[RESOLU]Accès local et externe

Routage de ports, récupération de météo, accès depuis votre smartphone bref tout ce qui permet à Domoticz d'être conecté à Internet se passe ici.
Répondre
valdoison
Messages : 149
Enregistré le : 17 oct. 2014, 14:59

[RESOLU]Accès local et externe

Message par valdoison » 10 févr. 2019, 10:04

Bonjour,
Je trouve, en tout cas sur mes PC, que l’accès en https est plus lent qu'en http.
Comment se connecter en http avec le réseau local et en https de l’extérieur, et alors d'interdire l’accès http de l'extérieur?

Autre question: L'application domoticz sur android est sécurisée? je ne trouve rien à ce sujet.

Cordialement
Modifié en dernier par valdoison le 23 févr. 2019, 08:25, modifié 1 fois.
Domoticz sur serveur UBUNTU 18.04 - Controleur Zwave+ - 7 detecteurs FGMS 001 - 1 télécommande NODON - 1 sirene SE812 - 3 modules AN157 - 1 detecteur ST814 - 1 vanne danfoss LC13 - 1 detecteur de fumée SF812

Disable adblock

This site is supported by ads and donations.
If you see this text you are blocking our ads.
Please consider a Donation to support the site.


higgins91
Messages : 372
Enregistré le : 17 nov. 2016, 11:06

Re: Accès local et externe

Message par higgins91 » 10 févr. 2019, 17:12

je ne rencontre pas de lenteur en HTTPS, que cela soit en local ou distant d’ailleurs.

Pour empêcher le HTTP depuis l'exterieur, il faut je tu paramètres uniquement le HTTPS dans ton routeur (je suppose que tu passes par une box).
Dans les règles du routeur, tu ne créé que celle du port HTTPS.

Concernant l'application, je ne l'utilise pas. J'estime qu'un raccourcit du navigateur qui ouvre directement le dashboad est plus simple que de devoir installer une appli, y rentrer ses identifiant/MdP sans savoir comment sont sécurisées ces données plus que sensible...

lost
Messages : 387
Enregistré le : 12 nov. 2016, 11:01

Re: Accès local et externe

Message par lost » 11 févr. 2019, 09:24

valdoison a écrit :
10 févr. 2019, 10:04
Je trouve, en tout cas sur mes PC, que l’accès en https est plus lent qu'en http.
Comment se connecter en http avec le réseau local et en https de l’extérieur, et alors d'interdire l’accès http de l'extérieur?

Autre question: L'application domoticz sur android est sécurisée? je ne trouve rien à ce sujet.
Hello,

Selon la plateforme qui héberge domoticz, le chiffrement SSL peut se sentir. Sur un PI3, je ne trouve néanmoins pas cela flagrant. J'ai pour ma part obtenu de plus gros progrès en réactivité en montant quelques systèmes de fichiers en RAM (via des montages tmpfs), tel celui qui supporte les logs de Domoticz (si activés dans son script de démarrage), puis en augmentant l'horloge de l'interface SD (avec uns SD correcte, on peut modifier un pararamètre de boot pour passer sa fréquence de 50 à 100MHz, je me suis limité pour ma part à 83MHz pour éviter des pb de fiabilité).

Pour http/https, je dirais qu'il y a 3 niveaux de réglage:
-Domoticz, pour définir en premier lieu un mot de passe... et aussi, au besoin, autoriser le http sans mot de passe pour son seul réseau local (à definir).
-Optionnel, mais conseillé (ceinture et bretelle, en complément du travail sur la box ci-après): Utiliser le firewall de la machine qui héberge Domoticz pour ouvrir le https (port 443) pour tout le monde et le http (8080, non standard, pour domoticz) juste pour son réseau local. Là, sous Linux (cas général avec Domoticz même si ca existe pour windoze, mais là, n'étant plus du tout utilisateur depuis des années je ne peut dire comment ça se règle),il y a le choix entre créer des règles avec iptables installé de base... ou installer ufw (Uncomplicated FireWall) qui simplifie bien les choses pour un usage basique/domestique (y compris faire en sort que ce soi ré appliqué au boot).
-Au niveau de sa box, créer une règle de redirection pour le https externe (port 443) vers le même, pour l'IP (qui devra être fixe: Config fixe sur le PI ou bail DHCP fixe à faire côté box) Domoticz. Ne surtout pas créer de règle pour le 8080.

Pour l'appli, comme dit par ailleurs on s'en passe. La version mobile du site en https fonctionne bien. D'ailleurs, avec des sites mobiles bien conçus (qui fonctionneraient en prime sur toute plateforme sans devoir faire un truc pour iOS, un autre pour Android...), on n'aurait normalement presque jamais besoin d'applis sur mobile: S'il y en a tant, c'est juste une question de business model car par ce biais on peut aspirer (et monétiser) toutes les données auxquelles l'utilisateur donne droit pour que l'installation se fasse.

Pour ufw comme firewall, passer root:
sudo -s

Puis (installer/definir politique bloquante par défaut/définir exceptions à la politique par defaul/activer le firewall):
apt-get install ufw
ufw default deny
ufw allow https
ufw allow from 192.168.1.0/8 to any port 8080 <--- Modifier au besoin la plage de son LAN !!!
ufw enable

Et sortir de son terminal root avant de faire une connerie:
exit

Si besoin de plus de règles: "man ufw" pour le manuel intégré ou recherche...

valdoison
Messages : 149
Enregistré le : 17 oct. 2014, 14:59

Re: Accès local et externe

Message par valdoison » 23 févr. 2019, 08:25

Bonjour
En suivant tes conseils, voici ce que j'ai fais:
Bien sûr Login et MPD dans Domoticz
Modifié les ports dans domoticz.sh
Ouvert uniquement le port https dans ma box
Le certificat n'étant autosigné et donc non reconnu par Firefox, j'ai créé une exception permanente
Une protection supplémentaire avec jail2ban

Note: j'utilise dans mes scripts en php ou bash, des requettes HTTP et donc l'API de domoticz. Le problème est que les certificats n'étant pas reconnus, on ne peut qu'utiliser l'http dans ces requettes.

Cordialement
Domoticz sur serveur UBUNTU 18.04 - Controleur Zwave+ - 7 detecteurs FGMS 001 - 1 télécommande NODON - 1 sirene SE812 - 3 modules AN157 - 1 detecteur ST814 - 1 vanne danfoss LC13 - 1 detecteur de fumée SF812

Disable adblock

This site is supported by ads and donations.
If you see this text you are blocking our ads.
Please consider a Donation to support the site.


Répondre