HA a přístup zvenčí

puhy · 2024-01-10T09:04:27+00:00

Ahoj, hraju si tady s HA. Mám to v Dockeru na Synology. Funguje. Na routeru předtím mám veřejnou IP, vytvořil jsem si tedy nějakou subdoménu a přidal tam A...

jcltm

puhy S tím ti fakt neporadím, Docker nepoužívám. Synology mám všude jen jako datová úložiště, max někde sem tam s jednou VM. Věci jako HA řeším ve VM na Proxmoxu. Zkusil bych být tebou radši to ofiko řešení od Synology.

zdeneksvarc

puhy Traefik je zbytečně komplexní. Hodí se víc pro cloud native / Kubernetes věci. Tady je ideální Caddy. Certifikáty přes Letsencrypt nebo privátní autoritu přes Step CA. Step CA je mimochodem naprosto vynikající 👌 Tunel přes rathole. Všechno samozřejmě v kontejnerech. Kafe a nohy na stůl ☕️

lkcz

Google input: "synology reverse proxy lets encrypt"

Google output: https://www.wundertech.net/synology-reverse-proxy-setup-config/

Postup je pruzracny jak studanka z pohadky, nemel byste se zaseknout nikde ;-) samozrejme je potreba par zmen smerem k HA (srcprt 8123)

Ale radeji sve usili povenujte k nauceni rodiny napriklad k pouzivani Wireguardu. Kdyz jim importujete nastaveni, je to potom zalezitost dvou kliknuti nebo-li "slepici zobani" a vyhnete se tomu, ze Vam nekdo skrz zero-day exploit ohuli treba kotel na plno :-)

HTTPS != bezpeci

zdeneksvarc

lkcz HTTPS != bezpeci

V případě Home Assistantu by platilo "HTTPS = uspokojivé bezpečí", pokud by mobilní aplikace podporovala HTTP Basic Authentication nebo jiný HTTP header. Zkrátka dvě úrovně autentizace. První na úrovní HTTP protokolu (nesplněno), druhá na úrovní Home Assistantu (splněno). Místo první autentizace se dá použít náhrada v podobě port knocking, ale není to úplně ono.

puhy

Díky, to vypadá dobře. Chápu, že https != bezpečí, ale http se mi tam nelíbi.

Ad wireguard: Díky, v tomhle jsem lama. Wireguard pustit na Mikrotiku a pak nějak na telefonech, nebo co to znamená?

lkcz

puhy nene, to je v poradku ze chcete HTTPS - v tom Vam nerozporuji nic. Ja jen, ze samotne HTTPS v podani pristupu z venci nepomuze.

Pripadne pokud jak pisete bezi HA v kontejneru, muzete za pomoci configuration.yaml vnutit vlastni certifikaty primo do HA a nechat ho bezet na puvodnim portu 8123 bez vyuziti reverzni proxy. Jenom jejich obmena kazdy 3 mesice bude trosku vos*r (resp. muzete resit nejakou planovanou ulohou a skriptem v Synology - ale, nechci Vam ted zamotat hlavu:-))

Ad WG: de facto ano. Na Mikrotiku si spustite server (korektneji peera) a ostatni se k nemu pripojuji. Na internetu je k dostani hromada navodu, nastaveni neni slozite a budete mit jistotu, ze Vas HA bezi vzdy za jakousi zdi, kam z venku neni videt:-)

Z pohledu uzivatele je to "kliknuti na ikonku a pak jeste jednou", nic vic se neocekava.

Edit: ja vyuzivam napriklad sve certifikaty a vnutil jsem je pomoci configuration.yaml, modul http. Ale to je protoze jsem paranoidni, a vic Vam nepovim - kdo vi, jestli po me zrovna nejdete :-))

jcltm

puhy Wireguard je moderní VPN, která je stateless. Ale chová se to a funguje z uživatelského pohledu jako OpenVPN. Na mobily (aspoň na Android) je aplikace, v Mikrotiku si nastavíš druhý konec.
Nejjednodušší pro tebe bude ta reverní proxy vestavěná v Synology.

Martinez23

Ja velmi odporucam Traefik. Najma ak uz tam mas Docker.

Skus tento tutorial - v kapitole 7 je instalacia Traefiku https://github.com/Matho/server-setup-tutorial?tab=readme-ov-file#7-traefik-installation a v kapitole 13 je vzorovy recept na rails projekt https://github.com/Matho/server-setup-tutorial?tab=readme-ov-file#13-ruby-on-rails-projects---reimport Namiesto neho pouzijes docker stack recept pre HA, nastavis deploy labels pre tvoj traefik a namiesto defaultneho portu 80 nastavis 8123, nieco ako: traefik.http.services.mathosk-secure.loadbalancer.server.port=8123

Ak uz riesis Docker kontajnery, mozno sa ti zide nainstalovat aj Portainer, to je tiez v tom tutoriali vysvetlene.

puhy

Martinez23 Díky. Takže v tom synology klikatku volumes mam vytvorit nejake adresare mimo kontejner a do ty cesty potom zadat toto?

/data/registry2/data:/data
- /data/registry2/auth:/auth

Nebo jak to ma spravne byt tady? https://photos.google.com/share/AF1QipM468VvZQZYz2eUUcRUqi3lA7g04iVPIhiaulgKX5hi1jfjE3snzMgAV_04QY4rOQ?key=RlI2WTE2V0d1M0xma3EtdF9Gc1BRODRpMjlPNGd3

Martinez23

puhy
Tento zapis:
/data/registry2/data:/data
/data/registry2/auth:/auth

znamena, ze /data/registry2/data je "vonkajsi" folder mimo kontajner a cokolvek do neho zapises sa objavi v Docker kontajneri na ceste /data

So Synology nemam ziadnu skusenost. Ale ak tam vyklikas nejaku "vonkajsiu" cestu, tak ju potom spravne musis zapisat do toho docker stack receptu. Skus ls -la na tu cestu co vyklikas v Synology GUI, mala by existovat v filesysteme.

Rozmyslam ale, ci potrebujes rozbehavat registry, mas nejako modifikovany HA image?

iTomB

zdeneksvarc A druha moznost omezeni na konkterniho mobilniho operatora, plus zname pouzivane WiFi.

jcltm

iTomB Ono stačí access listy odstřihnout zahraničí a jsi celkem v klidu.

iTomB

jcltm Ono je prave jednodussi, mobilni operator co pouzivas, pripadne wifi kde bezne byvas a v ostatnich pripadech port knocking 😉

zdeneksvarc

jcltm Dejme tomu, ale za mě je takové to "security through obscurity" 🤷🏻‍♂️

jcltm

zdeneksvarc Tak z Česka bordel na každý otevřený port fakt neleze, na to jsou "experti" naštěstí jinde.

zdeneksvarc

jcltm Když botnetům je celkem fuk, ve které zemi mají své zombíky 💁🏻‍♂️

iTomB

zdeneksvarc Tak jeste pridat tohle prispevek 28 😉 😃 nejak se mi nedari dat primo odkaz na konkretni prispevek 😉
Jak jsem zjistil, tak tohle par let pozdeji je aj na wiki mikrotiku 😃

jcltm

zdeneksvarc To je pravda, ale ta pravděpodobnost je fur výrazně menší. Nikdy nemůžeš mít nic stopro zabezpečené, vždycky jen snižuješ riziko.

zdeneksvarc

iTomB Nějakej čas zpátky jsem vyhodnotil, že port knocking je lepší volba. Moje zápisky:

Příklad pro WinBox

Konfigurace RouterOS pro TCP porty v pořadí 4524 > 2412 a timeout 20 sekund
Pro nastavení UDP místo TCP, stačí změnit protocol=udp

/ip firewall filter add chain=input protocol=tcp dst-port=4524 action=add-src-to-address-list address-list=knock1 address-list-timeout=20s comment="Knock step 1 of 2"
/ip firewall filter add chain=input protocol=tcp dst-port=2412 src-address-list=knock1 action=add-src-to-address-list address-list=knock2 address-list-timeout=20s comment="Knock step 2 of 2"

/ip firewall filter add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=knock2 action=accept comment="Allow Winbox access for successful knock"
/ip firewall filter add chain=input protocol=tcp dst-port=8291 connection-state=new action=drop comment="Block Winbox new connections by default"

Knock klienti namátkou

Přes nc: nc -z -w1 192.168.1.1 4524; nc -z -w1 192.168.1.1 2412
Knock client, https://github.com/jvinet/knock (brew install knockd na Macu)
PortKnock (iOS), https://apps.apple.com/cz/app/portknock/id358353536

iTomB

zdeneksvarc Jj taky pouzivam. Pokud jedes TCP portknock, tak ti staci prohlizec, telnet, ... 😃 Pokud UDP, to uz je horsi 😉

zdeneksvarc

iTomB

nc -z -w1 -u <TARGET_IP> <TARGET_PORT>; nc -z -w1 -u <TARGET_IP> <TARGET_PORT>
knock <TARGET_IP> <TARGET_PORT>:udp <TARGET_PORT>:udp

👍

« Předchozí stránka