oekomat Posted November 16, 2023 Share Posted November 16, 2023 Hallo zusammen, vorab, um so mehr ich im Netz lese, um so verwirrter werde ich. Stand: ich will meine diversen webui intern im Netz beim aufrufen auf https umstellen, notwendig für vaultwarden. also hab ich: - Port 80, 443 im Router auf NPM umgeleitet - für dyndns Dienst eine Domain erzeugt meindienst.dyndns.org - im NPM diese Domain umgeleitet auf mein webui und ein letsencrypt zertifikat erstellt läuft auch alles. Ich möchte mein WEBUI aber nicht öffentlich im Netz haben - auch nicht mit vorgeschalteter User/PW Abfrage. Für externen Zugriff hab ich wireguard. Schließe ich die weitergeleiteten Ports wieder, kann die Abfrage eines gültigen Zertifikats natürlich nicht erfolgen, logisch. Wie kann ich die Zertifikate nur im Netzwerk verwalten? Das ist doch bestimmt kein Einzelfall Brauche da mal einen verlässlichen Input, wie das am einfachsten umsetzen kann. Grüße oekomat Quote Link to comment
MAM59 Posted November 16, 2023 Share Posted November 16, 2023 8 minutes ago, oekomat said: Wie kann ich die Zertifikate nur im Netzwerk verwalten? Das ist doch bestimmt kein Einzelfall Brauche da mal einen verlässlichen Input, wie das am einfachsten umsetzen kann. Ganz einfach: gar nicht. Du hast Zertifikate von LetsEncrypt, nur LetsEncrypt kann bestätigen, ob sie gültig sind. Verhinderst Du die Verbindung, wars das. Du kannst Dir natürlich eine eigene CA im LAN basteln und jedem Gerät beibringen, dieser zu vertrauen. Heidenaufwand, der sich meist nicht lohnt und auch nicht immer durchführbar ist. 1 Quote Link to comment
oekomat Posted November 16, 2023 Author Share Posted November 16, 2023 das ist eine klare Aussage. Mein need kommt von vaultwarden, der keine http Verbindungen mehr akzeptieren will, wenn ich die Daten im eigenen Container hoste. Und ich bin mit dem Motto "nach außen nur so viel wie unbedingt notwendig" ganz gut gefahren. den NPM aber nur wegen vaultwarden zu betreiben und nur deswegen die Ports zu öffnen ist mir dann doch zu fett. Quote Link to comment
martinriedel Posted November 16, 2023 Share Posted November 16, 2023 Das gleich Problem hatte ich auch. Du wirst um eine öffentliche Domain nicht herumkommen. Das kann eine de Domain sein oder über zB DuckDNS Ein gutes Video dazu das mir sehr geholfen hat ist folgendes Wenn du dann noch mehr Fragen hast kann ich vielleicht helfen Quote Link to comment
alturismo Posted November 16, 2023 Share Posted November 16, 2023 2 hours ago, oekomat said: Das ist doch bestimmt kein Einzelfall in Summe ... naja, ganz alleine wirst du nicht sein, aber warum ich zuhause Certs brauche oder Vaultwarden brauche sei mal dahingestellt werden wohl nicht so viele Nutzer sein ... Ich hab den Thread auch hierher verschoben ... trotz "Double Post" ... da dies sicher keine Anleitung ist sondern eine Frage ... auch hier bitte in Zukunft darauf achten ... Wenn du ne Lösung hast darfst du die gerne unter Anleitungen posten Und wenn wir schon dabei sind, da du Dich ja dort bereits umgeschaut hast, den Thread nicht gesehen ? (ist auch auf Seite 1) Quote Link to comment
oekomat Posted November 16, 2023 Author Share Posted November 16, 2023 2 hours ago, martinriedel said: Das gleich Problem hatte ich auch. Du wirst um eine öffentliche Domain nicht herumkommen. Das kann eine de Domain sein oder über zB DuckDNS Ein gutes Video dazu das mir sehr geholfen hat ist folgendes Wenn du dann noch mehr Fragen hast kann ich vielleicht helfen Aber macht DuckDNs nicht das gleiche wie anderen dyndns Dienste? ich hab ddnss.de und lassen die erstellte Domain (name.ddnss.de) zu meiner dynmiaschen IP umleiten. Den Dienst habe ich ja, Zertifikate ohne offene 80, 443 klappen dann aber nicht mehr. Quote Link to comment
oekomat Posted November 16, 2023 Author Share Posted November 16, 2023 @martinriedel Danke. bin jetzt ein bissl weiter. Wenn ich bei Duckdns die lokale IP des NPM eintrage funktioniert einiges. Die ändert sich jedoch regelmäßig auf meine öffentliche IP. Was kann ich da tun? Quote Link to comment
Solution martinriedel Posted November 17, 2023 Solution Share Posted November 17, 2023 Ja DuckDNS macht das gleiche wie andere DynDNS Dienste, somit bist du (fast) frei in der Auswahl. Du darfst nur nicht deine IP mit deiner FritzBox oder mit einem Skript bei dem DynDNS Anbieter aktualisieren lassen, die muss immer auf deiner lokalen NPM . Grob muss man sich das so vorstellen das du innerhalb deines Netzwerkes die URL abfrgagst beim DNS, der gibt deine lokale NPM IP zurück, der Browser sendet die Anfrage an NPM, dort ist das Zertifikat hinterlegt für die aufgerufene Domain und SSL sollte funktionieren. Der oberste Kommentar bei dem Video ist auch noch hilfreich, nämlich eine DNS rebind protection in der FritzBox eintragen @alturismo es ist nicht nur Vaultwarden, Paperless auf einem iPhone verbindet sich erst gar nicht wenn man kein SSL benutzt, zumindest war es vor einem halben Jahr noch so. 1 Quote Link to comment
saber1 Posted November 17, 2023 Share Posted November 17, 2023 (edited) 1 hour ago, martinriedel said: Paperless auf einem iPhone verbindet sich erst gar nicht wenn man kein SSL benutzt, zumindest war es vor einem halben Jahr noch so. Das kann ich nicht bestätigen. Nutze Paperless deutlich länger als ein halbes Jahr und hatte noch nie Probleme auf die GUI zu kommen im Heimnetz. Egal ob iPhone, iPad, Mac oder sonstige Geräte. Kein SSL am Start. Edited November 17, 2023 by saber1 Quote Link to comment
martinriedel Posted November 17, 2023 Share Posted November 17, 2023 24 minutes ago, saber1 said: Das kann ich nicht bestätigen. Nutze Paperless deutlich länger als ein halbes Jahr und hatte noch nie Probleme auf die GUI zu kommen im Heimnetz. Egal ob iPhone, iPad, Mac oder sonstige Geräte. Kein SSL am Start. Da hatte ich mich falsch ausgedrückt, meinte mit der iOS App Quote Link to comment
alturismo Posted November 17, 2023 Share Posted November 17, 2023 1 hour ago, martinriedel said: @alturismo es ist nicht nur Vaultwarden, Paperless auf einem iPhone verbindet sich erst gar nicht wenn man kein SSL benutzt, zumindest war es vor einem halben Jahr noch so. ich nutze paperless auch bereits lange ... und kann das wie @saber1 auch nicht bestätigen ... aber egal, muss ja jeder für sich entscheiden, nur wenn ich es so einrichte wie hier beschrieben könnte ich ja paperless auch NUR lokal erreichen was meiner (persönlichen) Meinung nach sinnfrei ist ... auf nem iOS App Gerät Quote Link to comment
oekomat Posted November 17, 2023 Author Share Posted November 17, 2023 (edited) 2 hours ago, martinriedel said: Ja DuckDNS macht das gleiche wie andere DynDNS Dienste, somit bist du (fast) frei in der Auswahl. Du darfst nur nicht deine IP mit deiner FritzBox oder mit einem Skript bei dem DynDNS Anbieter aktualisieren lassen, die muss immer auf deiner lokalen NPM . Grob muss man sich das so vorstellen das du innerhalb deines Netzwerkes die URL abfrgagst beim DNS, der gibt deine lokale NPM IP zurück, der Browser sendet die Anfrage an NPM, dort ist das Zertifikat hinterlegt für die aufgerufene Domain und SSL sollte funktionieren. Der oberste Kommentar bei dem Video ist auch noch hilfreich, nämlich eine DNS rebind protection in der FritzBox eintragen ok, wegen dem Rebind Schutz muss ich gucken, hab die UDM Pro von unifi. Frage ist eher wo ich bei Duckdns (hab mir dort eine Reservierung vorgenommen) unterdrücken kann, dass die IP aktualisiert wird?! Edit: könnte das PRoblem gefunden haben. Mein DuckDNS Container hatte die IP alle 6 Min. gemeldet, quasi überschrieben. Daher kannte das WebPortal meine öffentliche. Container deaktiviert, läuft. Danke. Coole Lösung. Edited November 17, 2023 by oekomat Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.