stunnel und https service für ip cam 'dahinter' anbieten

[zander]

Hallo,

wenn ich richtig gelesen habe, ist es nicht möglich, über einen stunnel ein https Interface für einen http Webservice, der auf einer anderen IP liegt, als die Fritzbox selbst, anzubieten.

Habe ich das richtig verstanden, oder kann ich meine IP Cam über stunnel auf https umstellen und von 'außen' darauf zugreifen?

Wenn es wirklich nicht gehen sollte, kann dann eventuell jemand noch einem DAU wie mir erklären, wieso das nicht geht?

Viele Grüße
Zander

 

[Beetlejuice]

Keine Ahnung, was Du gelesen hast, aber das, was Du vorhast, funktioniert prima mit stunnel. Du kannst stunnel entsprechend einrichten, so dass Du (so wie jeder andere auch) aus dem Internet per https auf das Webinterface Deiner IP-Cam zugreifen kannst. Auf diese Weise kann dann keiner im Internet Dein hoffentlich gutes Passwort für das Webinterface mitsniffen.

Ob das ganze sinnvoll ist, ist eine andere Sache: Das https schützt Dich nur davor, dass jemand im Internet Dein Passwort direkt im Klartext mitlesen könnte. Das Webinterface der IP-Cam steht aber dann trotzdem 24h für jederman zugänglich im Netz... Wenn Du lieber einen sicheren Zugang hättest, beschäftige Dich mal mit Dropbear (Stichwort SSH-Tunnel).

 

[zander]

Hallo,

gut, dann habe ich das falsch verstanden. Freut mich zu hören.

Aber gleich mal zuerst: Keine Sorge, die Webcam läuft nur ganz selten und den Port schütze ich an Sonst mit knockd.

Aber jetzt kommt mein eigentliches Problem - die Konfiguration. Also stunnel läuft. Aber die Portumleitung ist mir nicht ganz klar.

Ich habe es so gemacht:

Im original Web Interface der Fritzbox habe ich eine Portweiterleitung von 443 (öffentlich) zum virtuellen 'Rechner', nämlich der Fritzbox, 192.168.178.253 gemacht.
Das virtuelle Netz habe ich auf eth0 zeigen lassen.
Dort läuft dann mein stunnel, der so eingestellt ist:

accept = 192.168.178.253:443
connect = 192.168.178.200:80
(snip...)

So sollte das doch eigentlich gehen, oder sehe ich das falsch? Auf alle Fälle bekomme ich nichtmal das ssl Zertifikat auf dem öffentlich Port 443 zu Gesicht.

Viele Grüße
Zander

 

[Silent-Tears]

Virtual IP tut es unter diversen Umdständen nicht mehr. Das ging hier im Forum hoch und runter. Ein riesiger Thread dazu lautete irgendwie "Virtual IP überflüssig..." oder so ähnlich. Schau einfach mal nach.

 

[Beetlejuice]

Wenn Du sowieso Freetz nutzt, dann bau doch das AVM-Firewall.cgi mit ein, damit sind Portweiterleitungen auf 0.0.0.0 möglich.

In die "Stunnel: services" kommt dann sowas in der Art:

[IP-Cam]
cert = /tmp/flash/.stunnel/certs.pem
key = /tmp/flash/.stunnel/key.pem
client = no
accept = 443
connect = 192.168.178.200:80

 

[DPR]

Ein paar generelle Anmerkungen: Port 443 ist unter Umständen nicht die beste Wahl, weil eine Kollisionsgefahr mit anderen Diensten auf der Fritz!Box (Fernwartung) besteht. Außerdem sollte man es Port-Scans nicht zu einfach machen.

Wie Beetlejuice schon beschrieben hat, bietet die Verschlüsselung des Kommunikationskanals keine Sicherheit gegenüber unbefugten Zugriffen sondern nur gegenüber dem Abhören. Wenn du Clients auch noch Authentifizieren möchtest, geht das auch mit Stunnel. Dann braucht jeder Client ein Zertifikat und stunnel muss mit der "verify = 3" Option gestartet werden. Mehr dazu hier: http://www.stunnel.org/faq/certs.html

Für DAUs ist das aber nichts

 

[zander]

Hallo,

super und danke mal für die reichliche Hilfe!! Also das mit der AVM Firewall hat geklappt und das mit der Client Zertifizierung schaue ich mir auch noch an. Aber leider kann ich auf keinen anderen Port ausweichen. Muß nämlich durch einen Proxy, der nicht gerade offen ist.

Viele Grüße,
der DAU