Přihlásit se na XBMC-Kodi.cz

Problém s TVHeadend a HTTPS v KODI

Ahojte, mám TVHeadend bežiaci na Raspberry Pi a všetko funguje skvele. Na svojom routeri OPNSense som pomocou HAProxy spravil reverse proxy pre TVHeadend cez SSL certifikát na moju doménu.

TVHeadend mám teda prístupný cez HTTPS doménu, funguje mi aj VLC playlist aj web UI bez problémov.

Problém nastáva pri KODI doplnku TVHeadend.
Do nastavení zadám svoju doménu, HTTPS port 443, prihlasovacie údaje, ale KODI sa nechce pripojiť.

Ak vypnem HTTPS a presmerujem porty 9981 a 9982 na IP adresu RPi, tak mi to v KODI funguje. Ale to nechcem, lebo to znamená bezpečnostnú dieru v mojej sieti.

Má niekto skúsenosť, ako rozbehať TVHeadend v KODI cez HTTPS?
Ďakujem za rady!

A nestacilo by nainstalovat na router Wireguard ? Klient je pre vsetky platformy a potom pristupovat ku Kodi cez lokalnu IP.

@robson: Jasně, vždycky to lze řešit tak, že problém obejdu a udělám to úplně jinak...
@peterkal: Zkus se podívat sem a sem. A myslím, že jsem kdysi něco četl na NextPVR fóru. Jiný server i klient, ale podobné problémy. Zkusím si vzpomenout a najít to...

---

Možná je to Reverse proxy - ssl - kodi client, už jsem to neprohlížel. Ale podle názvu vlákna to vypadá na podobný problém.

Nahlásil so mto aj na Github TVHeadend Kodi addonu...

Issue with TVHeadend and HTTPS in KODI · Issue #701 · kodi-pvr/pvr.hts

A odpovedali mi že to nie je chyba ale že KODI addon na TVHeadend používa port 9982.

Ja na doméne mám 9981 na https...

toto mi ukázal log:
 

anonimizoval som ho BTW...

Neviem ako to mám zreverse proxyovať aby to fungovalo na porte 443 bez port forwardingu a dier v sieti....

@peterkal: S reveze proxy ti neporadím, ale co zkusit v Kodi jiného pvr klienta. Tam by ses ale musel smířit jen s Live TV. Můžeš použít pvr addon IPTV Simple Client, tam si vystačíš s 9981, aka 443.

Ahoj
S čím přesně potřebuješ poradit? Já mám na veřejné ip dokonce momentálně dva tvheadendy ven.
Povoluji jen porty 9981,9982 popřípadě tyto porty v mirkrotiku převedu na porty méně profláklé.

Něco jako 9010,9020. 

V klientu v kodi u rodičů (jiný poskytovatel) nastavím jen veřejnou ip mého domu, upravené porty iniciály pro přihlášení a jedu jak z praku.

@martinchromy1985: Asi jsi špatně četl úvodní příspěvek tématu, kde jasně @peterkal: píše o tom, že takhle, jak to máš ty a jak mu to navrhuješ, to udělat nechce, a proč. Ono změnit default porty sice zdánlivě o něco zabezpečení zvýší, ale o skutečném zabezpečení se samozřejmě hovořit nedá. To je jen iluze. To bezpečnostní riziko tam stále je a vysoké. Je to sice náhoda, ale na tu bych se nespoléhal. Zkoušeli jsem kdysi dávno takhle Tvheadend na vyhrazeném internetovém spojení otevřít, a do necelého týdne se tam někdo naboural.

@peterkal: Předpokládám, že do fóra Tvheadend si se díval, pokud ne, doporučuji. Jen zběžně jsem to projel několika verzemi dotazů a našel plno odkazů na dikuse kolem řešení plnohotnotného zabezpečeného přístup s použitím různých variant reverse proxy. Je fakt, že já jsem v této části síťové infrastruktury poměrně nevzdělaný, ale co jsme si tam četl, tak se tam o podobném problému píše poměrně často. Namátkou např. v TVHeadend with lighttpd as reverse proxy and AUTH and apparmor. Já sám používám pro vzdálený přístup k domácím serverům (včetně Tvheadend) příležitostně vytvářenou VPN. Ale rozhodně to nepoužívám na trvalé propojení. Spíše jen pro případy, kdy se potřebuji dostat do domácí sítě pro nějaká data nebo zkontrolovat, zda jsou aplikace doma v pořádku. Napojení na Tvheadend z Kodi v něm použiji jen výjimečně. Asi by to bylo řešení i pro Tebe, i když chápu, že eleganci a jednoduchosti zabezpečeného připojení přes reverse proxy se to nevyrovná.

Co jsem pochopil, tak jedním z popisovaných řešení použít pro 9981 standardní reverse proxy na 443 (jak to máš ty) a pro 9982, přes který běží vlastní streaming htsp protokolem, dynamicky vytvářený tunel. Ale jak to funguje a jak to udělat a jestli je tohle nějak standardní funkce reverse proxy aplikací, to už je na mě moc... 

@peterkal: No, ještě jsme o tom přemýšlel a když tedy nechceš použít VPN a zůstat u toho reverse proxy, bez toho, že bys ošetřil ten port 9982 se prostě neobejdeš. Jak jsem napsal, s reverse proxy ti neporadím, ale já bych v téhle chvíli asi použil to, co umím, tedy obyčejný ssh tunneling. Nevím co máš na straně klienta, ale pokud je tam nějaký box, třeba s *ELEC, tak by to bylo raz dva.