Sicherer Zugriff via HTTPS von aussen für WebGui DS-Mod

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
R

rcb

Mitglied
Mitglied seit
10 Aug 2007
Beiträge
227
Punkte für Reaktionen
0
Punkte
0
Hallo habe folgendes Problem wie in Wiki beschrieben die Box via HTTPS mit Rudi-Shell von aussen erreichbar zumachen.

Es Funktioniert bis zu PW eingabe dann ist schluss und kommt die Standartmeldung' Seite kann nicht geladen bzw angezeigt werden' oder es wird nur ein teil von DS-Mod per Web-GuI angezeigt. Zertifikat und Box werden angesprochen.Ich habe es mit meheren Browser getestet mit verschiedenden Systemen.

Das Webinterface von der Fritzbox kann ich ohne Probleme über https: meinebox:port erichen
..sipp..
Die Client services von stunnel sieht so aus
[dsmod_web]
cert = /verz...../stunnel-key.pem
client = no
accept = 443
connect = 81

[fritzbox_web]
cert = /verz..../stunnel-key.pem
client = no
accept = 9000
connect = 80
..sipp...
Zum Vergrößern anklicken....

Port forwardrules in der ar7.cfg entprechend gesetzt. Was mir auffällt in syslog
Starting stunnel client...2007.11.30 21:43:17 LOG4[1432:0]: Wrong permissions on /verz.../stunnel-key.pem
2007.11.30 21:43:17 LOG4[1432:0]: Wrong permissions on /# verz geändert in /verz.../stunnel-key.pem +verz. geändert.
Zum Vergrößern anklicken....

Ist dies eine Meldung die was aufsich hat Wrong permissions? Doch es heist wie keine Berechtigung o.ä. ? Die Datei (Cert) wurde in das ensprechnede Verzeichnis entpackt wie in der debung.cfg eingetragen.

Ist das Problem bekannt von jemanden oder kann man dazu etwas sagen...

Danke für die Hilfe...
 
Hat die Datei executable-Rechte?

Gruß Niko
 
Wrong permissions heißt "falsche Zugriffsrechte", nicht "fehlende Zugriffsrechte".

Welche Zugriffsrechte sind denn gesetzt, und was erwartet stunnel?
 
jesus.christ schrieb:
Hat die Datei executable-Rechte?

Gruß Niko
Zum Vergrößern anklicken....
Nee eigendlich nicht hmm sollte sie es? Der key wird in das endsprechende Verzeichnis angelegt und ist dann auch vorhanden.

RalfFriedl schrieb:
Wrong permissions heißt "falsche Zugriffsrechte", nicht "fehlende Zugriffsrechte".

Welche Zugriffsrechte sind denn gesetzt, und was erwartet stunnel?
Zum Vergrößern anklicken....

OK dann hat stunnel die flaschen Zugriffsrechte?
 
Ist es nur eine Warnung, oder bricht es dann ganz ab?

Meine Vermutung ist, daß die Datei zu viele Zugriffsrechte hat. Auf einem Mehrbenutzersystem wäre das nicht so gut, auf der Box ist es ohne Bedeutung.

Versuche mal "chmod 600 stunnel-key.pem".
 
chmod 600 stunnel-key.pem
Zum Vergrößern anklicken....
Ok habe dies in der Debug.cfg eingetragen und die Rechte werden demensprechend gesetzt.
Wrong permissions dauch in Syslog nicht mehr auf von start von stunnel.

Aber wiese komme ich nur teilweise per Anmeldung wie auf #1 beschrieben:
Es Funktioniert bis zu PW eingabe dann ist schluss und kommt die Standartmeldung' Seite kann nicht geladen bzw angezeigt werden' oder es wird nur ein teil von DS-Mod per Web-GuI angezeigt. Zertifikat und Box werden angesprochen.Ich habe es mit meheren Browser getestet mit verschiedenden Systemen.
Zum Vergrößern anklicken....
nur teilweise auf die Box drauf von aussern per https? Liegt ja jetz nicht an stunnel.....
 
Häng mal Screenshots an, bitte.
 
Hier drei Screenshots über Verbindungsaufbau der Fritz/Speedport

Einmal mit Benutzerdaten Eingabe, dann nur oben in Fenster Symbol des DS-MOd und ein nicht richtiger Zeiten aufbau von der Box.
 

Anhänge

  • Fritz_Verbindungsaufbau.JPG
    Fritz_Verbindungsaufbau.JPG
    84.1 KB · Aufrufe: 64
  • Fritz mit halber darstellung.JPG
    Fritz mit halber darstellung.JPG
    75.7 KB · Aufrufe: 62
  • FritzBenutzereingabe.JPG
    FritzBenutzereingabe.JPG
    80.1 KB · Aufrufe: 62
Schalte mal den HTTP_REFERER im Firefox aus, das könnte helfen. AVM läßt Verbindungen von außen aus Sicherheitsgründen nicht zu.
 
Leider tritt das Problem auch noch auf. Ich habe es mit den IE 6 und 7 probiert gleiches Problem auch unter Linux Ubuntu 7.10 mit firefox 2.0.

Alle führen zum gleichen Ergebniss.
 
Du musst im Firefox den Referrer abschalten (about:config).

MfG Oliver
 
RefControl bietet für Firefox die Möglichkeit das pro Seite statt global zu machen.
 
So habe es mit den RefControl tool versucht was auch bei Firefox 2.0 teilweise funtioniert.

So habe es mal unter Winserver 2003 mit den IE7.0 eine Verbindung mit der Box auf herzustellen das klappt ohne Prob Seiten werden normal wie beim local Seitenaufbau aufgebaut für den DS-Mod.

Nutz der IE 7.0 den HTTP_REFERER garnicht ? Weil bei den IE 6.0 ist gibt es das gleiche Prob wie bei Firefox 2.0...
 
IE7 nutzt (bzw. sendet) den HTTP_REFERER, wie alle anderen Browsers das auch tun, aber ohne externe Tools kannst Du ihn nicht so einfach ausschalten wie bei Firefox oder Opera. Du mußt ihn wohl wegfiltern mit einem Proxy.
 
OK mit Proxy geht's.. :)

Kann ich auch stunnel auch mit openvpn nutzen .d.h das der aus und eingang Port offener port über die Box verschlüsselt wird. Hat das schon jemand gemacht oder gibt es eine Beschreibung über stunnel darüber ? Oder wie am andere Dienste mit Port ansteuern kann?
 
Wieso willst Du Stunnel mit OpenVPN nutzen? Um einen Tunnel durch einen Tunnel zu bauen? Wie man mit Stunnel oder - besser, weil viel kleiner - Matrixtunnel arbeiten kann, steht im Wiki-Eintrag der Rudi-Shell. Außerdem gibt es ja noch SSH-Tunnels, so daß man STunnel oder Matrixtunnel meistens nicht braucht - nur, wenn man irgendwo ist, wo man außer den HTTP-Ports wirklich auf nichts zugreifen darf und insbesondere kein SSH-Connect möglich ist.
 
Alexander hat vollkommen recht ! Ein dynamischer SSH Tunnel (Socks Proxy) ist recht komfortabel, sicher und vor allem sehr flexibel. Man braucht lediglich eine einzige Port-Freigabe auf der Fritz!Box um auf quasi alle Dienste (bspw. Remote-Desktop) im LAN zugreifen zu können. Dafür muss man sich halt remote per SSH auf der Fritz!Box einloggen, braucht damit einen SSH Client auf dem Client und eine Möglichkeit u.U. die Proxy-Einstellungen zu verändern. Das macht OpenVPN auf der Box für einfache Zwecke fast überflüssig.

Anleitungen dafür sollte es wohl hier irgendwo geben - oder im Netz.

Brauchst du Zugriff auf die Fritz!Box Weboberfläche vor allem von fremden Rechnern aus, eignet sich stunnel/Matrixtunnel durchaus. Ich kann aber nicht müde werden zu sagen, dass es ohne Client-Authentifizierung (--> Client-Zertifikate) eine recht unsichere Geschichte ist. Nur das Passwort der Fritz!Box Oberfläche steht dabei zwischen einem Angreifer und einem kompletten Zugriff auf die Box. Ich würde hier mehr Vertrauen in standardisierte und erprobte Methoden setzen (SSH, SSL+Client-Zertifikate).
 
Ok ihr habt ja recht ... :) aber ich dachte an was anderes. Hmm muss mal überlegen...ich dache so an mehre alternativen.
 
Und würdest Du uns an Deinen Gedanken teilhaben lassen, wenn wir schon Deine Ideen kommentieren und Dich zu beraten versuchen? Woran dachtest Du, wenn nicht daran, was wir vermuteten?
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 630 (Mitglieder: 13, Gäste: 617)

Neueste Beiträge

Statistik des Forums

Themen
244,888
Beiträge
2,220,169
Mitglieder
371,621
Neuestes Mitglied
mujoy
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück