Skip to content
View in the app

A better way to browse. Learn more.

Unraid

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

nginx mit zertifikaten nur im Heimnetz

Featured Replies

Hallo zusammen,

 

vorab, um so mehr ich im Netz lese, um so verwirrter werde ich. Stand: ich will meine diversen webui intern im Netz beim aufrufen auf https umstellen, notwendig für vaultwarden. also hab ich:

- Port 80, 443 im Router auf NPM umgeleitet

- für dyndns Dienst eine Domain erzeugt meindienst.dyndns.org

- im NPM diese Domain umgeleitet auf mein webui und ein letsencrypt zertifikat erstellt

 

läuft auch alles. Ich möchte mein WEBUI aber nicht öffentlich im Netz haben - auch nicht mit vorgeschalteter User/PW Abfrage. Für externen Zugriff hab ich wireguard.

Schließe ich die weitergeleiteten Ports wieder, kann die Abfrage eines gültigen Zertifikats natürlich nicht erfolgen, logisch.

 

Wie kann ich die Zertifikate nur im Netzwerk verwalten? Das ist doch bestimmt kein Einzelfall ;-) Brauche da mal einen verlässlichen Input, wie das am einfachsten umsetzen kann.

 

Grüße oekomat

Solved by martinriedel

  • Community Expert
8 minutes ago, oekomat said:

Wie kann ich die Zertifikate nur im Netzwerk verwalten? Das ist doch bestimmt kein Einzelfall ;-) Brauche da mal einen verlässlichen Input, wie das am einfachsten umsetzen kann.

Ganz einfach: gar nicht.

Du hast Zertifikate von LetsEncrypt, nur LetsEncrypt kann bestätigen, ob sie gültig sind.

Verhinderst Du die Verbindung, wars das.

 

Du kannst Dir natürlich eine eigene CA im LAN basteln und jedem Gerät beibringen, dieser zu vertrauen. Heidenaufwand, der sich meist nicht lohnt und auch nicht immer durchführbar ist.

 

  • Author

das ist eine klare Aussage. Mein need kommt von vaultwarden, der keine http Verbindungen mehr akzeptieren will, wenn ich die Daten im eigenen Container hoste. Und ich bin mit dem Motto "nach außen nur so viel wie unbedingt notwendig" ganz gut gefahren. den NPM aber nur wegen vaultwarden zu betreiben und nur deswegen die Ports zu öffnen ist mir dann doch zu fett.

Das gleich Problem hatte ich auch. Du wirst um eine öffentliche Domain nicht herumkommen. Das kann eine de Domain sein oder über zB DuckDNS
Ein gutes Video dazu das mir sehr geholfen hat ist folgendes 

Wenn du dann noch mehr Fragen hast kann ich vielleicht helfen

2 hours ago, oekomat said:

Das ist doch bestimmt kein Einzelfall

in Summe ... naja, ganz alleine wirst du nicht sein, aber warum ich zuhause Certs brauche oder Vaultwarden brauche sei mal dahingestellt ;)
werden wohl nicht so viele Nutzer sein ...

 

Ich hab den Thread auch hierher verschoben ... trotz "Double Post" ... da dies sicher keine Anleitung ist sondern eine Frage ...
auch hier bitte in Zukunft darauf achten ... Wenn du ne Lösung hast darfst du die gerne unter Anleitungen posten ;)

 

Und wenn wir schon dabei sind, da du Dich ja dort bereits umgeschaut hast, den Thread nicht gesehen ? (ist auch auf Seite 1)

 

 

  • Author
2 hours ago, martinriedel said:

Das gleich Problem hatte ich auch. Du wirst um eine öffentliche Domain nicht herumkommen. Das kann eine de Domain sein oder über zB DuckDNS
Ein gutes Video dazu das mir sehr geholfen hat ist folgendes 

Wenn du dann noch mehr Fragen hast kann ich vielleicht helfen

 

Aber macht DuckDNs nicht das gleiche wie anderen dyndns Dienste? ich hab ddnss.de und lassen die erstellte Domain (name.ddnss.de) zu meiner dynmiaschen IP umleiten.

Den Dienst habe ich ja, Zertifikate ohne offene 80, 443 klappen dann aber nicht mehr.

  • Author

@martinriedel Danke. bin jetzt ein bissl weiter. Wenn ich bei Duckdns die lokale IP des NPM eintrage funktioniert einiges. Die ändert sich jedoch regelmäßig auf meine öffentliche IP. Was kann ich da tun?

  • Solution

Ja DuckDNS macht das gleiche wie andere DynDNS Dienste, somit bist du (fast) frei in der Auswahl. Du darfst nur nicht deine IP mit deiner FritzBox oder mit einem Skript bei dem DynDNS Anbieter aktualisieren lassen, die muss immer auf deiner lokalen NPM . Grob muss man sich das so vorstellen das du innerhalb deines Netzwerkes die URL abfrgagst beim DNS, der gibt deine lokale NPM IP zurück, der Browser sendet die Anfrage an NPM, dort ist das Zertifikat hinterlegt für die aufgerufene Domain und SSL sollte funktionieren.

Der oberste Kommentar bei dem Video ist auch noch hilfreich, nämlich eine DNS rebind protection in der FritzBox eintragen

@alturismo es ist nicht nur Vaultwarden, Paperless auf einem iPhone verbindet sich erst gar nicht wenn man kein SSL benutzt, zumindest war es vor einem halben Jahr noch so.

  • Community Expert
1 hour ago, martinriedel said:

Paperless auf einem iPhone verbindet sich erst gar nicht wenn man kein SSL benutzt, zumindest war es vor einem halben Jahr noch so.

Das kann ich nicht bestätigen. Nutze Paperless deutlich länger als ein halbes Jahr und hatte noch nie Probleme auf die GUI zu kommen im Heimnetz. Egal ob iPhone, iPad, Mac oder sonstige Geräte. Kein SSL am Start.

Edited by saber1

24 minutes ago, saber1 said:

Das kann ich nicht bestätigen. Nutze Paperless deutlich länger als ein halbes Jahr und hatte noch nie Probleme auf die GUI zu kommen im Heimnetz. Egal ob iPhone, iPad, Mac oder sonstige Geräte. Kein SSL am Start.

Da hatte ich mich falsch ausgedrückt, meinte mit der iOS App

1 hour ago, martinriedel said:

@alturismo es ist nicht nur Vaultwarden, Paperless auf einem iPhone verbindet sich erst gar nicht wenn man kein SSL benutzt, zumindest war es vor einem halben Jahr noch so.

ich nutze paperless auch bereits lange ... und kann das wie @saber1 auch nicht bestätigen ... aber egal, muss ja jeder für sich entscheiden, nur wenn ich es so einrichte wie hier beschrieben könnte ich ja paperless auch NUR lokal erreichen was meiner (persönlichen) Meinung nach sinnfrei ist ... ;) auf nem iOS App Gerät ;)

  • Author
2 hours ago, martinriedel said:

Ja DuckDNS macht das gleiche wie andere DynDNS Dienste, somit bist du (fast) frei in der Auswahl. Du darfst nur nicht deine IP mit deiner FritzBox oder mit einem Skript bei dem DynDNS Anbieter aktualisieren lassen, die muss immer auf deiner lokalen NPM . Grob muss man sich das so vorstellen das du innerhalb deines Netzwerkes die URL abfrgagst beim DNS, der gibt deine lokale NPM IP zurück, der Browser sendet die Anfrage an NPM, dort ist das Zertifikat hinterlegt für die aufgerufene Domain und SSL sollte funktionieren.

Der oberste Kommentar bei dem Video ist auch noch hilfreich, nämlich eine DNS rebind protection in der FritzBox eintragen
 

 
ok, wegen dem Rebind Schutz muss ich gucken, hab die UDM Pro von unifi.
Frage ist eher wo ich bei Duckdns (hab mir dort eine Reservierung vorgenommen) unterdrücken kann, dass die IP aktualisiert wird?!

Edit: könnte das PRoblem gefunden haben. Mein DuckDNS Container hatte die IP alle 6 Min. gemeldet, quasi überschrieben. Daher kannte das WebPortal meine öffentliche. Container deaktiviert, läuft. Danke. Coole Lösung.

Edited by oekomat

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

Account

Navigation

Search

Search

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.