PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,155
- Punkte für Reaktionen
- 1,705
- Punkte
- 113
Was wäre denn "getriggertes Portforwarding"?
Es gibt sowohl das IGD-Interface dafür im FRITZ!OS (das kommt leider bei AVM ohne Authentifizierung (also zumindest ohne "DeviceProtection"-Service) daher und ob die "Erlaubnis" für selbständige Portfreigaben (im GUI) das ebenso blockiert bzw. freigibt wie PCP, muß man mal testen - aber FRITZ!OS 7 ist noch neu, hat weiterhin genug Macken und man kann nicht alles auf einen Schlag testen und schon gar nicht alles aufschreiben) als auch ein TR-064-Pendant, welches man dann tatsächlich nur noch benutzen kann (vorausgesetzt, die Einstellungen in der Box sind "sicher"), wenn man passende Credentials (für die Box) kennt.
Auf beiden Wegen (eigentlich sind es mit PCP (RFC 6887) sogar drei) kann man so eine Weiterleitung bei Bedarf einrichten und auch wieder löschen. Wenn das "getriggert" genug ist, existiert das also bereits. Das dann noch auf einem "Automatisierungsserver" umzusetzen, den man ggf. ohnehin schon im LAN hat (z.B. auf einem RasPi), ist nur noch das I-Tüpfelchen und auch der Upload des selbsterzeugten LE-Zertifikats ist (allerdings nicht über eine dokumentierte Schnittstelle, sondern über einen POST-Request an "/cgi-bin/firmwarecfg" mit passenden Parametern) vergleichsweise einfach zu automatisieren.
Das sind also alles keine "wirklichen" Hindernisse ... die eher schmale Nutzerbasis (nur FRITZ!Box-Besitzer, nur mit eigener DynDNS-Adresse und mit Interesse an einem LE-Zertifikat für diese) macht das Erstellen eines nachnutzbaren Programms aber selbst dann zum eher teuren Vergnügen (und damit zum reinen "Liebhaberprojekt"), wenn man AVM und den MyFRITZ!-Service aus (naheliegenden) Datenschutzerwägungen ablehnt.
Theoretisch könnte man das aber sogar alles als Android-App umsetzen, die dann halt im LAN der betreffenden FRITZ!Box genutzt werden kann. Vielleicht "lernt" das ja BoxToGo irgendwann mal ... es würde zumindest den security-bewußten FRITZ!Box-Benutzern eine Möglichkeit an die Hand geben, auf sehr leichtem Weg auch ein LE-Zertifikat für die verwendete DynDNS-Adresse zu verwenden. Bei anderen Routern ist meist nicht mal das Setzen eines eigenen TLS-Zertifikats so ohne weiteres möglich (nein, ich rede hier gerade nicht von OpenWRT oder irgendwelchen Software-Routern) - auch das erschwert ein "allgemeines" Programm zusätzlich und führt zu der o.a. Beschränkung auf die FRITZ!Box-Besitzer.
Abgesehen davon, ist der Port 443 eigentlich nur bei TLS-SNI-01 involviert (HTTP-01 arbeitet über den offenen Port 80 (Punkt 7.2, zweiter Absatz) - es gibt ja noch kein Zertifikat auf dem ACME-Client für TLS) ... den kann man aber im FRITZ!OS häufig tatsächlich nicht so ohne weiteres (programmgesteuert) weiterleiten, wobei das m.E. eher auf fehlerhafter Implementierung gründet als auf absichtlich abweichender Funktion.
Es gibt sowohl das IGD-Interface dafür im FRITZ!OS (das kommt leider bei AVM ohne Authentifizierung (also zumindest ohne "DeviceProtection"-Service) daher und ob die "Erlaubnis" für selbständige Portfreigaben (im GUI) das ebenso blockiert bzw. freigibt wie PCP, muß man mal testen - aber FRITZ!OS 7 ist noch neu, hat weiterhin genug Macken und man kann nicht alles auf einen Schlag testen und schon gar nicht alles aufschreiben) als auch ein TR-064-Pendant, welches man dann tatsächlich nur noch benutzen kann (vorausgesetzt, die Einstellungen in der Box sind "sicher"), wenn man passende Credentials (für die Box) kennt.
Auf beiden Wegen (eigentlich sind es mit PCP (RFC 6887) sogar drei) kann man so eine Weiterleitung bei Bedarf einrichten und auch wieder löschen. Wenn das "getriggert" genug ist, existiert das also bereits. Das dann noch auf einem "Automatisierungsserver" umzusetzen, den man ggf. ohnehin schon im LAN hat (z.B. auf einem RasPi), ist nur noch das I-Tüpfelchen und auch der Upload des selbsterzeugten LE-Zertifikats ist (allerdings nicht über eine dokumentierte Schnittstelle, sondern über einen POST-Request an "/cgi-bin/firmwarecfg" mit passenden Parametern) vergleichsweise einfach zu automatisieren.
Das sind also alles keine "wirklichen" Hindernisse ... die eher schmale Nutzerbasis (nur FRITZ!Box-Besitzer, nur mit eigener DynDNS-Adresse und mit Interesse an einem LE-Zertifikat für diese) macht das Erstellen eines nachnutzbaren Programms aber selbst dann zum eher teuren Vergnügen (und damit zum reinen "Liebhaberprojekt"), wenn man AVM und den MyFRITZ!-Service aus (naheliegenden) Datenschutzerwägungen ablehnt.
Theoretisch könnte man das aber sogar alles als Android-App umsetzen, die dann halt im LAN der betreffenden FRITZ!Box genutzt werden kann. Vielleicht "lernt" das ja BoxToGo irgendwann mal ... es würde zumindest den security-bewußten FRITZ!Box-Benutzern eine Möglichkeit an die Hand geben, auf sehr leichtem Weg auch ein LE-Zertifikat für die verwendete DynDNS-Adresse zu verwenden. Bei anderen Routern ist meist nicht mal das Setzen eines eigenen TLS-Zertifikats so ohne weiteres möglich (nein, ich rede hier gerade nicht von OpenWRT oder irgendwelchen Software-Routern) - auch das erschwert ein "allgemeines" Programm zusätzlich und führt zu der o.a. Beschränkung auf die FRITZ!Box-Besitzer.
Abgesehen davon, ist der Port 443 eigentlich nur bei TLS-SNI-01 involviert (HTTP-01 arbeitet über den offenen Port 80 (Punkt 7.2, zweiter Absatz) - es gibt ja noch kein Zertifikat auf dem ACME-Client für TLS) ... den kann man aber im FRITZ!OS häufig tatsächlich nicht so ohne weiteres (programmgesteuert) weiterleiten, wobei das m.E. eher auf fehlerhafter Implementierung gründet als auf absichtlich abweichender Funktion.
