October 3, 2025Oct 3 Ciao a tutti,scrivo una guida su come poter avere l'HTTPS per le proprie app ma accessibili solo in locale o con Tailscale senza però l'utilizzo di un dominio.Se avete un dominio utilizzate la mia altra guida :) Questa quà :)Passo 1: Spostare l’interfaccia GUI di Unraid su una nuova portaPrima di andare troppo avanti, dobbiamo liberare le porte 80 e 443 (HTTP e HTTPS) per il nostro reverse proxy.Per impostazione predefinita, Unraid utilizza queste porte per la GUI al fine di consentire il monitoraggio/configurazione remota.La maggior parte della documentazione e delle guide presuppone che tu stia esponendo le porte sul tuo router e che il router possa inoltrare il traffico delle porte 80 e 443 a qualunque porta stia usando Nginx Proxy Manager (NPM).Con questa guida, invece, tutto il traffico http/https bypassa il router e va direttamente sulle porte 80 e 443, quindi dobbiamo modificarne la configurazione e mettere Nginx Proxy Manager al loro posto.Accedi alla GUI di Unraid.Vai su Settings > Management Access.Assicurati che Use SSH sia abilitato e che la porta sia impostata su 22.Questo sarà il nostro accesso di riserva al server nel caso in cui qualcosa vada storto e non sia più possibile accedere alla GUI.Di solito è già attivo di default.Cambia la porta HTTP: da 80 a qualcos’altro, ad esempio 90 o 11080.Scrivi da qualche parte questa modifica! Se dimentichi il numero, non potrai più accedere alla web GUI di Unraid.Assicurati che questa porta non sia in conflitto con quelle utilizzate dai tuoi container Docker.Cambia la porta HTTPS: da 443 a qualcos’altro, ad esempio 453 o 11443.Annota anche questa modifica!Assicurati che non vada in conflitto con quelle utilizzate dai container Docker.Dopo qualche secondo dovresti essere disconnesso dalla GUI di Unraid.Riconnettiti usando la nuova porta digitando:X.X.X.X:[Numero Porta]X.X.X.X = l’indirizzo IP del tuo server Unraid[Numero Porta] = il numero di porta che hai assegnato a HTTP nel passo 4.Congratulazioni! Ora possiamo installare Nginx Proxy Manager per controllare il traffico in arrivo.Passo 2: Nginx Proxy Manager in funzioneOra useremo Nginx Proxy Manager (abbreviato in NPM) per gestire tutto il traffico in entrata e instradarlo dove necessario.Lo utilizziamo per centralizzare l’instradamento del traffico e ottenere i certificati SSL per abilitare l’HTTPS.Nella GUI di Unraid, vai su Apps e cerca Nginx Proxy Manager.Trova quello chiamato "NginxProxyManager" di "Djoss's Repository".Clicca sull’app, quindi su Install.Imposta:HTTP Port: su 80HTTPS Port: su 443Controlla bene che la Web UI Port non vada in conflitto con nessuno dei tuoi altri container Docker.Puoi cambiarla se vuoi, ma ricordati il numero per poterci accedere in seguito.Se stai usando reti Docker personalizzate, imposta la variabile Network Type di conseguenza.Clicca su Done e attendi che Docker scarichi tutto e avvii il container.Avvia l’interfaccia web GUI di NPM.Accedi a NPM usando le credenziali di default:Email: [email protected]Password: changemeCambia l’email e la password dell’amministratore con qualcosa di nuovo e univoco.Congratulazioni, Nginx Proxy Manager è ora configurato e in esecuzione sul tuo server Unraid ed è pronto per essere utilizzato.Passo 3: Installazione di Pi HoleNOTA: Ho avuto qualche difficoltà nell'installazione di Pi Hole in quanto non è accessibile da Unraid quindi se state eseguendo questi passaggi da un Tunnel di Tailscale non vi funzionerà, non ho trovato ancora una soluzione per questo quindi dovete o essere nella vostra rete locale o dovete installare Tailscale all'interno di PiHole.Ora useremo Pi Hole per gestire il nostro DNS, questo servirà per far riconoscere a chi usa la nostra rete gli indirizzi locali che creeremo.Nella GUI di Unraid, vai su Apps e cerca Nginx Proxy Manager.Trova quello chiamato "binhex-official-pihole" di "Official Container".Clicca sull’app, quindi su Install.IMPORTANTISSIMO Imposta il Network Type in br0 -> Questo passaggio è fondamentale in quanto Pi Hole deve avere un suo indirizzo IP dedicato sulla tua rete localeIn Fixed IP address imposta un indirizzo IP che è libero sulla tua rete locale puoi usare un IP Scanner per controllare quelli liberiOpzionale se usi tailscale:Metti la spunta su "Use tailscale"Imposta un Tailscale Hostname, ad es. piholeControlla bene che la Web UI Port non vada in conflitto con nessuno dei tuoi altri container Docker.Puoi cambiarla se vuoi, ma ricordati il numero per poterci accedere in seguito.Clicca su Done e attendi che Docker scarichi tutto e avvii il container.Opzionale Tailscale:Aprite il log cliccando con il tasto destro sull'iconea di Pi Hole e recuperate il link per fare il login su tailscale con il vostro dockerOra cliccando con il tasto destro sull'iconea di Pi Hole apriamo la Console:Digitiamo pihole setpassword e impostiamo la password che utilizzeremo per accedere alla Web UIUna volta terminato dobbiamo andare sull'indirizzo ip che abbiamo assegnato nel passaggio 5 con la porta del passaggio 7.Accedi a PiHole usando la password che hai creato nel passaggio 10Congratulazioni, Pi Hole è stato installato correttamente.Passo 4: Utilizzare Pi Hole come DNSQuesti passaggi saranno indicativi in quanto ogni modem/router ha le sue regole e ogni dispositivo idem.Quà potete prendere due strade, o assegnare a tutti i dispositivi collegati alla vostra rete Pi Hole come DNS o assegnarlo manualmente solo ad alcuni dispositivi.Per assegnarlo a tutti i dispositivi:Andate nella pagina di configurazione del vostro modem/router, ad es. 192.168.1.1Ora cercate l'impostazione del Server DHCP è quella sezione dove decidete che indirizzi IP assegnerà il modem ad ogni dispositivo.Quà come Server DNS 1 o Server DNS Preferito dovete mettere l'indirizzo di Pi Hole che avete assegnato al passaggio 5 del passo 3 senza porte, ad es. 192.168.1.200Per rendere effettiva la modifica dovrete probabilmente disconnettere i vostri dispositivi dalla rete e riconnetterli o riavviare il modem/routerPer assegnarlo ai singoli dispositivi:Andate nella pagina di configurazione del vostro dispositivoNella scheda di rete che state usando cercate le impostazioni del ipv4Quà come Server DNS 1 o Server DNS Preferito dovete mettere l'indirizzo di Pi Hole che avete assegnato al passaggio 5 del passo 3 senza porte, ad es. 192.168.1.200Per controllare che tutti i passaggi siano andati a buon fine potete tornare nella Web Ui di Pi Hole e in Tools / Network dovreste vedere tutti i dispositivi a cui avete assegnato il DNSNon andrò nel dettaglio di come impostare Pi Hole in quanto ci sono molte procedure Online che lo spiegano.Se State usando una VPN:Se volete usare Pi Hole anche nella vostra VPN dovrete impostare anche in questa Pi Hole come DNS.Anche quà la procedura cambia da VPN a VPN scriverò quella di Tailscale perchè è quella che uso io.Andate nella admin page di tailscale : https://login.tailscale.com/admin/Ora andate nella tab DNSNella parte dei Global nameservers cliccate su Add nameserver -> CustomIn Nameserver mettete l'indirizzo ip di Pi Hole quello di Tailscale però, ad es. 100.99.99.99Cliccate su SaveOra in Global nameservers vi troverete anche il vostro DNSPotete mettere la spunta su Override DNS Server in modo che quando siete connessi a Tailscale vengano usati questi a prescindere di quelli impostati sul Dispositivo in uso.N.B. Se avete più di un DNS impostato Tailscale sceglierà a sua discrezione quello più veloce quindi può capitare alle volte che il vostro traffico non venga instradato su Pi Hole, ma sugli altri DNS impostati. Per ovviare lasciate solo Pi HoleAndate nella Web Ui di Pi HoleOra andate in Settings / DNS e in alto a destra cliccate su Basic che diventerà ExpertOra nella parte a sinistra di Interface Settings flaggate Permit all originsN.B. questa impostazione è PERICOLOSA se Pi Hole ha diretto accesso ad internet, se avete aperto la porta 53. trovate tutte le info al riguardo quà.Passo 5: Risoluzione con Dominio PersonalizzatoOra per poter usare un dominio personalizzato dobbiamo dire a Pi Hole come risolvere le nostre richieste, in pratica quando cercheremo https://unraid.local Pi Hole dovrà convertirlo nell'indirizzo IP del nostro Unraid.Per farlo:Apri la GUI di Pi HoleVai in Settings -> Local DNS RecordsNella parte di Destra List of local DNS records in basso dovrai compilare:Domain = il dominio che hai scelto di usare, ad es. unraid.localAssociated IP = l’IP di Unraid, ad es. 192.168.1.100Clicca sul + verde e hai terminatoSe vai all'indirizzo che hai scelto, ad es. http://unraid.local ti trovai la pagina di benvenuto di NPMOra nella parte di sinistra List of local CNAME records dobbiamo definire i reindirizzamenti:Per farlo dobbiamo compilare:Domain = il sottodominio che hai scelto di usare, ad es. kavita.unraid.localTarget Domain = il dominio "madre" a cui punta, nel nostro caso unraid.localClicca sul + verde e hai terminatoSe vai all'indirizzo che hai scelto, ad es. http://kavita.unraid.local ti trovai la pagina di benvenuto di NPMRipeti il passaggio 4 per ogni servizio che stai ospitando.Ora possiamo creare i vari reindirizzamenti su NPM per poter accedere alle nostre APP.Apri la GUI di NPM.Vai su Hosts > Proxy Hosts.Clicca su Add Proxy Host (in alto a destra).Compila la finestra di dialogo con queste informazioni:Domain Names = il dominio completo che vuoi assegnare al servizioPremi Tab o Invio dopo aver scritto: se non lo fai, il testo scomparirà e causerà un errore.Scheme = se il servizio accetta traffico http o https sulla porta indicataForward Hostname/IP = l’IP Tailscale del servizio (di solito il tuo server Unraid)Forward Port = la porta su cui gira il servizioLa trovi nei container Docker della GUI di UnraidCache Assets = scegli se vuoi che NPM faccia caching degli asset del servizioBlock Common Exploits = attivo (a volte può dare problemi, ma di default conviene tenerlo attivo)Websockets Support = attivalo se il servizio richiede websocketAccess List = Publicly AccessibleTesta il dominio personalizzato digitandolo nel browser: dovresti essere indirizzato al tuo servizio.Ripeti i passaggi 3–4 per ogni servizio che stai ospitando.Passo 5: SSL e HTTPSNon avendo un Dominio non possiamo usare Let's Encrypt o simili per ottenere un certificato, ma dovremmo per forza usare un certificato Self-Signed, questo triggererà un warning quando andremo sul nostro sito web, ma la connessione sarà comunque protetta HTTPS.Per farlo potete usare qualsiasi strumento che preferiate io per comodità uso openssl e creo un certificato wildcars così da farne uno solo e non doverlo mai più toccare.Il comando che uso èopenssl req -x509 -nodes -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 3650 -subj "/C=IT/ST=Some-State/L=City/O=MyCompany/OU=MyDept/CN=*.unraid.local/emailAddress=Random-Email" -addext "subjectAltName=DNS:*.unraid.local,DNS:unraid.local"I parametri da cambiare sono:"/C=IT/ST=Some-State/L=City/O=MyCompany/OU=MyDept/CN=*.unraid.local/emailAddress=Random-Email"C = Stato in cui vi trovate, 2 lettere as es. IT.ST = Stato/Provincia in cui vi trovate, ad es. LombardiaL = Città in cui vi trovate, ad es. MilanoO = Organizzazione, questo da compilare se è un certificato aziendale se no lasciatelo genericoOU = Dipartimento, questo da compilare se è un certificato aziendale se no lasciatelo genericoCN = Nome principale del dominio, ad es. *.unraid.localemailAddress = Indirizzo mail del certificato, ad es. [email protected]Dovete poi sistemare anche "subjectAltName=DNS:*.unraid.local,DNS:unraid.local"Questo significa che il certificato sarà valido per:unraid.localqualsiasi sottodominio di unraid.local (grazie a *)Questo genera un certificato *.unraid.local che sarà valido per qualsiasi sottodominio, potete ovviamente cambiarlo a vostro piacimento.Una volta ottenuti i certificati dobbiamo caricarli su NPMProcedura in NPM:Apri NPM e vai su SSL Certificates.Clicca su Add SSL Certificate e poi su Custom.Inserisci le informazioni nei campi:Name = Un nome che ti ricordi che certificato è in quanto dopo non potremmo più vederloEsempio: *.unraid.localCertificate Key = il key.pem che abbiamo ottenuto/generatoCertificate = il cert.pem che abbiamo ottenuto/generatoIntermediate Certificate = il certificato intermedio nel caso l'avessimo se no lasciare vuoto.Clicca su Save.Attendi che il sistema processi la richiesta.Può richiedere qualche minuto, abbi pazienza.Il tuo certificato dovrebbe ora comparire nell’elenco.Vai su Hosts > Proxy Hosts.Seleziona il dominio associato e clicca sul menu a tre puntini, poi su Edit.Clicca su SSL in alto nella finestra di dialogo.Seleziona il certificato SSL creato per quel dominio dal menu a tendina.Ripeti i passaggi 1–11 per ogni sottodominio che stai usando, se hai utilizzato una wildcard assegna a tutti lo stesso certificato.A questo punto, i tuoi servizi sono protetti da SSL e raggiungibili tramite HTTPS, una volta confermato la prima volta che il certificato Self-Signed è sicuro non ci uscirà più il warning :)
October 20, 2025Oct 20 Grazie per la guida utilissimo.Mi metti in evidenza i campi da modificare nella stringa. Grazieopenssl req -x509 -nodes -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 3650 -subj "/C=IT/ST=Some-State/L=City/O=MyCompany/OU=MyDept/CN=*.unraid.local/emailAddress=Random-Email" -addext "subjectAltName=DNS:*.unraid.local,DNS:unraid.local"
October 20, 2025Oct 20 Author 6 minutes ago, orazi.marco said:Grazie per la guida utilissimo.Mi metti in evidenza i campi da modificare nella stringa. Grazieopenssl req -x509 -nodes -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 3650 -subj "/C=IT/ST=Some-State/L=City/O=MyCompany/OU=MyDept/CN=*.unraid.local/emailAddress=Random-Email" -addext "subjectAltName=DNS:*.unraid.local,DNS:unraid.local"Devi modificare questa parte/C=IT/ST=Some-State/L=City/O=MyCompany/OU=MyDept/CN=*.unraid.local/emailAddress=Random-EmailC - Country – codice paese a due lettere IT per ItaliaST State / Province metti la tua regioneL Locality / City metti la tua cittàO Organization – metti il tuo nome azienda o personaleOU Organizational Unit – reparto o divisione - opzionaleCN Common Name – nome principale del dominio *.unraid.local importantissimo, deve corrispondere al dominio del serveremailAddress Indirizzo email del certificato Poiaddext "subjectAltName=DNS:*.unraid.local,DNS:unraid.local"Significa che il certificato sarà valido per:unraid.local campo DNSEqualsiasi sottodominio di unraid.local (grazie a *)
October 21, 2025Oct 21 Le porte 80 e 443 vanno aperte?E se ho capito bene per la VPN la porta 53 deve rimanere chiusa altrimenti pi hole rischia di diventare un risolutore apertoHo capito bene?Esiste un comando da terminale per vedere quale porte sono aperte.Appena installato avevo impostato upnp perche non riesco a inoltrate le porte sul fritzbox.Le apro ma risultano chiuse impostanto upnp la porta che ho impostato su qbit con upnp si è aperta automaticamente . Edited October 21, 2025Oct 21 by orazi.marco
October 21, 2025Oct 21 Author 6 minutes ago, orazi.marco said:Le porte 80 e 443 vanno aperte?E se ho capito bene per la VPN la porta 53 deve rimanere chiusa altrimenti pi hole rischia di diventare un risolutore apertoHo capito bene?Le Porte 80 e 443 non vanno aperte se ti interessa che i tuoi servizi funzionino solo dalla tua rete domestica o con una VPN.Per la 53 esatto hai capito bene.
October 21, 2025Oct 21 Si esatto l importante che tailscale continui a funzionare da rete esternaEsiste un comando per testare le porte in ascolto/aperte da terminal. Su google si trova qualcosa ma nn riesco a distinguere quali sono aperte.Vedo solo da fritzos quella aperta automaticamente da upnp
October 21, 2025Oct 21 Author 1 minute ago, orazi.marco said:Si esatto l importante che tailscale continui a funzionare da rete esternaEsiste un comando per testare le porte in ascolto/aperte da terminal. Su google si trova qualcosa ma nn riesco a distinguere quali sono aperte.Vedo solo da fritzos quella aperta automaticamente da upnpPuoi usarenetstat -abnetstat -aonma ti dicono solo quali porte sono in ascolto, le porte aperte le vedi dal tuo router/modem nelle varie regole se non ne hai allora sono chiuse.
October 21, 2025Oct 21 Scusa se ti assillo di domande un dubbio:Nella parte dei Global nameservers cliccate su Add nameserver -> CustomIn Nameserver mettete l'indirizzo ip di Pi Hole quello di Tailscale però, ad es. 100.99.99.99 Cliccate su SaveChe intendi indirizzo ip Pihole di tailscale?Indirizzo che mi da Tailscale del dispositivo sceltoCorretto?
October 21, 2025Oct 21 Author 4 minutes ago, orazi.marco said:Scusa se ti assillo di domande un dubbio:Nella parte dei Global nameservers cliccate su Add nameserver -> CustomIn Nameserver mettete l'indirizzo ip di Pi Hole quello di Tailscale però, ad es. 100.99.99.99Cliccate su SaveChe intendi indirizzo ip Pihole di tailscale?Indirizzo che mi da Tailscale del dispositivo sceltoCorretto?É l indirizzo ip che Tailscale assegna al container di Pihole quando installi Tailscale dentro Pihole
October 21, 2025Oct 21 Per ricominciare? Malauguratamente penso che non ho spuntato SSH. Non riesco più ad accedere alla gui. Come posso rimediare?
October 21, 2025Oct 21 Author Just now, orazi.marco said:Per ricominciare? Malauguratamente penso che non ho spuntato SSH. Non riesco più ad accedere alla gui. Come posso rimediare?Dalla chiavetta vai in /boot/config/ident.cfgE hai le porte che puoi cambiare.Se hai messo la 10080 questa viene bloccata dai browser ma la puoi sbloccare.Se no attacchi un monitor al Nas e vai con la gui
October 21, 2025Oct 21 Il monitor è acceso ma mi apre firefox dicendo thid address is restricted.Ora vado sulla chiavetta e ricambio le porte.Le porte ho messo 10080-10443
October 21, 2025Oct 21 Author Just now, orazi.marco said:Il monitor è acceso ma mi apre firefox dicendo thid address is restricted.Ora vado sulla chiavetta e ricambio le porte.Le porte ho messo 10080-10443É Firefox che la blocca, la puoi sbloccare con https://support.mozilla.org/en-US/questions/1083282
October 21, 2025Oct 21 Author 2 minutes ago, orazi.marco said:Ma devo sempre sbloccare le porte su firefox oppure se metto SSH va liscio?Se vuoi usare la 10080 la devi sbloccare da Firefox, se ne metti un altra non serve. Ssh sempre meglio abilitato che ti può salvare
October 21, 2025Oct 21 Consigliami 2 porte che posso utilizzare non riesco a sbloccarle su firefox ne su chrome
October 21, 2025Oct 21 Author 6 minutes ago, orazi.marco said:Consigliami 2 porte che posso utilizzare non riesco a sbloccarle su firefox ne su chromePuoi usare quelle che preferisci8080 e 8443 sono le più famose ma solitamente vengono usate da altri servizi.Metti se no qualcosa su 8000 o 5000. Ti serve solo fino a che non hai impostato pihole, poi li fai il reverse proxy e lo chiami nas.unraid.local e usi sempre quello
October 21, 2025Oct 21 Ok sbloccata la porta 10080 sono riuscito ad accedere.Ma ora al passo 3 quando metto l ip di pihole+porta del docker mi da connessione non riuscita
October 21, 2025Oct 21 Author Just now, orazi.marco said:Ok sbloccata la porta 10080 sono riuscito ad accedere.Ma ora al passo 3 quando metto l ip di pihole+porta del docker mi da connessione non riuscitaSei nella tua rete interna o sei tramite VPN?Hai assegnato un ip libero?
October 21, 2025Oct 21 Author Just now, orazi.marco said:Rete interna ip liberissimoPi home si é avviato? Se si collegati con solo l'ip senza la porta, se no hai qualche errore nel log di pihole?
October 21, 2025Oct 21 No neanche senza porta si avvia la connessione devo essere br0 giusto? Edited October 21, 2025Oct 21 by orazi.marco
October 21, 2025Oct 21 Author Just now, orazi.marco said:No neanche senza porta si avvia la connessione devo essere br0 giusto?Si corretto br0.Se vai nel browser da il tuo PC e punti a http://192.168.178.72/admin non esce niente?
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.