Jahresrückblick 2025 – unser neuer Blogbeitrag ist online! ✨

Homoran

@markus84 said in Let’s Encrypt Anleitung:

MAC Filter nutze ich bisher nicht, da das doch sehr aufwändig ist

IMHO nicht wirklich.

@markus84 said in Let’s Encrypt Anleitung:

der Nutzen wohl auch eher fraglich ist

klar kann man auch MAC-Adressen klonen

@markus84 said in Let’s Encrypt Anleitung:

nach praktikablen Lösungen, um die Sicherheit noch zu verbessern..

oder ein Scheunentor in der Stahlbetonmauer zu öffnen

Markus84

@homoran said in Let’s Encrypt Anleitung:

MAC Filter nutze ich bisher nicht, da das doch sehr aufwändig ist

IMHO nicht wirklich.
Markus84 said in Let’s Encrypt Anleitung:

der Nutzen wohl auch eher fraglich ist

klar kann man auch MAC-Adressen klonen

Okay, dann werde ich mir die MAC-Adressen-Filterung nochmal näher anschauen.

Was meinst du denn mit:

@homoran said in Let’s Encrypt Anleitung:

ein Scheunentor in der Stahlbetonmauer zu öffnen

Homoran

@markus84 said in Let’s Encrypt Anleitung:

Was meinst du denn mit:

Den Worst case!

Bisher war alles "übermäßig" sicher, aber durch eine kleine Fehlkonfiguration in Let's encrypt oder der selbst konfigurierten Firewall machst du einen Scheunentor auf, dass deine bisherigen Bemühiungen zunichte macht

Markus84

@homoran said in Let’s Encrypt Anleitung:

Bisher war alles "übermäßig" sicher, aber durch eine kleine Fehlkonfiguration in Let's encrypt oder der selbst konfigurierten Firewall machst du einen Scheunentor auf, dass deine bisherigen Bemühiungen zunichte macht

Also besser nicht zu viel "basteln", um nicht versehentlich das Scheunentor aufzumachen. Verstanden.

Homoran

@markus84
Genau!

Sicherheitseinstellungen sollte man nur dann selber modifizieren wenn man ganz genau weiß was man tut

Rushmed

Ok, habe mich jetzt dazu entschlossen auf LE zu verzichten

Fabian Mayer

@unclesam

Ich habe die doku genau verfolgt und bekomme es einfach nicht auf die Reihe. Ich möchte den Simpl Api adapter per ssl verschlüsseln doch weder über die Einstellungen als auch über den certbot kann ich das Zertifikat für den Port 8087 freigeben. Was mache ich falsch? lg

UncleSam

@fabian-mayer sagte in Let’s Encrypt Anleitung:

Port 8087 freigeben

Das ist der Fehler. Es geht nur Port 443 mit Let's Encrypt.

Fabian Mayer

@unclesam okay, danke erstmal. Habich auch schon versuch! kommt dann dass Port 443 schon belegt ist oder so in der art.

Heißt also man kann nur eine Anwendung über Let's encrypt absichern? Habe ich das richtig verstanden?

Ich werde den Pi nochmals mit einer SSD festplatte frisch aufsetzen um ev. Externe Fehler zu entfernen. Dann sollte ich so vorgehen:

SSL Daten im IoBroker hinterlegen -> port von der API auf 443 setzen. Port 80 von der domain auf port 80 vom pi und port 443 auf port 443 vom PI - fertig

Stimmt das so?

UncleSam

@fabian-mayer Jawohl, richtig.

Fabian Mayer

@unclesam thx hat geklappt. Schade, dass nur ein adapter versorgt werden kann.. gibts da andre lösungen dafür? Bzw ist das was geplant?

UncleSam

@fabian-mayer Von ioBroker gibt es keine Lösung. Normalerweise macht man ja Let's Encrypt auch nicht im lokalen Netzwerk sondern gegen aussen. Dort würde ich einen HTTPS Reverse Proxy empfehlen, der aufgrund des Host Names dann das richtige Gerät dahinter anspricht. Der letzte Teil dieser Verbindung ist dann natürlich nicht mit LE "verschlüsselt", aber du kannst ja (wenn es sein muss) ein selbstsigniertes Zertifikat verwenden oder sogar deine eigene CA benutzen.

Wenn du eine Synology hast, dann wird ein solcher Reverse Proxy von Haus aus angeboten: https://mikesolin.com/2020/07/07/setting-up-synologys-reverse-proxy-server/

Ich verwende HAProxy um sowas aufzusetzen - mit nginx geht es aber auch.