kein Zugriff via Internet möglich

[steini]

Hallo Zusammen,

folgendes Problem:

der Zugriff auf OpenHAB von extern funktioniert nicht.
Leider lässt sich nicht eingrenzen ob das Synology NAS das Probelm verursacht oder Openhab.

Folgende Konfiguration:

Hardware:
Ich betreibe ein Openhab 3.3 Docker auf einem Synology NAS.
Openhab_https_port: 8444 (nicht standard)


Zertifikat:
LetsEnrcypt Zertifikat -> zugriff auf NAS GUI funktioniert ohne Probleme

Reverse Proxy Protokoll: HTTPS
Reverse Proxy Hostname: openhab.meineDomain.de (angepasst)
Reverse Proxy Quell Port: 443
Reverse Proxy HSTS aktivieren: nicht aktiviert
Reverse Proxy Ziel Protokoll: HTTPS
Reverse Proxy Ziel Hostname: „lokale IP vom NAS“ oder localhost
Reverse Proxy Ziel Port: 8444

Routerkonfig:
Portfreigabe:
Protokoll: TCP
Port an Gerät 443-443
Port extern gewünscht: 443
IPv4 & v6
Ziel: Synology NAS

Was passiert:

Ziel: https://openhab.meinedomain.de/
Der NGNIX Webserver zeigt das Synology Logo und sagt das die Seite nicht gefunden wurde

Ziel: https://öffentlicheIP/
Ich kommte auf das Synology NAS GUI (DSM)

Ziel: https://meinedomain.de:49811/
Zum testen hab ich eine Portfreigab erstellt welche internauf 8444 zeigt (temporär -> ich weiß unsicher)
Hier erhalte ich entsprechend eine Zertifikats Warnung die mir sagt das das Openhab.org Zertifikat selbst signiert ist – unsicher. die Seite ist ultra langsam

Folgende Ideen habe ich das Problem ggfs. verursachen:

Openhab Zertifikat
Das selbst erstellt Zertifikat von Openhab. Das Nas verwendet aus meiner Sicht ein ein anderen Zertifikat wie Openhab

Routing von Port 443
Ggfs. hört das NAS auch auf den Port 443 und kommt nimmt die Anfragen an bevor der Reverse Proxy überhaupt greift. -> der Management Port des Synology Geräts ist jedoch komplett anders.


Als Vorlage für die Kofiguration wurden folgende Anleitungen verwendet:

https://www.openhab.org/docs/installati ... inx-domain

https://andis-simple-it-stuff.com/122/



Vielen Dank vorweg für die Hilfe

[nw378]

Was hast Du denn vor, dass Du übers Internet auf openhab zugreifen willst?

Die sichersten Möglichkeiten sind wohl die openhab cloud https://www.openhab.org/addons/integrat ... nhabcloud/ oder mittels VPN.
Fritzbox vorhanden? Die neueste Firmware 7.50 oder Labor 7.39 bieten VPN via Wireguard, einfacher geht's nicht.

[steini]

nun ja, gegen VPN und für eine HTTPS-Verbindung gibt es viele Argumente:

- Zugriff auch von zentral verwalteten Arbeits-PC
- Flexibilität was Geräte angeht
- Akkuverbrauch am MD

und gegen Cloud Zugriff und für direkten gibt es ebenso viele Argumente:

- Unabhängigkeit
- Geschwindigkeit
- Grundsatzphilosophie

Final muss das natürlich jeder für sich entscheiden...

[mike69]

Mal ein Schuss ins Blaue. Transportverschlüsselung zum Proxy und dann weiter mit ner Transportverschlüsselung zum OH Webservice. Eventuell beisst es sich da.

Und einiges ist seltsam, der HTTPS Port der Syno GUI ist 5001, mit ner Freigabe vom Port 443 ist der Zugriff nicht möglich.

Ziel: https://openhab.meinedomain.de/
Der NGNIX Webserver zeigt das Synology Logo und sagt das die Seite nicht gefunden wurde

Der Webserver der Syno läuft so wie es aussieht, eventuell liegt es an der Proxyeinstellung.

Ziel: https://öffentlicheIP/
Ich kommte auf das Synology NAS GUI (DSM)

Dann lauscht der Service für die GUI ebenfalls auf Port 433. HTTPS für GUI und Webserver (Proxy) sind zwei verschiedene Services, die brauchen verschiedene Ports. Wenn das so ist, kann es nicht funktionieren, zumindes nicht so einfach.

[udo1toni]

nun ja, gegen VPN und für eine HTTPS-Verbindung gibt es viele Argumente:

- Zugriff auch von zentral verwalteten Arbeits-PC
- Flexibilität was Geräte angeht
- Akkuverbrauch am MD

und gegen Cloud Zugriff und für direkten gibt es ebenso viele Argumente:

- Unabhängigkeit
- Geschwindigkeit
- Grundsatzphilosophie

Final muss das natürlich jeder für sich entscheiden...

Ich hoffe, Du bist Dir darüber im Klaren, dass openHAB nicht gegen bösartige Angriffe gehärtet ist. Einen anderen Port zu verwenden hat keinerlei Auswirkungen und entlockt einem Angreifer höchstens ein amüsiertes Zucken im Mundwinkel.
Aber jeder wie er möchte.