November 16, 20232 yr Hallo zusammen, vorab, um so mehr ich im Netz lese, um so verwirrter werde ich. Stand: ich will meine diversen webui intern im Netz beim aufrufen auf https umstellen, notwendig für vaultwarden. also hab ich: - Port 80, 443 im Router auf NPM umgeleitet - für dyndns Dienst eine Domain erzeugt meindienst.dyndns.org - im NPM diese Domain umgeleitet auf mein webui und ein letsencrypt zertifikat erstellt läuft auch alles. Ich möchte mein WEBUI aber nicht öffentlich im Netz haben - auch nicht mit vorgeschalteter User/PW Abfrage. Für externen Zugriff hab ich wireguard. Schließe ich die weitergeleiteten Ports wieder, kann die Abfrage eines gültigen Zertifikats natürlich nicht erfolgen, logisch. Wie kann ich die Zertifikate nur im Netzwerk verwalten? Das ist doch bestimmt kein Einzelfall Brauche da mal einen verlässlichen Input, wie das am einfachsten umsetzen kann. Grüße oekomat
November 16, 20232 yr Community Expert 8 minutes ago, oekomat said: Wie kann ich die Zertifikate nur im Netzwerk verwalten? Das ist doch bestimmt kein Einzelfall Brauche da mal einen verlässlichen Input, wie das am einfachsten umsetzen kann. Ganz einfach: gar nicht. Du hast Zertifikate von LetsEncrypt, nur LetsEncrypt kann bestätigen, ob sie gültig sind. Verhinderst Du die Verbindung, wars das. Du kannst Dir natürlich eine eigene CA im LAN basteln und jedem Gerät beibringen, dieser zu vertrauen. Heidenaufwand, der sich meist nicht lohnt und auch nicht immer durchführbar ist.
November 16, 20232 yr Author das ist eine klare Aussage. Mein need kommt von vaultwarden, der keine http Verbindungen mehr akzeptieren will, wenn ich die Daten im eigenen Container hoste. Und ich bin mit dem Motto "nach außen nur so viel wie unbedingt notwendig" ganz gut gefahren. den NPM aber nur wegen vaultwarden zu betreiben und nur deswegen die Ports zu öffnen ist mir dann doch zu fett.
November 16, 20232 yr Das gleich Problem hatte ich auch. Du wirst um eine öffentliche Domain nicht herumkommen. Das kann eine de Domain sein oder über zB DuckDNS Ein gutes Video dazu das mir sehr geholfen hat ist folgendes Wenn du dann noch mehr Fragen hast kann ich vielleicht helfen
November 16, 20232 yr 2 hours ago, oekomat said: Das ist doch bestimmt kein Einzelfall in Summe ... naja, ganz alleine wirst du nicht sein, aber warum ich zuhause Certs brauche oder Vaultwarden brauche sei mal dahingestellt werden wohl nicht so viele Nutzer sein ... Ich hab den Thread auch hierher verschoben ... trotz "Double Post" ... da dies sicher keine Anleitung ist sondern eine Frage ... auch hier bitte in Zukunft darauf achten ... Wenn du ne Lösung hast darfst du die gerne unter Anleitungen posten Und wenn wir schon dabei sind, da du Dich ja dort bereits umgeschaut hast, den Thread nicht gesehen ? (ist auch auf Seite 1)
November 16, 20232 yr Author 2 hours ago, martinriedel said: Das gleich Problem hatte ich auch. Du wirst um eine öffentliche Domain nicht herumkommen. Das kann eine de Domain sein oder über zB DuckDNS Ein gutes Video dazu das mir sehr geholfen hat ist folgendes Wenn du dann noch mehr Fragen hast kann ich vielleicht helfen Aber macht DuckDNs nicht das gleiche wie anderen dyndns Dienste? ich hab ddnss.de und lassen die erstellte Domain (name.ddnss.de) zu meiner dynmiaschen IP umleiten. Den Dienst habe ich ja, Zertifikate ohne offene 80, 443 klappen dann aber nicht mehr.
November 16, 20232 yr Author @martinriedel Danke. bin jetzt ein bissl weiter. Wenn ich bei Duckdns die lokale IP des NPM eintrage funktioniert einiges. Die ändert sich jedoch regelmäßig auf meine öffentliche IP. Was kann ich da tun?
November 17, 20232 yr Solution Ja DuckDNS macht das gleiche wie andere DynDNS Dienste, somit bist du (fast) frei in der Auswahl. Du darfst nur nicht deine IP mit deiner FritzBox oder mit einem Skript bei dem DynDNS Anbieter aktualisieren lassen, die muss immer auf deiner lokalen NPM . Grob muss man sich das so vorstellen das du innerhalb deines Netzwerkes die URL abfrgagst beim DNS, der gibt deine lokale NPM IP zurück, der Browser sendet die Anfrage an NPM, dort ist das Zertifikat hinterlegt für die aufgerufene Domain und SSL sollte funktionieren. Der oberste Kommentar bei dem Video ist auch noch hilfreich, nämlich eine DNS rebind protection in der FritzBox eintragen @alturismo es ist nicht nur Vaultwarden, Paperless auf einem iPhone verbindet sich erst gar nicht wenn man kein SSL benutzt, zumindest war es vor einem halben Jahr noch so.
November 17, 20232 yr Community Expert 1 hour ago, martinriedel said: Paperless auf einem iPhone verbindet sich erst gar nicht wenn man kein SSL benutzt, zumindest war es vor einem halben Jahr noch so. Das kann ich nicht bestätigen. Nutze Paperless deutlich länger als ein halbes Jahr und hatte noch nie Probleme auf die GUI zu kommen im Heimnetz. Egal ob iPhone, iPad, Mac oder sonstige Geräte. Kein SSL am Start. Edited November 17, 20232 yr by saber1
November 17, 20232 yr 24 minutes ago, saber1 said: Das kann ich nicht bestätigen. Nutze Paperless deutlich länger als ein halbes Jahr und hatte noch nie Probleme auf die GUI zu kommen im Heimnetz. Egal ob iPhone, iPad, Mac oder sonstige Geräte. Kein SSL am Start. Da hatte ich mich falsch ausgedrückt, meinte mit der iOS App
November 17, 20232 yr 1 hour ago, martinriedel said: @alturismo es ist nicht nur Vaultwarden, Paperless auf einem iPhone verbindet sich erst gar nicht wenn man kein SSL benutzt, zumindest war es vor einem halben Jahr noch so. ich nutze paperless auch bereits lange ... und kann das wie @saber1 auch nicht bestätigen ... aber egal, muss ja jeder für sich entscheiden, nur wenn ich es so einrichte wie hier beschrieben könnte ich ja paperless auch NUR lokal erreichen was meiner (persönlichen) Meinung nach sinnfrei ist ... auf nem iOS App Gerät
November 17, 20232 yr Author 2 hours ago, martinriedel said: Ja DuckDNS macht das gleiche wie andere DynDNS Dienste, somit bist du (fast) frei in der Auswahl. Du darfst nur nicht deine IP mit deiner FritzBox oder mit einem Skript bei dem DynDNS Anbieter aktualisieren lassen, die muss immer auf deiner lokalen NPM . Grob muss man sich das so vorstellen das du innerhalb deines Netzwerkes die URL abfrgagst beim DNS, der gibt deine lokale NPM IP zurück, der Browser sendet die Anfrage an NPM, dort ist das Zertifikat hinterlegt für die aufgerufene Domain und SSL sollte funktionieren. Der oberste Kommentar bei dem Video ist auch noch hilfreich, nämlich eine DNS rebind protection in der FritzBox eintragen ok, wegen dem Rebind Schutz muss ich gucken, hab die UDM Pro von unifi. Frage ist eher wo ich bei Duckdns (hab mir dort eine Reservierung vorgenommen) unterdrücken kann, dass die IP aktualisiert wird?! Edit: könnte das PRoblem gefunden haben. Mein DuckDNS Container hatte die IP alle 6 Min. gemeldet, quasi überschrieben. Daher kannte das WebPortal meine öffentliche. Container deaktiviert, läuft. Danke. Coole Lösung. Edited November 17, 20232 yr by oekomat
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.