ip -> HA achter apache proxy achter openvpn portshare

zaterdag 18 november 2023 17:47

Acties:

0 Henk 'm!

Topicstarter

Ik heb sinds kort HomeAssistant draaien op 192.168.0.20
Ik heb apache met proxy draaien op 192.168.0.2
Ik heb openvpn draaien op 192.168.0.10 met port-share 433 -> 192.168.0.2

HA is netjes bereikbaar op ha.mijneigendomein.ext
het probleem is alleen dat ik dus bij al het verkeer dat via extern komt als ip zie 192.168.0.10
En dat is dus super onhandig want dan gaat HA dus op basis van dat ip blokken en kan ik er niet meer aan van buiten.

ik heb dit allemaal in de apache options staan

code:

ProxyPreserveHost On
  ProxyRequests off
  ProxyPass /api/websocket ws://192.168.0.20:8123/api/websocket
  ProxyPassReverse /api/websocket ws://192.168.0.20:8123/api/websocket
  ProxyPass / http://192.168.0.20:8123/
  ProxyPassReverse / http://192.168.0.20:8123/

  RewriteEngine on
  RewriteCond %{HTTP:Upgrade} =websocket [NC]
  RewriteRule /(.*)  ws://192.168.0.20:8123/$1 [P,L]
  RewriteCond %{HTTP:Upgrade} !=websocket [NC]
  RewriteRule /(.*)  http://192.168.0.20:8123/$1 [P,L]
 

  RemoteIPHeader X-Forwarded-For
  RemoteIPTrustedProxy 192.168.0.20
  RemoteIPTrustedProxy 192.168.0.10

de onderste 3 regels zouden er eigenlijk voor moeten zorgen dat ik het juiste externe ip doorkrijg maar dat werkt dus blijkbaar niet.
Iemand een idee hoe ik dit werkend kan krijgen en dus bij HA weet wat het externe ip is?

zaterdag 18 november 2023 17:56

Acties:

+2 Henk 'm!

CH4OS

It's a kind of magic

De X-Forwarded-For header moet wel gezet zijn en uiteindelijk moet je dus HA vertellen de X-Forwarder-For header te checken en daaruit dus de IP-adressen ophalen.

Check ook https://developer.mozilla...P/Headers/X-Forwarded-For wat een goede uitleg geeft over de X-Forwarded-For header. Maar als het alleen voor intern beschikbaar moet zijn en je een interne DNS hebt (zoals een pi-hole bijvoorbeeld) dan zorg je toch dat het intern afgevangen wordt? HA van buitenaf openzetten is doorgaans geen goed idee.

Als je de X-Forwarded-For header gaat gebruiken, moet je ook HA vertellen om daarmee te werken:

code:

http:
   use_x_forwarded_for: true
   trusted_proxies:
     - 192.168.1.1
     - 192.168.1.0/24

Zie ook deze post binnen de HA community.

[ Voor 25% gewijzigd door CH4OS op 18-11-2023 18:06 ]

zaterdag 18 november 2023 20:25

Acties:

0 Henk 'm!

commentator

Topicstarter

Dank voor je reactie. Het gaat om van buiten af bereikbaar te zijn.

In HA staat dit

code:

http:
  ip_ban_enabled: True
  login_attempts_threshold: 3
  use_x_forwarded_for: true
  trusted_proxies:
    - 192.168.0.2
    - 192.168.0.10

vrijdag 24 november 2023 18:35

Acties:

0 Henk 'm!

commentator

Topicstarter

iemand nog een idee wat er aan te doen is?

woensdag 6 december 2023 23:11

Acties:

0 Henk 'm!

commentator

Topicstarter

inmiddels getest dat het wel werkt als ik openvpn er tussen uit haal.
Maar ja dat is natuurlijk niet wenselijk. Iemand nog een idee om dit wel werkend te krijgen?

woensdag 6 december 2023 23:19

Acties:

0 Henk 'm!

laurens0619

Die snap ik niet
Je wil toch van buitenaf benaderbaar maken?
Wat is de rol van openvpn?

Als je via openvpn komt dan wordt je verkeer waarsch ge src nat

Edit:
Of lees ik hem zo goed:
- ha is bereikbaar via port mapping of openvpn
- als openvpn server aan staat, dan krijft je verkeer wat via port mapping komt opeens het openvpn afzender ip
Zoiets?

[ Voor 39% gewijzigd door laurens0619 op 06-12-2023 23:23 ]

CISSP! Drop your encryption keys!

woensdag 6 december 2023 23:24

Acties:

0 Henk 'm!

commentator

Topicstarter

ik wil het zeker van buitenaf bereikbaar maken.

Maar ik wil ook vpn op poort 443 hebben draaien en eigenlijk liefst niet eerst op mijn mobiel via vpn een verbinding op zetten om dan vervolgens aan HA te kunnen. Daarom is het zo mooi dat het wel werkt om naar ha.mijneigendomein.ext te gaan. Ik krijg dan dus gewoon alles wat ik moet en HA is bereikbaar.
Het enige dat ik niet goed krijg, en dat is met de nieuwe update van HA van vandaag nog vervelender geworden, is dat ik in HA niet het juiste ip van de bezoeker doorkrijg maar steeds het ip van openvpn

woensdag 6 december 2023 23:30

Acties:

+1 Henk 'm!

laurens0619

Ah nu snap ik hem.
Waar komt get verkeer eerst binnen? Apache? Je zou verwachten dat dje het openvpn verkeer zou droppen want dat snakt die niet. Of direct nawr openvpn en daarna apache?

Openvpn stuurt vervolgens het non vpn verkeer door naar HA,dankzij je port-share, en daarom Zie je dat ip als afzender. Openvpn gaat niet die x-forwarded-for invullen, dat is een http header en dat kent openvpn niet. Hij weet alleen dat het niet openvpn is en stuurt het raw door

oplossing is niet al je verkeer door openvpn icm
port-share gebruiken maar het verkeer te splitten voor het bij openvpn is. Apache kan dit niet, moet je met haproxy of sslh aan de slag.

https://blog.jarrousse.or...-nginx-to-share-port-443/

Bv hiermee:
https://www.rutschle.net/tech/sslh/README.html

Afbeeldingslocatie: https://blog.tschoerner.eu/wp-content/uploads/2014/10/sslh_sym.jpg

Afbeeldingslocatie: https://blog.tschoerner.eu/wp-content/uploads/2014/10/sslh_sym.jpg

[ Voor 131% gewijzigd door laurens0619 op 07-12-2023 07:17 ]

CISSP! Drop your encryption keys!

donderdag 7 december 2023 17:22

Acties:

0 Henk 'm!

MasterL

Moderator Internet & Netwerken

Ik vraag me af of het de moeite is om OpenVPN (perse) op 443 te houden, de web interface (access server) kan je alsnog bereikbaar krijgen via Apache proxy. De client connectie kan je eventueel op een andere poort draaien (TCP) maar de vraag is uberhaupt of je dat moet willen, mijn ervaring hiermee is dat UDP eigenlijk altijd wel werkt.

Vraag

Alle reacties