HOWTO: Miniserver per HTTPS erreichbar machen (Apache Reverse Proxy)

Nee, hochoffiziell und "seriös" von Loxone im eigenen Changelog verkündigt... und wie immer: "...in die Doku einpflegen machen wir dann später..." :-(



PS:
Für alle, die es noch nie gesehen haben:
Ja, es gab 'mal halbwegs beschreibende Changelogs in deutsch, wenn auch nur unvollständige... :-(

Hallo alle zusammen!

Ich ärgere mich über Loxone das sie die Scripte nicht anpassen. Würde es ebenfalls über einen reverseproxy mit ssl offloading und gültigem ssl zertifikat durchführen (mich nerven die browser warnungen - und noch viel blöder: ohne verifizierbarem zertifikat kann oft eine seite nicht geöffnet werden wenn die firewall streng ist - denn ich kann mit der lösung von überall drauf).

Zur immer wieder kehrenden diskussion und den falschaussagen das ein zugriff über https - also ssl offloading und reverse proxy nicht sicher genug ist:
Reiner blödsinn! Bevor man etwas schreibt sollte man sich auskennen, und nicht vermutungen anstellen.... Ich habe zb meine Firewall(was auch gleichzeit der "router" ist) von aussen über https erreichbar, und dabei noch ein lächerliches passwort vergeben beim admin user. Nur drinnen war noch niemand ausser mir - es gab nichtmal den versuch das passwort zu probieren.
Allerdings muss ich hierbei sagen das der zugriff auf die seite nur mit einem gültigen Client Zertifikat möglich ist - dh heisst hat man keines landet man beim zugriff auf die adresse ohne antwort und timeout im nirvana. Der reverseproxy lässt jemanden der ohne client zertifikat welches dieser gegen ein ca (Certificate authoritie) verifiziert nicht durch - dies ist GENAUSO sicher wie eine vpn.
Der praktikable unterschied liegt aber darin das ich auf dem computer von welchem aus ich zugreifen will nur das clientzertifikat in den browser importieren muss(und nachher wieder entferne wenn notwendig). Das clientzertifikat habe ich immer mit, oder übers netz verfügbar wenn benötigt. - dh. Es fällt eine installation von vpn weg - was oft schwierigkeiten mit sich bringt(domainrechte usw.). Das clientzertifikt selbst liegt natürlich in einem pkcs container welcher ebenfalls verschlüsselt ist.
Also bitte keine unwissentlichen Meinungen mehr das es ist nicht sicher, und nur ein vpn ist sicher. Diese Meinungen tragen nämlich dazu bei das es loxone nicht umsetzten wird...
Allerdings kann dies der 0815 user nicht umsetzen. Aber die Feststellung ist eben falsch.

wen es interessiert - ich verwende den haproxy mit layer 7 auflösung. - sicherer gehts kaum.

Werde nochmals bei loxone anfragen das sie es ändern.

Das Loxone kein ssl integriert verstehe ich voll und ganz - schaut euch mal die Leistungsdaten vom miniserver an(die paar watt unter volllastung!) - die hardware ist voll optimiert auf das eigentliche und wenig Energieverbrauch!(schaut wie oft das komplette programm in der sekunde durchläuft!).
Würden die jetzt SSL implementieren nur um https zu ermöglichen dann viel spaß. Stellt euch vor da greifen dann 20 personen gleichzeitig über https auf den miniserver zu(kann es durchaus geben für sales zwecke), und der miniserver läuft sowieso mit dem programm am limit - da geht die kiste in die Knie und die Stimmen werden laut welch ein Mist das nich ist. Wer jetzt meint Loxone hätte doch eine stärkere Hardware nehmen sollen (was schon einige Leute taten) dann gibt es auf der anderen seite wieder die Leute welche meinen "Der mist braucht maximal 15 watt? So ein schrams!". Wichtiger ist allerdings für Loxone natürlcih der geringe Energieverbrauch des Miniservers denn die Konkurenz schläft nicht, und die "Grünen" und "Grünen Vereinigungen" unter uns auch nicht welche eine Firma wegen deren Geräte mit zu hohem Energieverbrauch anprangern und so etwas breit publik machen.
Weiten wir das Ganze jetzt auf alle die gesamte hardware und Busteilnehmer von Loxone aus: da ein paar watt mehr, dort ein paar watt mehr(weil sich immer leute irgendwelche komischen features wünschen). Pötzlich braucht dein kompletter Loxoneaufbau mit zig teilnehmern statt 15 watt gesamt aber 70 watt. gefällt euch das? - immer denken bevor man redet.

mfg

Interessant. Gibt's hierzu irgendwo ein HowTo? Wäre es damit möglich ein Client Zertifikat für iOS / Android zu erzeugen und somit ohne einen VPN aufbauen zu müssen direkt (verschlüsselt) auf den Miniserver zuzugreifen? Der WAF (Android) würde erheblich steigen und ich kann mir perspektivisch den Kauf eines iPhones sparen. :-D

Ich teste aktuell stunnel (www.stunnel.org), das auch mit Client-Zertifikaten arbeiten kann. Leider gibt es auch hier aktuell einen Bug, der nur von Loxone gelöst werden kann: Bei der Türsteuerung denkt der Miniserver, man wäre lokal verbunden, da man sich über 127.0.0.1 zu stunnel verbinden muss und er nimmt dann die interne IP für den Stream, was nicht funktioniert, da stunnel diese nicht tunnelt bzw. nur über localhost tunneln kann. Auch wenn der Loxone-Support das Thema durchaus mit einem diskutiert, so glaub ich nicht, dass es dafür eine Lösung von Loxone geben wird. Einzige Lösung wäre hier nur, auch intern im eigenen WLAN über stunnel zu gehen. Aber wegen den anderen Fehlern aktuell nicht praktikabel.
Denn auf dem Handy die Verbindung immer wieder ab und man muss manuell die stunnel Verbindung stoppen/starten. Ob das an Loxone oder stunnel liegt, kann ich nicht beurteilen.
Auf dem PC funktioniert es aber einwandfrei und es läuft einfach im Hintergrund und es geht auch nicht der komplette nicht-Loxone Datenverkehr über diese schmale Leitung (Upload vom eigenen DSL Anschluss ist dann nicht mehr so entscheidend).

Servus nochmal,

Am meisten wurmt mich eben das loxone die scripts nicht anpasst - das ist lächerlich. Denn würde es einfach mit ssl offloading funktionieren wäre es echt super.
Da ich seit anfang an im pfSense gratis ssl zertifikate für jede "virtuelle" subdomain von letsencrypt beziehen kann(mitlerweile gibt es dazu sogar ein plugin im pfSense "ACME" - da wirds richtig leicht), würde ich wie gesagt überall auf den miniserver kommen da keine blöde meldung kommt "die seite ist nicht sicher blablabla"(und die seite wegen Firewall Richtlinien in Firmen dann eventuell komplett gesperrt wird) - weil auch meine https adresse vom miniserver offiziell verifiziert werden kann. Hab zwar dann noch das client cert für die https verbindung welches benötigt wird, aber das kann ich über ein sh script am pfSense dank einer pfSense api in 1 sekunde über das handy vorübergehend ausschalten(über den ssh über ssl tunnel) und dannach wieder aktivieren.

"virtuelle" subdomain? - da der dns server welcher meine private ip auflöst jedem subdomain an meine ip weiterleitet - egal ob diese als offizielle subdomain eingetragen ist oder nicht, kommt die verbindung bei mir an. Da ich die subdomains die ich verwende nirgens eingetragen habe (was wegen dem haproxy nicht notwendig ist), kennt diese auch niemand - was natürlich vorteilhaft ist. Zb meinzuhause.at ist eingetragen aber miniserver.auth.meinzuhause.at nicht - wird aber trotzdem auf meine ip gerootet wegen meinzuhause.at

Eighentlich sollte alles über Port 80 mit dem Miniserver gehen: https://www.loxone.com/dede/kb/online-freigabe/

Sofern alles richtig eingerichtet reisst die verbindung vom ssh über sll tunnel nie ab, hatte diese zum testen über 10h am handy offen ohne damit etwas zu tun - und benötigt kaum datenvolumen -war nahezu nichts in der zeit.

mit einer guten firewall gibt es keine grenzen ^^


ps: wenn es genug leute gibt die interesse haben sich soetwas zu bauen dann schreibe ich villeicht ein howto.
mfg

Nachdem ich mich jetzt fast einen Tag lang damit rumgeärgert habe, Loxone 9.0.1 über einen Apache als Reverse Proxy mit https erreichbar zu machen, schreib ich mal zusammen wie es bei mir jetzt endlich vernünftig zu laufen gebracht hab.

<VirtualHost loxone.lan:443>
ServerName loxone.lan

# enable SSL for this https host
SSLEngine on

# optional: provide some valid certificates to get rid of browser warnings
SSLCertificateFile /root/.certstore/loxone.lan.crt
SSLCertificateKeyFile /root/.certstore/loxone.lan.key

# handle websocket connections
ProxyPass /ws/ ws://192.168.1.1/ws/

# handle http requests
ProxyPass / http://192.168.1.1/
ProxyPassReverse / http://192.168.1.1/
ProxyPreserveHost on

# important: required as loxone sometimes seems to encode the slashes in encrypted commands
AllowEncodedSlashes on
</VirtualHost>

Grundsätzlich war meine Idee einen name-based virtual host einzurichten. Das ganze aber nur fürs interne LAN.

Ich hab mir dann auch eine eigene private root ca (wie hier https://deliciousbrains.com/ssl-cert...s-development/ beschrieben) erstellt und in meinem Browser importiert (dadurch wirds auch als 'sichere' Seite im Browser angezeigt). Wenn man eine 'richtigen' Domain verwendet kann man sich natürlich auch von einer der verbreiteten CAs ein Zertifikat signieren lassen..

Die ProxyPass /ws/ ws://192.168.1.1/ws/ Zeile ist alles das notwendig ist für die Websockets. Es ist hier soweit ich gesehen hab kein runterladen und modifizieren von javascript files mehr notwendig wie in http://www.loxwiki.eu/pages/viewpage...pageId=6980307 beschrieben. Loxone dürfte die Fallunterscheidung für https mittlerweile in ihre Skripts übernommen haben. (Das Einfügen von /miniserver in den Pfad ist ja sowieso nicht notwendig weil ich eben einen name-based virtual host verwende)

Und ganz am Schluss steht das was mich 99% der Zeit gekostet hat. Beim propietären encoden der Commands (das Loxone laut Doku als 'Ersatz' für richtiges https implementiert hat) wird in den Loxone Skripts teilweise ein urlencode des Base64 Strings durchgeführt. Da Base64 Strings Slashes enthalten können werden natürlich auch die Slashes encoded. Standardmässig akzeptiert aber Apache _keine_ URLs die kodierte Pfadtrennzeichen enthalten und schmeisst in diesem Fall _immer_ einen HTTP 404 - Not Found. Diese URLs werden ohne die 'AllowEncodedSlashes on' also auch gar nicht an die Loxone weitergeleitet sondern direkt am Apache verworfen. Was mich noch immer ein bisschen verwirrt ist, dass Loxone das urlencode scheinbar nur bei commands die über /jdev/sys/enc/ geschickt werden macht, nicht aber bei commands über /jdev/sys/fenc/ (die funktionieren auch ohne die AllowEncodedSlashes Direktive..)

Hallo
Ich habe ein Synology NAS (DS214se mit DSM 6.1.4). Ich benutze auch den Reverse Proxy aus dem Paketzentrum. Funktioniert problemlos, aber eben nicht mit Websockets. Kann mir jemand sagen wie ich dort die benötigten Websockets aktiviere?
Danke Volker

geht es hier rein um das WebInterface oder können die Loxone Apps auch per HTTPs angebunden werden?

Die Entwicklertools in Chrome zeigen mir folgendes: . Status 500 Internal Server Error. Muss ich für "wss" ebenfalls eine Umleitung eintragen?

Bei HTTP Zugriff aus dem LAN macht er lediglich WS. Ist WSS das HTTPS Äquivalent zu WS und HTTP?

UPDATE:

Problem gefunden und behoben. Der "proxy_wstunnel" musste auch noch geladen werden. WSS wird nun an WS umgeleitet.

Wie erwartet kann die native App nicht über den Proxy kommunizieren. Schade.

Kann wer von euch das bitte mal in https://www.loxwiki.eu/pages/viewpag...pageId=6980307 updaten? Dort steht eine andere Lösung, die nur mit der Classic Oberfläche geht. Als Netzwerk-Dummy sehe ich mich dazu nicht in der Lage...

Ich habe ein Synology NAS DS918+ im Einsatz.
Habe hier Reverse Proxy im Einsatz --> (findet man dort in der Standardoberlfäche unter "Systemsteuerung", "Anwendungsportal", "Reverse Proxy"
Das HTTPS Zertifikat kommt von Let's Encrypt. Das wird von auf dem Synology NAS auch ständig kostenlos erneuert.
Dies findet Ihr in dem Synology NAS unter "Systemsteuerung", Sicherheit", "Zertifikat"

Läuft wie geschnitten Brot - bringt aber halt alles nix für die Loxone iPhone APP. Denn wenn ich den Server eingebe: "https://loxone.deinedomain.com" findet er den Server nicht.
Per Web läuft es aber.
Der Webzugriff ist über diese Lösung wirklich perfekt - immer ein aktuelles und gültiges und kostenloses Zertifikat - ohne Fehlermeldung im Browser und perfekt verschlüsselt.
Wenn das Zertifikat ausläuft kümmert sich das NAS automatisch darum, dass es verlängert wird und stellt dies zur Verfügung. Besser geht es nicht!

Natürlich geht das aber auch alles über Linux und einen Raspberry Pi.
NGINX ist hier das Stichwort - das verwendet auch Synology im Hintergrund.

Hallo logol01, Eusebius und Comunity, habe vor einigen Wochen exakt den vor kurzem in der Loxwiki ergänzten Beitrag bzgl. der Anbindung über https mittels Synology inkl. reverse proxy eigenhändig umgesetzt und war ratlos warum es im Browser geht und in der App nicht... jetzt hab ihr hier Licht ins Dunkeln gebracht...

Zufällig einen Workaround... habt ihr für das Problem nicht geschaffen? Wäre zu schön wenn der MS über https durch die APP ansprechbar wäre...

WowaDriver das geht nicht, weil die App mit Zertifikaten nicht umgehen kann - denke ich! Ein Webbrowser aber sehr wohl!

logol01 Eusebius vielleicht wird man das ganze aber denoch früher oder später umgehen können. Einige Tests haben bei mir ein paar Verständnisschwierigkeiten ausgelöst... wie in dem Tut beschrieben stelle ich eine Verbindung mittels https://loxone.meinedomain.de:443 direkt über den Port 443 zum 443 Port der Synology her wodurch der Reverse Proxy angesprochen wird und dann intern die weiterleitung durchführt zum Miniserver über http://miniserverip:80... geht nicht oder halt nur über den brwoser wie bei euch eben auch.

Wenn ich aber zum testen den Fritzbox eingen DYNDNS dienst myFritz mal aktiviere, dann hab ich folgendes Szenario. Über die https://xyz.myfritz.de:42422 komme ich verschlüsselt auf die fritzboxoberfläche (standardmäßig). Nun leite ich den Port weiter auf den internen Miniserver über dessen Port 80 und gelange somit auf den Miniserver von außen... das Szenario was sich jetzt ergibt ist: Wenn ich https://xyz.myfritz.de:42422 in den Broswer eingeben komme ich direkt auf die LoxVisu, so wie beabsichtigt. Ist diese Verbindung https? oder http? gesichert oder ungesichert? Denn in diesem Fall funktioniert es eben auch mit der APP auf dem Handy...

Ich bin jetzt davon ausgegangen, dass es gesichert sein muss, weil ic hden Port 80 direkt ja nicht freigebe, sondern eine gesicherte Anfrage auf den Port 80 weiterleite... falls ich falsch liege bitte ich um Aufklärung!