Nginx Proxy Manager lokale Zertifikate?

Ich benutze Docker auf meinem Pi. Als Docker laufen Pi-Hole, Nignx Proxy Manager und weitere. Wenn ich über eine Subdomain auf einen anderen Docker zugreifen will z.B. wireguard.xxxxx.de wird von Nignx ein Zertifikat benutzt. Im Pi-Hole kann man einen DNS Record einstellen. Trage ich dort z.B. wireguard.xxxxx.de auf IP 192.168.5.36 weiterleiten ein, steht oben in der Adressleiste trotzdem wireguard.xxxxx.de. Aber es wird kein Zertifikat benutzt. Warum ist mir bekannt, aber kann ich irgendwie ein Zertifikat für einen Lokalen zugriff erstellen.

1 Antwort

xxxcyberxxx

19.07.2022, 17:52

aber kann ich irgendwie ein Zertifikat für einen Lokalen zugriff erstellen

Ja, wenn du die Domain besitzt und im NPM die Überprüfung per DNS erledigst, kannst du auch für lokale Subdomains Zertifikate erstellen

Beispiel:

Ich habe eine Domain, hier nenn ich sie jetzt einfach mal example.com - diese verwalte ich über Cloudflare.

Ich nutze Unbound als DNS-Dienst und habe dort z.B. als DNS-Override für die Subdomains "nginx.int.example.com" und "portainer.int.example.com die lokale IP 192.168.42.30 angegeben. Wenn also eines meiner Geräte im lokalen Netzwerk über meinen DNS-Server nginx.int.example.com oder portainer.int.example.com anfragt, wird eben 192.168.42.30 geantwortet. Auf 192.168.42.30 läuft - wie die Namen der Subsubdomains schon vermuten lässt - einmal Nginx (Proxy Manager) und einmal Portainer.

In NPM habe ich jetzt ein SSL-Zertifikat über Let's Encrypt angelegt - man kann bei dem folgenden Menü auswählen, dass dort die DNS-Challenge gewählt werden soll.

Bild zum Beitrag

Je nach Anbieter (in meinem Fall Cloudflare) musst du eben die geforderten Angaben machen (in meinem Fall ein API-Key für die Zone example.com).

Oben unter "Domain Names" kommen dann alle Domains und Subdomains rein, für die das Zertifikat zählen soll. Ich habe in meinem Fall z.B. angegeben, dass es für example.com, *.example.com und *.int.example.com gelten soll - die Sterne sind jeweils Wildcards und lassen alles zu.

Bild zum Beitrag

Dadurch ist jetzt dieses Zertifikat für z.B. example.com, a.example.com, b.example.com, c.int.example.com, d.int.example.com usw gültig, aber nicht für a.ext.example.com.

Für die einzelnen Einträge, die der NPM dann verwaltet, wähle ich dann das gerade erstellte Zertifikat aus und lasse das intern an die korrekte Quelle weiterleiten.

Bild zum Beitrag

Beim Aufruf lässt sich dann leicht überprüfen, dass das Zertifikat tatsächlich gültig ist und von Let's Encrypt verifiziert wurde:

Bild zum Beitrag

Zudem lässt sich auch leicht überprüfen, dass hinter "nginx.int.example.com" tatsächlich die IP-Adresse 192.168.42.30 steckt. Unter Windows kann man das Tool "nslookup" im Terminal nutzen, unter Linux dig. Beide geben für den lokalen DNS die Antwort 192.168.42.30, aber bei der Nutzung des externen DNS-Servers (z.B. 1.1.1.1) gibt es keine Antwort, da die Einträge ja nur lokal im Netzwerk angegeben sind.

robinpfeiffe97

Fragesteller

28.07.2022, 02:16

Ich nehme an das dass nicht geht wenn die Domain bei Strato liegt oder?

Ich habe auf meinem Raspberry Pi 4 Casa OS installiert. Darin läuft unter anderem eine NextCloud-Instanz.

Von Aussen (aka Internet) kann ich über domain.de:5011 zugreifen. Der Router leitet den Port zu meinem Raspberry Pi auf den Port von der NextCloud weiter. Das Problem ist, dass die Verbindung noch unverschlüsselt ist.

Ich habe bereits auf x verschiedene Wege versucht SSL über den Nginx Proxy Manager einzurichten. Das einzige, das mir (irgendwie) gelungen ist, ist ein Zertifikat zu erstellen. Aber das höchste aller Gefühle war dann immer eine Bad-Gateway-Fehlermeldung.

Weiss jemand, wie ich eine verschlüsselte Verbindung entsprechend einrichten kann bei meinem Setup:

"domain.de:5011". Von Aussen habe ich diesen Port im Router zur Verfügung.
Nextcloud ist in einem Docker Container installiert (Port 10081)
Nginx Proxy Manager in einem Docker Container hört auf dem Port 80 und 443 zu (Admin Panel auf Port 81)

Vielleicht noch als Nebeninformation. Im gleichen Netzwerk laufen auch Synology-Services, die jedoch verschlüsselt arbeiten und ebenfalls über 5000-er Ports von aussen erreichbar sind. (In den Tutorials, die ich gefunden habe, wurde die SSL-Einrichtung im Nginx Proxy Manager nie über Ports ermöglicht. Erschweren diese Ports das Ganze?)

Ich verstehe wirklich nicht, wie ich das am besten einrichten soll. Kann man den Raspberry Pi "allgemein" verschlüsselt kommunizieren lassen (soll heissen, dass auch der Traffic im lokalen Netz bereits verschlüsselt ist. Das ist bei den Synology-Services so.) oder geht es einfacher, wenn nur der Traffic nach aussen verschlüsselt ist?

Vielen Dank im Voraus :) Ich bin wirklich langsam überfragt...

...zur Frage

Strato Wildcard SSL Zertifikat in Nginx Proxy?

Hallo,

ich habe einen Proxmox Server und auf diesem einige Container laufen, die außerhalb des Netzwerks erreichbar sind. Da ich nicht für jede Subdomain ein eigenes Let's encrypt Zertifikat generieren möchte, kam mir der Gedanke ein Wildcard Zertifikat zu generieren, das ich dann für alle Subdomains nutzen kann.

Im Nginx Proxy Manager, über den die Subdomains verteilt werden, braucht man eine DNS Challenge. Da gibt es aber leider nicht Srato zur Auswahl. Gibt es eine andere Möglichkeit, dieses zu generieren?

...zur Frage

SSL Zertifikat wird als ungültig markiert. Warum?

Hallo zusammen,

ich hätte eine Frage zum Thema SSL (Root Zertifikat) in Verbindung mit einer Subdomain.

Folgendes Szenario:

es existiert eine Motobix Kamera, die über eine feste IP erreichbar ist. (Beispiel: 192.120.203.32) Ziel ist, die Darstellung des Bildes im Browser über https zu erreichen.

Vorgehensweise:

Auf einem separaten Webserver habe ich für eine Domain DNS-Einstellungen vorgenommen. Ich habe für eine Subdomain einen A-Record erstellt, der auf die IP der Kamera verweist. (Beispiel: video.domain.com) Für die Kamera selbst habe ich über das Admin-Interface ein selbst signiertes Zertifikat erstellt, dessen "Allgemeiner Name" die Subdomain enthält (video.domain.com), über den die Kamera im Browser aufgerufen werden soll.

Leider wird das Zertifikat jedoch als ungültig markiert. Habe ich hier etwas wichtiges vergessen oder grundsätzlich etwas falsch verstanden?

Vielen Dank schonmal für eure kompetenten Antworten.

...zur Frage

NGINX Proxy Manager Stream funktioniert nicht?

Hi,

ich versuche einen stream in NGINX einzurichten jedoch leitet der reverse proxy nicht weiter. Weder wenn ich die domain noch die IP benutze. Vielleicht liegt es daran das ich versuche auf Server ausserhalb von docker zu verweisen ?

Falls das zutrifft hat jemand eine Lösung wie das möglich wäre?

...zur Frage

Nginx reverse Proxy?

Heyho,

Keine Ahnung ob ich hier wen finde der mir helfen kann aber gut.
Es geht um meinen reverse Proxy, ich bin relativ neu in der Netzwerk Technick und versuche gerade einen reverse Proxy vor meinen eigentlichen Server zu stellen.

Und zwar habe ich Nginx auf einem anderen debian 11 Server installiert und wollte von dort aus dann meine Dienste öffentlich machen um die eigentliche IP meines Hauptservers zu verstecken. Dazu wollte ich dann bei Nginx einen Stream machen der dann so funktioniert:

%IP VOM REVERSE%:4444 -> %IP VOM HAUPT%:25565

Funktioniert leider nicht, nichtmal mit dem Port 9090 (Auf meinem Hauptserver läuft cockpit port 9090). Habe die Ports auch in die Docker config geschrieben ...

...zur Frage

Mit Nginx Proxy Manager Website erstellen?

Moin! Kann man mit dem Nginx Proxy Manager eine website erstellen zbs die Website über port 80 kann man die bearbeiten

...zur Frage

Pi-Hole: Anfragen ohne „www.“ gehen nicht, wie behebt man das?

Habe heute mal ein Pi-Hole aufgesetzt. Klappt recht gut.

Das Problem ist nur, dass es nicht geht, Seiten ohne Subdomain aufzurufen. Es geht also beispielsweise nicht „bbc.co.uk“ aufzurufen, während ARD wegen Subdomain geht. Daher ist nun die Frage, wie ich das beheben kann.

...zur Frage

Debian DNS Settings resetten (brauche dringend hilfe)?

Also ich habe eine Debian 10 Server wo ich per Docker eine Pi-Hole drauf laufen habe und in den DNS Settings (resolver.conf) ist eingetragen, dass diese Pi-Hole als DNS-Server genutzt wird.

Ich habe nun ein Update gemacht (apt-get update && apt-get upgrade) und seit dem kann ich keine Domains mehr auslösen ich weiß nicht woran es liegt (Upgedatet wurde u.a. Docker).

Also habe ich versucht die resolver.conf (/etc/resolver.conf) mal zu bearbeiten um die DNS-Server zu ändern. Ich bekomme aber immer den Error das diese Operation nicht berechtigt ist ("Operation not permitted"). Ich bin aber als "Root" eingeloggt.

Ich bin jetzt etwas hilflos und verzweifelt, da ich nach einer guten Stunde noch immer keine Fortschritt gemacht habe und möchte euch um Rat und Hilfe bitten.

...zur Frage

Wer ist für das SSL Zertifikat zuständig?

Folgendes Szenario:

Wir haben ein Webhosting-Paket bei ALL-INKL. Dort ist es grundsätzlich möglich, Lets Encrypt Zertifikate für angelegte Domains zu erstellen.

In diesem Szenario verweist via A-Record eine unserer Subdomains (Subdomain wurde nicht erstellt, sondern einfach in den DNS-Einstellungen so angelegt) auf einen anderen Server. Wer ist in diesem Fall für die Erstellung eines SSL-Zertifikates verantwortlich? Wir als Inhaber der Domain? Oder muss der Inhaber des externen Servers sich darum kümmern, auf den die Subdomain verweist?

Vielen Dank im Voraus!

...zur Frage

Raspberry Pi Nas (OpenMediaVault)?

Hallo zusammen!

(Raspbian Lite + Raspberry Pi 3 B)

Ich habe mir gerade Raspbian Lite auf meinen Raspberry gepackt und habe ObenMediaVault via Command installiert.

In diversen Tutorials wird beschrieben das man nach der Installation die öffentliche IP Adresse (des Raspberry) in den Browser eingeben soll. Das ging am Anfang nicht, die Website wurde nicht gefunden.

Die Website ist nicht erreichbar

Die Antwort von 192.xxx.xxx.xxx hat zu lange gedauert.Versuchen Sie Folgendes:

Verbindung prüfen
Proxy und Firewall prüfen
Windows-Netzwerkdiagnose ausführen

ERR_CONNECTION_TIMED_OUT

Mit der privaten IP Adresse des PI (10.0.0.xx) bin ich am Anfang immer auf die Seite "nginx" gekommen. Nach der Deinstallation von nginx mit den Command :

sudo service nginx stop

sudo apt-get purge nginx

sudo apt-get autoremove

stehe ich nun vor dem gleichen Problem wie bei der Öffentlichen IP (192....), die Seite kann nicht geladen werden oder existiert nicht.

Würde mich über eine rasche Rückmeldung freuen

Mit freundlichen Grüßen

...zur Frage

Subdomain direkt den Port mit schicken?

Hallo,

Ich habe folgendes vor:

Ich habe bei Strato eine Domain und zuhause zwei Server. Einen Mac mini und einen Raspberry pi.

Nun möchte ich dass:

pi.domain.de den port :81 gleich mit nimmt, da der Mac server

Passwort.domain.de bereits den port :80 hat.

auf dem PI läuft bereits ddclient als DYNdns Programm und der Pi ist mit portangabe bereits aus dem internet mit pi.domain.de:81 erreichbar.

Wie schaffe ich es den Port in der Subdomain mit zu übertragen, dass dieser nicht wieder erscheint/erscheinen muss?

Ich habe bereits versucht über SRV-Record an mein ergebiss zu kommen, jedoch ohne erfolg.

Auf dem dem Mac läuft bitwarden als Webserver und auf dem Pi soll ownCloud unter Apache 2 laufen.

Ich bin über jede hilfreiche und nett gemeinte Antwort sehr dankbar und bedanke mich bereits im Voraus.

Beste Grüße

Tim

...zur Frage

FEMS nicht über domain erreichbar?

Servus! Ich habe einen NGINX Proxy Manager der auf mein FEMS leitet (über domain).

Bis dahin funktioniert alles die seite läd auch halbwegs jedoch steht da Verbindung wird aufgebaut... der rest läd nicht.

Wenn mir jemand helfen kann ist cool wenn nicht ist auch ok.

...zur Frage

Mailserver hinter Reverse Proxy (nginx)?

Hallo,

Ich habe Mail in a box installiert.

Wie bekomme ich das ganze nun SSL verschlüsselt?

Ich besitze bereits ein Server auf dem ein Nginx reverse Proxy installiert ist.

( Zertifikate werden dort erstellt und erneuert)

Nochmal zum Verständnis>

wie bekomme ich das Webinterface hinter den Proxy ?

( Bei Einbindung bekomm ich den Fehler > Zu viele Weiterleitungen)

+ Wie bekomme ich die Email verschlüsselt versendet?

...zur Frage

PiHole Docker einrichten?

Ich habe mein PiHole eingerichtet, aber noch leichte Probleme leider.

Habe mein PiHole mit Portainer auf docker laufen

Nutze folgendes Skript:

version: "3"


# More info at https://github.com/pi-hole/docker-pi-hole/ and https://docs.pi-hole.net/
services:
  pihole:
    container_name: pihole
    image: pihole/pihole:latest
    # For DHCP it is recommended to remove these ports and instead add: network_mode: "host"
    ports:
      - "53:53/tcp"
      - "67:67/udp" # Only required if you are using Pi-hole as your DHCP server
      - "88:80/tcp"
    environment:
      TZ: 'Europe/Berlin'
      WEBPASSWORD: "xxx"
    # Volumes store your data between container upgrades
    volumes:
      - './etc-pihole:/etc/pihole'
      - './etc-dnsmasq.d:/etc/dnsmasq.d'
    #   https://github.com/pi-hole/docker-pi-hole#note-on-capabilities
    cap_add:
      - NET_ADMIN # Required if you are using Pi-hole as your DHCP server, else not needed
    restart: unless-stopped

Habe dann in meiner Fritzbox meine IPv4 Adresse als DNS eingetragen, aber es geht nicht. Ich vermute es daran, dass er den IPv6 weg geht. Was muss ich tun damit er den PiHole als DNS nutzt? Nutze Ubuntuserver als Basis

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen