Fritzbox Port freigabe und PI

[hunter006]

Moin zusammen,

ich habe folgendes Problem. Ich habe 2 x PI 4 laufen und habe dort eine Anwendung drauf die mit port 80 eine Oberflächer zur Verfügung stellt, damit ich mit einer API dort etwas abrufen kann. In der Fritzbox ist Port 80 auch freigegeben. Funktioniert. Aber sobald ich den 2. PI 4 anschließe und auf die Oberfläche zugreifen möchte, ja genau ich komme weiterhin nur auf die 1. Oberfläche. Laut Betreiber kann ich einen anderen Port nutzten z.b. 81. Wenn ich diesen öffne, wird mir dieser aber nicht als geöffnet angezeigt wenn ich diesen online teste. Werden Port ggf, nur als geöffnet angezeigt wnen diese auch aktiv genutzt werden? Ich habe den leisen verdacht das die Anwendung nur Port 80 kann. Wenn dies der Fall ist, hat jemand eine Idee wie ich auf beide Anwendungen von draußen zugreifen könnte? Danke und viele Grüße

 

[madmax2010]

du kannst den traffic des 2. raspi durch den 1. schicken und auf dem 1. Apache / nginx als reverse proxy betreiben.
dann sind die dienste unter vhost.host / subdomain.domain.tld erreichbar

Ich habe den leisen verdacht das die Anwendung nur Port 80 kann.

dann bitte in den müll. Anwendungen ohne SSL Support sind ein relikt der 90er.

Und bitte mach das nicht öffentlich erreichbar. Sonst wird dein Heimnetz potentiell öffetnliches eigentum

 

[Stock86]

Du müsstest dann auf dem zweiten Raspberry in der Anwendung einstellen, dass er, bzw. die Anwendung auf Port 81 lauschen soll. Und dann auf der FritzBox ebenfalls Port 81 weiterleiten.

Bzw. du kannst den Port 81 auch einfach intern auf 80 umleiten.

 

[NeoExacun]

Du musst den Port nicht nur öffnen, sonder Forwarden. Da kannst du festlegen, dass Traffic, der auf Port 81 reinkommt auf Port 80 deines zweiten Pi weitergeleitet wird.

 

[kartoffelpü]

für den 2. einfach so:

Hast du dir über das Thema Sicherheit Gedanken gemacht?

 

[Korben2206]

Du kannst, wie oben schon geschrieben, die Ports beider Anwendungen (PIs) auf 80 lassen und konfigurierst die FB Freigaben wie folgt:
PI 1: Externer Port: 80 / Port an Gerät: 80
PI 2: Externer Port: 81 / Port an Gerät: 80

Allerdings, wie auch schon erwähnt: HTTP ist unverschlüsselt. Würde ich nicht empfehlen (auch wenn die Anwendungen für dich vielleicht "unwichtig" erscheinen.

Vorschlag: Lieber ein VPN auf der FB einrichten, damit kannst du dich sicher in dein Heimnetzwerk einwählen und dann so auf die Anwendungen deiner PIs zugreifen.

 

[hunter006]

Danke für eure Antworten.

Heißt Port 80 immer "Gefahr" oder kann ich auch von http auf https umstellen die Anwendung?

 

[madmax2010]

Die Anwendung ohne vpn zu exposen bedeutet immer Gefahr.

 

[kamanu]

Du kannst im Zweifel auch einen internen Reverse Proxy davor schalten der das dann zumindest nach außen hin mit https absichert. Aber die unbekannte Anwendung kann auch noch andere Probleme/Lücken haben. Mit einem VPN (Wireguard aufm Pi ist einfach) wäre es wahrscheinlich sicherer. Aber die Frage ist, was ist das für eine Anwendung und wieso braucht sie das überhaupt.

 

[hunter006]

Es ist ein Proxy Service den ich nutze will. Und ich muss die Freigabe von Port 80 gewähren, damit ich auf die Oberfläche der von außen zugreifen kann. Nur so kann ich den API Token nutzen. Ohne diese Freigabe habe ich keinen Zugriff darauf. Gibt es hier eine Möglichkeit der zusätzlichen Absicherung, so dass ich den API Token nutzen kann, auch wenn ich den Port 80 Freigeben muss?

Ergänzung (18. Oktober 2022)

Ich habe hier eine separate Fritzbox, die losgelöst von meinem Heimnetzt ist. Damit es hier keinen Zugriff auf andere Geräte gibt (weil ich mir sowas fast schon gedacht habe). Somit besteht nur zugriff in diesem "netzt" oder sehe ich da etwas falsch?

 

[Der Lord]

Somit besteht nur zugriff in diesem "netzt" oder sehe ich da etwas falsch?

solange du uns deine Netzstruktur inkl. Subnetze und Routings nicht konkret beschreibst, wird dir das hier keiner verlässlich beantworten können.

-

trotzdem würde ich den Weg über VPN gehen, vor allem bei einer Anwendung die von Hause aus nicht auf TLS Verschlüsselung setzt. Safety first!

ggf. unterstützt die unbekannte Anwendung das ja doch - dann einfach aktivieren. Ansonsten einen Proxy zur TLS Terminierung davorschalten.

 

[hunter006]

Danke für deine Rückmeldung. ja ich bin da nicht so gut drin und versuche mich vertraut zu machen mit dem ganzen Thema.

Also die Software ist diese die ich nutze. proxidize.com war für mich am einfachsten - ohne viel Kenntnis. Wenn jemand einen Tipp hat wie ich das zusätzlich absichern kann, aber port 80 und die API Calls dennoch gehen. Gerne

Bzgl. Struktur. Ich habe einfach nur eine Fritzbox die ich vor die PI`s gesetzt habe für die Internetverbindung. Damit die in einem ganz eigenen Netzt sind. Hier einmal die Verständnisfrage. Wenn ich an die Fritzbox z.b. ein TP Link Router anschließe und dort Ports usw. freigebe, bezieht sich das dann auf alles hinter dem TP Link Router? Und alles was davor an der Fritzbox dran ist, ist von der Freigabe nicht "betroffen"?
Schon mal vielen Dank für die ganzen Antworten.

 

[kartoffelpü]

Auf https://proxidize.com/getting-started/ steht was, dass man Port 1001 und 2000-3000 freigeben soll, aber nix von 80

 

[hunter006]

Ja das sind die einzelnen Port für den Proxi dann

https://proxidize.com/docs/getting-started/port-forwarding/

Da gehts bei 80 um das interface