[Discuss] [v642] Arbeitsgruppe v642 Treffen

[Erich N. Pekarek]

Hallo!

Am 2016-02-11 um 09:54 schrieb Jakob Riepler:
> [...]
>
> Es sollte nicht so schwierig sein, LuCI so umzubauen, dass es eine 
> Passwortänderung forciert, wenn das default Passwort oder ein leeres 
> Passwort gesetzt ist.
>
Ack! Ist die bessere Lösung.
>
> >   * kein login via http only
>
> Eventuell automatisches requesten eines letsencrypt certs, nach dem 
> die initiale Konfig (IP, Nodename) gemacht wurde und eine 
> Funkfeuerverbindung besteht?
>
Der python-Client von letsencrypt wird wohl etwas zu groß für die 
Endgeräte sein (~12MB uncompressed).
Folgender Vorschlag (Ablauf):

a) Dem Router übergibt man beim Initialisieren schlicht (manuell) einen 
Hashkey, der aus der/einer NodeDB stammt, wo man die Grundparameter 
bereits beim Anlegen des Nodes/Nodes-Devices angegeben hat.
b) Der Router, mittels Autoconfig rudimentären Zugang hat oder sonst mit 
dem Internet verbunden ist, holt sich die Config mittels 
ssh/wget-ssl/curl von einem Webserver unter dieser Url. (ssh-keys, 
olsr*-Configs, etc.).

Dabei zu beachten:
Run-parts sollte dafür Sorge tragen, dass auch lokale Konfigurationen 
berücksichtigt werden.
Für Olsr* kann auf uci/uci verzichtet werden, wenn die Konfiguration 
zentral erstellt wird.
Da olsrv2 mittels oonf-Package ausgeliefert wird, ist Aktualität 
gewährleistet, und das Node-Tool sollte nur auf die aktuellste Version 
Rücksicht nehmen.

c) Für Letsencrypt wäre beim Abholen des Zertifikats mittels 
"manual"-Methode das zeitnahe Einrichten des Tokens unter 
".well-known/acme-challenge/" erreichbar unter dem Hostnamen des Routers 
erforderlich, d.h. es ist ein mehrstufiger Prozess, bei dem eine NodeDB 
den Request koordiniert vermitteln muss.
Gefahr 1: die Zertifikate lägen in diesem Fall wohl auf dem Server der 
NodeDB; Gefahr 2: Limits bei den Zertifikaten in der 
Letsencrypt-Beta-Phase, wenn viele Devices betrieben werden.
Eine Möglichkeit wäre die Remote-Nutzung von Letsencrypt und ein 
Reverse-Proxy für den Pfad .well-known/acme-challenge/ auf den 
NodeDB-Server.
Erfordert den Wechsel auf einen anderen Webserver am Router (lighttpd 
o.ä.) - aber das wäre auch ein Vorteil für manche User, die für 
Homecontrol-Applikationen sonst Portforwards nutzen oder zur Einbindung 
von (passwortgeschützten) Status-Anzeigen z.B. im Falle von 
3g-Internet-Tunnel-Nodes (Modemstatus, Datenvolumenstatus).

> [...]
> LG Jakob
>
> [...]

Eventuell wollt Ihr auch "socat" in die Firmware einbauen. Diese 
netcat-Alternative kann sehr vielseitig eingesetzt werden und spart 
womöglich Platz durch Verzicht auf andere Tools.

LG
Erich
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : erich.vcf
Dateityp    : text/x-vcard
Dateigröße  : 4 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.funkfeuer.at/pipermail/discuss/attachments/20160211/c7682e99/attachment.vcf>