SSL Proxy auf 7050er

post · 12 Okt 2005

Hallo zusammen!

Ich habe das Forum hier schon durchstöbert, bin aber nicht wirklich fündig geworden. Kann durch aus daran liegen, dass ich zu doof zum richtigen Suchen (=Begriffwahl, Schreibweise, etc.) bin...

Nocheins vorneweg: Ich bin absoluter Linux-Newbie! Einiges konnte ich mir zwar anlesen und durch Try'n'Error zum Laufen bringen, recht sicher war ich mir aber nie...

Nun aber zum eigentlichen Thema:
Ich suche einen SSL Proxy, der auf der Fritz!Box läuft um damit endlich gesichert via dyndns von überall aus auf meine Dreambox (7020) zugreifen zu können. Bisher kann ich das nur ungesichert via http.
Die Dreambox ist ja auch Linux-basiert, jedoch habe ich für die auch nirgendwo einen SSL Proxy gefunden. In einschlägigen Dreambox-Foren sind scheinbar alle, die gut mit der Dreambox und dem Linux können, nur damit beschäftigt, der supergeilen Büchse noch mehr Funktionen beizubringen, aber SSL, bzw. eine sichere Übertragung interessiert keinen...

Ich hoffe Ihr lasst mich nicht im Stich und könnt mir weiterhelfen. Ich könnte ja auch damit leben, wenn es nicht geht, aber ich würde mich freuen, wenn mir das wenigstens jemand plausibel in wenigen Sätzen sagen könnte.

Vorweg schon mal Danke.

Gruß
post

danisahne · 12 Okt 2005

Hallo post,

der hier sieht doch recht klein und gut aus: http://www.obdev.at/products/ssl-proxy/
Werd ihn bei Zeiten in meinen Mod integrieren.

Gruß,
danisahne

EDIT: Frage an die Experten: Hat SSLeay eine brauchbare Größe für die Fritzbox? OpenSSL ist glaub ich ein bisschen groß, oder?

post · 12 Okt 2005

Hallo danisahne,

danke für die schnelle Antwort.

Bin beim Stöbern noch über folgende Seite gestoplpert: http://sourceforge.net/projects/sslproxy/.

Wäre das auch ein Ansatz?

Stunnel wäre u.U. auch noch eine Möglichkeit, wenn ich das richtig verstanden habe. Da brauche ich aber auf der Gegenseite auch Stunnel und wäre aber nicht ganz so flexibel wie mit einem SSL Proxy, bzw. kann vom Inet-Cafe aus nicht verschlüsselt zugreifen. Richtig?

Gruß
post

danisahne · 12 Okt 2005

Der auf Sourceforge scheint besser gewartet zu sein (vom Datum her). Soweit ich das gesehen hab, braucht es aber auch OpenSSL. Kommt also darauf an, ob man OpenSSL auf eine vernünftige Größe bringt.

Mfg,
danisahne

post · 12 Okt 2005

Wie meinst du das mit 'auf eine vernünftige Grö0e bringt'? Man kann doch einige Sachen mittels wget nachladen (ich hätte z.B. permanent eine Dreambox online) oder wird's schon mit dem RAM der Fritz!Box eng?

Gruß
post

danisahne · 12 Okt 2005

Wenn du es nachladen willst, dann sollte es kein Problem geben. Ich denke da eher ans Firmware modden und da wäge ich das Nutzen/Platz Verhältnis ab.

stunnel sollte eihgentlich das selbe können und setzt auf OpenSSL oder SSLeay auf: http://www.stunnel.org/examples/https_windows.html
Ich hab bis jetzt mit noch keinem dieser Programme Erfahrung gesammelt.

post · 8 Mrz 2006

Hallo danisahne!

Ich wollte mal vorsichtig nachfragen, ob du zum Thema SSL Proxy/Tunnel schon weitere Infos hast.

Vielleicht hat ja jemand anders noch einen Ansatz (siehe Eröffnungthread).

Danke.

Gruß
post

bisi_hh · 8 Mrz 2006

Hier gibt es eine vollwertige Open-Source-SSL-Implementierung mit einem Footprint <50kb: http://www.matrixssl.org/
Die zu nutzen würde wahrscheinlich etwas (bzw. eine Menge

) Codefummelei bedeuten, aber im Vergleich zum klobigen OpenSSL dürfte sich das lohnen.

P.S. Ich würde mich natürlich auch über eine Integration in Deinen Mod freuen, danisahne...

P.P.S. Ein vernünftiges Ziel wäre imho ein kompakter SSL-Wrapper a la Stunnel, mit dem dann jeder die (Mod-)Daemons sichern kann, die er braucht.

elvyne · 15 Apr 2006

Vielleicht interessant, stunnel für die Box :
http://www.puschin.de/index.php?aktion=thema_anzeigen&menue_id=63&thema_id=165&faq_id=422

Gruß
Frank

obicom · 24 Apr 2006

@elvyne
Hat du schon Erfahrungen mit dem von dir verlinktem stunnel sammeln können?
Auf der Web Site von Frank Puschin steht ja nicht viel dazu.
Brauch ich auch Openssl dabei? Was bedeuten die Parameter hinter dem Programmaufruf? Gibt es noch mehr Parameter ..? Ich suche genau so eine Lösung. Bin aber "unerfahren".

elvyne · 24 Apr 2006

Das Programm läuft einwandfrei, auch über längere Zeit.

Das auf der Seite angegebene Beispiel öffnet auf der Box den Port 443 und leitet die Anfragen, die per https an Port 443 gestellt werde an den Port 80 (lokal) weiter.

./stunnel -f -d 443 -r 80 -P none

-f -> Das Programm bleibt im Vordergrund (zum Testen)
-d -> ist der verschlüsselte Port, der geöffnet wird
-r -> Auf diesen Port wird weitergeleitet
-P -> PID-File (Datei in die die Prozess-ID geschrieben wird)

OpenSSL ist statisch reingelinkt und wird daher nicht benötigt.
Weitere Parameter gibt es mit ./stunnel -h

Gruß
Frank

obicom · 24 Apr 2006

ich komm nicht weiter mit stunnel ....

beim starten mit den angegebenen Parametern bekomme ich zwischendurch eine Fehlermeldung

# ls -la

-rwxr-xr-x 1 root root 1868324 Apr 24 16:34 stunnel
-rwxr-xr-x 1 root root 2120 Apr 24 16:59 stunnel.pem

# ./stunnel -f -d 443 -r 80 -P none
2006.04.24 18:56:01 LOG5[19080:16384]: Using '80' as tcpwrapper service name
2006.04.24 18:56:01 LOG4[19080:16384]: Wrong permissions on stunnel.pem
2006.04.24 18:56:01 LOG5[19080:16384]: stunnel 3.26 on i686-pc-linux-gnu PTHREAD
+LIBWRAP with OpenSSL 0.9.7i 14 Oct 2005
2006.04.24 18:56:01 LOG5[19080:16384]: FD_SETSIZE=1024, file ulimit=1024 -> 500
clients allowed

wenn ich versuche z.B. die Fritzbox anzusprechen: https://fritz.box
passiert nichts. Eigentlich möchte ich eine webcam im LAN (http Server) vom WAN aus über https ansprechen können.
1.)Geht das überhaupt mit stunnel?
2.)Hast du eine Idee was ich dafür machen muss?
3.)Wo liegt der Fehler meiner stunnel.pem? (Hatte ich wie auf der Seite angegeben unter Linux generiert)

elvyne · 24 Apr 2006

1.)Geht das überhaupt mit stunnel?
Ja, das geht.

2.)Hast du eine Idee was ich dafür machen muss?
Auf der Box folgenden Befehl ausführen :
# ./stunnel -f -d 443 -r [IP DER KAMERA]:80 -P none

3.)Wo liegt der Fehler meiner stunnel.pem? (Hatte ich wie auf der Seite angegeben unter Linux generiert)
Die Meldung kann man ignorieren, die kommt bei mir auch.

Was sagt denn :

# netstat -ln
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN

Ist der Port 443 wie oben geöffnet und hat sich an 0.0.0.0 gebunden ?

Gruß
Frank

obicom · 24 Apr 2006

ich bin zu blöd ...

also ich starte stunnel ->

# ./stunnel -f -d 443 -r 192.168.1.27:80 -P none
2006.04.24 20:48:56 LOG5[21520:16384]: Using '192.168.1.27.80' as tcpwrapper ser
vice name
2006.04.24 20:48:56 LOG4[21520:16384]: Wrong permissions on stunnel.pem
2006.04.24 20:48:56 LOG5[21520:16384]: stunnel 3.26 on i686-pc-linux-gnu PTHREAD
+LIBWRAP with OpenSSL 0.9.7i 14 Oct 2005
2006.04.24 20:48:56 LOG5[21520:16384]: FD_SETSIZE=1024, file ulimit=1024 -> 500
clients allowed

danach schau ich mir den netstat an ->

# netstat -ln
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:5060 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:5031 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:49000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:1011 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:1012 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
udp 0 0 0.0.0.0:1024 0.0.0.0:*
udp 0 0 0.0.0.0:1025 0.0.0.0:*
udp 0 0 0.0.0.0:1026 0.0.0.0:*
udp 0 0 0.0.0.0:7077 0.0.0.0:*
udp 0 0 0.0.0.0:5031 0.0.0.0:*
udp 0 0 0.0.0.0:7082 0.0.0.0:*
udp 0 0 0.0.0.0:7083 0.0.0.0:*
udp 0 0 0.0.0.0:53 0.0.0.0:*
udp 0 0 0.0.0.0:5060 0.0.0.0:*
udp 0 0 0.0.0.0:1900 0.0.0.0:*
raw 0 0 0.0.0.0:2 0.0.0.0:* 0
raw 0 0 0.0.0.0:2 0.0.0.0:* 0
raw 0 0 0.0.0.0:2 0.0.0.0:* 0
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node Path
#

versuch ich nun mich über -> https://meinedomain.dnydns.info

zuverbinden .. bekomme ich -> Fehler: Verbindung fehlgeschlagen

welche Portfreigabe muss ich in der Fritz Box setzen?

Hab gesetzt -> Port 443 auf <IP-Kamera> mit Port 443

Welche Adresse muss ich im Browser eingeben? https://<meinedomain>.dyndns.info ?

Hast du nochmal einen Tipp (und ein wenig gedult mit mir)

elvyne · 24 Apr 2006

Hast du nochmal einen Tipp (und ein wenig gedult mit mir)

Na klar, geht ja gerade erst los mit der Fehlersuche.

Der Port 443 ist geöffnet, das ist natürlich schonmal schön. Jetzt musst du folgendes tun :
Mit dem Befehl
# ifconfig eth0:0 192.168.178.253 netmask 255.255.255.0
ein Interface mit der IP-Adresse 192.168.178.253 einrichten und dann in der Weboberfläche eine Portweiterleitung an diese IP-Adresse auf Port 443 erlauben.

Die Kamera lauscht ja nicht auf Port 443, sondern deine Box. Normalerweise darf man auf die IP-Adresse der Box keine Portfreigabe einrichten, daher der Trick mit der 192.168.178.253er Adresse. Damit geht es.

Gruß
Frank

obicom · 24 Apr 2006

verzweifel ...

interface eingerichtet -> ifconfig
eth0:0 Link encap:Ethernet HWaddr 00:15:0C:6A:BA

C
inet addr:192.168.178.253 Bcast:192.168.178.255 Ma
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

Webinterface->Internet-Portfreigabe->443 auf 192.168.178.253 ->443

es geht immer noch nicht .... bei Aufruf https://<meinedomain>.dyndns.info
einige Sekunden warten und dann -> Fehler: Verbindung fehlgeschlagen

Ach ja... das stand in der Konsole-> 2006.04.24 21:29:33 LOG5[23227:16386]: 192.178.1.27.80 connected from 80.134.43.
84:61677

es kommt aber kein Verbindung zustande ...

elvyne · 24 Apr 2006

Das mit dem Interface sieht gut aus.

Mir fallen noch ein, zwei Sachen ein :

1. stunnel muss in einer Konsole laufen, die Ausgabe sieht so aus :
# ./stunnel -f -d 443 -r 192.168.1.27:80 -P none
2006.04.24 20:48:56 LOG5[21520:16384]: Using '192.168.1.27.80' as tcpwrapper service name
2006.04.24 20:48:56 LOG4[21520:16384]: Wrong permissions on stunnel.pem
2006.04.24 20:48:56 LOG5[21520:16384]: stunnel 3.26 on i686-pc-linux-gnu PTHREAD +LIBWRAP with OpenSSL 0.9.7i 14 Oct 2005
2006.04.24 20:48:56 LOG5[21520:16384]: FD_SETSIZE=1024, file ulimit=1024 -> 500 clients allowed

Das muss dann erstmal so laufen und darf nicht mit STRG+c abgebrochen werden, aber ich denke das ist klar. Wenn du die Portfreigabe eingerichtet hast, dann sollte in der Konsole auch ein Log-Eintrag erscheinen. Kommt da was ?

2. Deine Kamera ist im Netzwerk 192.168.1.x, da muss natürlich eine Route hin existieren. Oder ist deine Fritzbox im Netzwerk 192.168.1.x ? Bei mir ist sie im Netzwerk 192.168.178.x.

Gruß
Frank

obicom · 24 Apr 2006

zu1.) kommt genau so ... klar laufen lassen ..
zu 1a.) der connect kommt ... ->2006.04.24 21:29:33 LOG5[23227:16386]: 192.178.1.27.80 connected from 80.134.43.
84:61677

zu2.) Klar, die FB ist im selben Netz ... 192.168.1.1

hätte ich ein anderes Interface öffnen müssen? (192.168.1.253) (und wenn ja, wie werd ich das "falsche" wieder los?)

elvyne · 24 Apr 2006

zu 1a.) der connect kommt ... ->2006.04.24 21:29:33 LOG5[23227:16386]: 192.178.1.27.80 connected from 80.134.43.84:61677

Prima!

zu 2.) Klar, die FB ist im selben Netz ... 192.168.1.1
hätte ich ein anderes Interface öffnen müssen? (192.168.1.253) (und wenn ja, wie werd ich das "falsche" wieder los?)

Du kannst das Interface einfach "überschreiben", d.h. :
# ifconfig eth0:0 192.168.1.253 netmask 255.255.255.0

obicom · 24 Apr 2006

jetzt haben wir es fast ... nur das nach dem ersten Aufruf der Kamera scheinbar der Stunnel oder Memory zusammenbricht ->

# ./stunnel -f -d 443 -r 192.168.1.27:80 -P none
2006.04.24 22:33:38 LOG5[25294:16384]: Using '192.168.1.27.80' as tcpwrapper ser
vice name
2006.04.24 22:33:38 LOG4[25294:16384]: Wrong permissions on stunnel.pem
2006.04.24 22:33:38 LOG5[25294:16384]: stunnel 3.26 on i686-pc-linux-gnu PTHREAD
+LIBWRAP with OpenSSL 0.9.7i 14 Oct 2005
2006.04.24 22:33:38 LOG5[25294:16384]: FD_SETSIZE=1024, file ulimit=1024 -> 500
clients allowed
2006.04.24 22:33:41 LOG5[25297:16386]: 192.168.1.27.80 connected from 80.134.43.
84:61915
2006.04.24 22:33:42 LOG5[25297:16386]: Connection closed: 0 bytes sent to SSL, 0
bytes sent to socket
2006.04.24 22:33:43 LOG5[25299:32770]: 192.168.1.27.80 connected from 80.134.43.
84:61916
2006.04.24 22:33:53 LOG5[25299:32770]: Connection closed: 310 bytes sent to SSL,
289 bytes sent to socket
2006.04.24 22:33:54 LOG5[25304:49154]: 192.168.1.27.80 connected from 80.134.43.
84:61917
2006.04.24 22:33:54 LOG5[25304:49154]: Connection closed: 674 bytes sent to SSL,
328 bytes sent to socket
2006.04.24 22:33:54 LOG5[25305:65538]: 192.168.1.27.80 connected from 80.134.43.
84:61918
2006.04.24 22:33:54 LOG5[25306:81923]: 192.168.1.27.80 connected from 80.134.43.
84:61919
2006.04.24 22:33:55 LOG5[25307:98308]: 192.168.1.27.80 connected from 80.134.43.
84:61920
2006.04.24 22:33:55 LOG3[25306:81923]: SSL_read (SSL_ERROR_SYSCALL): Connection
reset by peer (131)
2006.04.24 22:33:55 LOG5[25306:81923]: Connection reset: 2111 bytes sent to SSL,
380 bytes sent to socket
2006.04.24 22:33:55 LOG5[25307:98308]: Connection closed: 110 bytes sent to SSL,
426 bytes sent to socket
2006.04.24 22:33:55 LOG5[25308:114691]: 192.168.1.27.80 connected from 80.134.43
.84:61921
2006.04.24 22:33:55 LOG5[25309:131076]: 192.168.1.27.80 connected from 80.134.43
.84:61922
2006.04.24 22:33:55 LOG5[25305:65538]: Connection closed: 12022 bytes sent to SS
L, 384 bytes sent to socket
2006.04.24 22:33:55 LOG5[25310:147461]: 192.168.1.27.80 connected from 80.134.43
.84:61923
memory clobbered before allocated block
SIGBUS

# free
total used free shared buffers
Mem: 30756 28796 1960 0 1388
Swap: 0 0 0
Total: 30756 28796 1960

Koplexe Seiten, wie die meiner Webcams verursachen oft diesen SIGBUS. Danach ist stunnel tot und muss neu gestartet werden.
Seiten wie die der Fritzbox werden noch einigermasen geladen.
Alles recht "unperformant". Bin für jeden weiteren Tipp dankbar ...

SSL Proxy auf 7050er

Neuer User

Aktives Mitglied

Neuer User

Aktives Mitglied

Neuer User

Aktives Mitglied

Neuer User

Neuer User

Neuer User

Mitglied

Neuer User

Mitglied

Neuer User

Mitglied

Neuer User

Mitglied

Neuer User

Mitglied

Neuer User

Mitglied

Statistik des Forums