Benni
May 25, 2020, 5:43:11 PM5/25/20
to PicApport
Hallo zusammen.
Der Gedanke ist also, wenn ich im Browser auf fotos.meine-url.de gehe (HTTP Port 80), dann wird die Anfrage auf den Raspi umgeleitet, der dann mit dem PicApport antwortet. Und genau das funktioniert auch wunderbar.
Beim erstmaligen Neustart des PicApport-Dienstes wird nun völlig korrekt und EFOLGREICH vom ACME-Protokoll ein Zertifikat bei Letsencrypt angefordert und ausgestellt.
Ich bin echt am Durchdrehen und brauche dringend Hilfe.
Ich habe PicApport auf einem Raspberry Pi 4 B+ installiert. In der Standardkonfiguration funktioniert alles wunderbar.
Ich habe dann auf meiner Fritzbox (6591 Unitymedia) eine Portfreigabe eingerichtet und den Port 80 auf den lokalen Raspi geleitet. In einer eigenen Domain habe ich eine Subdomain eingerichtet (fotos.meine-url.de) und habe diese auf die öffentliche IPv4-Adresse meiner Fritzbox gesetzt.
Der Gedanke ist also, wenn ich im Browser auf fotos.meine-url.de gehe (HTTP Port 80), dann wird die Anfrage auf den Raspi umgeleitet, der dann mit dem PicApport antwortet. Und genau das funktioniert auch wunderbar.
Nun wollte ich das ganze hinter ein SSL-Zertifikat stellen.
Also habe ich die picapport.properties angepasst, so dass sie so aussieht:
server.ssl=true
server.ssl.provider=letsencrypt
server.domain.name=fotos.meine-url.de
server.port=44433
server.letsencrypt.challenge.port=80
user.log.access=true
gui.enabled=false
robot.root.0.id=MeineFotos
robot.root.0.path=/srv/photosAuf der Fritzbox habe ich dann eine weitere Portfreigabe eingerichtet und auch den Port 44433 auf den lokalen Raspi umgeleitet.
Aber jetzt kommt mein "Problem zum Haare raufen": Ich komme über https://fotos.meine-url.de:44433/picapport NICHT auf den PicApport. Ich bekomme es einfach nicht hin.
Ein Portscan von extern auf meine öffentliche IP der Fritzbox behauptet, dass weder Port 80 noch 44433 offen sein sollen. Der ACME hat aber das Zertifikat über 80 auf die URL bekommen.
Wenn ich im lokalen Netz mit der IP des Raspi auf die URL https://192.168.100.5:44433/picapport gehe, dann bekomme ich den PicApport. Der Dienst läuft also. Hier wird dann sogar ein Zertifikatsfehler angezeigt, weil das SSL-Cert auf die URL fotos.meine-url.de ausgestellt ist.
Kann mir irgendjemand einen Tip geben, warum das nicht geht? Ich bin echt am verzweifeln!!!
Kann mir irgendjemand einen Tip geben, warum das nicht geht? Ich bin echt am verzweifeln!!!
Liebe Grüße und Danke
Benni
Micke Pe
May 26, 2020, 4:59:16 AM5/26/20
to PicApport
Hi,
klingt nach einem Firewall oder NAT Problem und dürfte nichts mit PicApport zu tun haben.
Hast du deine Domain per HTTP auf Port 80 auch von extern aufrufen können (das müsste wegen dem Zertifikat mal geklappt haben)?
Prüf deine Fritzbox Freigabe mit dem neuen Port 44433 nochmal (alles richtig wie auch bei Port 80 eingetragen)?
Hast du eine feste IP? Du sagst: Du hast die öffentliche IP der Box bei deiner Domain hinterlegt; vermute mal als A UND AAAA Record, richtig (also IPv4 und v6)? Das sollte so sein.
ABER normalerweise wechselt deine IP beim Provider täglich. Ich empfehle dir bei deiner Domain einen CNAME auf deine myfritz.net Domain zu hinterlegen. Dann bleibt die dynamische Zuordnung erhalten (quasi eine kostenfreie DynDNS Domain).
Grüße
klingt nach einem Firewall oder NAT Problem und dürfte nichts mit PicApport zu tun haben.
Hast du deine Domain per HTTP auf Port 80 auch von extern aufrufen können (das müsste wegen dem Zertifikat mal geklappt haben)?
Prüf deine Fritzbox Freigabe mit dem neuen Port 44433 nochmal (alles richtig wie auch bei Port 80 eingetragen)?
Hast du eine feste IP? Du sagst: Du hast die öffentliche IP der Box bei deiner Domain hinterlegt; vermute mal als A UND AAAA Record, richtig (also IPv4 und v6)? Das sollte so sein.
ABER normalerweise wechselt deine IP beim Provider täglich. Ich empfehle dir bei deiner Domain einen CNAME auf deine myfritz.net Domain zu hinterlegen. Dann bleibt die dynamische Zuordnung erhalten (quasi eine kostenfreie DynDNS Domain).
Grüße
Benni
May 26, 2020, 6:35:38 AM5/26/20
to PicApport
Hallo.
Wenn ich in der picapport.properties server.ssl auf false setze und server.port auf 80, dann kann ich über die Domain per HTTP auf Port 80 auf den PicApport kommen.
Wenn ich aber server.ssl auf true und server.port auf 44433 (oder irgend einen anderen Port) setze, dann komme ich nicht mehr hin. Der ACME-Dienst hat aber offensichtlich über den Port 80 zugreifen können, sonst wäre die Verifizierung für das Zertifikat ja fehlschgeschlagen.
Die Portfreigabe auf der Fritzbox stimmt. Das ist genau so, wie es sein soll, nur funktioniert es nicht. Wo genau das Problem liegt, weiß ich nicht. Komisch ist halt, dass es auf dem 80er tut, wenn SSL aus ist und auf dem 44433 nicht, wenn SSL an ist.
Die öffentliche IP ist fest. Ich habe eine zugewiesene IPv4-Adresse die nicht wechselt. Es kann demnach auch kein Problem mit DSlite oder sowas sein. Es ist eine fest zugewiesene IPv4-Adresse.
Ich habe auch den AAAA-IPv6-Eintrag gesetzt, aber trotzdem bekomme ich den PicApport nicht angezeigt
Ich habe nun auch mal den Zugriff über die myfritz.net-Domain gemacht - auch hier bekomme ich über https://[myfritzid].myfritz.net:44433/picapport keine Antwort.
Grüße
Benni
Micke Pe
May 26, 2020, 7:36:32 AM5/26/20
to PicApport
Auf dem Raspbian ist doch glaube ich auch ein Apache2 drauf, oder? Oder anders: Hast du noch eine andere, schlichte Testserver-Instabz, mit dem du die Erreichbarkeit testen könntest? Dort müsstest du dir natürlich auch erst ein Zertifikat (Letsencrypt Certbot https://certbot.eff.org/) holen, um es mit HTTP und HTTPS testen zu können...
Aber mit einer schlichten Apache Welcome Page kann man bequemer in die Logs gucken und die Erreichbarkeit testen als bei einem Java Servlet (jedenfalls sehe ich das so :) ).
Also Zugreifen und in die Logs des eingesetzten Servers (Access und Error) schauen, ob dein Request durch kommt. Danach weißt du erst, wo du ansetzen musst.
Mit dem Informationen wüsste ich sonst erstmal nicht weiter...
Aber mit einer schlichten Apache Welcome Page kann man bequemer in die Logs gucken und die Erreichbarkeit testen als bei einem Java Servlet (jedenfalls sehe ich das so :) ).
Also Zugreifen und in die Logs des eingesetzten Servers (Access und Error) schauen, ob dein Request durch kommt. Danach weißt du erst, wo du ansetzen musst.
Mit dem Informationen wüsste ich sonst erstmal nicht weiter...
Benni
May 27, 2020, 6:44:36 PM5/27/20
to PicApport
Ich habe es nun hinbekommen. Weiß allerdings nicht genau, wo mein Fehler lag.
Ich habe nochmal alles gelöscht und von vorne angefangen. Also die Freigaben in der Fritzbox gelöscht, sämtliche Netzwerk-Einträge des Raspi in der Fritbox gelöscht. Die Konfig von picapport nochmal komplett neu gemacht. Neues Zertifikat und neue Subdomain.
Jetzt tuts. Irgendwo hatte ich in irgendeinem Element noch einen Fehler.
Danke für eure Hilfe!!
Reply all
Reply to author
Forward
0 new messages