https Reverse Proxy für Sicheren CCU Zugriff von Unterwegs

[PaulG4H]

Hallo

sorry für diese "Fehler" es ist nicht einfach eine Wiki zu finden die einen sauberen PDF Export machen kann...

LG

Paul

[unlight]

Kein Thema , ohne das Tutorial hätte ichs ja gar nicht auf die Kette bekommen.

Eine letzte Frage noch; kann ich auch einen Zugang zum ccuio hinbekommen?
auf die einfache art?

Ich hab z.B. mal für eine webcam das hier ausprobiert:

Code: Alles auswählen

nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
# MSIE 7 and newer should be able to use keepalive
BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
</VirtualHost>
ProxyPass /cam1/ http://192.168.0.2:80/
ProxyPassReverse /cam1/ http://192.168.0.2:80/
</IfModule>
 

Das ganze hab ich auch vor </VirtualHost> und innerhalb des proxy blocks probiert.
wenn ich dann
https://haus.domain.de/cam1 probiere existiert die Seite nicht.

[PaulG4H]

Hallo unlight,

Jein --> ccu.io ist hier etwas sehr Eigenartig, ich habe im ccu.io Unterforum schon mal mit Hobbyqaker und Stryke Komuniziert es aber nicht 100%ig hinbekommen.

So hat die letzte Version meines Proxy Blocks für ccu.io ausgesehen:

Code: Alles auswählen

<IfModule mod_proxy.c>
        ProxyRequests off
       RewriteEngine On
       ProxyHTMLExtended On

        redirectmatch ^/ccuio$ /ccuio/
        rewritecond %{REQUEST_URI} ^/ccuio/
        rewriterule (.*) $1 [PT]

        rewritecond %{HTTP_REFERER} https://<dns-name>/ccuio/ [OR]
        rewritecond %{HTTP_REFERER} https://<dns-name>/css/ [OR]
        rewritecond %{HTTP_REFERER} https://<dns-name>/js/ [OR]
        rewritecond %{HTTP_REFERER} https://<dns-name>/fn/ [OR]
        rewritecond %{HTTP_REFERER} https://<dns-name>/img/ [OR]
        rewritecond %{HTTP_REFERER} https://<dns-name>/lib/ [OR]
        rewritecond %{HTTP_REFERER} https://<dns-name>/lib/js/ [OR]
        rewritecond %{HTTP_REFERER} https://<dns-name>/../socket.io/ [OR]
        rewritecond %{HTTP_REFERER} https://<dns-name>/widgets/
        rewriterule ^/(.*) /ccuio/dashui/$1 [PT]
        rewriterule ^/css/(.*) /ccuio/dashui/css/$1 [PT]
        rewriterule ^/js/(.*) /ccuio/dashui/js/$1 [PT]
        rewriterule ^/fn/(.*) /ccuio/dashui/fn/wifi/$1 [PT]
        rewriterule ^/img/(.*) /ccuio/dashui/img/$1 [PT]
        rewriterule ^/lib/(.*) /ccuio/lib/$1 [PT]
        rewriterule ^/lib/js/(.*) /ccuio/lib/js/$1 [PT]
        rewriterule ^/socket.io/(.*) /ccuio/../socket.io/$1 [PT]
        rewriterule ^/widgets/(.*) /ccuio/dashui/widgets/$1 [PT]

        ProxyPass              /ccuio http://<ip-wo-ccu.io-installiert-ist>:8080/      timeout=1200
        ProxyPassReverse       /ccuio http://<ip-wo-ccu.io-installiert-ist>:8080/      timeout=1200
</IfModule>

Kannst es ja mal Versuchen...

Achja wegen der Webcam, das sollte so gehen muss aber innerhalb des <VirtualHost *:443> Blocks und dort nach

Code: Alles auswählen

ProxyRequests Off
ProxyPreserveHost Off

Sein...

LG

Paul

[unlight]

Prima, jetzt funktioniert alles.
Wobei ich sagen muß das ich mir die Einrichtung einfacher vorgestellt hatte. Ich hatte angenommen das man so was wie eine simple Umleitung erstellt a la "www.meinedomain.com/ccu" auf intern 192.168.0.15. Die ganzen einzelnen verzeichnisumleitungen machen das ganze ja eher unpraktikabel für größere projekte, oder?

Besten Dank nochmal
Unlight

[PaulG4H]

Hallo unlight,

EInfach ist relativ, aber du darfst nicht vergessen das neben dem weiterleiten auch noch die SSL Verschlüsselte Verbindung damit Implementiert wird.

Und die "komplizierte" einbindung der Unterordner hat dne Vorteil das auch nur gezielt einzelne Verzeichnisse freigegeben werden könnten.
Bei der Webcam Funktioniert das doch ohne diese anderen Ordner.

Vielleicht verstehst du nun warum es keinen Sinn macht den Reverse Proxy zu erklären sondern es muss zumindest so eine Anleitung sein...

LG

Paul

[unlight]

So,

ich habe den Proxyblock noch um die webmatic erweitert, auf die kann ich nur schwerlich verzichten; auch wenn es yahui gibt.

Code: Alles auswählen

<IfModule mod_proxy.c>
ProxyRequests off
RewriteEngine On
redirectmatch ^/ccu$ /ccu/
rewritecond %{REQUEST_URI} ^/ccu/
rewriterule (.*) $1 [PT]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/ccu/ [OR]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/webui/ [OR]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/pda/ [OR]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/api/ [OR]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/addons/cuxd/ [OR]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/addons/webmatic/cgi/ [OR]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/addons/webmatic/img/ [OR]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/addons/webmatic/jqplot/ [OR]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/addons/webmatic/jquery/ [OR]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/addons/webmatic/jqplot/plugins/ [OR]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/addons/webmatic/jquery/images/ [OR]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/addons/webmatic/img/channels/ [OR]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/addons/webmatic/img/icons/ [OR]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/addons/webmatic/img/menu/ [OR]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/addons/webmatic/img/mmisc/ [OR]
rewritecond %{HTTP_REFERER} https://<eigener-dns-Name>/addons/webmatic/ [OR]
rewritecond %{HTTP_REFERER} \?sid\=\@.+\@ [OR]
rewritecond %{THE_REQUEST} \?sid\=\@.+\@
rewriterule ^/(.*) /ccu/$1 [PT]
rewriterule ^/pda/(.*) /ccu/pda/$1
rewriterule ^/webui/(.*) /ccu/webui/$1
rewriterule ^/addons/db/(.*) /ccu/addons/db/$1
rewriterule ^/addons/cuxd/(.*) /ccu/addons/cuxd/$1
rewriterule ^/addons/webmatic/(.*) /ccu/addons/webmatic/$1
rewriterule ^/addons/webmatic/cgi/(.*) /ccu/addons/webmatic/cgi/$1
rewriterule ^/addons/webmatic/img/(.*) /ccu/addons/webmatic/img/$1
rewriterule ^/addons/webmatic/jqplot/(.*) /ccu/addons/webmatic/jqplot/$1
rewriterule ^/addons/webmatic/jquery/(.*) /ccu/addons/webmatic/jquery/$1
rewriterule ^/addons/webmatic/jqplot/plugins/(.*) /ccu/addons/webmatic/jqplot/plugins/$1
rewriterule ^/addons/webmatic/jquery/images/(.*) /ccu/addons/webmatic/jquery/images/$1
rewriterule ^/addons/webmatic/img/channels/(.*) /ccu/addons/webmatic/img/channels/$1
rewriterule ^/addons/webmatic/img/icons/(.*) /ccu/addons/webmatic/img/icons/$1
rewriterule ^/addons/webmatic/img/menu/(.*) /ccu/addons/webmatic/img/menu/$1
rewriterule ^/addons/webmatic/img/mmisc/(.*) /ccu/addons/webmatic/img/mmisc/$1
ProxyPass /ccu/ http://IPDERCCU/ timeout=1200
<Location /ccu/>
#SecFilterEngine Off
allow from all
AuthType basic
AuthName "HOMEMATIC Proxy"
AuthUserFile /etc/apache2/ssl/httpsusers
require valid-user
ProxyPassReverse /
</Location>
</IfModule>

Zur Ergänzung von Pauls Anleitung habe ich noch folgendes anzumerken damit nicht andere den gleichen Fehler machen wie ich:

Wenn ihr die einfachen Freigaben für z. B. Webcams mit

ProxyPass /cam01/ http://<ip>:<port>/
ProxyPassReverse /cam01/ http://<ip>:<port>/

einrichtet, dann müsst ihr diese Kamera von außen auch mit

http://haus.domain.de/cam1/
und nicht mit
http://haus.domain.de/cam1

aufrufen. Ich bin fast dran verzweifelt weil ich die slashes immer weggelassen habe.

@Paul: Ich versuche noch meine Synology Diskstation einzubinden, bekomme aber nur eine leere Seite angezeigt.
Wird das auch so ein Verzeichnisproblem sein oder kann ich das anders umgehen? (SSL weglassen oder so?)

Gruß
Unlight

[PaulG4H]

Hallo unlight,

ich habe keine NAS aber kurz google befragt und das hier gefunden:
http://www.synology-forum.de/showthread ... amen/page2

du kannst die Einträge für die "Webcam" entweder so:

Code: Alles auswählen

ProxyPass /cam01/ http://<ip>:<port>/
ProxyPassReverse /cam01/ http://<ip>:<port>/

oder

Code: Alles auswählen

ProxyPass /cam01 http://<ip>:<port>
ProxyPassReverse /cam01 http://<ip>:<port>

LG

Paul

[unlight]

Die Anleitung hatte ich auch gefunden; hab ich auch mal als standalone version ausprobiert.
Das Problem mit der leeren Seite besteht auch da.

Egal, ist ja nicht dein Problem. Falls ich was neues dazu rausfinde poste ichs.

Gruß
Unlight

[darkiop]

Guten Abend,

ich hatte vor, um auf die Hausinternen Dienste zugreifen zu können, den VPN Server der FritzBox zu aktivieren. Gibt es irgendwelche Vor- bzw. Nachteile zu der Variante mit dem Apache Reverse Proxy? Ich habe hier einen Raspi für den CCU.IO im Einsatz - auf diesem läuft bereits ein Apache.

[Akwak]

Hi darkiop,
Der Nachteil der FritzBox VPN Lösung ist, das Du das VPN vorher aktivieren musst und hinterher deaktivieren. Sonst ist Dein Akku schneller leer als die Homematic rebootet;-)
Das kannst Du unter Android zwar teilweise automatisieren, aber Programme die davon leben im Hintergrund die Daten zu aktualisieren verlieren Ihren Kompfort.

Gruss
Alfred