FITZ!Box 7590 assegna porte HTTPS & HTTP diverse dalle 443 & 80

ErBlask

Un saluto a tutti, oggi come di consueto stavo smanettando con il mio bravo Raspberry installando a scopo di "Test" Cosmos Server, il quale necessita dell'apertura delle porte sul router "HTTPS 443" e "HTTP 80" per lo scaricamento del certificato TLS/SSL Let’s Encrypt sul dominio DuckDNS che mi aggiorna il mio IP dinamico 🙂.
Recandomi sul Fritz per impostare il Port Forwarding 443/80 mi da una strana variabile come mostra le foto allegato:

Praticamente invece delle porte 443/80 mi apre le porte 61048 e 61049 🤔
Motivo di questa cosa???

Lorenzo1635

ErBlask Motivo di questa cosa???

Hai attivo l'accesso da remoto via MyFritz?

ErBlask

Lorenzo1635 Assolutamente NO

Lorenzo1635

ErBlask E in Diagnosi -> Sicurezza non c'è nulla che sta usando quelle porte? Perchè ho appena a fare il forwarding di una app Tomcat in 443 e 80 e funziona (ho un 7590)...

ErBlask

Lorenzo1635 Mi sa che l'inciucio è che ho collegato un'altro raspberry pi 4 sul quale gira Portainer con a bordo VaultWarden password manager, il quale necessita anche lui delle porte "HTTPS 443" e "HTTP 80" per il certificato.
Penso che anche se il Port Forwarding è fatto su un'altra macchina con IP di rete diverso;
tipo: RPI 5 => 192.168.1.200
tipo: RPI 4 => 192.168.1.220
a livello di router va in contrasto e assegna porte differenti 🤔, almeno penso....
Allego foto,

A parte questo non so che pensare.

Lorenzo1635

ErBlask a livello di router va in contrasto e assegna porte differenti 🤔, almeno penso....

Ha senso, poco descrittivo l'errore ma è giusto se la 80 è occupata non puoi farci nulla - hai un solo indirizzo IP(v4) dopotutto

walt

ErBlask a livello di router va in contrasto e assegna porte differenti 🤔, almeno penso....

Eh sì, non puoi convidere la stessa porta esterna aperta su un dato IP con due porte/host interni 🤓

A latere una pignoleria: la HTTP-01 challenge di Let's Encrypt lavora sulla sola porta 80/tcp (poi ovviamente serve aprire anche una ulteriore porta, tipicamente la 443, affinché il web server sia raggiungibile anche via HTTPS).

ErBlask

Lorenzo1635 a livello rete lan giustamente il Fritz descrive solo quello che attualmente e collegato...
IP RPI 5 => 192.168.1.200 SSL/TLS open 443/80
IP RPI 4 => 192.168.1.220 SSL/TLS open 61048/61049
🤔

walt mi sa che devo abbandonare il "Test" di installare Casmos Server 😞

walt

ErBlask mi sa che devo abbandonare il "Test"

Beh in via transitoria potresti configurarlo con i certificati auto-firmati, a me comunque non dispiace ma preferisco un gestionale docker "puro" proprio come Portainer che uso da tempo e cui affianco un reverse proxy web con gestione certificati Let's Encrypt.

In alternativa potresti valutare di traslocare tutti i servizi di tuo interesse in un unico host di LAN e gestirli con Cosmos (ammesso e non concesso siano ivi disponibili, Vaultwarden sicuro lo è).

ErBlask

walt È una soluzione 🙂, anche se penso che i certificati non siano di vitale importanza, penso che Cosmos possa girare anche solo in Lan senza esporlo all'esterno...
Altrimenti sarebbe in contrasto con quello che dicono anche loro... Come da screenshot...

Può essere raggiunto solo tramite VPN...

walt

ErBlask Può essere raggiunto solo tramite VPN...

Può essere raggiunto anche via VPN 😛

Comunque sì se non hai stretta necessità di esporre servizi all'esterno, fuori casa puoi "accontentarti" di gestirlo via VPN 🤓

ErBlask

walt 👍, mi metto subito a smanettare... vedo se me lo fa installare anche senza certificati....

walt

ErBlask certo che sì, non l'avevo suggerito "a caso" 🥳

Tra l'altro ora che ci penso...in ottica di utilizzo LAN/VPN tanto vale installarlo direttamente in HTTP liscio (ammesso e non concesso non abbia poi effetti collaterali che ora mi sfuggono).

ErBlask

walt ottimo, così avrò solo bisogno di aprire la loro porta VPN 🙂, tanto per avere meno superficie di attacco 😉

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile