OMV Webadministration - Fritzbox Login stört

  • OMV4

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • OMV Webadministration - Fritzbox Login stört

    Hallo Leute,

    dies ist mein erster Beitrag hier im Forum, entschuldigt, dass es natürlich gleich mit einem Problem beginnt ;) .
    Ich betreibe OMV auf einem NAS-PC schon seit Jahren und administriere es so gut es geht über die Weboberfläche.
    Da nun Alles "zwölffach" gesichert, verschlüsselt und versperrt sein muss, komme ich nicht um ein SSL-Zertifikat für das Webadmin herum und wollte Letsencrypt einsetzen.
    Leider kann ich, obwohl ich eine DynDNS habe und die Ports 80 und 443 auf die Sever-IP umgeleitet habe, kein Zertifikat installiern, es kommt immer die Meldung : "Challenges failed for all Domains".
    Wenn ich die Webadministration über die DynDNS Domain aufrufen will, meldet sich auch nicht OMV, sondern ein Fritzbox-Login mit Nutzername und Passwort, wie kann ich das abschalten?
    Abgesehen davon möchte ich eigentlich nur lokal administrieren, ein lokales Zertifikat kann ich aber nicht erstellen oder sollte ich auf SSL verzichten, wenn ich nur lokal arbeiten will?

    Sooo, das sind mal ne Menge Fragen :D , ich hoffe ihr könnt mir helfen.
  • Hi. Wenn du wirklich nur lokal arbeiten möchtest, sprich, nicht übers Internet auf deiner Weboberfläche willst, dann kannst du dir das sparen. Da ist es egal, ob verschlüsselt oder nicht, weil du dich nur in deinem eigenen Netzwerk aufhältst. Aber schließe unbedingt wieder deine freigegebenen Ports der FritzBox!

    Zur Erklärung, warum die Weboberfläche der FritzBox sich meldet, Die FritzBox hat meines Wissens nach auch den Port 443. Du solltest den Zugang deiner FritzBox auf 40443 stellen, damit es keine Probleme gibt. Bei der 7590 mit aktueller Software wäre das unter Internet - Freigaben - Fritz!Box-Dienste zu finden. Dort bei TCP-Port für HTTPS die 40443 (als Beispiel) rein schreiben. Dann allerdings daran denken, wenn du die Fritz-Oberfläche aus dem Internet erreichen willst, die 40443 mit anhängen. Z.B. aaaaa99999xxxbbbsss.myfritz.net:40443

    Übrigens. Den Port 80 würde ich persönlich niemals freigeben, Der ist ungesichert. Maximal für paar Minuten, um Letsencrypt zu konfigurieren, wenn du unbedingt über das Internet drauf zugreifen willst. Wenn fertig konfiguriert, bitte den Port 80 wieder schließen.

    Wenn es denn unbedingt sein muss, dass du die Weboberfläche aus dem Internet erreichen musst, dann schau dich mal im Forum um. Da gibt es Beispiele, die sogar noch funktionieren sollten.

    Siehe hier.

    oder

    ganz speziell mittels Docker, um auf gewisse Programme (als Beispiel glaube war es Nextcloud mit DuckDNS und Letsencrypt) zuzugreifen.

    Siehe hier.

    Ab ca. Forenmitte gibt es ein Video, was man sich unbedingt anschauen sollte.

    Eine noch bessere Lösung wäre das Einrichten eines VPN-Tunnels von der FritzBox zum Handy oder Tablett oder Laptop. Damit kommst du von Unterwegs aus auf dein lokales Netzwerk und kannst dann damit arbeiten, als wärst du daheim. Auch absolut sicher, übrigens auch auf Port 80, weil das VPN an sich deine Absicherung ist. VPNZilla wäre für den Anfang eine gute App für das Handy oder Tablett und OpenVPN z.B. für das Laptop. Aber ich schweife ab.

    Noch einmal abschließend. Nur lokal verwendet, ist nichts von alle dem notwendig!


    LG Berti
    BS: OMV4 auf Debian Stretch
    SW: UnionFilesystem mfs, Snapraid, LEMP-Stack, rsync, Rsnapshot, Duplicati, SMB/CIFS, Fail2ban
    HW: MSI B350M MORTAR, Athlon 200GE, MSI Core Frozr L -Lüfter, IN WIN 301C Micro-ATX Gehäuse, 2x 4Gb Ram, be quiiet! Straight Power 10, Transcend 64Gb M.2 SSD als Cache, 64 GB SSD für System, 3x 4TB WD Red
    Docker: emby/embyserver, linuxserver/nextcloud, 3x wordpress, linuxserver/calibre-web, linuxserver/heimdall, vimagick/glances, v2tec/watchtower
  • Danke Berti,

    ich möchte OMV natürlich nur lokal administrieren, was über SSL nicht ging, weil ich über Letsencrypt nur ein Zertifikat für die öffentliche Adresse erstellt bekomme, für die lokale geht das irgendwie nicht, weil ich hier ja keine Domain habe, was soll ich da angeben?
    Das Zertifikaterstellen für meine öffentliche Adresse hat irgendwie nun doch geklappt, das Webadmin über SSL lokal aufzurufen erzeugt aber irgendein ssl_bad_cert Fehler oder so, also gebe ich explizit http:// ein und komme rein.
    VPN über die Fritzbox habe ich auch noch nicht so richtig hinbekommen, auf ein MyFritz! Konto habe ich bisher verzichtet, möchte das auch nicht einrichten. Die VPNCilla App hatte ich mir schon vor Jahren gekauft, aber die Konfiguration über Schlüssel und Zertifikate habe ich noch nie hinbekommen, da das Abtippen irgendwie nie so richtig geklappt hat. Gibt es dafür hier auch eine Anleitung?

    LG Jürgen
  • Dann würde ich vorschlagen, ein SSL Zertifikat direkt im OMV zu erstellen. Dieses kannst du dann auch lokal verwenden. Der Browser warnt aber trotzdem, dass es sich um ein unsichere Zertifikat handelt. Das ist aber normal. Keine Angst. Falls du es nicht hin bekommst, schreib nochmal. Bin momentan noch unterwegs. Ich kann dir dann heute Abend/Nacht eine Erklärung schreiben.

    Zu VPN: Vielleicht erstelle ich die Tage mal ein Guide. Hab da schon sehr oft gehört, dass es schwierig sein soll. Ist aber alles halb so wild. Ein Fritz Konto ist dafür allerdings sehr von Vorteil. Das erspart auf alle Fälle eine umständliche Konfiguration.

    LG Berti
    BS: OMV4 auf Debian Stretch
    SW: UnionFilesystem mfs, Snapraid, LEMP-Stack, rsync, Rsnapshot, Duplicati, SMB/CIFS, Fail2ban
    HW: MSI B350M MORTAR, Athlon 200GE, MSI Core Frozr L -Lüfter, IN WIN 301C Micro-ATX Gehäuse, 2x 4Gb Ram, be quiiet! Straight Power 10, Transcend 64Gb M.2 SSD als Cache, 64 GB SSD für System, 3x 4TB WD Red
    Docker: emby/embyserver, linuxserver/nextcloud, 3x wordpress, linuxserver/calibre-web, linuxserver/heimdall, vimagick/glances, v2tec/watchtower
  • Re,

    Berti schrieb:

    Übrigens. Den Port 80 würde ich persönlich niemals freigeben, Der ist ungesichert. Maximal für paar Minuten, um Letsencrypt zu konfigurieren, wenn du unbedingt über das Internet drauf zugreifen willst. Wenn fertig konfiguriert, bitte den Port 80 wieder schließen.
    Das kann man so machen - finde ich aber falsch. Man sollte hier statt dessen eine korrekte und direkte "Rewrite-Rule" einbauen, die Alles nach Port 443 umlenkt und PFS erzwingt.
    Zusätzlich könnte man dann die Abfragen auf Port 80 auch noch mittels fail2ban abfangen ... und so schon mal Portscanner-Kids und andere schwarze Schafe grob aussortieren ;)

    Den Port freigeben erzeugt an sich noch kein Problem, solange nix an diesem Port lauscht ist es ein "dead End" und nix weiter ...

    Sc0rp
  • Die Erstellung einer VPN-Verbindung habe ich mal im Offtopic erstellt. Siehe hier.

    Ich hoffe, das passt soweit. Hatte leider keine FritzBox mehr rumliegen, wo ich es Schritt für Schritt hätte machen können.



    LG Berti
    BS: OMV4 auf Debian Stretch
    SW: UnionFilesystem mfs, Snapraid, LEMP-Stack, rsync, Rsnapshot, Duplicati, SMB/CIFS, Fail2ban
    HW: MSI B350M MORTAR, Athlon 200GE, MSI Core Frozr L -Lüfter, IN WIN 301C Micro-ATX Gehäuse, 2x 4Gb Ram, be quiiet! Straight Power 10, Transcend 64Gb M.2 SSD als Cache, 64 GB SSD für System, 3x 4TB WD Red
    Docker: emby/embyserver, linuxserver/nextcloud, 3x wordpress, linuxserver/calibre-web, linuxserver/heimdall, vimagick/glances, v2tec/watchtower
  • @Sc0rp

    Ich habe mir mal "Rewrite-Rule" und "PFS" angeschaut. Das ist allerdings dann doch schon etwas für fortgeschrittenen Benutzer. Da wäre failtoban noch das einfachste. Und selbst damit kommen die wenigsten Anfänger zurecht.
    Ich mag deine Post`s immer sehr. Da kann man auch in meinem Alter^^ noch echt viel lernen.

    LG Berti
    BS: OMV4 auf Debian Stretch
    SW: UnionFilesystem mfs, Snapraid, LEMP-Stack, rsync, Rsnapshot, Duplicati, SMB/CIFS, Fail2ban
    HW: MSI B350M MORTAR, Athlon 200GE, MSI Core Frozr L -Lüfter, IN WIN 301C Micro-ATX Gehäuse, 2x 4Gb Ram, be quiiet! Straight Power 10, Transcend 64Gb M.2 SSD als Cache, 64 GB SSD für System, 3x 4TB WD Red
    Docker: emby/embyserver, linuxserver/nextcloud, 3x wordpress, linuxserver/calibre-web, linuxserver/heimdall, vimagick/glances, v2tec/watchtower
  • Re,

    Berti schrieb:

    Ich habe mir mal "Rewrite-Rule" und "PFS" angeschaut. Das ist allerdings dann doch schon etwas für fortgeschrittenen Benutzer.
    Nö, eigentlich sollte das für jeden, Der einen "Internet-Dienst" anbietet, geläufig sein xD

    Die Rewrite-Rule schreibt übrigens Let's Encrypt automatisch in die Konfigs, wenn man sich von ihm Eine erzeugen lässt ... Die kann man dann zumindest übernehmen.

    Eine Fail2Ban-Konfig die dann darauf schaut und grob aussortiert ist dagegen wirklich schon sehr Fortgeschritten ... aber auch mit etwas Einlesen "stemmbar".

    Ich empfehle auch jedem, nach der Konfig seines Webservers, mal mit Hilfe externen Seiten die Sicherheit zu prüfen ... Testseiten gibt es da genug - die Meisten erklären auch Verbesserungsvorschläge ziemlich verständlich.

    PFS ist "state of the art" - oder sollte es zumindest seit LE sein ... (es gibt seit mehr als 5 Jahren keinen Grund mehr, das nicht zu erzwingen!)

    Sc0rp