Sicher zugreifen aufs Router-Portal über https

@ManuelH 

Danke für die Info. Es hat allerdings einen kleinen Wiederspruch drin:

Zuerst heisst es:

"Ab sofort greifst du mit einer Internet-Box 3 und 4 über die verschlüsselte Domain ..."

und ein paar Zeilen weiter unten

"Die Änderung findet in diesen Tagen statt."

Etwas verwirrend ...

Hi @hed 

Vielen Dank für den Hinweis. Du kannst dir sicherlich vorstellen, dass wir dieses Feature nicht bei allen Kunden gleichzeitig aktivieren können. Dennoch sollen sich alle Kunden angesprochen fühlen. Sowohl diejenigen, bei denen das Feature bereits akiv ist, als auch diejenigen bei denen es erst noch passieren wird.🙂

Gruss Manuel

@ManuelH 

Ja klar weiss ich, dass man das nicht bei allen Kunden gleichzeitig aktivieren kann und gerade deshalb soll man es auch klar,  deutlich und transparent so formulieren:  

"Im Zeitraum von x - bis y rollen wir das Feature z etappenweise aus"

So weiss jeder Kunde, der es erfolglos vor dem Datum y testet, dass er noch nicht an der Reihe war/ist und jeder Kunde bei dem es nach dem Zeitpunkt y noch nicht funktioniert, dass allenfalls etwas schief gelaufen ist und er bei Swisscom nachfragen kann.

Also echt jetzt, man kann's mit dem "Tüpfli schiisse" auch übertreiben...

Man könnte ja auch einfach die Neuigkeit zur Kenntnis nehmen und Freude daran haben. Aber nein, ...

@kaetho 

Ja echt, sehr echt sogar.

Ich möchte einfach vermeiden, dass die Kunden den Beitrag von @ManuelH lesen, es ausprobieren und dann entweder enttäuscht oder ratlos sind, wenn es (noch) nicht funktioniert.

Es wäre nicht das erste Mal, dass Swisscom mit einer mangelhaften Kommunikation für mehr Verwirrung als Klärung sorgt.

Ist das eine Proxy Lösung oder wie wird das mit dem Zertifikat gemacht?

Wenn es noch nicht funktioniert kommt halt die Meldung unten wie das Bild !

Könnte sein, dass dies lokal über den DNS aufgelöst wird? Wie dies mit dem Zerti zwar gelöst wird kann ich mir nicht erklären, aber das wäre wohl am einfachsten...

Oder spiel es keine Rolle, welchen DNS man nutzt, @ManuelH ?

@DomiP 

Gute Frage. Was ich auch nicht begreife ist folgender Satz:

"Ist dein Router nicht mit dem Internet verbunden, ist das Web-Portal weiterhin über «http» erreichbar."

Der Secure-Zugang zum lokalen Webserver auf der IB sollte doch unabhängig von einer Internetverbindung funktionieren ...

@ManuelH 

Kannst du dazu bitte genauere, technische Hintergrundinfos liefern

Hi @Tux0ne 

Wir haben ein Zertifikat auf der Box welches ein Root Zertifikat im Internet hat. Der Root of trust kann im Browser angesehen werden.

Ich hoffe deine Frage so geklärt zu haben.

Gruss
Manuel

Hi @hed 

Das tut er auch. Damit ist gemeint, dass das WebUI auch erreichbar ist, wenn du aus irgendwelchen Gründen gerade kein Internet hast.
Für das Zertifikat brauchst du aber Internet. Als Konsequenz greiftst du dann halt über http auf Router Portal.

Gruss Manuel

---

@ManuelH  schrieb:

Hi @Tux0ne 

Wir haben ein Zertifikat auf der Box welches ein Root Zertifikat im Internet hat. Der Root of trust kann im Browser angesehen werden.

Ich hoffe deine Frage so geklärt zu haben.

Gruss
Manuel

---

Nein nicht wirklich. Aber an Hand der Informationen kann ich mir denken das Swisscom das gültige Zertifikat selber ausstellt. Es im lokalen Resolver für internetbox.swisscom.ch einen Eintrag auf das WUI hat, ob das dynamisch funktioniert oder nur bei default IP 192.168.1.1 wird sich noch zeigen. 
Wie und ob es nicht zu einen Zertifikat Fehler kommt wenn man die IP direkt eingibt ist mir auch noch nicht klar. 
Nicht so wichtig. Wird sich ja alles noch zeigen. 

@Tux0ne Der lokale Resolver der IB scheint so zu funktionieren wie du beschreibst, dh. der Hostname internetbox.swisscom.ch wird vom lokalen Resolver authoritativ auf die IPv4 und erfreulicherweise auch auf die IPv6 der IB aufgelöst. Und zwar auch dann wenn der Router nicht die Default-IP hat. Mehr kann ich zurzeit auch nicht testen. Bin aber ehrlich gesagt bisher sehr positiv überrascht über die Implementation.

Nachfolgend noch eine kleine Ablaufdoku wie man auf das IB-Routerportal zugreift wenn man ausserhalb des Swisscom-Standards (bei mir ist es der Zugriff aus einem kaskadierten Netz ohne Verwendung von irgendwelchen Swisscom-Spezifika) unterwegs ist:

Start auf dem Browser mit Eingabe von:

 erste Meldung:

 auf „Erweitert“ klicken:

 auf „Weiter zu 192.168.1.1 (unsicher)“ klicken:

Hallo 

Das ist sowas von verwirrend. Das ein Access nur noch mit internetbox.swisscom.ch funktioniert.

Ein Zugriff über die IP 192.168.x.1 wird permanent auf https://internetbox.swisscom.ch umgeleitet.

Bei Benützung eines eigenen DNS Server löst der logischerweise nicht die interne IP Adresse auf.

Langsam reichts nach Vorschreiben das der DHCP auf der Internetbox laufen muss wird es ohne verbiegen auch nicht mehr möglich sein einen eigenen DNS Server zu betreiben?

Könnt Ihr das Zertifikat und die Umleitung nicht auf internetbox.home ausstellen?

Nachtrag: 

Ich habe jetzt folgendes in meinen internen DNS eingetragen somit klappt der Zugriff wieder:

- Eine primäre Zone für internetbox.swisscom.ch erstellt

- Eintrag internetbox.swisscom.ch. 86400 A 192.168.166.1 eingefügt

---

@Gigribio27  schrieb:

...

Langsam reichts nach Vorschreiben das der DHCP auf der Internetbox laufen muss wird es ohne verbiegen auch nicht mehr möglich sein einen eigenen DNS Server zu betreiben?

...

---

@Gigribio27 

Der DHCP-Server muss nicht auf der IB laufen, du kannst ihn auch ausschalten und einen anderen verwenden:

@hed 

Das habe Ich auch zuerst gedacht, da Ich aber den Internetbooster brauche funktioniert das nur über den DHCP auf der IB. (Gelöst: Internet Box 3 DHCP Adressverteilung deaktivieren ... | Swisscom Community​)

Wenn du mir ein Weg zeigst wie das geht bin Ich noch so froh.

@Gigribio27 

Ich verwende keinen Booster und kann es daher leider nicht testen.

Habe es soeben ausprobiert.

Zur Präzisierung: umgeleitet auf https://internetbox.swisscom.ch wird man (jedenfalls bei mir) nur wenn man per unverschlüsseltem HTTP auf http://192.168.1.1/ oder http://[2a02:1210:3257:1234:5678:9aff:febc:def0] (bzw. die tatsächliche IPv6 deiner IB) zugreift, aber nicht wenn man selbiges per HTTPS auf https://192.168.1.1/ oder https://[2a02:1210:3257:1234:5678:9aff:febc:def0] tut.

Ein auf den Namen internetbox.home ausgestelltes Zertifikat dürfte von keinem Browser akzeptiert werden bzw. keine seriöse Zertifizierungsstelle würde ein solches signieren.