[Eisfair] fbtr64toolbox Verständnisfragen

[Marcus Röckrath]

Hallo Helmut,

Helmut Backhaus wrote:

>>> Dazu habe ich inzwischen abe noch etwas gelesen, das Passwort, der User
>>> und die Adresse sind besser in der "/root/.netrc", oder?
>> 
>> Die IP oder FQDN der Fritz muss auch in der Konfiguartion stehen, user
>> und password besser in ./netrc.
> 
> Genau darauf bin ich rein gefallen, aber ich habe es hinbekommen.

Das Skript nutzt ja intern curl und gibt dem die IP/FQDN mit. curl sucht
dann in der .netrc, denn dort könnten für viele Maschinen Zugangsdaten
stehen, nach dem passenden Eintrag.

Also muss in beiden Konfigurationsdateien die Adresse in gleicher Form
abgelegt werden.

> So habe ich es jetzt.

Fein.

> Das ist aber in der Doku anders beschrieben, ich füge mal das Beispiel
> ein. Wäre nett wenn Du mir den Unterschied erklären könntest.
> 
> DEHYDRATED_HOOK_CMD_1_ACTIVE  = ’yes’
> DEHYDRATED_HOOK_CMD_1_TYPE    = ’startup_hook’
> DEHYDRATED_HOOK_CMD_1_EXEC    = ’/usr/bin/fbtr64toolbox.sh’
> DEHYDRATED_HOOK_CMD_1_OPTIONS = ’add --extport 80 --protocol
> TCP--intclient 192.168.178.3 --intport 80--description "my port forward"
> --active’
> 
> DEHYDRATED_HOOK_CMD_2_ACTIVE  = ’yes’
> DEHYDRATED_HOOK_CMD_2_TYPE    = ’exit_hook’
> DEHYDRATED_HOOK_CMD_2_EXEC    = ’/usr/bin/fbtr64toolbox.sh’
> DEHYDRATED_HOOK_CMD_2_OPTIONS = ’add --extport 80 --protocol
> TCP--intclient 192.168.178.3 --intport 80--description "my port forward"
> --inactive’

startup_hook kommt ganz zm Anfang und exit_hook am Ende. Du kannst es auch
so machen.

Wenn man mehrere Zertifikate abruft, würde damit der Portforward am Anfang
auf- und ganz am Ende wieder abgebaut.

Nutzt man die Hooks deploy_challenge und clean_challenge, wird der
Portforward bei jedem einzelnen Zertifikatsabruf auf- und abgebaut.

Im Sinne von certs_dehydrated kannst du dir die Hooks so vorstellen:

startup_hook

deploy_challenge
clean_challenge

deploy_challenge
clean_challenge

...

exit_hook

> Hier wird ein anderer "Hook Typ" genutzt, warum und weshalb?

Die Portweiterleitung muss vor dem Zertifikatsrequest auf- und dahinter
abgebaut werden.

Ein Zertifikatsrequest findet grundsätzlich über die drei Schritte

deploy_challenge
deploy_cert
clean_challange

statt, also muss in deploy_challenge der Forward aufgebaut und in
clean_challenge wieder abgebaut werden; oder aber ganz außen im
Gesamtprozess über starup_hook und exit_hook.

Oder meinst du, da die Optionszeile

> DEHYDRATED_HOOK_CMD_2_OPTIONS = ’add --extport 80 --protocol
> TCP--intclient 192.168.178.3 --intport 80--description "my port forward"
> --inactive’

Das ist das Beispiel von Jürgen, denn er läßt den Portforward in der Fritz
stehen, setzt den aber auf inaktiv; ich lösche am Ende den Portforward
mittels des del-Kommandos wieder komplett aus der Fritz raus.

-- 
Gruß Marcus
[eisfair-Team]