Wie DVBLink über https:// erreichbar machen?

[Tommes]

Hallo zusammen.

Ich nutze DVBLink bereits seit längerer Zeit, jedoch nur innerhalb meines Lokalen Netzwerkes weshalb ich mir auch noch nie Gedanken bezüglich gesicherter Verbindungen gemacht habe. Jetzt möchte ich DVBLink jedoch auch von extern erreichen können. Dafür habe ich ein Benutzer/Passwort in DVBLink angelegt und wollte grade die entsprechenden Ports freischalten, als mit auffiel....

... keine https:// Verbindung möglich, sondern nur http://

Das ist aber ziemlich blöde, da so Name/Passwort im Klartext übertragen werden, was eigentlich nicht Sinn und Zweck dieser Aktion sein sollte. Im DVBLogic Forum fand ich einen Thread, dessen Antwort genau das Gleiche aussagt, wie ich grade eben festgestellt habe... kein https:// (hier der Link zum Thread *klick* )

Kennt einer von euch vielleicht eine Möglichkeit, DVBLink über https:// erreichbar zu machen und nein... ich möchte das nach Möglichkeit nicht über VPN lösen.

Tommes

 

[Darkwing9]

Hi, gibt es für den https Zugriff schon eine Lösung? Viele Grüße Darkwing

 

[Tommes]

Mir ist nichts bekannt, das sich da zwischenzeitlich etwas geändert hat. Ich denke das wir da noch ein wenig warten müssen... auf DVBLink 5.2 oder 6.0 ?!? Keine Ahnung.

Tommes

 

[explorer]

Wenn man einen Benutzer ausschließlich für DVBLink angelegt mit einem einfachen Passwort, den man nur dafür benutzt?

 

[Tommes]

Wenn man einen Benutzer ausschließlich für DVBLink angelegt mit einem einfachen Passwort, den man nur dafür benutzt?

Ähm...

Dafür habe ich ein Benutzer/Passwort in DVBLink angelegt...

Außerdem ist es schändlich nur ein einfaches Passwort zu verwenden welches obendrein auch noch unverschlüsselt übertragen werden soll. Daher ja meine Frage, die Logindaten verschlüsselt, also per https:// zu übertragen.

Tommes

 

[explorer]

Ich habe dein Problem schon verstanden.
Es gibt dazu nur leider keine zufriedenstellende Lösung so dass ich es für mich so gelöst habe, dass ich einen User nur für Dvblink erstellt habe,dem ich jegliche Zugriffsrechte entzogen habe. Wenn das einfache Passwort nun bei der unsicheren http-Übertragung mitgesnifft wird, dann soll mir das egal sein, da damit kein weiteres Unheil auf der DS angerichtet werden kann.
Für mich ein pratikabler Workaround.

 

[Darkwing9]

Über diesen Workaround habe ich auch schon nachgedacht. Mir wäre eine Lösung mit verschlüsselter Datenübertragung lieber.
Mittels Videostation kann ich aus der Ferne über https fernsehen. Leider funktioniert das nur per Browser und für die Video Station gibt es keien Addons für
Openelec, Plex usw.

 

[Tommes]

Wenn das einfache Passwort nun bei der unsicheren http-Übertragung mitgesnifft wird, dann soll mir das egal sein, da damit kein weiteres Unheil auf der DS angerichtet werden kann.

... außer das jemand deine DS mit programmierten Fernseh-Aufnahmen zumüllen könnte... oder noch weitaus schlimmeres anstellen kann! Wer kennt schon die Sicherheitslücken von DVBLink, wenn man erstmal im System ist? Will ich nicht weiter drüber nachdenken. Von daher... entweder Zugriff per https:// ansonsten kommt mir DVBLink nicht ins Internet.

Tommes

 

[helmut72]

Einfach HTTPS einrichten.

Hier:
/etc/httpd/sites-enabled-user/httpd-ssl-vhost.conf-user

wird folgendes hinzugefügt:

<VirtualHost *:443>
ServerName dvblink.meinedomain.de
ErrorLog /var/log/httpd/dvblink.meinedomain.de_ssl-error_log

 ProxyPreserveHost On
 ProxyRequests Off
 ProxyVia Off

 ProxyPass / http://127.0.0.1:8100/
 ProxyPass /tvguide/ http://127.0.0.1:8100/tvguide/


SSLEngine on
SSLCertificateFile    /pfad/zum/dvblink.meinedomain.de_ssl.crt
SSLCertificateKeyFile /pfad/zum/dvblink.meinedomain.de_ssl.key
</VirtualHost>

Dann ein
httpd -k restart
oder
synoservicectl --restart httpd-user

Die fett markierten Stellen in der Konfiguration müssen an eure Umgebung angepasst werden bzw. 127.0.0.1:8100 wird bei mir blau angezeigt. Wenn DVBLink auf einem anderen Rechner/Raspi bei euch im LAN (private IP) läuft, dann gebt ihr eben diese Ziel-IP an, z.B. 192.168.1.1:8100

Warum jetzt /tvguide/ ebenfalls mit drinnen stehen muss, muss man wohl die Programmierer von DVBLink fragen. Weil /schedules/ oder /tvrecords/ werden ohne Eintrag schon richtig angezeigt. Das erste ProxyPass / sollte ja alles dahinter weiterleiten.

Einzige Einschränkung ist die App (bei mir iOS), die ja über HTTPS nichts weiß = nicht funktioniert. Geht also nur die Weboberfläche mit der URL:
https://dvblink.meinedomain.de

 

[Darkwing9]

Hallo zusammen,

bevor ich die Anleitung von helmut72 verwende habe ich noch eine Frage.
Muss ich für die Dateien ...ssl.crt und ...ssl.key erzeugen? Hat schon jemand den https Zugriff auf dvblink umgesetzt?

Viele Grüße Darkwing

 

[helmut72]

Wenn Du in der Systemsteuerung -> Sicherheit -> Zertifikate bei deinem self-signed Zertifikat als alternativen Namen dvblink.meinedomain.de angegeben hast, dann verweist Du auf die *.crt und den *.key vom Zertifikat aus der Systemsteuerung. Sind hier gespeichert:
/usr/syno/etc/ssl/ssl.crt
/usr/syno/etc/ssl/ssl.key


dvblink.meinedomain.de ist natürlich der Name, mit dem Du explizit deinen DVBLink aufrufen möchtest. Beispielsweise ein www.meinedomain.de ruft weiterhin den Inhalt deiner Webstation auf, falls Du diese ebenfalls im Einsatz hast.

 

[Darkwing9]

Vielen Dank für die Erklärung. Leider habe ich diese Namen in meinem Zertifikat nicht angegeben. Sobald StartSSL wieder online ist werde ich mir ein neues Zertifkat ausstellen und darauf achten, ob ich die Namen bei der Erstellung einbauen kann.

 

[helmut72]

dvblink.meinedomain.de ist dein bevorzugter Name. Hast Du die Domain darkwing.de und möchtest DVBLink mit dem Servernamen dvbrekorder ansprechen, heißt dein Zertifikat dvbrekorder.darkwing.de. Servername + Domain, also FQDN (full qualified domain name). Der Servername muss zum Namen in der Apachekonfiguration passen. Der "Webserver" dahinter, hier DVBLink, kann auch den gewählten Namen in der Konfiguration wollen. Ist je nach Anwendung mal so, mal so. Bei DVBLink ist das nicht erforderlich, soviel ich noch im Kopf habe. Der reagiert auf jeden Namen oder IP.

 

[Darkwing9]

Bezogen auf dein Beispiel ist mir unklar, wo ich den Servernamen dvbrekorder eintragen kann. Innerhalb von dvblink habe ich bei den Einstellungen nichts gefunden, wo man den Servernamen angeben kann. Hier gibt nur Porteinstellungen und den User mit Passwort.