Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: web "tunel" pres https [vyřešeno]  (Přečteno 14208 krát)

afk_cz

  • Aktivní člen
  • *
  • Příspěvků: 283
web "tunel" pres https [vyřešeno]
« kdy: 05 Října 2007, 16:53:58 »
ahoj, mam celkem specificky dotaz: vcera jsem si na jednom svem stroji doma zprovoznil ubuntu server a nastavil si apache, php a ftp (i pres port 80). vse funguje a mam domaci server viditelny z prace, ftp lze anonymne prochazet na portu 80 pres prohlizec, proste parada. a ted k tomu orisku: v praci mame content filter, zakazane vsechny porty krome standardnich apod. napriklad se nedostanu na email.seznam.cz, gmail + nelze pouzit ven z firmy jine porty nez 21, 80, 443 (a mozna nektere dalsi). zde potrebuji radu: existuje nejaka cesta, jak se pres https pripojit na domaci ubuntu server, od ktereho budu dostavat sifrovane pozadovane stranky? slysel jsem o PHP anonymizeru (jedna se pouze o skript) => zobrazi web stranku s oknem pro zadani URL, po zadani funguje jako prostrednik a sifrovane pres https posila pozadovane stranky.Problem je, ze ten anonymizer nezvladne gmail.com a email na seznamu. s beznymi weby problem neni a content filtr se tak obejde. jeste jsem koukal, ze sifruje i linky ze stranek a vidim ve status baru misto korektniho linku nesmysly - idealni ;) Ja potrebuji neco takoveho, aby komunikace probihala kompletne pres https nejakym takovym zpusobem. jeste poznamka: ssh mi z prace na vnejsi adresy nefunguje (nastaveni pravidel a proxy serveru). nemate nekdo tip, odkaz na how2 apod ?

popripade by pro mne byla zachrana, ze bych si na ubuntu serveru nainstaloval desktop a pres nejaky remote bych musel byt schopen se na nej pripojit sifrovane pres standardni port (napr. 443). nejsem si ale jist, jestli nejaky remote bezi na techto portech (VNC ma tusim 5901) a navic se mi myslenka instalace desktopu na ubuntu serveru trosku prici, ale prekousl bych to :-/
« Poslední změna: 30 Března 2008, 12:00:05 od Petr 'Merlin' Vaněček »
Ubuntu 8.04 - server, Ubuntu 8.10 a 9.04 desktop, Ubuntu 9.04 a 9.10 laptop :) vsude Ubuntu :))

afk_cz

  • Aktivní člen
  • *
  • Příspěvků: 283
Re: web "tunel" pres https
« Odpověď #1 kdy: 14 Října 2007, 23:45:04 »
tak se mi to podarilo zprovoznit ;) umistil jsem na server PHProxy a jedu pres https (port 443) z prace na stranky s PHProxy. odtud nacitam dalsi stranky, ktere jsou jinak blokovane. dokonce to funguje i na jine porty, takze napriklad webmin mi bezi doma na portu 666 a z prace se na tento port nedostanu. ale pres PHProxy se na tento port dostanu. problem byl akorat s mailovymi servery, zprovoznoval jsem si gmail a email.seznam.cz a tam jsem musel trosku kombinovat WEBproxy pres muj PHProxy. ale mam reseni a funguje.

potrebuji ted poradit s HTTPS: pokud pristupuju z venku na https://muj.server.domena.ru, tak mi to nabidne potvrdit certifikat az po nejake dobe (pokud vubec!!) / na X ty pokus a pokud ho akceptuji,  stranky uz se mi nenactou a dostanu za nejaky cas timeout. pokud ale pristoupim na tento server po lokalni siti pres lokalni hostname (napriklad https://mujserver nebo lokalni IP), tak mi to certifikat nabidne hned a po akceptovani se okamzite stranka nacte. to drive nedelalo. nevim, co s tim. snazil jsem se pregenerovat certifikaty, pohraval jsem si s nastavenim hostname, ... porad je to ale velice spatne :( nevite nekdo, cim to muze byt? povypinal jsem i firewall na routeru a porad nic.
Ubuntu 8.04 - server, Ubuntu 8.10 a 9.04 desktop, Ubuntu 9.04 a 9.10 laptop :) vsude Ubuntu :))

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re: web "tunel" pres https
« Odpověď #2 kdy: 15 Října 2007, 08:03:58 »
Skoro bych to videl na nejaky problem v konfiguraci apache, ve /var/log/apache2/error.log (pripadne nekde, kam jste si to konfiguraci nasmeroval) zadny problem nevidite?
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

afk_cz

  • Aktivní člen
  • *
  • Příspěvků: 283
Re: web "tunel" pres https
« Odpověď #3 kdy: 16 Října 2007, 13:11:15 »
tak ja nevim, dneska uplne bez problemu a ani jsem nerestartoval server.  :-\ v logu apache je akorat "missing msql.so", nic jineho za chybu v celem logu nemam, cili z jeho strany je vse asi OK. jako reseni pro mne me napada, ze bych asi .pem certifikat importoval v praci do prohlizece natvrdo a mohlo by to behat, pokud zlobi jen nabehnuti nabidky importu prozahajeni komunikace pres https (je vyssi pravdepodobnost, ze to pak pojede).
Ubuntu 8.04 - server, Ubuntu 8.10 a 9.04 desktop, Ubuntu 9.04 a 9.10 laptop :) vsude Ubuntu :))

Rincewind

  • Stálý člen
  • **
  • Příspěvků: 649
  • Na fórum jsem nezanevřel, jenom nestíhám....
Re: web "tunel" pres https
« Odpověď #4 kdy: 30 Října 2007, 09:36:16 »
Mohl bych se zeptat na detailnější postup tvorby těch certifikátů?

Tj. jak vytvořit ssl certifikát a podepsat ho (ideálně i jak ho vnutit apachi, ale to snad nějak dohromady dám :) )?

A jaké uvést do certifikátu jméno serveru, když hodlám přistupovat přímo na veřejnou IP, která se téměř nemění?

------

Postihla mě totiž podobná radost - zaměstnavatel zpřísnil bezpečnostní politiku na síti, takže přestal fungovat gmail a celá řada dalších věcí.

Doma jsem ve virtuálním stroji (debian etch ve vmware playeru na ubuntu 7.04) zprovoznil apache a PHProxy (0.5beta) a v domácích testovacích podmínkách (tj. na jiném počítači v domácí síti zadám IP 192.168.x.x/poxy) vše funguje jak má, i ten gmail.

Teď je mým plánem z routeru nasměrovat port 443 na ten virtuální stroj s debianem a pustit to do světa, k tomu ale potřebuju nejdřív zprovoznit to https s certifikáty. Vygooglil jsem několik návodů, bohužel buď byly pro CentOS, tedy obsahovaly postupy, které v debianu nejdou, nebo sice pro debian, ale počítaly s apache2-ssl-scriptem, který jsem nějak neobjevil.
« Poslední změna: 30 Října 2007, 09:40:52 od Rincewind »

afk_cz

  • Aktivní člen
  • *
  • Příspěvků: 283
Re: web "tunel" pres https
« Odpověď #5 kdy: 30 Října 2007, 20:03:26 »
https://help.ubuntu.com/community/OpenSSL -- zprovozneni SSL a vytvoreni certifikatu (sekce 6.1 a dale)   ;)
jinak ja to mam reseno tak, ze veskery provoz z venku forwadruji routerem na IP meho serveru na lokalni domaci siti, verejne jmeno i IP se mi meni zhruba po 90 dnech (nechci si platit balik mesicne za stalou u providera - pro mne zbytecne) a do certifikatu jsem daval nejprve jmeno z hosts, pak jmeno, pres ktere pristupuji domu z venku a pak jsem zkousel i nejake jine a musim rict, ze mi to fungovalo vzdy a bez problemu, takze to podle mne nema zadny valny smysl nad tim badat  ;)
Ubuntu 8.04 - server, Ubuntu 8.10 a 9.04 desktop, Ubuntu 9.04 a 9.10 laptop :) vsude Ubuntu :))

Rincewind

  • Stálý člen
  • **
  • Příspěvků: 649
  • Na fórum jsem nezanevřel, jenom nestíhám....
Re: web "tunel" pres https
« Odpověď #6 kdy: 31 Října 2007, 20:29:33 »
Dík, už to jede jak má :)

elbunda

  • Návštěvník
  • Příspěvků: 10
Re: web "tunel" pres https
« Odpověď #7 kdy: 27 Března 2008, 23:30:34 »
Já to sslko nemůžu stále rozchodit. Postupuju podle návodu a https://localhost/ mi vždycky vyhodí hlášku

Secure connection: fatal error (40)

Failed to connect to server. The reason may be that the encryption methods supported by server are not enabled in the security preferences.

Rincewind

  • Stálý člen
  • **
  • Příspěvků: 649
  • Na fórum jsem nezanevřel, jenom nestíhám....
Re: web "tunel" pres https
« Odpověď #8 kdy: 27 Března 2008, 23:50:12 »
Nevím, jestli to pomůže, ale při instalaci jsem si udělal tyto poznámky:


1)
sudo apt-get install vmware-player

nainstalovat vmware player :)

2)
pak jsem stáhnul debian etch, samozřejmě 64 bit CD netinst iso

3)
potom jsem stáhnul prázdnej image disku, nakonfiguroval vmx soubor pro vmware,

4)
nainstaloval debian do vmware playeru - samozřejmě bez grafiky, jenom jádro+apache server :)

5)
apache web server už běžel z instalace, tak jsem nakopíroval do /var/www skript PHProxy, který umí tu parádní věc, že vytvoří "virtuální webový prohlížeč běžící ve webovém prohlížeči skutečném"

6)
zbývalo to nejtěžší: zabezpečení

su
apt-get install openssl
a2enmod ssl

i nainstaloval jsem podporu šifrování ssl a zapnul ji pro webový server apache

7)
su
openssl genrsa -des3 -out server.key 1024

vygeneroval digitální klíč

8)
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 365 -in server.csr -signkey -out server.crt

podepsal si ho

9)
sudo cp server.crt /etc/ssl/certs
sudo cp server.key /etc/ssl/private

a nainstaloval.

Pak zbývalo jen zeditovat soubor /etc/apache2/sites-available/default a /etc/apache2/ports.conf a https spojení bylo na světě :)

10)
htpasswd -c /usr/local/apache/httpd-passwords UZIVATEL

pak zbývalo jen už vytvořit uživatele pro zabezpečené připojení a zeditovat soubor /etc/apache2/httpd.conf



Bohužel, už jsem ten tunel zase zrušil protože už ho nepotřebuju, takže víc neporadím...

afk_cz

  • Aktivní člen
  • *
  • Příspěvků: 283
Re: web "tunel" pres https
« Odpověď #9 kdy: 28 Března 2008, 09:09:39 »
jen drobna poznamecka / zkusenost s pouzivanim PHProxy vs mailovi klienti: pokud dam PHProxy na :443 tak napriklad email.seznam.cz je odchycen nasim content filtrem na proxy serveru ihned po prechodu z email.seznam.cz/gate do schranky. pokud pouzivam sifrovani uvnitr PHProxy a jedu ho pres :80, tak jede v pohode. pokud to chci tedy sifrovat 2x (ssl + PHProxy sifrovani), tak musim jeste nacitat pres PHProxy jinou webovou proxy a v ni teprve email na seznamu. gmail je v tomto lepsi a clovek nemusi tolik laborovat ... treba to nekomu pomuze ;)
Ubuntu 8.04 - server, Ubuntu 8.10 a 9.04 desktop, Ubuntu 9.04 a 9.10 laptop :) vsude Ubuntu :))

elbunda

  • Návštěvník
  • Příspěvků: 10
Re: web "tunel" pres https
« Odpověď #10 kdy: 29 Března 2008, 17:46:13 »
Tak už jsem ten certifikát rozchodil, ale zase je tu další problém, nyní mi nefunguje přístup přes http

zahlásí

Your browser sent a request that this server could not understand.
Reason: You're speaking plain HTTP to an SSL-enabled server port.
Instead use the HTTPS scheme to access this URL, please.
Hint: https://localhost/

elbunda

  • Návštěvník
  • Příspěvků: 10
Re: web "tunel" pres https
« Odpověď #11 kdy: 30 Března 2008, 10:40:52 »
Tak už mi to chodí, problém byl v chybném httpd.conf

 

Provoz zaštiťuje spolek OpenAlt.