August 13, 2025Aug 13 Author Nun das mit den verschlüsseln bringen die Container doch schon von hause aus mit. Allein unifi und Unraid meckern das https an.Und es ist normal das login über https.
August 13, 2025Aug 13 Community Expert 1 minute ago, marhal said:Und es ist normal das login über https.NöBraucht kein Mensch
August 14, 2025Aug 14 Warum denn intern kein https? Mache das auch ( mit caddy ) leichter zu merkenSieht schöner ausKeine warnmeldungen mehrund sicherer ( auch wenn man es nicht braucht aber kann ja nicht schaden )@marhal dein DNS Server ist deine UDM? Hast du da die ganzen DNS rewrites eingetragen?
August 15, 2025Aug 15 Community Expert 5 hours ago, Babavoss said:Warum denn intern kein https? Mache das auch ( mit caddy )Weil das ziemlicher Schwachsinn ist.Du willst UNRAID administrieren? (oder einen anderen der installierten VMs / Docker)Dein Internet/LAN hat gerade mal einen Schluckauf?-> Du kommst nicht auf Deine eigenen Seiten, weil der Browser das Zertifikat nicht überprüfen kann!Also, genau in dem Falle, wo Du die Admin Seiten wohl am dringensten brauchst, versagen sie kläglich...So sägt man sich selber schön den Ast ab!
August 15, 2025Aug 15 Community Expert 6 hours ago, Babavoss said:Warum denn intern kein https? Mache das auchKann ja auch jeder machen, wie er will, ich finde es nur unnötig.6 hours ago, Babavoss said:leichter zu merken?? ob ich jetzt http oder https davor schreibe....ich kann mir beides gut merken ;)DNS Namen sind sicherlich leichter zu merken, als IP:Port, aber das hat ja wiederum nichts mit https/http zu tun 6 hours ago, Babavoss said:Sieht schöner aus6 hours ago, Babavoss said:Keine warnmeldungen mehrdas ist ja fast derselbe Punkt, oder? es geht dir um die Warnmeldungen, dass das selfsigned Zertifikat nicht authentifiziert werden kann?genau: deshalb besser ohne https, dann kommt das doch gar nicht erst6 hours ago, Babavoss said:und sicherer ( auch wenn man es nicht braucht aber kann ja nicht schaden )genau das ist mein Punkt: wofür nutze ich https-Verschlüsselung denn überhaupt? zur Verhinderung von man-in-the-middle Attacken und zum Verhindern des Mitlesens/Abgreifen von Traffic (i.d.r. Login-Daten).Das beides kann ich im LAN bei mir ziemlich sicher ausschließen, daher läuft meine unraid Gui z.B. auf http
August 15, 2025Aug 15 5 hours ago, MAM59 said:So sägt man sich selber schön den Ast ab!Ip:Port funktioniert ja trotzdem noch…Ist auch völlig egal alles, fakt ist es geht und wenn der TE das machen will dann los. Anstatt das ihr es ihm ausreden wollt vielleicht einfach bei seinem Problem helfen
August 15, 2025Aug 15 Community Expert On 8/13/2025 at 8:08 AM, marhal said:Routen in NetzwerkWie ich schon eingangs schrieb, sehe ich das Problem hier:Das ganze VLAN Zeugs (NPM & Dienst) spielt sich scheinbar nur auf eth1.16 ab, trotzdem routest Du das Netz von VLAN16 zum eth0 (hatte ich auch schonmal geschrieben!)Ich weiß nicht wie dein Netzplan aussieht (hatte ich auch nach gefragt), ob vielleicht noch irgendwelches Kreisrouting passiert, aber ich würde da erstmal aufräumen und eine vernünftige Erreichbarkeit der Geräte im VLAN 16 herstellen.Ja es ist etwas abgedriftet in die Fragen der Sinnhaftigkeit der Vorhaben VLANs & https im LAN, aber auf diese Anregungen darf @marhal auch ruhig mal eingehen....😉
August 16, 2025Aug 16 hier hat sich ja jemand mal die Mühe gemacht und eine Anleitung erstelltvielleicht hilft es ja
August 17, 2025Aug 17 On 8/6/2025 at 4:25 AM, marhal said:Hallo alle zusammen,vielleicht könnt ihr mir hier weiter helfen. Ich möchte gern den Nginx Proxy Manager als app auf Unraid laufen lassen.Er soll dafür sein das ich halt innerhalb meines Netzwerk die apps über https mit gültigen Zertifikaten (letsencrypt) erreichen kann. Bis her habe ich das auf einen Proxmox als Docker laufen. was soweit auch alles gut funktioniert. Doch wenn ich es über Unraid laufen lasse, funktioniert die Weiterleitung nicht. Ich konnte NPM installieren ein white Zertifikat erstellen. Jedoch wenn ich ein Proxy Host hinzufüge, geht halt die Auflösung nicht. Ich habe auf mein Unraid auf im Netzwerk VLAN eingerichtet, was auch soweit gut funktioniert. Ich hatte schon den verdacht das es damit zu tun hat.Ich habe den NPM direkt mit fixer Adresse im Netzwerk, und hatte hier auch die Port direkt angegeben. sprich keine Portumlenkung (z.b. 8080 auf 80)Kann mir jemand helfen wie ich den NPM einrichten muss, damit ich die internen Apps erreichen kann ?DankeMarhalÜber Let's Encrypt wird es wohl eher nicht klappen, da du Ports nach außen freigeben musst. Alternativ kannst du dir z. B. bei Ionos eine Domain kaufen. Dort ist ein Wildcard-Zertifikat enthalten, das ohne Portfreigabe funktioniert. So kannst du lokal HTTPS-Domains auflösen, die vielleicht nur lokal laufen sollen und HTTPS erfordern, wie z. B. Vaultwarden.Ein kleines Beispiel wie du das ganze erstellstIch habe folgende Docker am Laufen damit es funktioniert:Adguard Home unter 192.168.178.2Nginx-Proxy-Manager-Official unter 192.168.178.3AdGuard Home ist als lokaler DNS-Server in der Fritzbox hinterlegt. Falls der Server nicht läuft, habe ich dnsforge.de als DNS-Backup hinterlegt, um weiterhin Internetzugang zu haben.Erstellung eines Wildcard Zertifikats (bei Nutzung von gekauften Zertifikaten kann der Teil übersprungen werden)Eigene Root-CA und Wildcard-Zertifikat *.home.lan (könnt ihr lokal auf eurem PC erstellen)Root-CA erstellen (einmalig)# Key für die Root-CA openssl genrsa -out myCA.key 4096 # Selbstsigniertes Root-Zertifikat (30 Jahre gültig) openssl req -x509 -new -nodes -key myCA.key -sha256 -days 10950 -out myCA.pem \ -subj "/C=DE/ST=NRW/L=Home/O=PrivateCA/OU=IT/CN=Home Root CA"👉 myCA.pem ist dein Root-Zertifikat → muss auf allen Clients importiert werden.Wildcard-Key + CSR für *.home.lan# Privater Key openssl genrsa -out home.lan.key 2048 # Zertifikatsanfrage (CSR) openssl req -new -key home.lan.key -out home.lan.csr \ -subj "/C=DE/ST=NRW/L=Home/O=PrivateCA/OU=IT/CN=*.home.lan"SAN-Konfiguration (Datei home.lan.ext erstellen)authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSEkeyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment subjectAltName = @alt_names [alt_names]DNS.1 = *.home.lan DNS.2 = home.lan Zertifikat signieren (10 Jahre gültig)openssl x509 -req -in home.lan.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial \ -out home.lan.crt -days 3650 -sha256 -extfile home.lan.ext Ergebnis:home.lan.crt → Wildcard-Zertifikathome.lan.key → KeymyCA.pem → Root-CAImport in Adguard Home und Nginx Proxy ManagerAdguard Home:gehe unter Filter -> DNS Umschreibungen -> DNS Umschreibung hinzufügengib bei „Domain eingeben” die Domain ein, die du später für den Dienst nutzen möchtest, z. B. „vaultwarden.home.lan”trage darunter die interne IP-Adresse des Nginx Proxy Managers ein, bei mir ist das 192.168.178.3Nginx Proxy Manager:gehe unter SSL Certificates -> Add SSL Certificate -> Custom -> trage dort folgendes einName: *.home.lanCertificate Key: home.lan.keyCertificate: home.lan.crtIntermediate Certificate: myCA.pemgehe zu Dashboard -> Proxy Hosts -> Add Proxy Host -> trage dort folgendes einDomain Names: vaultwarden.home.lanSchema: httpIP: Docker Container IP z. B. von Vaultwarden 192.168.178.60Port: Docker Container Port z. B. 8080 (Einfach IP und Port von eurem Dienst/Docker eintragen, so wie ihr ihn sonst aufrufen würdet)Kreuze immer noch "Block Common Exploits" und "Websockets Support" anDann unter SSL die Domain auswählen -> setze dann immer noch bei allen ein Haken außer HSTS Supdomainsauf Save und du bist fertigHinzufügen des Root-CA im jeweiligen BrowserFügt nun das „myCA.pem → Root-CA” euren Endgeräten im jeweiligen Browser oder dem Betriebssystem hinzuBei Chrome-basierten Browsern gebt ihr in der Suche „Zertifikat” ein und importiert die myCA.pemDu kannst nun wie in dem Beispiel gezeigt Vaultwarden über https://vaultwarden.home.lan aufrufenTipps:nehmt keine ausgedachte Domain mit der Endung ".local", manche Systeme haben damit Probleme und ihr bekommt keine Verbindung (mein Steamdeck meinte Webseite nicht erreichbar)bei Zertifikaten die länger als 1 Jahr lang gültig sind, kann es manchmal zu Problemen kommen bei bestimmten DienstenÜber einen Wireguard-Tunnel kann ich auch unterwegs über HTTPS auf mein Heimnetz zugreifen. Wie schon erwähnt, setzen einige Docker HTTPS voraus, weshalb das meine Lösung für das Problem war.Vielleicht gibt es noch schnellere Wege, aber für mich als Laien war es die einfachste Lösung.Ich hoffe den ein oder anderen damit geholfen zu haben.Mfg Pixelz Edited August 17, 2025Aug 17 by Pixelz_Namikaze
August 18, 2025Aug 18 Author Hi vielen Dank für eure Rückmeldung und Tipps. Ich habe das mit den VLAN hier mal aufgelöst und nur noch einfach zwei Netzwerkkarte direkt in zwei verschiedenen Netzen. Die Ansätze mit KISS bin ich auch ein freund von. (Auch wenn es nicht so ausschaut :))@Pixelz_Namikaze Vielen Dank für deine ausführliche Anleitung. Im Grunde mache ich das auch so und auf einem Proxmox mit einem Docker läuft mein jetziger NPM auch einwandfrei. Genau so wie du es beschrieben hast. Ich bekomme halt den NPM hier auf Unraid nicht dazu die Links aufzulösen. NPM Installation klappt, GUI klappt auch. Nur wenn ich ein Proxy Host eintrage, kann ich Ihn von da nicht erreichen. Ping geht, nslookup geht. Nur wenn ich direkt da auf den Link in NPM klicke kommt die obere Fehlermeldung
August 18, 2025Aug 18 Community Expert Wenn Du jetzt alles in einem Netz hast, also Client, NPM, Zielsystem, unraid-Netzwerkkarte und keine falsche Route sollte ja sonst alles passen.5 hours ago, marhal said:kommt die obere Fehlermeldungaber was mir gerade noch auffällt:"connection refused" kann ja auch darauf hindeuten, dass dein webserver, den Du erreichen willst, die Aufrufe von deinem NPM gar nicht zulässt. Hast Du dort eine ACL, "allowed hosts" o.ä. eingerichtet und den NPM da vergessen?Dann war das Thema VLANs und https vielleicht alles nur Ablenkung 😉
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.