber man kann das mit diversen lokalen Proxies à la Webwasher, Proxomitron und vermutlich mit Zusatzoptionen wie Anti-Werbe- und Anonymisierungs-Plugins oder Personal Firewalls mit Web-Optionen unterdrücken.
Happy browsing! :D
 

Anhänge

  • referer_firefox.gif
    referer_firefox.gif
    4.4 KB · Aufrufe: 86
  • referer_opera.gif
    referer_opera.gif
    4.3 KB · Aufrufe: 89
Zuletzt bearbeitet:
Für Firefox empfehle ich statt den Referrer komplett abzuschalten lieber ein Addon wie RefControl oder refspoof zu verwenden.

Damit kann man die Referrer-Regeln für einzelne Seiten einstellen.
 
Ja, ist viel besser. Wenn man halt mal irgendwo zu Besuch ist und das nicht hat, ist es wichtig zu wissen, wie man es kurzzeitig mal global loswerden kann ohne Plug-In.
 
Für Firefox empfehle ich statt den Referrer komplett abzuschalten lieber ein Addon wie RefControl oder refspoof zu verwenden.

Die beiden Addons sind nicht kompatibel zum neuen Firefox. Kennt jemand eine Alternative neben der Holzhammer-network.http.sendRefererHeader=0-Variante? Auf addons.mozilla.org habe ich auf die Schnelle nichts Passendes gefunden.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.