Zugriff von einem Gerät nicht möglich
- Ersteller RudiP
- Erstellt am
blurrrr
Well-known member
Also einfach nur HomeAssistant samt LE-Zertifikat, wie hier: https://www.home-assistant.io/blog/2017/09/27/effortless-encryption-with-lets-encrypt-and-duckdns/. Wenn die Base-URL in der Config gesetzt ist, die Zertifikatsinformationen entsprechend hinterlegt sind und der Port nicht verändert wurde, hast Du dann auf dem Router die Portweiterleitung von 443 (extern) auf 8123 (intern). Damit sollte aber soweit alles passen, die einzigen Dinge, welche mir dazu noch einfallen wären a) Handy bzw. die App vertraut einem der Zertifikate nicht (soweit ich weiss nutzt Chrome aber auch die Zertifikate des Handys, da gibt es keinen Fehler, die App wird es "vermutlich" auch machen (alles andere wäre auch albern)), b) irgendwas ist noch mit der App quer (daher ja auch App-Cache platt machen, App runterschmeissen und neu installieren, aber das hat ja auch nicht geholfen).
Zum Schluss bleibt dann nur noch die (reine) Theorie, dass es irgendwie insgesamt zu alt ist und die App - warum auch immer - nicht mehr so recht will. Die App-Version "könnte" evtl. auch nicht mehr die neuste/aktuellste sein, aufgrund der Tatsache, dass das OS darunter schon so alt ist. Dadurch kann sich natürlich auch das ein oder andere "Problemchen" offenbaren. Könntest mal schauen, wie sich die App verhält, wenn Du HA via IP ansprichst (also dann vermutlich "https://<HA-IP>:8123"). Da sollte definitiv eine Warnung kommen, dass das Zertifikat nicht zum angesprochenen FQDN passt (FQDN im Zertifikat ist halt nicht die IP). Aber evtl. kannst Du die Warnung dann ggf. ignorieren/akzeptieren.
Wenn da sonst nichts groß mit dem Tablet passiert (ggf. wird es nur für HA genutzt und genau das geht nun nicht mehr), würde ich mal dem Hinweis von @u5zzug folgen, definitiv besser als das Tablet zu entsorgen
Zum Schluss bleibt dann nur noch die (reine) Theorie, dass es irgendwie insgesamt zu alt ist und die App - warum auch immer - nicht mehr so recht will. Die App-Version "könnte" evtl. auch nicht mehr die neuste/aktuellste sein, aufgrund der Tatsache, dass das OS darunter schon so alt ist. Dadurch kann sich natürlich auch das ein oder andere "Problemchen" offenbaren. Könntest mal schauen, wie sich die App verhält, wenn Du HA via IP ansprichst (also dann vermutlich "https://<HA-IP>:8123"). Da sollte definitiv eine Warnung kommen, dass das Zertifikat nicht zum angesprochenen FQDN passt (FQDN im Zertifikat ist halt nicht die IP). Aber evtl. kannst Du die Warnung dann ggf. ignorieren/akzeptieren.
Wenn da sonst nichts groß mit dem Tablet passiert (ggf. wird es nur für HA genutzt und genau das geht nun nicht mehr), würde ich mal dem Hinweis von @u5zzug folgen, definitiv besser als das Tablet zu entsorgen
Hatte ich irgendwo schon mal erwähnt, geht auch nicht. Kommt die selbe Fehlermeldung und wegklicken oder akzeptieren geht nicht.
Nein, kommt für mich nicht in Frage.Wenn da sonst nichts groß mit dem Tablet passiert (ggf. wird es nur für HA genutzt und genau das geht nun nicht mehr), würde ich mal dem Hinweis von @u5zzug folgen, definitiv besser als das Tablet zu entsorgen
blurrrr
Well-known member
Na dann weiss ich auch nicht... wenn der komplette App-Teil schon vollständig weggeschmissen und erneuert wurde... die Fehlermeldung macht halt so "gar keinen" Sinn, ausser evtl. Du hast Malware auf dem Gerät und sprichst garnicht Deine HA-Instanz, das wäre dann nochmal etwas anderes, aber das passt auch nicht, wenn Du via Browser auf dem Tablet Deine HA-Instanz erreichen kannst. Also ich würde hier primär der App bzw. der App-Konfiguration bzw. ggf. dem App-Cache den schwarzen Peter zuschustern.
Wenn alles nicht hinhaut, je nach Lust und Aufwand, ggf. mal das komplette Tablet zurücksetzen, aber ich gehe mal nicht davon aus, dass das sonderlich zielführend ist, wenn man alles rund um die App schon mal weggeschmissen hat, von daher verbleibe ich mal mit einem freundlichen...
Wenn alles nicht hinhaut, je nach Lust und Aufwand, ggf. mal das komplette Tablet zurücksetzen, aber ich gehe mal nicht davon aus, dass das sonderlich zielführend ist, wenn man alles rund um die App schon mal weggeschmissen hat, von daher verbleibe ich mal mit einem freundlichen...
Ein letzter Versuch.
Cache geleert
Daten gelöscht
App deinstalliert
Tablet neu gestartet
App installiert
Verbinden mit: https://meinname.duckdns.org Zertifikatfehler
Verbinden mit: https://lokale_IP:8123 Zertifikatfehler
Verbinden mit: https://lokale_IP Seite nicht erreichbar
Ich habe auch mal mit Datum und Uhrzeit rumgespielt, also Zeitzone von Hand gesetzt, Uhrzeit von Hand gesetzt, ne Stunde vor, ne Stunde zurück. Nichts. Immer der Zertifikatfehler.
Hab dann gerade mal die Android App Version 2024.3.2 runter geladen und installiert. Der selbe Fehler.
Ich denke also, das ich entweder irgendwas falsch konfiguriert habe oder tatsächlich das Tablet irgendwelchen Mist baut.
Wobei ich einfach nicht begreifen kann, warum es im Browser geht und in der App nicht.
Trotzdem Danke für eure Hilfe.
Cache geleert
Daten gelöscht
App deinstalliert
Tablet neu gestartet
App installiert
Verbinden mit: https://meinname.duckdns.org Zertifikatfehler
Verbinden mit: https://lokale_IP:8123 Zertifikatfehler
Verbinden mit: https://lokale_IP Seite nicht erreichbar
Ich habe auch mal mit Datum und Uhrzeit rumgespielt, also Zeitzone von Hand gesetzt, Uhrzeit von Hand gesetzt, ne Stunde vor, ne Stunde zurück. Nichts. Immer der Zertifikatfehler.
Hab dann gerade mal die Android App Version 2024.3.2 runter geladen und installiert. Der selbe Fehler.
Ich denke also, das ich entweder irgendwas falsch konfiguriert habe oder tatsächlich das Tablet irgendwelchen Mist baut.
Wobei ich einfach nicht begreifen kann, warum es im Browser geht und in der App nicht.
Trotzdem Danke für eure Hilfe.
blurrrr
Well-known member
Das denke ich nicht, denn Du nutzt für alle Geräte (egal wo) immer nur einen einzigen Ansprechpunkt und das ist Dein öffentlicher FQDN.
Das ist definitiv so eine Sache, grade wenn schon alles bzgl. der App entfernt wurde. Die App sollte sich an den Systemvorgaben orientieren. Mitunter ist die Fehlermeldung aber auch einfach nur "falsch" und das eigentliche Problem ist etwas ganz anderes. Bei mir ist der Aufbau z.B. wie folgt:
Client <-> Reverse-Proxy <-> HA
bzw.
Client <--verschlüsselt (443/TCP)--> Reverse-Proxy <--unverschlüsselt (8123/tcp)--> HA
Wobei der Reverse-Proxy nicht als HA-Addon läuft, sondern ein eigenständiges System ist. Das Zertifikat, welches für die Verschlüsselung genutzt wird, ist definitiv in Ordnung, dennoch kriege ich einen "vermeintlichen" Zertifikatsfehler. Fakt ist alles... es ist lediglich die HA-Instanz am Ende dieser Verkettung nicht vorhanden. Die Verbindung zum Reverse-Proxy ist korrekt verschlüsselt und via Browser gibt es halt eine Seite mit Fehler (Ziel - HA - wird halt nicht gefunden, aber die HTTPS-Verbindung zur Fehler-Website mittels Zertifikat ist einwandfrei). Dennoch zeigt mir die App einen vermeintlichen Zertifikatsfehler ("Certificate for this server is invalid") und genau das kann definitiv nicht richtig sein. Wäre es ein "HA ist nicht erreichbar", alles gut, alles richtig, aber die Sache mit dem Zertifikat stimmt mal definitiv nicht.
Habe grade nochmal in der iOS-App geschaut, dort gibt es in den Einstellungen (egal ob eine Verbindung zu HA besteht oder nicht) noch den Punkt "Logs exportieren". Bei mir lässt sich dann im Log folgender Eintrag dazu finden:
2024-04-15 13:56:08.288 [Error] [main] [WebViewController.swift:418] webView(_:didFailProvisionalNavigation:withError> Failure during content load: Error Domain=NSURLErrorDomain Code=-1202 "The certificate for this server is invalid. You might be connecting to a server that is pretending to be “ha.domain.tld” which could put your confidential information at risk." UserInfo={NSLocalizedRecoverySuggestion=Would you like to connect to the server anyway?, _WKRecoveryAttempterErrorKey=<WKReloadFrameErrorRecoveryAttempter: 0x28084baa0>, networkTaskDescription=LocalDataTask <738BC279-772E-4AB1-B49D-13A9665FD733>.<2>, _kCFStreamErrorDomainKey=3, _kCFStreamErrorCodeKey=-9814, NSErrorPeerCertificateChainKey=(
"<cert(0x103a5f670) s: *.domain.tld i: AlphaSSL CA - SHA256 - G2>",
"<cert(0x103a5f8f0) s: AlphaSSL CA - SHA256 - G2 i: GlobalSign Root CA>"
), NSErrorFailingURLStringKey=https://ha.domain.tld/, NSUnderlyingError=0x2801cf270 {Error Domain=kCFErrorDomainCFNetwork Code=-1202 "(null)" UserInfo={_kCFStreamPropertySSLClientCertificateState=0, _kCFNetworkCFStreamSSLErrorOriginalValue=-9814, _kCFStreamErrorDomainKey=3, _kCFStreamErrorCodeKey=-9814}}, NSErrorClientCertificateStateKey=0, NSErrorFailingURLKey=https://ha.domain.tld/, _NSURLErrorFailingURLSessionTaskErrorKey=LocalDataTask <738BC279-772E-4AB1-B49D-13A9665FD733>.<2>, networkTaskMetricsPrivacyStance=NotEligible, NSURLErrorFailingURLPeerTrustErrorKey=<SecTrustRef: 0x283e50460>, NSLocalizedDescription=The certificate for this server is invalid. You might be connecting to a server that is pretending to be “ha.domain.tld” which could put your confidential information at risk.}
2024-04-15 13:56:08.288 [Error] [main] [WebViewController.swift:731] showSwiftMessage(error:duration
.... so.... nu grade nochmal mit dem Android-Tablet getestet, das sagt bei der Verbindung zu ha.domain.tld dann wiederum "no backend", was auch genau den Tatsachen entsprechen würde. Android-App-Version ist hier 2024.4.1-full, iOS-App-Version ist auch aktuell. Bei der Verbindung zu Deinem FQDN meckern übrigens beide Apps nicht, sondern zeigen einen entsprechenden Login (was bei mir ja aufgrund der nicht vorhandenen HA-Instanz nicht funktionieren kann).
Schau mal, ob Du auf dem Tablets ggf. die Logs exportieren kannst. Dann via "suchen und ersetzen" in einem Textbearbeitungsprogramm Deine privaten privaten FQDN durch "domain.tld" oder so automatisch ersetzen lassen. Danach mal durchschauen, ob Du da ggf. etwas relevantes zu findest, interessant wären u.a. auch erwähnte Fehlernummern, o.g. Teil z.B. "Error Domain=NSURLErrorDomain Code=-1202".
blurrrr
Well-known member
Also auf dem Android-Tablet kann ich sie sehen und viel wichtiger: auch "teilen":
Einstellungen -> Problembehandlung -> Protokolle anzeigen und teilen
Dort werden dann die Protokolle angezeigt und ich hab rechts oben in der Ecke noch das "teilen"-Symbol. Drücke ich dort drauf, bekomme ich den üblichen "Teilen über"-Dialog angezeigt. So könnte man sich die Textdatei z.B. einfach per Mail zukommen lassen, kann dann mit dem Editor/Notepad nochmal drüber gehen mit suchen&ersetzen und den Domain-Teil anonymisieren und den Inhalt veröffentlichen bzw. konkreter nur wesentliche Inhalte (wie z.B. Zeilen mit Fehlern)
Einstellungen -> Problembehandlung -> Protokolle anzeigen und teilen
Dort werden dann die Protokolle angezeigt und ich hab rechts oben in der Ecke noch das "teilen"-Symbol. Drücke ich dort drauf, bekomme ich den üblichen "Teilen über"-Dialog angezeigt. So könnte man sich die Textdatei z.B. einfach per Mail zukommen lassen, kann dann mit dem Editor/Notepad nochmal drüber gehen mit suchen&ersetzen und den Domain-Teil anonymisieren und den Inhalt veröffentlichen bzw. konkreter nur wesentliche Inhalte (wie z.B. Zeilen mit Fehlern)
Tja, Android 5 halt. Die waren damals noch nicht so weit.
Wenn ich die Einstellungen öffne, habe ich links eine Menüleiste, aber auch oben 4 Menüs. Verbindungen, Gerät, Steuerung, Allgemein.
Aber in keinem ist irgendwas von Protokoll zu finden. Auch die vorhandene Suchfunktion liefert dazu nichts.
Im Anwendungsmanager, was dem heutigen Apps entsprich, kann ich sicher die Anwendungen sehen und auch Finde einstellen, ändern, aber auch hier nichts von einem Protokoll oder Log zu sehen.
Wenn ich die Einstellungen öffne, habe ich links eine Menüleiste, aber auch oben 4 Menüs. Verbindungen, Gerät, Steuerung, Allgemein.
Aber in keinem ist irgendwas von Protokoll zu finden. Auch die vorhandene Suchfunktion liefert dazu nichts.
Im Anwendungsmanager, was dem heutigen Apps entsprich, kann ich sicher die Anwendungen sehen und auch Finde einstellen, ändern, aber auch hier nichts von einem Protokoll oder Log zu sehen.
blurrrr
Well-known member
Naja, ist jedenfalls nicht unüblich, dass irgendwann die "alten" Dinge nicht mehr funktionieren. Einmal kaufen und dann 20 Jahre nutzen ist in der IT meistens eher nicht so drin, früher oder später treten halt die ein oder anderen Fehler auf.
Bei älteren Systemen - die schon länger keine Updates mehr bekommen - muss man dann auch irgendwann die Zertifikate der Stammzertifizierungsstellen updaten. Als kleines Beispiel: So ein Ubuntu 14 z.B. kommt auch nicht mehr mit aktuellen LetsEncrypt-Zertifikaten klar, da muss man dann auch händisch nachhelfen, aber Ubuntu 14 sollte auch schon längst nicht mehr betrieben werden (aber man weiss ja, wie das so läuft...).
Bei älteren Systemen - die schon länger keine Updates mehr bekommen - muss man dann auch irgendwann die Zertifikate der Stammzertifizierungsstellen updaten. Als kleines Beispiel: So ein Ubuntu 14 z.B. kommt auch nicht mehr mit aktuellen LetsEncrypt-Zertifikaten klar, da muss man dann auch händisch nachhelfen, aber Ubuntu 14 sollte auch schon längst nicht mehr betrieben werden (aber man weiss ja, wie das so läuft...).
