Vdradmin-AM login

Glaube nicht das 127.0.0.1 überhaupt als Absendeadresse verwendetet werden. Ein Paket mit selben Absende- und Empfangsadresse würde doch Probleme machen, oder?

Georg

Das Problem ist, dass bei euch wohl der Apache als Proxy auf der selben Maschine läuft von der aus auch der lokale Browser-Zugriff auf den VDR-Admin erfolgt. Der Witz eines Proxies ist ja nun eben, dass es keine direkte Verbindung Client (=Browser) -> Server (=VDR-Admin) gibt, sondern zwei Verbindungen: Client -> Proxy und Proxy -> Server. Läuft nun der Browser auf der selben Maschine wie der Proxy, kann der Server nicht mehr anhand der Quell-IP entscheiden, wo die Verbindung herkommt. Die Quell-IP ist in beiden Verbindungsvarianten die selbe. Daher ist es auch nicht ohne weiteres möglich, im VDR-Admin die Authentifizierung getrennt ein- und auszuschalten.

Ich gehe mal davon aus, dass bei Wolfi Apache und VDR-Admin auf der selben Maschine namens "vdr1" laufen. Damit ist in der /etc/hosts höchst wahrscheinlich der Name vdr1 mit der IP 127.0.0.1 verknüpft. In der Apache-Config von Wolfi steht

ProxyPass /vdr1/ http://vdr1:80/

Wenn nun also eine Verbindung aus dem Internet beim Apache ankommt und den URL /vdr1/ haben will, baut Apache eine separate Verbindung zum VDR-Admin auf 127.0.0.1, Port 80 auf. Das läuft laut Routing-Tabelle über das Loopback-Device und darum wird für diese neue Verbindung als Quell-IP die IP des Loopback-Devices verwendet, also ebenfalls 127.0.0.1. Gibt Wolfi http://vdr1:80/ im Browser ein, passiert exakt das selbe.

Zitat

Ein Paket mit selben Absende- und Empfangsadresse würde doch Probleme machen, oder?

Nein. Eine Verbindung identifiziert sich bei TCP über vier Werte: Quell-IP, Quell-Port, Ziel-IP, Ziel-Port. Der Quell-Port ist dabei immer ein je Verbindung zufällig gewählter Wert.

Eine Möglichkeit um das Problem zu lösen wäre Browser und Proxy über verschiedene Wege zugreifen lassen (Browser auf lokale LAN-IP, Apache auf 127.0.0.1 oder umgekehrt). Damit ist auch die Quell-IP in einem Fall die lokale LAN-IP, im anderen 127.0.0.1 und VDR-Admin kann entsprechend authentifizieren oder nicht. Andere Möglichkeiten: Authentifizierung im Apachen anschalten oder statt Apache mit einfachem DNAT/Portforwarding arbeiten.

Hallo,

erstmal eines vorweg: Bei mir funktioniert es prima, ich hab meine Konf. nur einmal als Beispiel gepostet. Funktioniert prima heißt, dass er _IMMER_ ein Passwort haben will, egal ob ich aus dem localen Netz direkt, über den Apache oder aus dem Internet aufrufe.

Zitat

Original von schmirl
Ich gehe mal davon aus, dass bei Wolfi Apache und VDR-Admin auf der selben Maschine namens "vdr1" laufen. Damit ist in der /etc/hosts höchst wahrscheinlich der Name vdr1 mit der IP 127.0.0.1 verknüpft. In der Apache-Config von Wolfi steht

Code

ProxyPass /vdr1/ http://vdr1:80/

Wenn nun also eine Verbindung aus dem Internet beim Apache ankommt und den URL /vdr1/ haben will, baut Apache eine separate Verbindung zum VDR-Admin auf 127.0.0.1, Port 80 auf. Das läuft laut Routing-Tabelle über das Loopback-Device und darum wird für diese neue Verbindung als Quell-IP die IP des Loopback-Devices verwendet, also ebenfalls 127.0.0.1. Gibt Wolfi http://vdr1:80/ im Browser ein, passiert exakt das selbe.

Nein! Der Apache läuft auf meinem Server und der Rechner vdr1 ist eigenständig (okay, per Netboot und rootnfs von Server ). Natürlich ist vdr1 in der hosts eingetragen, aber wie gesagt, es sind zwei Rechner.

Aber genau das könnte ja der Grund sein, dass es bei mir läuft

Hoffe nich mehr verwirrt zu haben

Grüße,
Wolfi

Bei VDRadmin und Apache auf der selben Maschine hast Du die von mir beschriebenen 3 Lösungsmöglichkeiten:

1. Angenommen Dein VDRadmin/Apache-Rechner hat die IP 192.168.0.1. In diesem Fall konfigurierst Du den Apachen die ProxyPass-Einträge auf http://127.0.0.1/ und im Browser greifst Du auf http://192.168.0.1/ zu. Im Vdr-Admin schaltest Du die Authentifizierung für 192.168.0.1 (oder gleich dein ganzes Netzwerk = 192.168.0.0/24) aus.

2. Du schaltest die Authentifizierung im VDRadmin komplett aus und konfigurierst Authentifizierung im Apachen

3. Du lässt den Apachen weg und arbeitest mit DNAT/Portforwarding. Im VDRadmin bleibt die Authentifizierung für 192.168.0.1 aus.

Ich persönlich halte nicht viel vom Apachen als Proxy. Auch wenn er modular aufgebaut ist, so ist es doch ein riesen Stück Software. Sicherheitskritische Updates sind da durchaus häufiger fällig. Und wenn man bei der Konfiguration nicht aufpasst, reisst man sich gerade mit dem Proxy-Modul leicht mal ein riesen Loch auf (Stichwort offener Proxy. Testen und die Logs im Auge behalten!). Auch wenn es ein Proxy-Modul gibt: Die eigentliche Intention ist doch der Web-Server. Ich würde Dir Pound als Reverse-Proxy empfehlen. Der ist auf die Reverse-Proxy-Aufgabe spezialisiert, vergleichsweise klein und einfach zu konfigurieren, geht aber nur mit Variante 1.

Https ist natürlich besser als http. VDRadmin kann nur http, darum also besser einen Reverse-Proxy mit https davor. Authentifizierung mit Benutzernamen und Kennwort sollte reichen, aber Du kannst natürlich auch mit Client-Zertifikat arbeiten

Zusammenfassend: Lieber Variante 3 als ein potentiell schlecht konfigurierter Apache. Besser sind Varianten 1 und 2 (vor allem mit https). Prinzipell sind beide gleichwertig. Authentifizierung über Zertifikate geht nur in 2.

Viel Erfolg!

Kleiner Nachtrag noch:
Variante 2 geht mit Pound auch, aber nur wenn Du statt Passwort mit Client-Zertifikat arbeitest. Und ich möchte Dir die Pound Configfile-Option "CheckURL" ans Herz legen. Damit kannst Du den Reverse-Proxy schön abdichten bezüglich erlaubter URLs.