[SOLVED] NGINX Reverse Proxy im LAN


Davokin

Recommended Posts

4 minutes ago, mgutt said:

Wenn du Nextcloud auf deinem Client installierst, was hinterlegst du da als Serveradresse? Wenn es https://ddns.example.com:5600/ ist, dann geht es, weil du ja den Port direkt hinterlegt hast. Hinterlegst du allerdings eine DDNS Domain ohne Port wie zB https://ddns.example.com/, dann greift der Client von unterwegs über den Port 443 auf deinen Router zu, den du dann über die Portfreigabe auf 5600 weiterleitest. Lokal greift der Client aber auf 443 zu und erreicht nicht Nextcloud, sondern die Unraid WebGUI.

NextCloud macht einen DNS-Bind auf die Domain, du wirst automatisch weitergeleitet.

Wenn du dann in der Fritzbox den DNS-Rebind einträgst, wird das glaub ich dann auch lokal gehen...korrigier mich jemand, wenn ich falsch liege...

Link to comment
11 minutes ago, DarkMan83 said:

Natürlich ist das auch ne Lösung, es führen bekanntlich viele Wege nach ROM...ich habe meinem eine extra IP gegeben, da ich so viele Docker laufen habe und teilweise schon ganze Portranges auf dem Host belegt sind.

Und zur Übersichtleichkeit ;-)

Ahh da liegt mein Unverständnis für das Problem. Habe nie darüber nachgedacht. Ich habe immer meine dyn DNS Adresse genommen und den Port hintergeklascht  (den ich freigegeben hatte) und fertig 😅😂

Link to comment
38 minutes ago, Lyror said:

Ich habe immer meine dyn DNS Adresse genommen und den Port hintergeklascht

Solange du die WebGUI nicht über https öffnen willst, ist das ja auch kein Problem. Mit http erreichst du die WebGUI von Unraid über Port 80. Den solltest du also nicht mit einem Docker Container verknüpfen ;)

 

Das kannst du übrigens auch testen. Deaktiviere den Container und ruf https://tower/ auf. Danach aktivierst du den Container und wiederholst das. Dann sollte Nextcloud zu sehen sein.

 

EDIT: Sorry, das wird nur gehen, wenn du unter Settings > Management Access > SSL > aktivierst. Also https ist nicht standardmäßig für die WebGUI aktiviert. Und schon wieder was gelernt. Heut' ist Unraid-Schule 😄

Edited by mgutt
Link to comment
25 minutes ago, DarkMan83 said:

Ja und ist ssl in der unraid webgui erstmal aktiviert,dann kannstes nicht mehr ausschalten.

Zumindest bei mir so,seitich den ein Zertifikat erstellen lassen habe, die buttons schmeißen dann javascript fehler, somit ist ein übernehmen der Einstellungen dann nicht möglich...

Ah ca so wie bei pfsense... :D

Rumspielen bei Anwendungen die man nur eigentlich nur im LAN verwendet hab ich mir schon abgewöhnt.... :D

Deswegen hab ich meinen Debian Buster Container da kann ich von überall zugreifen ohne eine VPN zu brauchen. :)

Link to comment

Schau mal in der CA App, ich hab einen Container der im Prinzip ein vollständiges Debian System in einem Docker mit VNC Webinterface ist oder wenn du dem Container eine Statische IP zuteils mittels dem Custom network in Unraid kannst auch direkt mit einem VNC Viewer drauf zugreifen. (natürlich nur von Intern).

 

Hab das ganze mittels reverse Proxy in SWAG eingebunden mit http auth und Fail2Ban so kann ich eigentlich von überall aus zugreifen und bin in meinem Netzwerk zu Hause (kann auch Internetsurfen oder sonstiges machen, manchmal mach ich sogar andere Container über diesen Container ;) ).

 

Wenn du Fragen hast einfach Fragen :D

Link to comment
14 minutes ago, mgutt said:

Hmm. Klingt kompliziert. Ich nutze Zerotier. Auch schon ausprobiert?

Eigentlich gar nicht, ich geh auf meine Domain mit dementsprechender Subdomain (wäre auch wie meine Vorredner geschrieben haben mit DOMAIN:PORT) geb mein Passwort ein und hab ein vollwertiges Linux zur verfügung ohne das ein PC oder sonstiges laufen muss und geht von jedem PC/Tablet mit Internet (PC is mir noch immer lieber wie das Handy oder Tablet). ;)

Wenn ich vom Handy ins Netzwerk will mach ich das mit OpenVPN ist standardmäßig in Pfsense dabei und einfach einzurichten, sogar der client download ist ganz easy.

 

Zerotier kenn ich ja aber ist für meine Zwecke nicht praktikabel - denn wenn der Server mal nicht erreichbar ist aus welchen Gründen auch immer (Absturz, Bug, weil er keine Lust hatte, weil wieder mal jemand am falschen Schalter ankam) könnte ich mich trotzdem nicht mit Zerotier verbinden da dies ja am Server läuft... :/

Da OpenVPN direkt auf der Firewall läuft hab ich den Komfort das ich den Server auch so neustarten kann auch wenn er an einem Hardlock gestorben ist oder jemand den falschen Schalter gedrückt hat. ;)

Ich verlass mich da lieber auf meine Firewall und nicht auf den Server wo noch 29 andere Sachen drauf laufen.

 

Nicht vergessen das ist ein Container und keine VM. ;)

So läuft der im Idle:

grafik.thumb.png.ae969c91e46cd3443fa59c3549e63101.png

 

EDIT: Was meinst mit Portforwarding funktioniert bei deinem Remote NAS nicht?

Link to comment
1 hour ago, ich777 said:

Da OpenVPN direkt auf der Firewall läuft hab ich den Komfort das ich den Server auch so neustarten kann

Häh und wie startest du den Server bei einem Absturz neu?! Oder meinst du, wenn wenigstens SSH noch geht? Hätte mir bei meinem letzten Fall nicht geholfen. Der Remote-Backup-Server ging beim Neustart einfach nicht aus. Ich musste daher trotzdem hinfahren. Ich hatte sonst auch schon über einen RPI mit Real VNC Viewer nachgedacht, um von außen an den Server zu kommen, aber wenn der gar nicht mehr reagiert, nützt das halt auch nichts mehr. Eventuell RPI + smarte Steckdose und im BIOS auto power on. Das könnte gehen ^^

 

Die Firewall mit pfSense ist auch ein Selbstbau? Ich habe keine, da ich aktuell noch keinen Vorteil darin sehe. Alle eingehenden Ports sind in der Fritz!Box dicht und fertig ^^ Ausgehender Traffic interessiert mich nicht bzw ist mir bei IPv6 oder DNS over SSL eh zu anspruchsvoll.

 

1 hour ago, ich777 said:

Nicht vergessen das ist ein Container und keine VM

Ja das ist ziemlich cool. Von der Auslastung her war meine Lubuntu VM aber im Idle auch nicht anders. Allerdings beim Zugriff entsprechend hoch. Ist ja klar, weil der den Desktop streamen muss und keine GPU dabei hilft. Da ich aber keinen Desktop für den Remote-Backup-Server brauche, ist es mit Zerotier am sparsamsten. Debian merke ich mir aber, weil beim Backup mit Rsync ist das natürlich optimal, statt immer ganze VM Images sichern zu müssen. Hoch lebe Docker ^^

1 hour ago, ich777 said:

Was meinst mit Portforwarding funktioniert bei deinem Remote NAS nicht?

Der Remote-Backup-Server steht bei einem Freund. Auf dessen Router habe ich keinen Zugriff. Also weder VPN noch Portforwarding möglich. Daher hatte ich früher die Lubuntu VM mit Real VNC Viewer und jetzt eben Zerotier. Beide Varianten kommen dank Relay Service an dem Router vorbei und sind kostenlos.

Edited by mgutt
Link to comment
27 minutes ago, mgutt said:

Häh und wie startest du den Server bei einem Absturz neu?!

Das würdest du wohl gerne wissen... ;)

Das mach ich mit Homematic :)

 

Hab sogar ein paar WiFi Steckdose die ich in die Firewall einbinden könnte oder dann einfach aus dem LAN per OpenVPN über die IP erreichen kann gibt auch so Steckdosen die du über die Fritzbox anbindest also mit DECT (glaub ich, bin mir nicht sicher, aber ziemlich sicher das ich das mal wo gelesen hab), achja und PowerOn nach Stromausfall ist natürlich an (sowie bei allen meinen Geräten, wunderbarer Weg alles zu automatisieren) sonst würd das nicht funktionieren. :)

 

27 minutes ago, mgutt said:

Die Firewall mit pfSense ist auch ein Selbstbau? Ich habe keine, da ich aktuell noch keinen Vorteil darin sehe.

APU Board von PCEngines - gibts natürlich auch ein schönes Gehäuse dazu (gibt auch schon neuere Sachen, das APU Board läuft Einwandfrei aber am Limit wenn ich 250Mbit up/down voll auslaste - nur so als Nebeninfo mein altes ALIX Board, ziemlich das gleiche wie ein APU Board nur um einiges schwächer läuft heute noch immer und das nach gut 10 Jahren).

 

Ich persönlich bin kein Freund von der Frizbox (ist zwar nicht schlecht aber ich hab dann lieber doch alles selber in der Hand), hab auch früher mal Ipfire drauf laufen gehabt die hatten dann wie schon geschrieben ein Problem mit dem DHCP Client der durch meinen Provider verursacht wurde und deswegen der Umstieg auf Pfsense (haben die aber mittlerweile gefixt).

 

27 minutes ago, mgutt said:

ist es mit Zerotier am sparsamsten.

Jep is klar aber für meine Zwecke nicht sinnvoll. :D

 

27 minutes ago, mgutt said:

Beide Varianten kommen dank Relay Service an dem Router vorbei und sind kostenlos.

Reverse SSH wäre nichts für dich, also nur als anderer Lösungsansatz.

Hab auch lange mit Zerotier geliebäugelt und auch probiert aber habs dann gelassen aus Gründen die ich heute nicht mehr weiß. :P

 

 

EDIT: Hab vergessen zu sagen der DebianBuster Container läuft auch auf ARMv7 und ARMv8 (also 64 bit).

Link to comment
1 hour ago, ich777 said:

Reverse SSH

Irgendwie will ich auch nicht, dass der externe Server ständig mit meinem verbunden ist. Mal abgesehen davon, dass ich dann auch wieder einen Port öffnen müsste oder gar eine beständige VPN Verbindung. Näääh ^^

 

1 hour ago, ich777 said:

WiFi Steckdose

Ja gibt es auch für die Fritz!Box, aber geht dann nicht autark. Also wenn ich das jetzt hier einrichte, dann kann ich die nicht irgendwo anders mit hinnehmen. Ich überlege aktuell noch, einen Selfmade IPMI in den Remote-Server zu bauen.

 

Edited by mgutt
Link to comment
10 hours ago, mgutt said:

einen Selfmade IPMI in den Remote-Server zu bauen.

Warum keinen esp8266?

Natürlich funktioniert da kein hdmi input. :D

 

EDIT: Hab mir selbst auch schon einen arduino fan controller für den server gebaut da ich das alles ein wenig didizierter wollte.

 

Sorry wir sind hier komplett off topic. Vergiss es und verfolgen wir das hier nicht weiter, evtl. neuen Thread aufmachen.

Link to comment

Also folgendes;

 

Ich habe jetzt ein komplettes VLAN nur für Docker Container und unRAID Server aufgebaut.

Zum einen bin ich der Meinung dass es sowieso nicht schaden kann wenn jeder Container seine eigene IP-Adresse hat, (macht auch die Portauswahl auf dauer leichter) und zum anderen kann ich somit vorrübergehend der IP-Adresse von z.B. Nextcloud via DNS den Namen zuweisen den ich haben will.

Noch dazu, ist es relativ übersichtlich wenn ich jetzt im DHCP nachschaue habe ich ein VLAN in welchem die jeweiligen Applikationen enthalten sind. Das werde ich auch für die Zukunft so lassen - denk ich mal.

Das mit dem DNS ist jetzt nur vorrübergehend bis meine Fritz!Box 7590 da ist!

 

Nochmal vielen lieben Dank an alle die mir hier geholfen haben und Tipps gegeben haben!

Ich bin gern hier im Forum unterwegs und werde auch in Zukunft versuchen anderen unRAIDern mit meinem Wissen so gut wie es geht unter die Arme zu greifen.

 

Wünsche euch allen ein schönes Wochenende - vielleicht ist es bei euch ja nicht so verregnet wie bei uns in Salzburg 😒

Beste Grüße, Dominic

 

  • Like 2
  • Haha 1
Link to comment
  • 3 weeks later...
On 10/11/2020 at 9:12 PM, DarkMan83 said:

Wieso einen zweiten Port?

Einfach is doch egal ob Docker oder VM...du kannst den Dingern eine eigene IP zuordnen...

Beispiele:

Unraid-Nextcloud-Docker.thumb.PNG.3c03fb42b12a9094ee5b4907d04c1fdc.PNG

Fritzbox-Nextcloud-beispiel.thumb.PNG.a10d40861aef8b601792b4763059d2da.PNG

Hallo Leute,

 

ich möchte das Thema hier nochmals aufgreifen und vielleicht kann mir der ein oder andere ja einen Tipp geben.

Ich habe einen Router von A1 welcher kein NAT Loopback unterstützt und kann daher nicht auf die Nextcloud in meinem Netzwerk selbst zugreifen, aber von außen schon.
Nun meine Frage wie genau muss ich vorgehen um dieses Problem zu lösen?


Ich habe hier alles aufmerksam durchgelesen jedoch, habe ich nur einen LAN Port und somit ja nur eine IP Adresse und dann würde die einfachste Lösung mittels statischer IP ja nicht funktionieren wie hier oben zitiert, da selbe MAC Adresse?

Link to comment
13 minutes ago, MPHxLegend said:

Nextcloud in meinem Netzwerk selbst zugreifen, aber von außen schon.
Nun meine Frage wie genau muss ich vorgehen um dieses Problem zu lösen?

Wenn es um ein Smartphone geht, das sich also ständig zwischen lokal und außen bewegt, dann wohl nur über einen lokalen DNS Server, bei dem man die Domain lokal mit der lokalen IP auflösen lässt.

 

Also äquivalent zu meiner Anleitung für ein Synology NAS:

https://www.programmierer-forum.de/synology-dns-server-einrichten-um-nat-loopback-zu-verhindern-t328952.htm

 

Auf Seite 2 ist allerdings noch eine Hürde beschrieben, die du bei deinem Router auch noch klären musst. Und zwar ob der einen DNS Rebindschutz besitzt. Dann dürfte das nur gehen, wenn man die lokale DNS Server IP direkt im Smartphone hinterlegt.

 

Mit IPv6 sollte das Problem übrigens gar nicht auftreten.

Link to comment

Wäre die einfachere Lösung jene mit einem neuen Router, sprich welcher NAT Loopback unterstützt oder eben wie in deinem Link, dass der Router dann in die Knie geht und ich muss es sowieso laut deiner Anleitung machen muss? 

 

EDIT: Kenne mich null aus in der Materie und frage deswegen so blöd, will keine Tage damit verbringen, dass die Nextcloud mal läuft und dann noch nicht mal sicher

Edited by MPHxLegend
Link to comment

Ich habe es gerade mal getestet. AVM scheint da ordentlich nachgebessert zu haben. Ich komme bei der 7590 auf knapp 80 MB/s:

811268588_2020-11-0322_08_18.png.c2d0433390cfb61a2a32a63498ea0b52.png

 

Der Energieverbrauch der CPU ist dabei gerade mal von 67% auf 72% gestiegen. Im CPU Auslastungs-Diagramm kann ich nicht mal einen Ausschlag erkennen.

 

Damals ist mir die 7390 dabei noch abgestürzt und die 7490 kam auf popelige 3 MB/s:

https://www.maxrev.de/weiterer-fehler-in-der-fritzbox-7390-7490-ddns-schiet-voip-ab-t323625.htm

 

Nur zum Vergleich. Es liegt nicht an meinem Server ;)

648849156_2020-11-0322_05_32.png.510578de771fd60b569336887f9a6f79.png

 

Also ja. Ein neuer Router würde das Problem ebenfalls lösen.

Edited by mgutt
Link to comment
10 hours ago, mgutt said:

Wenn es um ein Smartphone geht, das sich also ständig zwischen lokal und außen bewegt, dann wohl nur über einen lokalen DNS Server, bei dem man die Domain lokal mit der lokalen IP auflösen lässt.

 

Also äquivalent zu meiner Anleitung für ein Synology NAS:

https://www.programmierer-forum.de/synology-dns-server-einrichten-um-nat-loopback-zu-verhindern-t328952.htm

 

Auf Seite 2 ist allerdings noch eine Hürde beschrieben, die du bei deinem Router auch noch klären musst. Und zwar ob der einen DNS Rebindschutz besitzt. Dann dürfte das nur gehen, wenn man die lokale DNS Server IP direkt im Smartphone hinterlegt.

 

Mit IPv6 sollte das Problem übrigens gar nicht auftreten.

Danke dir :)

 

10 hours ago, mgutt said:

Also nochmal zu dieser Anleitung, du machst dies ja über dein NAS selbst mit einer APP, gibt es für Unraid einen Docker oder ähnliches bzw. wie soll ich dies dann umsetzen? 

Link to comment
4 hours ago, MPHxLegend said:

Also nochmal zu dieser Anleitung, du machst dies ja über dein NAS selbst mit einer APP, gibt es für Unraid einen Docker oder ähnliches bzw. wie soll ich dies dann umsetzen? 

Ich habe keine Syno mehr. Bisher brauchte ich das noch nicht.

 

Ich würde sagen, dass das mit PiHole möglich sein sollte:

https://blog.harveydelaney.com/setting-up-pihole-on-your-unraid-server/

 

Du musst ja die Adblocking Funktionalität nicht nutzen, sondern eben nur das Anlegen einer eigenen Regel. Hier erklärt jemand wie es per Kommandozeile geht, aber da wird ja sicher auch über die GUI gehen:

https://discourse.pi-hole.net/t/redirect-dyndns-conditionally-no-nat-loopback-owncloud/2846/2

 

Edit: Ok, im April war es für die Beta geplant, keine Ahnung ob das mittlerweile implementiert ist:

https://discourse.pi-hole.net/t/static-dns-ip-correlation-gui-under-tools/3195/17

 

Probieren geht über studieren ;)

 

Entweder du hinterlegst dann den PiHole DNS im Smartphone oder direkt im Router.

Edited by mgutt
Link to comment
22 minutes ago, mgutt said:

Ich würde sagen, dass das mit PiHole möglich sein sollte:

https://blog.harveydelaney.com/setting-up-pihole-on-your-unraid-server/

 

Du musst ja die Adblocking Funktionalität nicht nutzen, sondern eben nur das Anlegen einer eigenen Regel. Hier erklärt jemand wie es per Kommandozeile geht, aber da wird ja sicher auch über die GUI gehen:

https://discourse.pi-hole.net/t/redirect-dyndns-conditionally-no-nat-loopback-owncloud/2846/2

Ich GLAUBE das geht so leider nicht.

PiHole würde deine Domain auf eine IP ändern, Nextcloud ist mit SWAG aber so konfiguriert, dass für das Zertifikat immer die URL abgerufen wird, diese will PiHole wieder auf eine IP weiterleiten wollen, und  so weiter.

 

Ich habe das am Wochenende selbst so probiert und kam da leider zu keinem Ergebnis.

Am einfachsten, auch für Zukünftige Spiellereichen wäre ein neuer Router. Man kann ja von den Fitzboxen halten was man will, aber für Leute wie Dich und mich (die die eigentlich keine Ahnung haben), bieten die Dinger schon viel und sind recht einfach zu bedienen.

Wenn man dann wirklich mal viel fitter ist, kann man die Fritzbox ja als Modem laufen lassen und sich was per Pfsense aufsetzten.

 

Aber wie gesagt, ich habe nur gefährliches Halbwissen, lasse mich da gerne eines besseren belehren.

Edited by sonic6
Link to comment

ok schade, dass es für den Laien so komplex ist. Aber dann führt wohl kein Weg am neuen Router vorbei und das A1 V2220 als Modem zu nutzen, auf Kosten der Geschwindigkeit.

Welchen Router ohne Modem könnt ihr da am Besten empfehlen?
Gibt es irgendwo Literatur welche einem dies verständlich erklärt?

 

 

Link to comment
1 hour ago, sonic6 said:

PiHole würde deine Domain auf eine IP ändern, Nextcloud ist mit SWAG aber so konfiguriert, dass für das Zertifikat immer die URL abgerufen wird, diese will PiHole wieder auf eine IP weiterleiten wollen, und  so weiter.

PiHole kann nichts "weiterleiten". PiHole bekommt nur Anfragen wie "welche IP hat example.com?" und antwortet darauf entsprechend. Wenn einer weiterleitet, dann ist es entweder Nextcloud, was ich für unwahrscheinlich halte oder SWAG, da der als Reverse Proxy das durchaus kann. Kann man bei SWAG für eine Domain mehrere IPs eintragen?

 

1.) Wie man das sonst lösen könnte: Auf dem Smartphone die URL von Nextcloud um einen Port ergänzen, der nicht auf 80 oder 443 zielt und auf dem man den Nextcloud-Container lauschen lässt. Also sagen wir, wir lassen den Container auf Port 4430 lauschen und der leitet das intern an 443. Wir richten eine DDNS für den Unraid-Server ein (ohne irgendein Plugin) und die WebGUI von Nextcloud (und die Adresse für die App) ist dann erreichbar unter https://tower.example.org:4430/ und auch so hätte man sich SWAG gespart. Das hat dann natürlich den Nachteil, dass man immer den Port mit angeben muss. Ist also nicht so clean wie mit einem Reverse Proxy.

 

2.) Warum gibt man dem Nextcloud Container eigentlich keine andere feste IP?

https://blog.harveydelaney.com/assigning-static-ip-addresses-for-your-docker-containers-on-unraid/

 

Ist Nextcloud die einzige Anwendung, die von außen über https (Port 443) erreichbar sein soll, dann muss man die Port Freigabe im Router doch nur auf diese IP weiterleiten. Lokal über PiHole löst man die DDNS Domain dann ebenfalls auf diese IP auf. Das müsste doch dann auch ohne SWAG gehen.

 

3.) Die einfachste Lösung wäre aber den SWAG Entwickler darum zu bitten diese Weiterleitung zu unterlassen. Wobei ich immer noch nicht verstehe was da weitergeleitet wird @sonic6 Wenn die domain https://tower.example.org/ ist, wohin leitet der dann weiter?!

 

Sorry für die ganzen Ideen. Ich glaube ich muss das auch mal testen ^^

Edited by mgutt
Link to comment
3 hours ago, mgutt said:

3.) Die einfachste Lösung wäre aber den SWAG Entwickler darum zu bitten diese Weiterleitung zu unterlassen. Wobei ich immer noch nicht verstehe was da weitergeleitet wird @sonic6 Wenn die domain https://tower.example.org/ ist, wohin leitet der dann weiter?!

Ehrlich gesagt fehlt mir wirklich das technische KnowHow, aber bei mir ist folgendes passiert:

 

-Ich rufe nextcloud.meinedomain.de auf. Pihole habe ich angewiesen die Domain intern auf 192.168.10.10 auf zu lösen (sorry, sagte vorhergegangen "weiterleiten", dass ist natürlich falsch).

-Im Guide von Spaceinvader One ist in der config.php (von nextcloud) " 'overwrite.cli.url' => 'https://nextcloud.cloud-becker.de:444', und
  'overwritehost' => 'nextcloud.cloud-becker.de', hinterlegt. Nach meinem Verständnis für das letsencrypt Zertifikat.

-Mein Browser bekommt also die Rückmeldung 192.168.10.10 auf zu rufen. 

-Von Nextcloud bekommt der Brower einen redirect auf die URL zurück.

 

Bei mir hat das ganze auf jeden Fall nicht funktioniert. Ob das an meinem geschilderten Schema liegt, wage ich sogar zu bezweifeln. Wie gesagt... gefährliches Halbwissen.

 

Link to comment
  • ich777 changed the title to [SOLVED] NGINX Reverse Proxy im LAN

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.