Skip to content
View in the app

A better way to browse. Learn more.

Unraid

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Nginx Proxy Manager einrichten für Interne https

Featured Replies

Hallo alle zusammen,

vielleicht könnt ihr mir hier weiter helfen. Ich möchte gern den Nginx Proxy Manager als app auf Unraid laufen lassen.

Er soll dafür sein das ich halt innerhalb meines Netzwerk die apps über https mit gültigen Zertifikaten (letsencrypt) erreichen kann.
Bis her habe ich das auf einen Proxmox als Docker laufen. was soweit auch alles gut funktioniert. Doch wenn ich es über Unraid laufen lasse, funktioniert die Weiterleitung nicht. Ich konnte NPM installieren ein white Zertifikat erstellen. Jedoch wenn ich ein Proxy Host hinzufüge, geht halt die Auflösung nicht. Ich habe auf mein Unraid auf im Netzwerk VLAN eingerichtet, was auch soweit gut funktioniert. Ich hatte schon den verdacht das es damit zu tun hat.

Ich habe den NPM direkt mit fixer Adresse im Netzwerk, und hatte hier auch die Port direkt angegeben. sprich keine Portumlenkung (z.b. 8080 auf 80)

Kann mir jemand helfen wie ich den NPM einrichten muss, damit ich die internen Apps erreichen kann ?

Danke

Marhal

Bildschirmfoto 2025-08-06 um 04.23.09.png

Ich nutze den integrierten Proxy Manager nicht (nutze NPMplus für lokale Zertifikate), aber das GUI von Unraid läuft auch Default auf 80 und 443 wenn ich mich nicht irre?!

Edited by k3vbert

  • Community Expert

Damit NPM überhaupt funktionieren kann, must Du DNS Einträge für Deine Proxy Hosts anlegen. Diese müssen auf die Adresse von NPM zeigen (die dann auch hoffentlich "von aussen" erreichbar ist).

Also xxx.meinedomaene.de -> npm

Entweder als direkte Adresse, oder als CNAME.

Das muss auf dem DNS Server passieren, der im LAN verwendet wird (also, wenn es 8.8.8.8 oder so, hast Du ein Problem) Eventuell musst Du dazu eine Domäne nebst DNS Server anmieten.

  • Author

Vielen Dank für euere Rückmeldung.

Ich habe auf den DNS Server natürlich eingestellt das die anfragen auf den NPM gehen. Ich komme auf den NPM auch drauf, kann mich anmelden, Zertifikat erstellen lassen alles.
Nur sobald ich da ein Proxy hosts angebe (die App läuft halt auch auf unraid) kann er diese nicht auflösen. Auch wenn ich in der App auf den Link klicke. Trage ich die Ip im Browser ein, wo er halt weiterleiten soll. funktioniert das tadellos.

Gruß

Marhal

  • Community Expert
5 hours ago, marhal said:

Ich habe auf den DNS Server natürlich eingestellt das die anfragen auf den NPM gehen. Ich komme auf den NPM auch drauf, kann mich anmelden, Zertifikat erstellen lassen alles.
Nur sobald ich da ein Proxy hosts angebe (die App läuft halt auch auf unraid) kann er diese nicht auflösen. Auch wenn ich in der App auf den Link klicke. Trage ich die Ip im Browser ein, wo er halt weiterleiten soll. funktioniert das tadellos.

mal abgesehen von https/Zertifikaten:

Kann der proxy denn die entsprechenden Dienste überhaupt erreichen?

Liegt deine fixe IP im selben Netz (VLAN) wie die Dienste bzw gibt es da eine Route hin?

  • Author

Danke für die vielen Rückmeldungen. Ich habe den Eindruck das er den Dienst nicht erreichen kann.

Ich habe ein zweiten NPM auf einem zweiten Rechner laufen der einwandfrei funktioniert.

@_alo_ der NPM und der Dienst liegen im gleichen VLAN Netz.

ich habe noch einmal Screenshots hinzugefügt. Vielleicht wird es daraus ersichtlicher

VLAN Einstellungen bei Docker

Bildschirmfoto 2025-08-13 um 08.06.57.png

Routen in Netzwerk

Bildschirmfoto 2025-08-13 um 07.51.09.png

Eintrag im DNS auf der Unifi Dream.
morton.intern.magnusstad.de ist feste Rechner

morton.webin.magnusstad.de ist der Eintrag der zu dem NPM zeigt

Bildschirmfoto 2025-08-13 um 08.00.08.png

Das sind meine Docker Einstellungen. Hier habe ich dem NPM eine feste im VLAN 16 gegeben.

Bildschirmfoto 2025-08-13 um 08.00.33.png

Das ist im NPM

Bildschirmfoto 2025-08-13 um 08.00.46.png

Und das ist die Fehlermeldung die ich am ende bekomme

Bildschirmfoto 2025-08-13 um 08.00.57.png

Ich hoffe es wird dadurch ein wenige klarer mit meinem Problem und jemand hat noch eine Idee

Gruß

Marhal

Bildschirmfoto 2025-08-13 um 08.06.42.png

Edited by marhal

  • Community Expert

ich bin etwas verwirrt (viellicht zu früh / zu wenig Kaffee), aber du hast in Docker das /16-Subnetz konfiguriert und im Routing dann /24 - soll das so?

Dann hast du die VLANs offenbar auf eth1, aber im Routing lässt Du das /24 auf eth0 routen.... - warum?

vielleicht braucht es mal einen Netzplan ;)

  • Community Expert
10 minutes ago, _alo_ said:

ich bin etwas verwirrt (viellicht zu früh / zu wenig Kaffee)

Vielleicht aber auch eine unnötig komplizierte Ausgeburt eines LANs, wie man es nicht machen sollte?

Was soll der ganze Quatsch mit den tausenden von VLANS? Wieviel Millionen Rechner hast Du da zuhause?

Ich wundere mich nur, wie Du es geschafft hast, mit NPM ein legales Zertifikat von LetsEncrypt zu bekommen, das funktioniert nur, wenn die Kiste auch unter diesem Namen von Aussen erreichbar ist.

Oder, hast Du das Zertifikat anderweitig erstellt und hier braun reinkopiert???

  • Author

Ich habe halt zwei Netzwerkkarten auf dem Board. Die Eth0 hatte ich für Unraid vorgesehen. und die eth1 sollten dann die Docker und VM sich Teil. Jetzt ist es ein 1GB später wollte ich das über eine 10GB Netzwerkkarte laufen lassen. So der Hintergedanke.

Wieso ich so viele Netze habe, war eigentlich der Grund das ich es thematisch getrennt haben wollte. Sprich die IOT Geräte, Kinder Rechner, Mediageräte halt in separaten Netzwerken.

Gruß

Marhal

  • Community Expert
7 minutes ago, marhal said:

Wieso ich so viele Netze habe, war eigentlich der Grund das ich es thematisch getrennt haben wollte. Sprich die IOT Geräte, Kinder Rechner, Mediageräte halt in separaten Netzwerken.

Mag sein, dass das sinnvoll ist, aber UNRAID ist nicht der richtige Ort, um sich so auszutoben. Besorg Dir für sowas einen dedizierten Router. Und fang nicht mit dem VLAN Quatsch an, das ist nur Fake und wird eigentlich nur im Admin/Carrier Gebrauch sinnvoll eingesetzt.

Kauf Dir n Minipc mit 4 LAN Karten (gibts nun schon billig) und gibt jeder Karte ein eigenes LAN. Dann kannst Du da einen Firewall aufsetzen und regeln, wer, was, wie und warum darf. Wichtig ist, dass es eine zentrale Stelle gibt, die alles regelt und verwaltet.

UNRAID ist glücklich mit EINER Karte und EINER Adresse. Dann gibts auch keinen Stress mit NPMs oder sowas. Den Zugriff regelt der Firewall und Routing.

Grundgedanke: KISS (Keep it simple and stupid)

Du hast aber immer noch nicht verraten, wo das LetsEncrypt Zertifikat herkommt ?

  • Community Expert
21 minutes ago, MAM59 said:

Besorg Dir für sowas einen dedizierten Router. Und fang nicht mit dem VLAN Quatsch an, das ist nur Fake und wird eigentlich nur im Admin/Carrier Gebrauch sinnvoll eingesetzt.

VLAN = Quatsch im privaten würde ich nicht sagen.

Gerade wenn man die Netze trennen möchte und das ganze auch Richtung WLAN ausweiten möchte, kommt man da nicht wirklich drum herum, oder man baut halt getrennte WLAN-Netze mit jeweils eigenen APs 🤣?

Klar, Router/Firewall braucht es auch noch!

Ich bin hier z.B. mit den Ubiquity Produkten recht zufrieden....

Das mit dem Zert würde mich auch interessieren....

  • Community Expert
27 minutes ago, _alo_ said:

kommt man da nicht wirklich drum herum, oder man baut halt getrennte WLAN-Netze mit jeweils eigenen APs 🤣?

Na ja, ich nehm halt eigene Netze... Es geht nix über physikalische Trennung. Da sieht man wenigstens, welche Daten da rüberflutschen.

10G fürs eigene LAN, 10G für die Nachbarn, 2,5G für WLAN (hab hier 4 APs) und 2,5G für VideoLAN (SAT IP).

Wie gesagt, gibt so schnuckelige Kisten wo alles drin ist und die nur so <20W verbrauchen...

Gerade bei zeitkritischen Anwendungen wie z.B. SAT IP (oder beim Zocken prominenter Ego Shooter) will man die volle Bandbreite ohne, dass irgendein Hansel in einem anderen VLAN dazwischenfunken kann.

Wenn überhaupt VLAN, dann nur auf definierten Strecken zwischen zwei Switchen. Da kann man dann die Statistiken überwachen und ggf eingreifen. Aber Rechner mit VLAN? NEVER!

Genauso diskutabel ist seine Idee mit "internem HTTPS". Das ist absolut sinnfrei und sinnlos. Vor wem will er die Daten denn verheimlichen? Sich selbst?.

Ich hab mal ein WAN/LAN(s) betreut, dass hatte FÜNF Verschlüsselungsebenen mit IP-SEC (ging darum, dass Techniker bestimmter Firmen selbst bei Böswilligkeit keine realen Daten mittracen konnten). Das war der helle Wahnsinn und man war echt froh, wenn da mal ein PING durchkam und nicht wieder irgendein Schlüssel abgelaufen / ungültig war. Sowas tut man sich freiwillig nur an, wenn man extreme masochistische Züge an (oder sehr gut dafür bezahlt wird :-) ).

Edited by MAM59

  • Community Expert
3 minutes ago, MAM59 said:

Wenn überhaupt VLAN, dann nur auf definierten Strecken zwischen zwei Switchen. Da kann man dann die Statistiken überwachen und ggf eingreifen. Aber Rechner mit VLAN? NEVER!

Achso, das meinst du, da stimme ich Dir ja vollkommen zu!

7 minutes ago, MAM59 said:

Na ja, ich nehm halt eigene Netze... Es geht nix über physikalische Trennung. Da sieht man wenigstens, welche Daten da rüberflutschen.

10G fürs eigene LAN, 10G für die Nachbarn, 2,5G für WLAN (hab hier 4 APs) und 2,5G für VideoLAN (SAT IP).

Wie gesagt, gibt so schnuckelige Kisten wo alles drin ist und die nur so <20W verbrauchen...

Ich hab das hier ähnlich, aber bin halt über den Wunsch mehrere SSIDs mit eben verschiedenen Netzen (IoT, Nachbarn, eigenes Netz, Gast, ...) anbieten zu wollen auf unifi APs gekommen, da die Fritz!Box ja nur zwei WLANs unterstützt und natürlich weil die Hausverkabelung begrenzt ist. Anfangs noch mit einem Edgerouter und docker unifi-controller bin ich jetzt mit dem FTTH-Anschluss auf ein Cloud Gateway gewechselt (mittlerweile sind es schon 5 APs und 6 Switche).

LAN/WLAN physikalisch zu trennen wäre hier eine riesen Hardwareschlacht und der stabile Betrieb im WLAN kaum handlebar.

  • Author

Nun ich denke VLAN ist nicht verkehrt. Da man ja doch unterschiedliche Anwendungen hat die man gern separieren möchte. Ich möchte nicht den ganzen Netzwerkverkehr in lokalen Netz haben. Dann doch lieber in einem eigenen Netz. Aber das ist halt Geschmacksache. Ich nutze den NPM ja auch nur intern damit ich gültige Zertifikate für die Docker Anwendungen habe. Und ich kann mich @alo nur anschließen ich bin mit den Unifi Produkten zufrieden. Alternative wäre jetzt das ich eine 4 Port Netzwerkkarte ins Unraid einbaue und dann den Docker zuweise.

Aber mein Hintergedanke war ja das ich später mal auf 10 GB gehe.

Das interne https habe ich nur damit die Meldungen halt wegbeleiben mit der unsicheren Zertifikaten

Das Zertifikat habe ich einfach in NPM hinzugefügt.

  • Community Expert
2 minutes ago, marhal said:

Nun ich denke VLAN ist nicht verkehrt. Da man ja doch unterschiedliche Anwendungen hat die man gern separieren möchte. Ich möchte nicht den ganzen Netzwerkverkehr in lokalen Netz haben. Dann doch lieber in einem eigenen Netz. Aber das ist halt Geschmacksache. Ich nutze den NPM ja auch nur intern damit ich gültige Zertifikate für die Docker Anwendungen habe. Und ich kann mich @alo nur anschließen ich bin mit den Unifi Produkten zufrieden. Alternative wäre jetzt das ich eine 4 Port Netzwerkkarte ins Unraid einbaue und dann den Docker zuweise.

Aber mein Hintergedanke war ja das ich später mal auf 10 GB gehe.

Das Zertifikat habe ich einfach in NPM hinzugefügt.

häh?

wenn du auch unifi Produkte einsetzt, dann hast Du doch einen router und der ist i.d.R. auch gleich Firewall.

Denn regelst du doch da, wer auf welche Netze/hosts zugreifen darf?!?

da brauchst du doch keine VLANs im unraid...

  • Author

Nun die VLAN brauche ich halt wenn ich auf dem Unraid z.b eine docker für IOT habe, die ich halt im IOT Netzwerk haben möchte.

Oder wie löst du ?

  • Community Expert
3 minutes ago, marhal said:

Nun die VLAN brauche ich halt wenn ich auf dem Unraid z.b eine docker für IOT habe, die ich halt im IOT Netzwerk haben möchte.

Oder wie löst du ?

ich erlaube dem IoT device bzw. dem ganzen Netz den Zugriff auf diese IP

  • Community Expert
2 minutes ago, _alo_ said:

da die Fritz!Box ja nur zwei WLANs unterstützt

Fritzbox? solch Spielzeuch ist hier nur Modem und Telefonzentrale. Wichtige Sachen kann sie eh nicht.

Aber der Telefonkram ist eben schön bequem damit.

WLAN gibts hier nur für IOT Dinger, weil die meist kein LAN haben. Wenn möglich setze ich aber Geräte mit LAN ein (z.B. Shelly Pro)

Just now, marhal said:

f dem Unraid z.b eine docker für IOT habe, die ich halt im IOT Netzwerk haben möchte.

aha, und hier sehen wir das fehlende Grundverständnis von Routing...

Kurz gesprochen: Routing führt zusammen, VLAN trennt.

Und Du mühst Dich dann tagelang damit ab, das Getrennte irgendwie wieder zusammenzfrickeln...

  • Author

@_alo_ Also hast du praktische deine ganzen Container in deinem Richtigen Netz und steuerst dann über deine Firewall welcher Rechner in das andere Netz darf. Also über die Dream Maschine Pro ?

Dann nehme ich mal für mich mit. Am besten eine Netzwerkkarte mit mehreren Ports, wenn ich die Container in verschiedene Netzen haben möchte.

Oder alles im Gleichen Netz belassen und dann über die Firewall den traffic regeln ?

@MAM59 und wie machst du das dann mit den ungültigen Zertifikatsmeldungen ?

Edited by marhal

  • Community Expert
3 minutes ago, MAM59 said:

Fritzbox? solch Spielzeuch ist hier nur Modem und Telefonzentrale. Wichtige Sachen kann sie eh nicht.

hier ist die 5590 nur NAT-Router und ONT (ja, ich weiß, ein einfacher ONT vor dem UCG hätte auch gereicht, aber wenn man die Fritte schon gestellt bekommt, kann man sich die 50€ ja sparen und baut router hinter router 🤷‍♂️)

VoIP macht sie zwar auch, brauch ich aber nicht

10 minutes ago, MAM59 said:

WLAN gibts hier nur für IOT Dinger, weil die meist kein LAN haben. Wenn möglich setze ich aber Geräte mit LAN ein (z.B. Shelly Pro)

JA, WLAN nur da wo es nicht anders geht (manche IoT-Klamotten), aber das gilt hier auch noch für diverse Handys/Uhren/Lautsprecher/Tablets oder Multimedia-Klamotten weit weg von LAN-Dosen wie Spielekonsolen/(fire)TVs....

4 minutes ago, marhal said:

Also hast du praktische deine ganzen Container in deinem Richtigen Netz und steuerst dann über deine Firewall welcher Rechner in das andere Netz darf. Also über die Dream Maschine Pro ?

genau: mein Server sowie dessen Container mit eigener IP sind alle in einem Netz. Meine IoT-Geräte befinden sich in einem anderen Netz/VLAN (die Mobilgeräte wieder in einem anderen, die Gäste auch etc.).

Mein UCG (wofür privat eine DM pro??) routet zwischen den Netzen (ist glaube ich sogar die Default-Einstellung). Per Firewall kann ich das dann einschränken. (umgekehrt ist übrigens besser: alles blockiert, nur das nötige freigegeben)

  • Community Expert
30 minutes ago, marhal said:

und wie machst du das dann mit den ungültigen Zertifikatsmeldungen ?

Was für "ungültige Zertifikatsmeldungen" ?

Ach sooo.. Du meinst Selbstsignierte?

Antwort: gar nicht!

Man benutzt intern kein HTTPS, das stellt nur der NPM für extern bereit.

grafik.png

(der letzte Eintrag ist die Homepage auf eigenem Server. Die hat ein eigenes Zertifikat deshalb braucht NPM keins und kann durchtunneln)

(und da gibts dann noch mehr als ein Dutzend andere, aber egal, die sehen alle gleich aus)

Es ist natürlich klar, dass alle diese hier aufgeführten Ports und Adressen (bis auf die letzte) von Aussen NICHT zugänglich sind. Alle Namen dieser Host zeigen auf den NPM.

Edited by MAM59

  • Community Expert

Gute Frage: wofür intern überhaupt https?

ich nutze den NPM nur intern, um mir nicht die ganzen IP:Ports der Container merken zu müssen, hostnamen sind da einfacher 😉

Mein Server ist aber auch nicht von extern erreichbar bzw. nur von mir über Wireguard

  • Community Expert
22 minutes ago, _alo_ said:

diverse Handys/Uhren/Lautsprecher/Tablets oder Multimedia-Klamotten

Hexenwerk 😜

Jaja, den Kram vergess ich hier immer, wobei "Uhren" und "Lautsprecher" sich hier nicht tummeln. Und Multimedia Dinger (z.B. PIs mit LibreELEC) hängen immer am Kabel, soll ja nix stottern...

  • Community Expert
4 minutes ago, _alo_ said:

Gute Frage: wofür intern überhaupt https?

Na ja, "wenns schee macht..." kann man natürlich von intern den externen Namen benutzen und der NPM macht dann eben sein HTTPS Dingen.

Da braucht man dann nicht extra noch jedes Dingen einzeln verschlüsseln und schläft trotzdem ruhiger (wenn man es so will).

  • Community Expert
17 minutes ago, MAM59 said:

Und Multimedia Dinger (z.B. PIs mit LibreELEC) hängen immer am Kabel, soll ja nix stottern

zu meinem madVR HTPC liegt aus dem Grund ja auch ein Kabel 😉 aber für den StreamingKrams reicht WLAN vollkommen...

15 minutes ago, MAM59 said:

NPM macht dann eben sein HTTPS Dingen.

Da braucht man dann nicht extra noch jedes Dingen einzeln verschlüsseln und schläft trotzdem ruhiger (wenn man es so will).

mir schon klar, dass/wie das geht, aber die Frage wozu?

Gerade wenn man schon Netze differenziert und Gäste etc. ausschließt von der Kommunikation zu den Serverdiensten (sodass auch keiner was theoretisch mitsniffen könnte), wozu dann noch verschlüsseln?

@marhal Oder vertrauen die User Dir als Admin nicht? 😉

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

Account

Navigation

Search

Search

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.