.titleBar { margin-bottom: 5px!important; }

SSL Proxy auf 7050er

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von post, 12 Okt. 2005.

  1. post

    post Neuer User

    Registriert seit:
    25 Juli 2005
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen!

    Ich habe das Forum hier schon durchstöbert, bin aber nicht wirklich fündig geworden. Kann durch aus daran liegen, dass ich zu doof zum richtigen Suchen (=Begriffwahl, Schreibweise, etc.) bin...

    Nocheins vorneweg: Ich bin absoluter Linux-Newbie! Einiges konnte ich mir zwar anlesen und durch Try'n'Error zum Laufen bringen, recht sicher war ich mir aber nie...

    Nun aber zum eigentlichen Thema:
    Ich suche einen SSL Proxy, der auf der Fritz!Box läuft um damit endlich gesichert via dyndns von überall aus auf meine Dreambox (7020) zugreifen zu können. Bisher kann ich das nur ungesichert via http.
    Die Dreambox ist ja auch Linux-basiert, jedoch habe ich für die auch nirgendwo einen SSL Proxy gefunden. In einschlägigen Dreambox-Foren sind scheinbar alle, die gut mit der Dreambox und dem Linux können, nur damit beschäftigt, der supergeilen Büchse noch mehr Funktionen beizubringen, aber SSL, bzw. eine sichere Übertragung interessiert keinen...

    Ich hoffe Ihr lasst mich nicht im Stich und könnt mir weiterhelfen. Ich könnte ja auch damit leben, wenn es nicht geht, aber ich würde mich freuen, wenn mir das wenigstens jemand plausibel in wenigen Sätzen sagen könnte.

    Vorweg schon mal Danke.

    Gruß
    post
     
  2. danisahne

    danisahne Aktives Mitglied

    Registriert seit:
    30 Juli 2005
    Beiträge:
    1,493
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Informatik Studium
    Ort:
    Marktoberdorf
    Hallo post,

    der hier sieht doch recht klein und gut aus: http://www.obdev.at/products/ssl-proxy/
    Werd ihn bei Zeiten in meinen Mod integrieren.

    Gruß,
    danisahne

    EDIT: Frage an die Experten: Hat SSLeay eine brauchbare Größe für die Fritzbox? OpenSSL ist glaub ich ein bisschen groß, oder?
     
  3. post

    post Neuer User

    Registriert seit:
    25 Juli 2005
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo danisahne,

    danke für die schnelle Antwort.

    Bin beim Stöbern noch über folgende Seite gestoplpert: http://sourceforge.net/projects/sslproxy/.

    Wäre das auch ein Ansatz?

    Stunnel wäre u.U. auch noch eine Möglichkeit, wenn ich das richtig verstanden habe. Da brauche ich aber auf der Gegenseite auch Stunnel und wäre aber nicht ganz so flexibel wie mit einem SSL Proxy, bzw. kann vom Inet-Cafe aus nicht verschlüsselt zugreifen. Richtig?

    Gruß
    post
     
  4. danisahne

    danisahne Aktives Mitglied

    Registriert seit:
    30 Juli 2005
    Beiträge:
    1,493
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Informatik Studium
    Ort:
    Marktoberdorf
    Der auf Sourceforge scheint besser gewartet zu sein (vom Datum her). Soweit ich das gesehen hab, braucht es aber auch OpenSSL. Kommt also darauf an, ob man OpenSSL auf eine vernünftige Größe bringt.

    Mfg,
    danisahne
     
  5. post

    post Neuer User

    Registriert seit:
    25 Juli 2005
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wie meinst du das mit 'auf eine vernünftige Grö0e bringt'? Man kann doch einige Sachen mittels wget nachladen (ich hätte z.B. permanent eine Dreambox online) oder wird's schon mit dem RAM der Fritz!Box eng?

    Gruß
    post
     
  6. danisahne

    danisahne Aktives Mitglied

    Registriert seit:
    30 Juli 2005
    Beiträge:
    1,493
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Informatik Studium
    Ort:
    Marktoberdorf
    Wenn du es nachladen willst, dann sollte es kein Problem geben. Ich denke da eher ans Firmware modden und da wäge ich das Nutzen/Platz Verhältnis ab.

    stunnel sollte eihgentlich das selbe können und setzt auf OpenSSL oder SSLeay auf: http://www.stunnel.org/examples/https_windows.html
    Ich hab bis jetzt mit noch keinem dieser Programme Erfahrung gesammelt.
     
  7. post

    post Neuer User

    Registriert seit:
    25 Juli 2005
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo danisahne!

    Ich wollte mal vorsichtig nachfragen, ob du zum Thema SSL Proxy/Tunnel schon weitere Infos hast.

    Vielleicht hat ja jemand anders noch einen Ansatz (siehe Eröffnungthread).

    Danke.

    Gruß
    post
     
  8. bisi_hh

    bisi_hh Neuer User

    Registriert seit:
    16 Juni 2005
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #8 bisi_hh, 8 März 2006
    Zuletzt bearbeitet: 9 März 2006
    Hier gibt es eine vollwertige Open-Source-SSL-Implementierung mit einem Footprint <50kb: http://www.matrixssl.org/
    Die zu nutzen würde wahrscheinlich etwas (bzw. eine Menge ;)) Codefummelei bedeuten, aber im Vergleich zum klobigen OpenSSL dürfte sich das lohnen.


    P.S. Ich würde mich natürlich auch über eine Integration in Deinen Mod freuen, danisahne... ;)

    P.P.S. Ein vernünftiges Ziel wäre imho ein kompakter SSL-Wrapper a la Stunnel, mit dem dann jeder die (Mod-)Daemons sichern kann, die er braucht.
     
  9. elvyne

    elvyne Neuer User

    Registriert seit:
    22 März 2006
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
  10. obicom

    obicom Mitglied

    Registriert seit:
    2 Apr. 2005
    Beiträge:
    223
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @elvyne
    Hat du schon Erfahrungen mit dem von dir verlinktem stunnel sammeln können?
    Auf der Web Site von Frank Puschin steht ja nicht viel dazu.
    Brauch ich auch Openssl dabei? Was bedeuten die Parameter hinter dem Programmaufruf? Gibt es noch mehr Parameter ..? Ich suche genau so eine Lösung. Bin aber "unerfahren".
     
  11. elvyne

    elvyne Neuer User

    Registriert seit:
    22 März 2006
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das Programm läuft einwandfrei, auch über längere Zeit.

    Das auf der Seite angegebene Beispiel öffnet auf der Box den Port 443 und leitet die Anfragen, die per https an Port 443 gestellt werde an den Port 80 (lokal) weiter.

    ./stunnel -f -d 443 -r 80 -P none

    -f -> Das Programm bleibt im Vordergrund (zum Testen)
    -d -> ist der verschlüsselte Port, der geöffnet wird
    -r -> Auf diesen Port wird weitergeleitet
    -P -> PID-File (Datei in die die Prozess-ID geschrieben wird)

    OpenSSL ist statisch reingelinkt und wird daher nicht benötigt.
    Weitere Parameter gibt es mit ./stunnel -h

    Gruß
    Frank
     
  12. obicom

    obicom Mitglied

    Registriert seit:
    2 Apr. 2005
    Beiträge:
    223
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ich komm nicht weiter mit stunnel ....

    beim starten mit den angegebenen Parametern bekomme ich zwischendurch eine Fehlermeldung

    # ls -la

    -rwxr-xr-x 1 root root 1868324 Apr 24 16:34 stunnel
    -rwxr-xr-x 1 root root 2120 Apr 24 16:59 stunnel.pem

    # ./stunnel -f -d 443 -r 80 -P none
    2006.04.24 18:56:01 LOG5[19080:16384]: Using '80' as tcpwrapper service name
    2006.04.24 18:56:01 LOG4[19080:16384]: Wrong permissions on stunnel.pem
    2006.04.24 18:56:01 LOG5[19080:16384]: stunnel 3.26 on i686-pc-linux-gnu PTHREAD
    +LIBWRAP with OpenSSL 0.9.7i 14 Oct 2005
    2006.04.24 18:56:01 LOG5[19080:16384]: FD_SETSIZE=1024, file ulimit=1024 -> 500
    clients allowed

    wenn ich versuche z.B. die Fritzbox anzusprechen: https://fritz.box
    passiert nichts. Eigentlich möchte ich eine webcam im LAN (http Server) vom WAN aus über https ansprechen können.
    1.)Geht das überhaupt mit stunnel?
    2.)Hast du eine Idee was ich dafür machen muss?
    3.)Wo liegt der Fehler meiner stunnel.pem? (Hatte ich wie auf der Seite angegeben unter Linux generiert)
     
  13. elvyne

    elvyne Neuer User

    Registriert seit:
    22 März 2006
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    1.)Geht das überhaupt mit stunnel?
    Ja, das geht.

    2.)Hast du eine Idee was ich dafür machen muss?
    Auf der Box folgenden Befehl ausführen :
    # ./stunnel -f -d 443 -r [IP DER KAMERA]:80 -P none

    3.)Wo liegt der Fehler meiner stunnel.pem? (Hatte ich wie auf der Seite angegeben unter Linux generiert)
    Die Meldung kann man ignorieren, die kommt bei mir auch.

    Was sagt denn :

    # netstat -ln
    Active Internet connections (only servers)
    Proto Recv-Q Send-Q Local Address Foreign Address State
    tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN

    Ist der Port 443 wie oben geöffnet und hat sich an 0.0.0.0 gebunden ?

    Gruß
    Frank
     
  14. obicom

    obicom Mitglied

    Registriert seit:
    2 Apr. 2005
    Beiträge:
    223
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #14 obicom, 24 Apr. 2006
    Zuletzt bearbeitet: 24 Apr. 2006
    ich bin zu blöd ...

    also ich starte stunnel ->

    # ./stunnel -f -d 443 -r 192.168.1.27:80 -P none
    2006.04.24 20:48:56 LOG5[21520:16384]: Using '192.168.1.27.80' as tcpwrapper ser
    vice name
    2006.04.24 20:48:56 LOG4[21520:16384]: Wrong permissions on stunnel.pem
    2006.04.24 20:48:56 LOG5[21520:16384]: stunnel 3.26 on i686-pc-linux-gnu PTHREAD
    +LIBWRAP with OpenSSL 0.9.7i 14 Oct 2005
    2006.04.24 20:48:56 LOG5[21520:16384]: FD_SETSIZE=1024, file ulimit=1024 -> 500
    clients allowed

    danach schau ich mir den netstat an ->

    # netstat -ln
    Active Internet connections (only servers)
    Proto Recv-Q Send-Q Local Address Foreign Address State
    tcp 0 0 0.0.0.0:5060 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:5031 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:49000 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
    tcp 0 0 127.0.0.1:1011 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:1012 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
    udp 0 0 0.0.0.0:1024 0.0.0.0:*
    udp 0 0 0.0.0.0:1025 0.0.0.0:*
    udp 0 0 0.0.0.0:1026 0.0.0.0:*
    udp 0 0 0.0.0.0:7077 0.0.0.0:*
    udp 0 0 0.0.0.0:5031 0.0.0.0:*
    udp 0 0 0.0.0.0:7082 0.0.0.0:*
    udp 0 0 0.0.0.0:7083 0.0.0.0:*
    udp 0 0 0.0.0.0:53 0.0.0.0:*
    udp 0 0 0.0.0.0:5060 0.0.0.0:*
    udp 0 0 0.0.0.0:1900 0.0.0.0:*
    raw 0 0 0.0.0.0:2 0.0.0.0:* 0
    raw 0 0 0.0.0.0:2 0.0.0.0:* 0
    raw 0 0 0.0.0.0:2 0.0.0.0:* 0
    Active UNIX domain sockets (only servers)
    Proto RefCnt Flags Type State I-Node Path
    #

    versuch ich nun mich über -> https://meinedomain.dnydns.info

    zuverbinden .. bekomme ich -> Fehler: Verbindung fehlgeschlagen

    welche Portfreigabe muss ich in der Fritz Box setzen?

    Hab gesetzt -> Port 443 auf <IP-Kamera> mit Port 443

    Welche Adresse muss ich im Browser eingeben? https://<meinedomain>.dyndns.info ?

    Hast du nochmal einen Tipp (und ein wenig gedult mit mir) :)
     
  15. elvyne

    elvyne Neuer User

    Registriert seit:
    22 März 2006
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Na klar, geht ja gerade erst los mit der Fehlersuche.

    Der Port 443 ist geöffnet, das ist natürlich schonmal schön. Jetzt musst du folgendes tun :
    Mit dem Befehl
    # ifconfig eth0:0 192.168.178.253 netmask 255.255.255.0
    ein Interface mit der IP-Adresse 192.168.178.253 einrichten und dann in der Weboberfläche eine Portweiterleitung an diese IP-Adresse auf Port 443 erlauben.

    Die Kamera lauscht ja nicht auf Port 443, sondern deine Box. Normalerweise darf man auf die IP-Adresse der Box keine Portfreigabe einrichten, daher der Trick mit der 192.168.178.253er Adresse. Damit geht es.

    Gruß
    Frank
     
  16. obicom

    obicom Mitglied

    Registriert seit:
    2 Apr. 2005
    Beiträge:
    223
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #16 obicom, 24 Apr. 2006
    Zuletzt bearbeitet: 24 Apr. 2006
    verzweifel ...

    interface eingerichtet -> ifconfig
    eth0:0 Link encap:Ethernet HWaddr 00:15:0C:6A:BA:DC
    inet addr:192.168.178.253 Bcast:192.168.178.255 Ma
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

    Webinterface->Internet-Portfreigabe->443 auf 192.168.178.253 ->443

    es geht immer noch nicht .... bei Aufruf https://<meinedomain>.dyndns.info
    einige Sekunden warten und dann -> Fehler: Verbindung fehlgeschlagen

    Ach ja... das stand in der Konsole-> 2006.04.24 21:29:33 LOG5[23227:16386]: 192.178.1.27.80 connected from 80.134.43.
    84:61677

    es kommt aber kein Verbindung zustande ...
     
  17. elvyne

    elvyne Neuer User

    Registriert seit:
    22 März 2006
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das mit dem Interface sieht gut aus.

    Mir fallen noch ein, zwei Sachen ein :

    1. stunnel muss in einer Konsole laufen, die Ausgabe sieht so aus :
    # ./stunnel -f -d 443 -r 192.168.1.27:80 -P none
    2006.04.24 20:48:56 LOG5[21520:16384]: Using '192.168.1.27.80' as tcpwrapper service name
    2006.04.24 20:48:56 LOG4[21520:16384]: Wrong permissions on stunnel.pem
    2006.04.24 20:48:56 LOG5[21520:16384]: stunnel 3.26 on i686-pc-linux-gnu PTHREAD +LIBWRAP with OpenSSL 0.9.7i 14 Oct 2005
    2006.04.24 20:48:56 LOG5[21520:16384]: FD_SETSIZE=1024, file ulimit=1024 -> 500 clients allowed

    Das muss dann erstmal so laufen und darf nicht mit STRG+c abgebrochen werden, aber ich denke das ist klar. Wenn du die Portfreigabe eingerichtet hast, dann sollte in der Konsole auch ein Log-Eintrag erscheinen. Kommt da was ?

    2. Deine Kamera ist im Netzwerk 192.168.1.x, da muss natürlich eine Route hin existieren. Oder ist deine Fritzbox im Netzwerk 192.168.1.x ? Bei mir ist sie im Netzwerk 192.168.178.x.

    Gruß
    Frank
     
  18. obicom

    obicom Mitglied

    Registriert seit:
    2 Apr. 2005
    Beiträge:
    223
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    zu1.) kommt genau so ... klar laufen lassen ..
    zu 1a.) der connect kommt ... ->2006.04.24 21:29:33 LOG5[23227:16386]: 192.178.1.27.80 connected from 80.134.43.
    84:61677

    zu2.) Klar, die FB ist im selben Netz ... 192.168.1.1

    hätte ich ein anderes Interface öffnen müssen? (192.168.1.253) (und wenn ja, wie werd ich das "falsche" wieder los?)
     
  19. elvyne

    elvyne Neuer User

    Registriert seit:
    22 März 2006
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Prima!

    Du kannst das Interface einfach "überschreiben", d.h. :
    # ifconfig eth0:0 192.168.1.253 netmask 255.255.255.0
     
  20. obicom

    obicom Mitglied

    Registriert seit:
    2 Apr. 2005
    Beiträge:
    223
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #20 obicom, 24 Apr. 2006
    Zuletzt bearbeitet: 25 Apr. 2006
    jetzt haben wir es fast ... nur das nach dem ersten Aufruf der Kamera scheinbar der Stunnel oder Memory zusammenbricht ->

    # ./stunnel -f -d 443 -r 192.168.1.27:80 -P none
    2006.04.24 22:33:38 LOG5[25294:16384]: Using '192.168.1.27.80' as tcpwrapper ser
    vice name
    2006.04.24 22:33:38 LOG4[25294:16384]: Wrong permissions on stunnel.pem
    2006.04.24 22:33:38 LOG5[25294:16384]: stunnel 3.26 on i686-pc-linux-gnu PTHREAD
    +LIBWRAP with OpenSSL 0.9.7i 14 Oct 2005
    2006.04.24 22:33:38 LOG5[25294:16384]: FD_SETSIZE=1024, file ulimit=1024 -> 500
    clients allowed
    2006.04.24 22:33:41 LOG5[25297:16386]: 192.168.1.27.80 connected from 80.134.43.
    84:61915
    2006.04.24 22:33:42 LOG5[25297:16386]: Connection closed: 0 bytes sent to SSL, 0
    bytes sent to socket
    2006.04.24 22:33:43 LOG5[25299:32770]: 192.168.1.27.80 connected from 80.134.43.
    84:61916
    2006.04.24 22:33:53 LOG5[25299:32770]: Connection closed: 310 bytes sent to SSL,
    289 bytes sent to socket
    2006.04.24 22:33:54 LOG5[25304:49154]: 192.168.1.27.80 connected from 80.134.43.
    84:61917
    2006.04.24 22:33:54 LOG5[25304:49154]: Connection closed: 674 bytes sent to SSL,
    328 bytes sent to socket
    2006.04.24 22:33:54 LOG5[25305:65538]: 192.168.1.27.80 connected from 80.134.43.
    84:61918
    2006.04.24 22:33:54 LOG5[25306:81923]: 192.168.1.27.80 connected from 80.134.43.
    84:61919
    2006.04.24 22:33:55 LOG5[25307:98308]: 192.168.1.27.80 connected from 80.134.43.
    84:61920
    2006.04.24 22:33:55 LOG3[25306:81923]: SSL_read (SSL_ERROR_SYSCALL): Connection
    reset by peer (131)
    2006.04.24 22:33:55 LOG5[25306:81923]: Connection reset: 2111 bytes sent to SSL,
    380 bytes sent to socket
    2006.04.24 22:33:55 LOG5[25307:98308]: Connection closed: 110 bytes sent to SSL,
    426 bytes sent to socket
    2006.04.24 22:33:55 LOG5[25308:114691]: 192.168.1.27.80 connected from 80.134.43
    .84:61921
    2006.04.24 22:33:55 LOG5[25309:131076]: 192.168.1.27.80 connected from 80.134.43
    .84:61922
    2006.04.24 22:33:55 LOG5[25305:65538]: Connection closed: 12022 bytes sent to SS
    L, 384 bytes sent to socket
    2006.04.24 22:33:55 LOG5[25310:147461]: 192.168.1.27.80 connected from 80.134.43
    .84:61923
    memory clobbered before allocated block
    SIGBUS


    # free
    total used free shared buffers
    Mem: 30756 28796 1960 0 1388
    Swap: 0 0 0
    Total: 30756 28796 1960


    Koplexe Seiten, wie die meiner Webcams verursachen oft diesen SIGBUS. Danach ist stunnel tot und muss neu gestartet werden.
    Seiten wie die der Fritzbox werden noch einigermasen geladen.
    Alles recht "unperformant". Bin für jeden weiteren Tipp dankbar ... :)