Nginx Proxy Manager und IPV6

[m.hoehndorf]

Hallo in die Runde,

 

Ich habe schon seit mehreren Jahren das Thema Nextcloud auf meiner ToDo Liste.

Bisher hatte ich das Thema nicht umgesetzt, da mir die Bandbreite einer 100er DSL Leitung nicht ausreichend erschien.

Nun haben wir seit einem halben Jahr einen Glasfaseranschluss welcher schnell genug ist, so das ich das Thema Nextcloud jetzt gern umsetzen würde.

Aufgrund der Gegebenheiten eines Glasfaseranschlusses (keine dezidierte ipv4 Adresse) muss das ganze auf ipv6 umgesetzt werden.

Folgende Schritte habe ich dazu durchgeführt:

1. ich habe die Ports des Unraid Server von 80/443 auf 5000/5001 gesetzt,
2. Nginx Proxy Manager installiert und Netzwerktyp als Host eingestellt,
3. ermittelt welche ipv6 Adresse mein Unraid Server,
4. diese IP dann mit den Ports 80/443 in der Firewall meiner UDM Pro freigegeben,
5. die IP in den Domain Name System (DNS) settings bei meinen Hoster (Domain Factory) hinterlegt (einmal mit unter meinedomain.de und einmal unter *.meinedomain.de).

 

Ich komme nun auch unter der Domain auf die Willkommensseite des Nginx Proxy Manager.

Allerdings komme ich auch mit meinedomain.de:5000 auf den login meines Unraids was aus meiner Sicht ein Sicherheitsproblem ist.

 

EDIT: Habe auch gerade festgestellt das ich somit auch direkt auf andere Container zugreifen kann. (z.B. auf den Unifi Controller unter der Angabe www.meinedomain.de:8081 oder auf den Emby Server unter Angabe der Portnummer 8096) 

 

Soweit ich gelesen habe sind bei ipv6 ja alle Ports offen... gibt es eine Eine Möglichkeit im Nginx Proxy Manager das zu unterbinden?

 

Vielen Dank im Voraus für eure Hilfe.

 

  

Edited December 20, 2022 by m.hoehndorf

[MAM59]

also, erstmal brauchst Du für V6 gar keinen "Proxy Manager".

Wie Du schon durch Schmerzen gelernt hast, bist Du der voll exponierte, alle Ports sind von aussen direkt erreichbar.

Was Du also eher brauchst ist ein ordentlicher Firewall.

Oder ggf einen ordentlichen Router, der beides drin hat.

 

Du verrätst uns leider nicht, ob Dein Anschluß nur eine einzige Adresse enthält, oder ein sogenannter "Präfix" delegiert wird. Deshalb sind weitere Aussagen nicht möglich.

 

(allerdings kannst Du Dich schon mal damit abfinden, dass nur wenige Geräte den Weg zu Deiner Cloud finden werden. Also, bevor Du weitermachst, finde raus, ob Deine Händis und so weiter alle schon V6 sprechen können, sonst haben sie keinerlei Chance. Viele Mobifunkanbieter sind da noch im letzten Jahrtausend festgefahren und auch bei DSL Anbietern sieht es of mau aus.)

 

 

Edited December 20, 2022 by MAM59

[m.hoehndorf]

Ja danke das bestätigt meine Vermutungen. An meinem Anschluss habe ich V6 Delegation eingestellt. Handys und andere Geräte funktionieren soweit ich es testen konnte. 

Als Router/Firewall habe ich derzeit eine Ubiquiti Dream Machine Pro (UDM Pro) bisher dachte ich das die darin verbaute Firewall was taugt..... 

 

Eine Überlegung wäre noch das alles über VPN zu realisieren was dann wieder nicht Familienfreundlich ist.  

 

[MAM59]

19 minutes ago, m.hoehndorf said:

bisher dachte ich das die darin verbaute Firewall was taugt

jo, sollte er, allerdings nutzt er nix, wenn man alles an ihm vorbeidelegiert. Du musst schon den UbiDingsDa als EINZIGES Gerät an den LWL Anschluß hängen, und Deine restlichen Kisten DAHINTER.

(und natürlich dem ObiWanKenobi noch irgendwie mitteilen, was er durchlassen soll. Ich nehme an, er sperrt erstmal alles. Keine Ahnung, kenne die Kiste nicht).

Hab mir gerade mal das etwas einfache "how to install" video angeguckt. Da wird leider nicht gezeigt, wie man den Firewall einrichtet. Ich befürchte, Du hast ihn einfach AUSgeschaltet irgendwie.

 

[m.hoehndorf]

Ja das habe ich ja, die UDM PRO hängt direkt an dem kleinen schwarzen Kasten der Glasfaser und alles andere hängt dahinter. 

 

Firewall sollte aktiv sein ich habe da nichts ausgeschaltet. 

Werde mir das nachher nochmal genauer ansehen.

Edited December 20, 2022 by m.hoehndorf

[MAM59]

ich hab mir noch ein paar videos angeguckt von dem Teil.

Es scheint wohl so zu sein, dass der Firewall zwar da ist, aber die Defaulteinstellung "lass alles durch" ist.

Sprich: Du darft erstmal reichlich sperren.

 

[jj1987]

Es wurde aber auch wirklich von "extern" getestet, also z.B. aus dem Handynetz?

Weil bei aufrufen aus dem eigenen Netzwerk sollte der Router (und auch die FW) erkennen das die Zieladresse im selben Netzwerk liegt und somit sind dann sowieso alle Scheunentore offen...

[MAM59]

3 minutes ago, jj1987 said:

Es wurde aber auch wirklich von "extern" getestet, also z.B. aus dem Handynetz?

Guter Einwand, also beim Händi mal WLAN deaktivieren und neu probieren...

[m.hoehndorf]

29 minutes ago, MAM59 said:

Guter Einwand, also beim Händi mal WLAN deaktivieren und neu probieren...

Ja derzeit ist unser Sendemast um die Ecke durch (es geht nur Telefonie, kein Internet) ich melde mich sobald ich es testen konnte. 

[mgutt]

On 12/20/2022 at 11:13 AM, m.hoehndorf said:

Allerdings komme ich auch mit meinedomain.de:5000 auf den login meines Unraids was aus meiner Sicht ein Sicherheitsproblem ist.

Da du nur Port 80 und 443 freigegeben hast, hast du offensichtlich lokal getestet. IPv6 kennt kein NAT, entsprechend geht es lokal nicht durch deine Firewall (wobei ich gerade nicht weiß ob das nicht sogar vom verwendeten Prefix abhängt). Alle deine Tests sind damit auch hinfällig. Du musst von außen testen.

 

On 12/20/2022 at 1:59 PM, MAM59 said:

also, erstmal brauchst Du für V6 gar keinen "Proxy Manager".

Bei vielen Containern wie zb Nextcloud muss man einen Proxy davor schalten. Port 443 ist zu und man kann gar kein Zertifikat einspielen. Auch ist es nur beim Host Netzwerk möglich die IPv6 aktuell zu halten. Und da man schlecht zwei Container gleichzeitig auf Host stellen und auf 443 lauschen lassen kann, geht es gerade wegen IPv6 nicht ohne Proxy.

 

On 12/20/2022 at 1:59 PM, MAM59 said:

Wie Du schon durch Schmerzen gelernt hast, bist Du der voll exponierte, alle Ports sind von aussen direkt erreichbar.

Was Du also eher brauchst ist ein ordentlicher Firewall.

Er sagte bereits, dass er eine UDM Pro hat und nur diese beiden Ports freigegeben hat?!

[m.hoehndorf]

Hallo und Guten Morgen/Tag,

 

sorry das ich mich erst jetzt melde, aber die letzten zwei Tage waren mit dem Geburtstag meiner Tochter und diversen Weihnachtsvorbereitungen Zeitlich doch ziemlich gefüllt.

 

16 hours ago, mgutt said:

Da du nur Port 80 und 443 freigegeben hast, hast du offensichtlich lokal getestet. IPv6 kennt kein NAT, entsprechend geht es lokal nicht durch deine Firewall (wobei ich gerade nicht weiß ob das nicht sogar vom verwendeten Prefix abhängt). Alle deine Tests sind damit auch hinfällig. Du musst von außen testen.

Ja wieder was gelernt...

Nachdem ich zuerst bzgl. der Firewall in der UDM Pro verunsichert war habe ich die Freigabe erst einmal pausiert. und habe versucht von außen auf den Unraid zu kommen (über die Domain und direkt mit der IPV6) ohne Erfolg. 

Als nächstes habe ich die Freigabe wieder aktiviert und erneut von außen getestet. (Wieder rein ins Auto und soweit fahren bis wieder Internet auf dem Handy vorhanden war.) Ergebnis ich komme auf den Nginx Proxy Manager über Port 80 und 443 so wie es sein soll, alle anderen Ports sind nicht erreichbar. Somit sage ich, aus meinem Verständnis heraus, dass die Firewall funktioniert und auch nur die freigegeben Ports offen sind.

 

Ich bin mit dem Proxy Manager super zufrieden, vor allem das die Let's Encrypt Zertifikate so easy erstellt und eingebunden werden können.  

 

Danke auch nochmal an die Community hier die wirklich super ist.

Bisher habe ich den Wechsel von QNAP zu UNRAID nicht bereut.

 

Gruß Maik