Redirect permanent http to https - aber eine URL ausnehmen

Alles, was den Apache betrifft, kann hier besprochen werden.

Redirect permanent http to https - aber eine URL ausnehmen

Postby Krischu » 26. July 2020 17:57

Im Zuge der Verbesserung der Vertrauenswürdigkeit habe ich einen Server mit einem Zertifikat ausgestattet und habe folgende Einträge gemacht:


<VirtualHost *:80>
ServerName www.mydomain.tld
ServerAlias mydomain.tld
Redirect permanent / https://www.mydomain.tld/
</VirtualHost>

<VirtualHost *:443>

DocumentRoot ...
ServerName www.mydomain.tld
ServerSignature Off

SSLEngine on
SSLCertificateFile ...
rest of SSLfiles
other rules on Directories etc.
</VirtualHost>

Die Browser kommen klar mit der Umleitung (301). Nur der Router (Fritzbox, DynDNS Konfiguration) meldet einen Fehler und findet die Seite nicht bzw. macht nicht das GET.

Es wäre nicht schlimm, wenn ich diese eine URL von dem Redirect permanent ausnehmen könnte, aber wie mache ich das? Oder geht es nur über eine ReWrite Rule?

Bisher ging alles so elegant mit dem Redirect permanent.
Krischu
 
Posts: 21
Joined: 26. April 2007 13:55

Re: Redirect permanent http to https - aber eine URL ausnehm

Postby Nobbie » 26. July 2020 22:56

Welche URL?
Nobbie
 
Posts: 11776
Joined: 09. March 2008 13:04

Re: Redirect permanent http to https - aber eine URL ausnehm

Postby Krischu » 27. July 2020 08:13

Nobbie wrote:Welche URL?


http://www.mydomain.tld/subdir/some.php ... r2=1.2.3.4

Das is die URL, die der Fritzbox router bei Änderung der DynIP aussendet und die im Router einen 301 auslöst und der dann nicht geladen wird.
Krischu
 
Posts: 21
Joined: 26. April 2007 13:55

Re: Redirect permanent http to https - aber eine URL ausnehm

Postby Nobbie » 27. July 2020 10:08

Warum sollte die Fritzbox DEINE Domain aufrufen bei Änderung der dyn. IP? Normalerweise muss der Dienstanbieter für Deine DynIP aufgerufen werde (welcher?)? Bei mir ist das beispielsweise selfhost.de, aber natürlich NICHT meine Domain, die ich dort registriert habe. Hast Du die Fritzbox ggf. falsch konfiguriert?
Nobbie
 
Posts: 11776
Joined: 09. March 2008 13:04

Re: Redirect permanent http to https - aber eine URL ausnehm

Postby Krischu » 27. July 2020 10:15

Nobbie wrote:Warum sollte die Fritzbox DEINE Domain aufrufen bei Änderung der dyn. IP? Normalerweise muss der Dienstanbieter für Deine DynIP aufgerufen werde (welcher?)? Bei mir ist das beispielsweise selfhost.de, aber natürlich NICHT meine Domain, die ich dort registriert habe. Hast Du die Fritzbox ggf. falsch konfiguriert?


mydomain.tld ist nicht die Domain/IP, die ich vom DynDNS bekommen habe, sondern eine andere.

Ich bin selbst nicht der Betreiber der FB, sondern ein Bekannter. Er hat mir gesagt, er nutze ein Feature der FB, die es erlaubt, bei Änderung der DynIP der FB zusätzlich ein Skript aufzurufen. Er schreibt dann die aktuelle IP der FB via besagter URL auf den Server und kann dann via dieses Servers auf Inhalte seiner DynIP-Domain zugreifen. Der externe Server ist ein gehosteter Server im Netz.
Krischu
 
Posts: 21
Joined: 26. April 2007 13:55

Re: Redirect permanent http to https - aber eine URL ausnehm

Postby Nobbie » 27. July 2020 11:19

Ich hasse es wie die Pest, mit falschen Daten zu debuggen. Das geht IMMER in die Hose. Deswegen lehne ich solche Supportanfragen grundsätzlich ab.

Trotzdem, zum Problem an sich:

1) Dein Bekannter hat da etwas grundsätzlich falsch verstanden, ich habe auch eine aktuelle Fritzbox und weiß genau, wie das mit DynDNS funktioniert. Da sind einige Provider vorkonfiguriert, da braucht man dann einfach nur die Zugangsdaten noch anzugeben, oder es gibt die Option "Benutzerdefiniert". Und dort kann man dann eine eigene URL angeben. Genau das wird Dein Bekannter getan haben, aber es ist ein konzeptionelles Mißverständnis, dort die ZielURL der dynamische IP anzugeben. Das bedeutet grundsätzlich schon einmal ein Huhn & Ei Problem. Da muss eigentlich eine URL hin, die auf den DynDNS Anbieter verweist und die parametrisiert wird (wahrscheinlich) mit den Zugangsdaten. Also die eigene URL da anzugeben ist eigentlich völliger Käse.

2) Unabhängig davon, wenn es denn trotzdem irgendwie funktioniert (obwohl das wirklich schräg ist), dann soll er einfach noch einen weiteren VirtualHost anlegen a la "dynip.mydomain.tld" und genau diese URL in der Fritzbox aufrufen. Und dieser VirtualHost veranlasst dann alles, was für IP Wechsel veranlasst werden muss und macht insbesondere keinen Redirect.
Nobbie
 
Posts: 11776
Joined: 09. March 2008 13:04

Re: Redirect permanent http to https - aber eine URL ausnehm

Postby Krischu » 27. July 2020 11:45

Nobbie wrote:Ich hasse es wie die Pest, mit falschen Daten zu debuggen. Das geht IMMER in die Hose. Deswegen lehne ich solche Supportanfragen grundsätzlich ab.


Was war jetzt da an "falschen Daten"?

Trotzdem, zum Problem an sich:

1) Dein Bekannter hat da etwas grundsätzlich falsch verstanden, ich habe auch eine aktuelle Fritzbox und weiß genau, wie das mit DynDNS funktioniert. Da sind einige Provider vorkonfiguriert, da braucht man dann einfach nur die Zugangsdaten noch anzugeben, oder es gibt die Option "Benutzerdefiniert". Und dort kann man dann eine eigene URL angeben. Genau das wird Dein Bekannter getan haben, aber es ist ein konzeptionelles Mißverständnis, dort die ZielURL der dynamische IP anzugeben. Das bedeutet grundsätzlich schon einmal ein Huhn & Ei Problem. Da muss eigentlich eine URL hin, die auf den DynDNS Anbieter verweist und die parametrisiert wird (wahrscheinlich) mit den Zugangsdaten. Also die eigene URL da anzugeben ist eigentlich völliger Käse.

2) Unabhängig davon, wenn es denn trotzdem irgendwie funktioniert (obwohl das wirklich schräg ist), dann soll er einfach noch einen weiteren VirtualHost anlegen a la "dynip.mydomain.tld" und genau diese URL in der Fritzbox aufrufen. Und dieser VirtualHost veranlasst dann alles, was für IP Wechsel veranlasst werden muss und macht insbesondere keinen Redirect.


Danke. Das erfordert zwar ein weiteres Zertifikat, aber mit Letsencrypt auch nicht mehr die Welt.

Jetzt noch mal zur Beurteilung ob schräg oder etwas nicht verstanden:

Ich habe das jetzt auch erst bei weiterem Nachdenken herausgefunden: es geht bei dem Verfahren gar nicht um eine DynIP oder von einem Provider eine DynIP zu holen. Man macht sich nur eine Feature der FB zu Nutze, daß man bei IP-Änderung ein Skript triggern kann. Mit diesem Skript kann ich dann meinem Server im Netz sagen, was meine momentane IP ist.

Die IP bekommt man ja immer vom Provider (z.B. 1&1, Telekom usw.). Ich werde das Verfahren jetzt auch mal einführen, um meinem Server meine Heim-IP mitzuteilen. Bisher habe ich mich immer über die Hetzner Konsole eingeloggt, habe ein Skript gestartet, was über tcpdump auf ICMP ping Pakete wartete, habe von zu Hause ein Ping auf meinen Server gemacht und mit einem Skript meine
Firewall-Regel und /etc/hosts.allow editiert.
Krischu
 
Posts: 21
Joined: 26. April 2007 13:55

Re: Redirect permanent http to https - aber eine URL ausnehm

Postby Nobbie » 27. July 2020 13:15

Krischu wrote:Was war jetzt da an "falschen Daten"?


Krischu wrote:mydomain.tld ist nicht die Domain/IP, die ich vom DynDNS bekommen habe, sondern eine andere.
Nobbie
 
Posts: 11776
Joined: 09. March 2008 13:04

Re: Redirect permanent http to https - aber eine URL ausnehm

Postby Nobbie » 27. July 2020 13:22

Krischu wrote:Mit diesem Skript kann ich dann meinem Server im Netz sagen, was meine momentane IP ist.


Wozu? Wozu brauchst Du die HeimIP?? Verlinke doch einfach auf meinedomain.com (die Du beispielsweise bei selfhost.de frei bestimmen kannst), wozu muss man die IP wissen? Hast Du in Deinen Lesezeichen IPs stehen oder Domain Namen? Wozu die HeimIP?

Krischu wrote:Ich werde das Verfahren jetzt auch mal einführen, um meinem Server meine Heim-IP mitzuteilen. Bisher habe ich mich immer über die Hetzner Konsole eingeloggt, habe ein Skript gestartet, was über tcpdump auf ICMP ping Pakete wartete, habe von zu Hause ein Ping auf meinen Server gemacht und mit einem Skript meine
Firewall-Regel und /etc/hosts.allow editiert.


Was totaler Kappes ist. Wozu braucht man auf einem Server im Internet die Heim-IP? Der Heimrechner wird doch genau mit der DynDNS Domain angesprochen und man muss nur diesen Service (dyndns.org, selfhost.de, noip.org oder welcher auch immer) via Fritzbox triggern, dass er diese Domain mit der aktuellen IP der Fritzbox verknüpft. So ist es designed und so macht es auch Sinn. Da braucht kein eigener Server getriggert zu werden und man muss keine /etc/hosts o.ä. anpassen, was sowieso nichts bringt, denn wenn ich beispielsweise auf dieses "Konstrukt" zugreifen wollte, ist ja meine /etc/hosts nicht angepasst, also wird da auch irgendetwas nicht funktionieren. Das ganze Prozedere ist ein massives Mißverständnis wie DynDNS funktioniert.

Was soll ich denn im Browser eingeben, wenn ich Deinen Rechner zu Hause erreichen will?
Nobbie
 
Posts: 11776
Joined: 09. March 2008 13:04

Re: Redirect permanent http to https - aber eine URL ausnehm

Postby Krischu » 27. July 2020 13:39

Bei allem Respekt, aber ich glaube Du raffst hier etwas überhaupt nicht.

a) Ich brauche keinen Domainnamen für meinen PC/Router zu Hause.

b) meine Überlegungen - die Du als "Kappes" bezeichnetest - hinsichtlich der IP, die ich zu Hause habe, sind sehr wohl berechtigt,
wenn ich mich von zu Hause mit ssh in meinen gehosteten Server einloggen will. Und von /etc/hosts.allow hast Du wohl auch noch
nichts gehört. Ich rede nicht von /etc/hosts.

Und jetzt hör mal auf, Dich in alle möglichen Vermutungen zu versteigen und dann noch in diesem Ton.

Hier bitte mal jemand kompetentes auf meine eigentliche Frage, ob ich eine bestimmte URL aus einem Redirect permanent in Apache ausnehmen kann.
Krischu
 
Posts: 21
Joined: 26. April 2007 13:55

Re: Redirect permanent http to https - aber eine URL ausnehm

Postby Nobbie » 27. July 2020 15:07

Krischu wrote:Bei allem Respekt, aber ich glaube Du raffst hier etwas überhaupt nicht.


Bei allem Respekt, Du irrst. Und Du bist auch derjenige, der hier fragt, nicht ich. Nur zur Erinnerung. Vor allem ändert sich die Anforderung andauernd, ganz sicher auch nicht wegen mir.

Krischu wrote:Hier bitte mal jemand kompetentes auf meine eigentliche Frage, ob ich eine bestimmte URL aus einem Redirect permanent in Apache ausnehmen kann.


Eine Lösung habe ich ja schon aufgezeigt, eine andere wäre ein Rewrite. Aber für diesen Tonfall gibt es sowieso nicht mehr und "jemand kompetentes" hatte schon auf Deine Frage geantwortet. Von mir aus kannst Du Dir Deinen Server verwuseln, wie Du willst, ist Dein Problem (im wahrsten Sinn des Wortes). Aber die paar Zeilen Rewrite Code wirst Du ja wohl hinbekommen.

Krischu wrote:b) meine Überlegungen - die Du als "Kappes" bezeichnetest - hinsichtlich der IP, die ich zu Hause habe, sind sehr wohl berechtigt,
wenn ich mich von zu Hause mit ssh in meinen gehosteten Server einloggen will. Und von /etc/hosts.allow hast Du wohl auch noch
nichts gehört.


Das ist und bleibt Kappes. Ich muss doch nicht bei jedem Server, in den ich mich (natürlich per Passwort geschützt, genau dafür sind die da) via ssh einlogge, via TCPIP allow den Zugriff erlauben?! Aber Du schreibst ja auch, "und die im Router einen 301 auslöst". Im Router wird kein Redirect ausgelöst. So oder so nicht. Der Redirect wird als Location TAG im HTTP Header von Apache an den Browser geschickt, der Browser führt den Request aus. Der Router redirected da gar nichts. Der leitet nur die Anfragen auf die Ports (80, 443) an die entsprechend eingestellten internen LAN IPs weiter.
Nobbie
 
Posts: 11776
Joined: 09. March 2008 13:04

Re: Redirect permanent http to https - aber eine URL ausnehm

Postby Krischu » 28. July 2020 08:20

Nobbie wrote:
Krischu wrote:Bei allem Respekt, aber ich glaube Du raffst hier etwas überhaupt nicht.


Krischu wrote:b) meine Überlegungen - die Du als "Kappes" bezeichnetest - hinsichtlich der IP, die ich zu Hause habe, sind sehr wohl berechtigt,
wenn ich mich von zu Hause mit ssh in meinen gehosteten Server einloggen will. Und von /etc/hosts.allow hast Du wohl auch noch
nichts gehört.


Das ist und bleibt Kappes. Ich muss doch nicht bei jedem Server, in den ich mich (natürlich per Passwort geschützt, genau dafür sind die da) via ssh einlogge, via TCPIP allow den Zugriff erlauben?! Aber Du schreibst ja auch, "und die im Router einen 301 auslöst". Im Router wird kein Redirect ausgelöst. So oder so nicht. Der Redirect wird als Location TAG im HTTP Header von Apache an den Browser geschickt, der Browser führt den Request aus. Der Router redirected da gar nichts. Der leitet nur die Anfragen auf die Ports (80, 443) an die entsprechend eingestellten internen LAN IPs weiter.


"Eine Log-Fehlermeldung 301 im Router auslöst", sollte es heißen. Wußte nicht, daß "alles, was Sie ab jetzt sagen, gegen Sie verwendet werden kann". Daß der 301 (Redirect permanent) vom Server kommt, ist doch wohl klar.

Trenne bitte meine ursprüngliche Frage von dem, was ich als Nebenerkenntnis betrachtete, daß ich damit eine Methode hätte, meinem Server meine Home-IP mitzuteilen.

Willst Du mir jetzt auch noch erklären, wozu Paßwörter da sind? Ich logge mich nicht mit Paßwort in meinen Server ein, sondern mit hinterlegtem SSL-key, paßwortlos. Für jeden Server, in den ich mich mit ssh einlogge, will ich aber tcpip an port 22 (sshd) möglichst zumachen und nur meine Home IP erlauben.
Krischu
 
Posts: 21
Joined: 26. April 2007 13:55

Re: Redirect permanent http to https - aber eine URL ausnehm

Postby Nobbie » 28. July 2020 11:24

Ich werde Dir gar nichts erklären, Du bist ja eh neunmal schlau. Von mir aus kannst Du Deinen Zugriff beliebig schlecht gestalten, eine zentrale Systemdatei mit einem http-Request zu modifizieren ist ganz besonders sicher und bewährt. Deswegen ist das ja auch sicher der Standard, Passwörter sind längst out....

Viel Spaß noch mit Deinem Server.
Nobbie
 
Posts: 11776
Joined: 09. March 2008 13:04

Re: Redirect permanent http to https - aber eine URL ausnehm

Postby Krischu » 31. July 2020 06:54

Nobbie wrote:Ich werde Dir gar nichts erklären, Du bist ja eh neunmal schlau. Von mir aus kannst Du Deinen Zugriff beliebig schlecht gestalten, eine zentrale Systemdatei mit einem http-Request zu modifizieren ist ganz besonders sicher und bewährt. Deswegen ist das ja auch sicher der Standard, Passwörter sind längst out....

Viel Spaß noch mit Deinem Server.


Danke für die Wünsche. Ich betreibe meinen Server seit 20 Jahren und hatte bisher viel Spaß daran.

Wie genau Du liest und was für falsche Schlüsse Du ziehst und immer wieder das Thema verfehlst, beweist mal wieder obenstehender Erguß: "eine zentrale Systemdatei mit einem http-Request". Wo mache ich das bitte?

Daß man cron jobs laufen läßt und mit cronjobs auch Konfigurationsdateien editieren kann und Prozessen (sshd) Signale senden kann, ist nichts Ungewöhnliches.


Was Dein Gehampel mit den Paßwörtern soll, ist mir bisher nicht klar geworden. Soll das nun Ironie sein?
Oben schriebst Du "Ich muss doch nicht bei jedem Server, in den ich mich (natürlich per Passwort geschützt, genau dafür sind die da) via ssh einlogge, via TCPIP allow den Zugriff erlauben?! "

Ich schrieb darauf, daß ich keine Paßwörter zu Einloggen benutze, sondern mich passwordless mit ssh key einlogge. Jetzt schreibst Du was von "Passwörter sind längst out.."

Was soll ich davon halten?
Krischu
 
Posts: 21
Joined: 26. April 2007 13:55


Return to Apache

Who is online

Users browsing this forum: No registered users and 10 guests