Skip to content
View in the app

A better way to browse. Learn more.

Unraid

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Docker Container über https absichern, aber ohne Remote Access?

Featured Replies

Es geht mir darum, die Frontends der Docker Container (ausschließlich) im lokalen Netzwerk über https erreichbar zu machen – oder vielleicht sogar Vaultwarden lokal zu hosten. Dafür brauche ich natürlich ein oder mehrere entsprechende SSL-Zertifikate und das habe ich mir wohl fälschlich zu einfach vorgestellt, als ich dachte, dass das mit dem SSL-Zertifikat für Unraid gelöst sein würde. Das habe ich über Settings --> MA --> Provision erfolgreich eingerichtet und kann Unraid nun über #####.unraid.net per https im lokalen Netz erreichen. Für die Docker Container funktioniert das aber wohl nicht so.

 

Ich habe daraufhin Google und YouTube bemüht und bin auf jede Menge Guides gestoßen, u.a. zu nginx, Let'sEncrypt, Authelia etc. Aber allen Guides ist gemein, dass es um Remote Access geht, den ich aus Sicherheitsgründen gar nicht will (und auch nicht einrichten kann, weil mein Anschluss keine öffentlich erreichbare IP-Adresse bereitstellt).

 

Sinnvoll wäre eine Verschlüsselung doch aber trotzdem, oder unterliege ich einem Denkfehler, wenn ich davon ausgehe, dass MitM-Angriffe denkbar sind? Auf meinem RaspberryPi OMV "Server" hatte ich keine kritischen Services, aber wenn ich jetzt Dinge wie Syncthing, Vaultwarden oder Ähnliches aufsetzen sollte, wollte ich es schon so sicher wie möglich gestalten.

 

TLDR:

Ist SSL für Docker Container möglich und sinnvoll, auch ganz ohne Remote Access und öffentlich erreichbare IP? Eigene Domains sind vorhanden.

 

Herzlichen Dank für die Aufmerksamkeit und evtl. erforderliche Nachsicht mit Noob-Denkfehlern 😁

 

 

Edited by YoHoNoMo
eigene Domain vorhanden

Da hatte sich @mgutt schon eine Lösung oder genauer gesagt einen Workaround überlegt:

Siehe auch dieser Thread, ähnliche Ausgangslage:

 

Also komplett ohne Portfreigabe wird schwierig. Mindestens zum erneuern des SSL-Zertifikats muss man einmal das INet "reinlassen"

  • Author
10 minutes ago, jj1987 said:

Siehe auch dieser Thread, ähnliche Ausgangslage:

Danke, das sieht hilfreich aus. Da wühle ich mich mal durch.

 

Das erste Thema (von @mgutt ) hatte ich auch gefunden, aber das war zu knapp für mich, um es nachzuvollziehen.

 

13 minutes ago, jj1987 said:

Also komplett ohne Portfreigabe wird schwierig. Mindestens zum erneuern des SSL-Zertifikats muss man einmal das INet "reinlassen"

 

Für 50 Euro könnte ich bei O² wohl eine öffentliche IPv4 Adresse eingerichtet bekommen. Aber eigentlich will ich das ja gar nicht. 😅

3 hours ago, YoHoNoMo said:

Aber eigentlich will ich das ja gar nicht.

 

wenn du gar keinen externen Zugang willst macht ein lokales SSL setup nicht wirklich Sinn ... nicht falsch verstehen, aber da steht der Aufwand ja in keiner Relation weil was soll das bringen ? deine lokalen Dienste wären normal immer noch alle lokal per http zu erreichen usw usw ... wenn du da wirklich Angriffe erwartest ;)

 

das Setup wie beschrieben um lokal alles per https zu erreichen ist nett wenn NAT Hairpinning nicht so funktionieren wie gewünscht, aber der SSL Weg macht Sinn wenn NUR SSL Traffic möglich ist und lokal wird das schon ein Akt alles so einzurichten dass dies so nicht geht ...

 

4 hours ago, YoHoNoMo said:

Sinnvoll wäre eine Verschlüsselung doch aber trotzdem, oder unterliege ich einem Denkfehler, wenn ich davon ausgehe, dass MitM-Angriffe denkbar sind? Auf meinem RaspberryPi OMV "Server" hatte ich keine kritischen Services, aber wenn ich jetzt Dinge wie Syncthing, Vaultwarden oder Ähnliches aufsetzen sollte, wollte ich es schon so sicher wie möglich gestalten.

 

Grundsätzlich ist die Idee ok, aber nur lokal meiner Meinung nach sinnfrei ;)

 

und abschließend, die "Sicherheitslücke" sitzt in der Regel ~ 60 cm vor dem Bildschirm ;) nicht persönlich oder nur auf das Thema gemeint ;) nur als allgemeiner Hinweis.

  • Author
8 minutes ago, alturismo said:

wenn du gar keinen externen Zugang willst macht ein lokales SSL setup nicht wirklich Sinn ... nicht falsch verstehen, aber da steht der Aufwand ja in keiner Relation weil was soll das bringen ? deine lokalen Dienste wären normal immer noch alle lokal per http zu erreichen usw usw ... wenn du da wirklich Angriffe erwartest

 

Naja, erwarten natürlich nicht. 😄 Mein Gedanke war eher, keine Scheunentore offen zu lassen. Und auf den Trichter, dass https notwendig ist, kam ich wie angedeutet durch Vaultwarden, was ich ohne nicht nutzen kann.

 

Ich habe inzwischen eine (so denke ich) passende Anleitung gefunden: https://github.com/dani-garcia/vaultwarden/wiki/Running-a-private-vaultwarden-instance-with-Let's-Encrypt-certs

 

19 minutes ago, alturismo said:

und abschließend, die "Sicherheitslücke" sitzt in der Regel ~ 60 cm vor dem Bildschirm ;) nicht persönlich oder nur auf das Thema gemeint ;) nur als allgemeiner Hinweis.

 

Deswegen möchte ich ja auf jeden Remote Access verzichten und nur lokal erreichbar sein. Und im Idealfall eben lokal mit SSL-Zertifikaten. 😉

 

 

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

Account

Navigation

Search

Search

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.