Raspberry achter router achter Experiabox

woensdag 29 augustus 2018 21:01

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag
Sinds kort heb ik een Raspberry PI B+, hier draai ik OctoPI/OctoPrint op.
Ik wil graag deze Octoprint (web interface) vanaf oa mijn werk benaderen.

Relevante software en hardware die ik gebruik
Raspberry PI B+
- OctoPI
-- OctoPrint

Sitecom AC1750
- Orginele firmware

Experiabox V10
- Orginele firmware

De opstelling is als volgt:
_{GroteBozeInternet} - Experiabox V10 - Sitecom AC1750 - Raspberry PI B+

Wat ik al gevonden of geprobeerd heb
Ik weet dat de Raspberry poort 80 gebruikt.
Op de Sitecom moet ik deze poort openzetten.
Op de Experiabox moet ik een poort openzetten om de sitecom te bereiken.
De Raspberry zou nu via mijn publieke IP adres, in combinatie met de poort, te bereiken zijn.

In de Sitecom kan ik zowel 'Port forwarding' als 'virtual server' kiezen, hier kom ik niet uit.
Ook kan ik 'UPNP' aan/uit zetten maar hier weet ik ook te weinig van.

Op de Experiabox kan ik ook 'UPNP' kiezen (mij is verteld dat dit gebruikt kan worden voor het bovenstaande maar ik weet niet hoe.
Ik kan op de Experiabox ook kieze nvoor 'Port forwarding', in dit menu moet ik behalde de poort en het ip adres ook een app aangeven, daar staat OctoPrint niet tussen.

Het zal vast niet al te gek moeilijk zijn maar ik weet niet waar ik moet beginnen.

zondag 9 september 2018 23:45

Room42

@MarchelV Deze is wellicht relevant: A Guide To Safe Remote Access of OctoPrint

Dit is geschreven door de ontwikkelaar* van Octoprint zelf:

Putting OctoPrint onto the public internet is a terrible idea, and I really can’t emphasize that enough. Let’s think about this for a moment, or two, or even three. OctoPrint is connected to a printer, complete with motors and heaters. If some hacker somewhere wanted to do some damage, they could. Most printers can have their firmware flashed over USB. So as soon as the box hosting OctoPrint is comprimised, there go any failsafes built into the firmware. All one would have to do, is flash a new, malicious firmware with no safeguards, over USB, and then tell the printer to keep heating, leading to catastrophic failure. Of course there are other reasons to not have an OctoPrint instance available on the public internet, such as sensitive data theft, but catastrophic failure is by far the worst case scenario here.

*leuke, gedreven vrouw, trouwens! Kijk ook haar OctoPrint On Air-video's!

[ Voor 86% gewijzigd door Room42 op 09-09-2018 23:53 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

woensdag 29 augustus 2018 21:03

Acties:

+1 Henk 'm!

job

Op beide routers port forwarding gebruiken (als beide routers daadwerkelijk routeren).

woensdag 29 augustus 2018 21:06

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

Ik zou extern een andere poort gebruiken dus niet iets van 80.

Poort 9191 op EB forwarden naar IP van Sitecom op poort 9191.
Op Sitecom poort 9191 forwarden naar IP van RPi op poort 80.

Dit werkt alleen als je betreffende apparaten allemaal static IP's hebben, wat mij betreft.

Het zal vast niet al te gek moeilijk zijn maar ik weet niet waar ik moet beginnen.

Eens maar als test had je ook even de RPi aan de EB kunnen hangen en maar 1 forward / virtual server in te stellen. Over het algemeen is dual-routing en dual NAT slecht/niet uit te leggen aan "beginners".

[ Voor 35% gewijzigd door MAX3400 op 29-08-2018 21:12 ]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 29 augustus 2018 21:24

Acties:

0 Henk 'm!

MarchelV

Topicstarter

Op de Sitecom heb ik, via 'virtual server' het ip nummer van de Pi met poort 80 geforward naar poort 9191.

Om op de experiabox een poort te forwarden moet ik eerst een 'app' maken, wat moet ik daarin invullen?

woensdag 29 augustus 2018 21:27

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

MarchelV schreef op woensdag 29 augustus 2018 @ 21:24:
Op de Sitecom heb ik, via 'virtual server' het ip nummer van de Pi met poort 80 geforward naar poort 9191.

Om op de experiabox een poort te forwarden moet ik eerst een 'app' maken, wat moet ik daarin invullen?

Maak er wat van... Noem het "test app" ofzo en koppel daar de poortjes aan (links en rechts) die je wil hebben.

Wat screenshots: https://forum.telfort.nl/...-een-experiabox-v10-69379 maar mogelijk heet/ziet het net wat anders eruit vanwege (recentere) firmware-versie op jouw EB.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 29 augustus 2018 21:40

Acties:

+1 Henk 'm!

Room42

Ik zou overigens Octoprint niet direct aan het internet hangen, want bijvoorbeeld de Webcam zal altijd (zonder wachtwoord) beschikbaar zijn (via de directe URL)!

Kun je niet een VPN-server draaien om zo bij je LAN (en dus* bij je Octoprint) te komen? Desnoods draai je die op dezelfde Raspberry, dat vind ik prima.

En als je hem al open aan het web wilt hangen, gebruik dan HTTPS, dus poort 443 op de Pi!

En stel 'basic authentication' in, zie stap 3 van deze guide: https://printoid.net/access-octoprint-from-the-internet/. Zie wel de release notes van 1.3.9 voor wat opmerkingen over een reverse proxy vanaf die versie: https://github.com/foosel/OctoPrint/releases/tag/1.3.9rc1

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

woensdag 29 augustus 2018 22:25

Acties:

0 Henk 'm!

MarchelV

Topicstarter

Waarom wil het nou niet...

Op de Sitecom:
Virtual server
- Local IP : ip nummer van de rasp
- Local port : 80
- Type : both
- Public port : 443

Op de Experiabox:
Portforwarding ipv4
- Lan host: ip adres van sitecom
- App name : de hieronder gemaakte app
Application configuration
- Protocol : tcp&udp
- Start port : 443
- End port - 443
- Start mapping port : 443
- End mapping port : 443

Wanneer ik nu via de portcheck kijk staat er niets open (80 of 443).

Waar ga ik de mist in?

Beveiliging is natuurlijk ook belangrijk, https icm een sterk wachtwoord lijkt me voldoende?

woensdag 29 augustus 2018 22:34

Acties:

+2 Henk 'm!

Room42

MarchelV schreef op woensdag 29 augustus 2018 @ 22:25:
Waarom wil het nou niet...

Wat hebben de Sitecom en de Experiabox te maken met de route tussen het internet en jouw Raspberry? Hangt de LAN-zijde van de Experiabox aan de WAN-zijde van de Sitecom? En dan de Raspberry Pi weer in het LAN-segment van de Sitecom?

En wat zijn de IP-subnetten die je gebruikt? Op je LAN's, bedoel ik. Geef eens wat meer inzicht in je netwerkconfiguratie. En ik ben ook benieuwd waarom je een dubbele NAT hanteert. Dat is alleen maar lastig, lijkt me (en blijkt).

Beveiliging is natuurlijk ook belangrijk, https icm een sterk wachtwoord lijkt me voldoende?

Een sterk wachtwoord waarop? Op de Octoprint user? Heb je mijn post wel gelezen?

Blader maar eens, in een private browser session, naar https://<ip-van-je-octopi>/webcam/?action=stream. Je zult zien dat je, zonder inloggen, gewoon de stream kunt bekijken. Dat wil je vast niet op het internet hebben

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

donderdag 30 augustus 2018 00:48

Acties:

0 Henk 'm!

dion_b

Moderator Harde Waren

say Baah

Netwerk

Gebruik ipv 443 - een known port met specifieke functionaltieit dat een van de devices zelf mogelijk kan gebruiken en mogeljik ook specifiek in een firewall rule gefilterd staat - een privat port, dus iets boven de 49152.

Verder: troubleshooting doe je het best stap voor stap. Dus:
- begin met checken op je LAN achter de Sitecom of je kunt connecten met IP van dat ding op port 80
- check dan van op de LAN van de Experiabox (dus aan WAN-zijde van de Sitecom) of je kunt verbinden.
- pas als dat ook lukt proberen aan WAN-zijde van de Experiabox, dus het publieke internet.

Hou er rekening mee dat de meeste NAT-routers geen local loopback hebben, dus dit kun je waarschijnlijk *niet* van achter dezelfde verbinding testen. Test het via bijv een telefoon op 4G, dus met andere internetverbinding.

Oslik blyat! Oslik!

donderdag 30 augustus 2018 08:35

Acties:

+2 Henk 'm!

HKLM_

Ik zou mijn octoprint niet meer aan het internet hangen

Duizenden onbeveiligde 3d-printers toegankelijk via internet (octoprint)

3D Printers in The Wild, What Can Go Wrong?

Cloud ☁️

donderdag 30 augustus 2018 08:46

Acties:

0 Henk 'm!

Axewi

Ik zou eerst je dubbele NAT zien op te lossen! Is er een reden dat je zowel de Experiabox als de Sitecom gebruikt?
Als je de sitecom puur als accesspoint wil gebruiken kan je deze beter instellen als een accesspoint en niet als router. Als je niet weet hoe dit moet staat in dit topic meer informatie.

Verder vraag ik me af of je zonder problemen 443 kan forwarden naar 80 omdat je browser een https verbinding verwacht, voor de zekerheid zou ik dus een andere port pakken, 8080 bijvoorbeeld.

Als je toch persé met een dubbele NAT wil blijven werken zou ik het als volgt proberen.
Experiabox:
8080 inkomend forwarden naar de Sitecom.

Sitecom:
8080 inkomend forwarden naar 80 op de rasppi.

Verder ben ik het eens met de rest, het lijkt niet de meest slimme keuze om dit rechtstreeks aan het internet te hangen!

Als de lat te hoog ligt kun je er nog altijd onderdoor lopen.

donderdag 30 augustus 2018 08:51

Acties:

0 Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

Netwerk

Zoals dion_b al aangeeft, niet 443 geruiken tenzij je dat via een reverse proxy doet middels https naar http.
Aangezien octoprint niet aan te raden is direct aan internet te hangen zou ik alleen SSH openzetten en dan middels een SSL tunnel werken. Das de meest eenvoudige manier om het veilig te houden (als zou je ook nog 2FA met SSH kunnen gebruiken

)

Duct tape can't fix stupid, but it can muffle the sound.

donderdag 30 augustus 2018 11:27

Acties:

0 Henk 'm!

MarchelV

Topicstarter

Voorlopig werkt helemaal niks... Da's de meest veilige oplossing

Mischien naief maar wat ia het probleem dat iemand (of iedereen) toegang heeft tot de camera?
Die staat gericht op de printer om de voortgang van het printen te filmen, het is niet zo dat ik in m'n blote kont voor dat ding sta.

Mijn idee was juist om, via octoprint, direct naar youtube te uploaden, dan ziet iedereen het toch ook?

Zijn Raspberries zo slrcht beveiligd dan?
Stel, ik hang dat ding direct aan de exp.box en zet daarop de juiste poort open. 1.2.3.4:567 verwijst dan toch alleen maar naar de rasp, je ziet dan octoprint. Zolang je de login gegevens niet weet, kun je toch alleen maar kijken?

vrijdag 31 augustus 2018 13:18

Acties:

+3 Henk 'm!

Axewi

MarchelV schreef op donderdag 30 augustus 2018 @ 11:27:
Mischien naief maar wat ia het probleem dat iemand (of iedereen) toegang heeft tot de camera?
Die staat gericht op de printer om de voortgang van het printen te filmen, het is niet zo dat ik in m'n blote kont voor dat ding sta.

Opzich zijn daar geen problemen mee, er zijn meer camera's vrij toegankelijk. Of je moet willen dat een camera in je woning vrij toegankelijk is... dat is een 2e, als jij daar geen problemen mee hebt en je weet zeker dat er niets anders te zien is dan je printer (geen reflecties bijvoorbeeld) en er wordt geen audio opgenomen.. leef je uit! Al hang je er 20 in je woonkamer

Mijn idee was juist om, via octoprint, direct naar youtube te uploaden, dan ziet iedereen het toch ook?

Maar hiervoor hoeft je camera toch niet van buitenaf rechtstreeks benaderbaar te zijn? Je hebt alleen een applicatie nodig die de camera stream omzet in een livestream op youtube. Die kan je binnen je eigen netwerk draaien.

Zijn Raspberries zo slrcht beveiligd dan?
Stel, ik hang dat ding direct aan de exp.box en zet daarop de juiste poort open. 1.2.3.4:567 verwijst dan toch alleen maar naar de rasp, je ziet dan octoprint. Zolang je de login gegevens niet weet, kun je toch alleen maar kijken?

De Rapsberry PI is gewoon een computer daar is opzich niet iets slecht of goed aan beveiligd (even los van eventuele hardwarematige dingen.) Het gaat vooral om het OS en de software die je daar op draait en nog belangrijker de instellingen van je software \ OS!

In de ideale situatie kunnen mensen dus alleen bij jou stream komen via die poort, maar zodra er een kwetsbaarheid zit in octoprint of één van de gebruikte pakketten daarvoor dan kunnen ze mogelijk meer zoals het uitvoeren van code of software op je PI.
Zolang de beveiliging in orde is geeft het dus geen problemen.

Maar als ik het zo lees; Poort 80 voor de webinterface, vrij beschikbare camera stream... dan heeft Octoprint beveiliging niet op plek 1 of 2 staan en op dat moment lijkt het me verstandig om er eens goed over na te denken of je dit dus rechtstreeks beschikbaar wil hebben aan het internet gezien mijn vorige punt.

Als de lat te hoog ligt kun je er nog altijd onderdoor lopen.

zondag 9 september 2018 23:45

Acties:

Beste antwoord ✓
+1 Henk 'm!

Room42

@MarchelV Deze is wellicht relevant: A Guide To Safe Remote Access of OctoPrint

Dit is geschreven door de ontwikkelaar* van Octoprint zelf:

Putting OctoPrint onto the public internet is a terrible idea, and I really can’t emphasize that enough. Let’s think about this for a moment, or two, or even three. OctoPrint is connected to a printer, complete with motors and heaters. If some hacker somewhere wanted to do some damage, they could. Most printers can have their firmware flashed over USB. So as soon as the box hosting OctoPrint is comprimised, there go any failsafes built into the firmware. All one would have to do, is flash a new, malicious firmware with no safeguards, over USB, and then tell the printer to keep heating, leading to catastrophic failure. Of course there are other reasons to not have an OctoPrint instance available on the public internet, such as sensitive data theft, but catastrophic failure is by far the worst case scenario here.

*leuke, gedreven vrouw, trouwens! Kijk ook haar OctoPrint On Air-video's!

[ Voor 86% gewijzigd door Room42 op 09-09-2018 23:53 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

dinsdag 11 september 2018 19:37

Acties:

0 Henk 'm!

MarchelV

Topicstarter

Dankjewel!

Onderwerpen

Vraag

Beste antwoord (via MarchelV op 11-09-2018 19:37)

Alle reacties