Error: Proxy: Unterschied zwischen den Versionen

Aus Freifunk Dresden - Anwender-Wiki
Zur Navigation springen Zur Suche springen
Hintergründe: vereinfachung
 
(10 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
= Proxy Zugang zum Admin-Bereich ist gesperrt =
= Proxy Zugang zum Admin-Bereich ist über Proxy gesperrt =


== Erklärung Allgemein ==
== Erklärung Allgemein ==


Der Zugriff auf den Admin-Bereich (Verwaltung) auf einen Freifunk-Router über den Freifunk-Proxy ist aus Sicherheitsgründen gesperrt.
Der Zugriff auf den Admin-Bereich (Verwaltung) auf einen Freifunk-Router über den Freifunk-Proxy ist aus Sicherheitsgründen gesperrt.<br>
Das betrifft folgende beiden Proxy URLs:
Das betrifft folgende beiden Proxy URLs:<br>
- https://<ip>.freifunk-dresden.de/admin/... (auch HTTP)
* https://<ip>.freifunk-dresden.de/admin/... (auch HTTP)
- https://<node>.freifunk-dresden.de/admin/... (auch HTTP)
* https://<node>.freifunk-dresden.de/admin/... (auch HTTP)


  Grund: Login Passwörter zur Router-Webseite würden unverschlüsselt durch das Freifunk-Netz übertragen
  Grund: Login Passwörter zur Router-Webseite würden unverschlüsselt durch das Freifunk-Netz übertragen


== Wie: Zugriff auf Router möglich? ==
== Wie ist Zugriff auf Router möglich? ==


Um auf die Verwaltungseiten des Freifunk-Routers zu kommen, gibt es folgende Möglichkeiten, die bei bei der Einrichtung des Freifunk-Routers genutzt wurden.
Um auf die Verwaltungseiten des Freifunk-Routers zu kommen, gibt es folgende Möglichkeiten, die bei bei der Einrichtung des Freifunk-Routers genutzt wurden.
Zeile 17: Zeile 17:


* Verbinden eines Endgerätes via Heimnetz mit der IP des Routers.
* Verbinden eines Endgerätes via Heimnetz mit der IP des Routers.
** IP Adresse des Routers für die URL nutzen. Diese wurde entweder in den LAN Einstellungen gesetzt, oder beim Anschluß über den WAN-Port kann die IP über den eigenen Internetrouter (z.B. Fritzbox) ermittelt werden.


* Verbinden eines Endgerätes (Laptop,Smartphone) via WLAN direkt mit dem WLAN des Router
* Verbinden eines Endgerätes (Laptop, Smartphone) via WLAN direkt mit dem WLAN des Router
** URL: https://hotspot/
** URL: https://hotspot/
** URL: https://100.64.0.1/
** URL: https://100.64.0.1/
** URL: https://<node>.ffdd/ (Beispiel: https://1000.ffdd/)
** URL: https://<node>.ffdd/ (Beispiel: https://1000.ffdd/) , wenn der Router Verbindung zum Freifunk Netz hat.
** URL: https://<ip>/ (Beispiel: https://10.200.1.1/)
** URL: https://<knoten-ip>/ (Beispiel: https://10.200.x.y/)


* Verbinden eines Endgerätes (Laptop,Smartphone) via beliebingen Freifunk-Router via WLAN oder LAN
Weitere Infos: https://wiki.freifunk-dresden.de/index.php/Login
** URL: https://<node>.ffdd/ (Beispiel: https://1000.ffdd/)
** URL: https://<ip>/ (Beispiel: https://10.200.1.1/)


== Hintergründe ==
== Hintergrund ==
Der Proxy muss dazu die https Verbindung öffnen können, um bei https an die Router-IP zu kommen und die Anfrage durch das Freifunk-Netz
zum Router zu leiten, was er auch macht. Er kann aber nicht das https Router-Zertifikat prüfen, da jeder Router nur ein privates https Zertifikat
haben kann. Es ist also nicht prüfbar für den Proxy, ob die Anfrage nicht im Freifunk-Netz abgefangen wurde.


Beim Zugriff via '''https://<ip>.freifunk-dresden.de/''' muß der Proxy-Server von Freifunk die https Verbindung öffnen können, um an die Router URL zu kommen und die Anfrage an den Freifunk Router weiter zu leiten.</br>
Die Verbindung über das Internet bis zu dem Freifunk Proxy Server ist gesichert und wird vom Browser
als gültig zugesichert.


Ein Proxy nimmt die URL zu einem Router entgegen und nutzt die angegebene Router-IP (oder Knotennummer), um eine Interne Proxy-Anfrage
Allerdings wäre die Verbindung vom Freifunk Proxy Server zum gewünschten Freifunk Router  
direkt an den Router durch das Freifunk-Netz zu machen. Dabei verhält er sich wie ein Endgerät, welches direkt via WLAN mit einem Freifunk-Hotspot
unverschlüsselt. Da die Freifunk Router (wie auch andere private Router, z.B. Fritzbox)  
verbunden ist.
die https Zertifikate selber erzeugen, kann die Echtheit der Verbindung nicht geprüft werden.<br>
Ein böswilliger Freifunk Knoten unterwegs, könnte somit das Passwort beim Login ermitteln.


Aus der Anfrage _http://10.200.1.1.freifunk-dresden.de_ wird _http://10.200.1.1_, also das was im Browser in die URL Zeile eingegeben wird.
Das Sperren des Admin-Bereiches, verhindert diese Gefahr
Eine solche Anfrage kann dabei über mehrere Freifunk-Router, die durch andere unbekannte Freifunker betrieben werden. </br>

Aktuelle Version vom 11. Juli 2026, 23:02 Uhr

Proxy Zugang zum Admin-Bereich ist über Proxy gesperrt

Erklärung Allgemein

Der Zugriff auf den Admin-Bereich (Verwaltung) auf einen Freifunk-Router über den Freifunk-Proxy ist aus Sicherheitsgründen gesperrt.
Das betrifft folgende beiden Proxy URLs:

  • https://<ip>.freifunk-dresden.de/admin/... (auch HTTP)
  • https://<node>.freifunk-dresden.de/admin/... (auch HTTP)
Grund: Login Passwörter zur Router-Webseite würden unverschlüsselt durch das Freifunk-Netz übertragen

Wie ist Zugriff auf Router möglich?

Um auf die Verwaltungseiten des Freifunk-Routers zu kommen, gibt es folgende Möglichkeiten, die bei bei der Einrichtung des Freifunk-Routers genutzt wurden.

  • Verbinden eines Endgerätes via Heimnetz mit der IP des Routers.
    • IP Adresse des Routers für die URL nutzen. Diese wurde entweder in den LAN Einstellungen gesetzt, oder beim Anschluß über den WAN-Port kann die IP über den eigenen Internetrouter (z.B. Fritzbox) ermittelt werden.

Weitere Infos: https://wiki.freifunk-dresden.de/index.php/Login

Hintergrund

Beim Zugriff via https://<ip>.freifunk-dresden.de/ muß der Proxy-Server von Freifunk die https Verbindung öffnen können, um an die Router URL zu kommen und die Anfrage an den Freifunk Router weiter zu leiten.
Die Verbindung über das Internet bis zu dem Freifunk Proxy Server ist gesichert und wird vom Browser als gültig zugesichert.

Allerdings wäre die Verbindung vom Freifunk Proxy Server zum gewünschten Freifunk Router unverschlüsselt. Da die Freifunk Router (wie auch andere private Router, z.B. Fritzbox) die https Zertifikate selber erzeugen, kann die Echtheit der Verbindung nicht geprüft werden.
Ein böswilliger Freifunk Knoten unterwegs, könnte somit das Passwort beim Login ermitteln.

Das Sperren des Admin-Bereiches, verhindert diese Gefahr