Ankündigung

Einklappen
Keine Ankündigung bisher.

EDOMI über nginx-reverse proxy - mit Nginx Proxy Manager?

Einklappen
X
Einklappen
 
  • Seite von 5
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 3 4 5 template Weiter
    #31
    Hi
    philipp900 - ich dreh am rad :-) Deine config ist die Lösung für mein Problem!
    Code:
    sub_filter "WebSocket(serverProtocol+'://'+serverIp+':'+serverPort)" "WebSocket(serverProtocol+'://'+serverIp+':443/wss')"; sub_filter_types application/javascript;
    GEILOMAT!

    Wichtig war den Browser-Cache manuell zu löschen - vermutlich das Javasript-Teil war vermutlich im cache und konnte nicht umgeschrieben werden...

    Für alle anderen - falls jemand den Nginx Proxy Manager nutzt - hier meine Konfiguration:
    Die 192.168.0.11 steht hier exemplarisch für die IP des EDOMI-Rechners.
    Code:
    Neuer Proxy host,
Domain Names: edomi.dyndns.com
Scheme: http
Forward Hostname / IP: 192.168.0.11
Forward Port:80
Block common exploids: on
Websockets support: on
Access List: publicity accessible

Custom locations: /visu/
Scheme: http
Forward Hostname / IP: 192.168.0.11/visu
Forward Port: 80

Custom Config:
location /visu/ {
sub_filter "WebSocket(serverProtocol+'://'+serverIp+':'+serverPort)" "WebSocket(serverProtocol+'://'+serverIp+':443/wss')";
sub_filter_types application/javascript;
sub_filter_once off;
proxy_pass http://192.168.0.11/visu/;
}

Custom locations: /admin/
Scheme: http
Forward Hostname / IP: 192.168.0.11/admin
Forward Port: 80

Custom Config:
location /admin {
proxy_pass http://192.168.0.11/admin/;
}

Custom locations: /shared/
Scheme: http
Forward Hostname / IP: 192.168.0.11/shared
Forward Port: 80

Custom Config:
location /shared/ {
proxy_pass http://192.168.0.11/shared/;
}

Custom locations: /data/
Scheme: http
Forward Hostname / IP: 192.168.0.11/data
Forward Port: 80

Custom Config:
location /data/ {
proxy_pass http://192.168.0.11/data/;
}

Custom locations: /remote/
Scheme: http
Forward Hostname / IP: 192.168.0.11/remote
Forward Port: 80

Custom Config:
location /remote/ {
proxy_pass http://192.168.0.11/remote/;
}

Custom locations: /wss/
Scheme: http
Forward Hostname / IP: 192.168.0.11/wss
Forward Port: 8080

Custom Config:
location /wss {
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_pass http://192.168.0.11:8080;
}

SSL-Tab:
SSL-Certifikate: edomi.dyndns.com
ForceSSL: on
HTTP/2 Support: on

Advanced-Tab:
include /data/cac_auth.conf;

    Die folgenden Zeilen sind nur notwendig falls man eine Zertifikatsbasierte Clientauthentifizierung einbauen möchte!

    Hierzu muss man eine private ca und client-zertifikate erzeugen (open SSL => google it yourself :-) )
    Die Datei cac_auth.conf und das public-zertifikat ca.crt muss in dem Docker vom Nginx-Proxy-Manager abgelegt werden (bei mir im /data verzeichniss).

    Inhalt von "cac_auth.conf"
    Code:
    ssl_client_certificate /data/ca.crt;
ssl_verify_client on;
if ($ssl_client_s_dn !~ "CN=CommonName_des_authorisiertenUsers") {
return 403;
}
    Damit läuft das bei mir :-) nur über https/443 und mit client-Zertifikat-Authentifizierung.

    Danke nochmal an alle die hier mitgeholfen haben.

    Gruß
    Thorsten Gehrig
    Zuletzt geändert von ThorstenGehrig; 07.04.2022, 18:45.
    • Likes 1

    Kommentar

      #32
      Freut mich zu hören, dass es damit bei dir nun auch funktioniert.
      Ja, das mit dem Cache hatte ich vergessen zu erwähnen, da ja die js-Datei modifiziert wird.

      Kennt jemand zufällig eine Tool mit dem man Client-Zertifikate verwalten kann?
      Würde ein Docker-Image mit webbasierter Oberfläche bevorzugen mit dem man Client Zertifikate erstellen und zurückziehen kann.

      Kommentar

        #33
        Zitat von philipp900 Beitrag anzeigen
        Würde ein Docker-Image mit webbasierter Oberfläche bevorzugen mit dem man Client Zertifikate erstellen und zurückziehen kann.
        Daran hätte ich auch Interesse.
        Weil ich nichts gefunden hatte, nutze ich aktuell XCA portable, ist aber ne Offline-Variante.

        Kommentar

          #34
          Zitat von ThorstenGehrig Beitrag anzeigen
          Hi
          philipp900 - ich dreh am rad :-) Deine config ist die Lösung für mein Problem!

          Die Datei cac_auth.conf und das public-zertifikat ca.crt muss in dem Docker vom Nginx-Proxy-Manager abgelegt werden.

          Inhalt von "cac_auth.conf"
          Code:
          ssl_client_certificate /data/ca.crt;
ssl_verify_client on;
if ($ssl_client_s_dn !~ "CN=CommonName_des_authorisiertenUsers") {
return 403;
}
          Damit läuft das bei mir :-) nur über https/443 und mit client-Zertifikat-Authentifizierung.

          Danke nochmal an alle die hier mitgeholfen haben.

          Gruß
          Thorsten Gehrig
          Hallo Thorsten,
          nach unzähligen Anläufen hab ich es jetzt auch geschafft Edomi über den NPM zu erreichen :-)
          Nun habe ich noch einige Schwierigkeiten mittels Client Zertifikat abzusichern...
          Ich habe mit XCA die nötigen Zertifikate erstellt.
          2022-01-27_16-04-46.jpg
          Nun ist mir noch nicht klar welches Zertifikat auf dem Server abgelegt werden muss und welches auf dem Client installiert werden muss.
          Kannst du mir hier vielleicht weiterhelfen?

          Viele Grüsse
          Eric

          P.S Meine vorherigen Versuche sind gescheitert weil ich alle Tests auf meinem Firmen-Laptop durchgeführt habe. Hier ist wohl von unserem Unternehmen etwas gesperrt. Hier wird der Websocket nicht erreicht. Vielleicht hat hier auch noch jemand ne Idee...

          Meine Versuche übers IPAD haben direkt funktioniert :-)
          Zuletzt geändert von eric4980; 27.01.2022, 16:32.

          Kommentar

            #35
            Ich bin zwar nicht Thorsten aber hatte den XCA ins Spiel gebracht oder nutzt er den auch?
            Das Zertifikat (nur das öffentliche) der CA muss auf den Server (/data/ca.crt)
            Auf dem Client dann privates und öffentliches Zertifikat (am besten als pfx/pkcs12).
            Ein Zertifikat für den Server wird, für den Zweck der Authentifizierung, hier nicht benötigt.

            Kommentar

              #36
              Hallo Glotzkowski,
              natürlich bin ich über jede Hilfe dankbar :-)
              Ich habe das folgende Zertifikat(den dritten Eintrag) als .crt exportiert und abuf dem Server abgelegt:
              2022-01-27_16-04-46.jpg
              Danach habe ich den Export vom 2. Zertifikat(www.xxx.net) als pfx/pkcs12 in Windows importiert.

              Ist das so richtig?

              Aktuell bekomme ich noch folgende Fehlermeldung:
              400 Bad Request

              No required SSL certificate was sent

              Kommentar

                #37
                Zitat von philipp900 Beitrag anzeigen
                Kennt jemand zufällig eine Tool mit dem man Client-Zertifikate verwalten kann?
                Würde ein Docker-Image mit webbasierter Oberfläche bevorzugen mit dem man Client Zertifikate erstellen und zurückziehen kann.
                Mit XCA sollte das gehn: (EDIT: Sorry gerade erst gesehen, dass XCA ja schon genannt wurde )


                Gibts wohl auch ein unofficial docker image für:

                Ich setze esayrsa Scripts auf der command line ein. Funktioniert auch sehr gut, ist natürlich nicht so komfortabel.
                Zuletzt geändert von jonofe; 27.01.2022, 21:31.

                Kommentar

                  #38
                  Zitat von eric4980 Glotzkowski Beitrag anzeigen
                  Ich habe das folgende Zertifikat(den dritten Eintrag) als .crt exportiert und abuf dem Server abgelegt:
                  Es wird, wie ich schon beschrieben hatte, kein Zertifikat für den Server selber und die Authentifizierung benötigt.
                  Du musst das Zertifikat der CA (also den ersten Eintrag) exportieren und auf den Server kopieren.
                  Das zweite ist dann für Deinen Client.
                  Der Server validiert das Client-Zertifikat beim Aufruf dann mit dem Zertifikat der CA.
                  Den dritten Eintrag im XCA kannst Du meiner Ansicht nach löschen.

                  Kommentar

                    #39
                    Zitat von Glotzkowski Beitrag anzeigen
                    Es wird, wie ich schon beschrieben hatte, kein Zertifikat für den Server selber und die Authentifizierung benötigt.
                    Du musst das Zertifikat der CA (also den ersten Eintrag) exportieren und auf den Server kopieren.
                    Das zweite ist dann für Deinen Client.
                    Der Server validiert das Client-Zertifikat beim Aufruf dann mit dem Zertifikat der CA.
                    Den dritten Eintrag im XCA kannst Du meiner Ansicht nach löschen.
                    Ich habe jetzt nochmal alle Zertifikate neu erstellt und den NPM auf Proxmox nochmals neu installiert.
                    Ohne die Zertifikat-Absicherung finktioniert auch alles.
                    Wenn ich die Zertifikate nach deiner Beschriebung installiere kommt der gleiche Fehler wie gestern:
                    2022-01-28_11-00-04.jpg
                    In Windows habe ich das Zertifikat(PKCS#12 Zertifikatskette .pfx) hier hinzugefügt:
                    2022-01-28_10-50-23.jpg
                    Auf dem Server liegt das rootCA als PEM .crt

                    Passt das so?

                    Vielen Dank und viele Grüsse
                    Eric
                    Angehängte Dateien
                    Zuletzt geändert von eric4980; 28.01.2022, 11:32.

                    Kommentar

                      #40
                      Hört sich zunächst alles gut an.
                      Mit welcher Vorlage hast du das Client-Zertifikat im XCA erstellt?
                      Wichtig ist, dass es die für "TLS Clients" ist.
                      Du musst dann auch beim Auswählen der Vorlage für das Zertifikat auf "alles übernehmen" klicken, damit die entsprechenden Attribute für die Schlüsselverwendung im XCA ausgewählt werden.
                      Gleiches gilt für das Zertifikat der CA, hier müssen auch die korrekten Attribute vorliegen (also Vorlage CA und alles übernehmen).

                      Wenn das Client-Zertifikat das Attribut "TLS Web Client Authentication" nicht besitzt, wird der Browser dies nicht für so einen Zweck nutzen.
                      Wenn alles korrekt ist, wird der Browser einen Dialog öffnen und fragen, ob er das installierte Zertifikat für die Authentisierung nutzen soll.

                      Kommentar

                        #41
                        Moin,

                        ich bin hier auch gerade am testen.

                        Ich habe Nginx Proxy Manager und Edomi in separaten Containern auf Proxmox.

                        Grundsätzlich scheint mein Setup zu laufen, aber:

                        Der Zugriff auf die Visu geht für ein paar Sekunden, dann sehe ich nur noch den drehenden Kreis, dann kommt die Visu mal wieder, dann der Kreis usw., usw.

                        Im Fehlerlog von Edomi steht dann Folgendes:

                        Code:
                        2022-01-30 10:17:35 425477 VISU 1144 Receiving invalid message from Client-ID 2: ERROR
2022-01-30 10:17:35 435724 VISU 1144 Receiving invalid data-frame from Client-ID 2 ERROR
2022-01-30 10:18:21 580012 VISU 1144 Receiving invalid message from Client-ID 2: ERROR
2022-01-30 10:18:21 590210 VISU 1144 Receiving invalid data-frame from Client-ID 2 ERROR
2022-01-30 10:18:30 130382 VISU 1144 Receiving invalid message from Client-ID 2: ERROR
2022-01-30 10:18:30 140594 VISU 1144 Receiving invalid data-frame from Client-ID 2 ERROR
2022-01-30 10:18:38 684864 VISU 1144 Receiving invalid message from Client-ID 2: ERROR
2022-01-30 10:18:38 695089 VISU 1144 Receiving invalid data-frame from Client-ID 2 ERROR
2022-01-30 10:18:40 144829 VISU 1144 Receiving invalid message from Client-ID 2: ERROR
2022-01-30 10:18:40 155163 VISU 1144 Receiving invalid data-frame from Client-ID 2 ERROR
2022-01-30 10:18:55 170284 VISU 1144 Receiving invalid message from Client-ID 2: ERROR
2022-01-30 10:18:55 180620 VISU 1144 Receiving invalid data-frame from Client-ID 2 ERROR
2022-01-30 10:19:05 321314 VISU 1144 Receiving invalid message from Client-ID 2: ERROR
2022-01-30 10:19:05 331573 VISU 1144 Receiving invalid data-frame from Client-ID 2 ERROR
2022-01-30 10:19:13 761569 VISU 1144 Receiving invalid message from Client-ID 2: ERROR
2022-01-30 10:19:13 771909 VISU 1144 Receiving invalid data-frame from Client-ID 2 ERROR
2022-01-30 10:19:39 849582 VISU 1144 Receiving invalid message from Client-ID 3: ERROR
2022-01-30 10:19:39 859862 VISU 1144 Receiving invalid data-frame from Client-ID 3 ERROR
2022-01-30 10:20:05 963184 VISU 1144 Handshake failed with Client-ID 2 ERROR
2022-01-30 10:20:09 891761 VISU 1144 Handshake failed with Client-ID 2 ERROR
2022-01-30 10:20:24 383618 VISU 1144 Handshake failed with Client-ID 2 ERROR
2022-01-30 10:20:27 867918 VISU 1144 Handshake failed with Client-ID 2 ERROR
2022-01-30 10:20:31 335882 VISU 1144 Handshake failed with Client-ID 2 ERROR
2022-01-30 10:26:52 617564 VISU 1144 Receiving invalid message from Client-ID 2: ERROR
2022-01-30 10:26:52 627918 VISU 1144 Receiving invalid data-frame from Client-ID 2 ERROR
2022-01-30 10:27:05 664622 VISU 1144 Receiving invalid message from Client-ID 2: ERROR
2022-01-30 10:27:05 674829 VISU 1144 Receiving invalid data-frame from Client-ID 2 ERROR
2022-01-30 10:27:15 643969 VISU 1144 Receiving invalid message from Client-ID 2: ERROR
2022-01-30 10:27:15 654156 VISU 1144 Receiving invalid data-frame from Client-ID 2 ERROR
2022-01-30 10:27:24 333726 VISU 1144 Receiving invalid message from Client-ID 2: ERROR
2022-01-30 10:27:24 343899 VISU 1144 Receiving invalid data-frame from Client-ID 2 ERROR
2022-01-30 10:27:35 663918 VISU 1144 Receiving invalid message from Client-ID 2: ERROR
2022-01-30 10:27:35 674248 VISU 1144 Receiving invalid data-frame from Client-ID 2 ERROR
2022-01-30 10:27:44 304994 VISU 1144 Receiving invalid message from Client-ID 2: ERROR
2022-01-30 10:27:44 315217 VISU 1144 Receiving invalid data-frame from Client-ID 2 ERROR
2022-01-30 10:28:01 968750 VISU 1144 Receiving invalid message from Client-ID 2: ERROR
2022-01-30 10:28:01 979103 VISU 1144 Receiving invalid data-frame from Client-ID 2 ERROR
                        Hat jemand eine Ahnung was das sein könnte?

                        Viele Grüße,
                        Mucki

                        Kommentar

                          #42
                          Auch hier hilft vielleicht die Ausgabe der Entwickler-Console des Browsers etwas mehr, würde ich sagen.
                          Kannst Du Deine Konfiguration hier anonymisiert zeigen?

                          Kommentar

                            #43
                            Hab noch mal ein wenig weiter getestet...

                            Chrome unter Windows scheint ohne Probleme zu laufen

                            Safari unter iOS macht die oben beschriebenen Probleme

                            Meine config ist:
                            Code:
                            # ------------------------------------------------------------
# edomi.xy.z
# ------------------------------------------------------------


server {
set $forward_scheme http;
set $server "192.168.0.12";
set $port 80;

listen 80;
listen [::]:80;

listen 443 ssl http2;
listen [::]:443 ssl http2;


server_name edomi.xy.z;


# Let's Encrypt SSL
include conf.d/include/letsencrypt-acme-challenge.conf;
include conf.d/include/ssl-ciphers.conf;
ssl_certificate /etc/letsencrypt/live/npm-2/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/npm-2/privkey.pem;






# Block Exploits
include conf.d/include/block-exploits.conf;







# Force SSL
include conf.d/include/force-ssl.conf;




proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_http_version 1.1;


access_log /data/logs/proxy-host-1_access.log proxy;
error_log /data/logs/proxy-host-1_error.log warn;

include /data/cac_auth.conf;

location /visu/ {
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Scheme $scheme;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://192.168.0.12:80/visu;





# Block Exploits
include conf.d/include/block-exploits.conf;



# Force SSL
include conf.d/include/force-ssl.conf;









proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_http_version 1.1;



location /visu/ {
sub_filter "WebSocket(serverProtocol+'://'+serverIp+':'+serverPort)" "WebSocket(serverProtocol+'://'+serverIp+':443/wss')";
sub_filter_types application/javascript;
sub_filter_once off;
proxy_pass http://192.168.0.12/visu/;
}
}

location /admin/ {
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Scheme $scheme;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://192.168.0.12:80/admin;





# Block Exploits
include conf.d/include/block-exploits.conf;



# Force SSL
include conf.d/include/force-ssl.conf;









proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_http_version 1.1;



location /admin/ {
proxy_pass http://192.168.0.12/admin/;
}
}

location /shared/ {
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Scheme $scheme;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://192.168.0.12:80/shared;





# Block Exploits
include conf.d/include/block-exploits.conf;



# Force SSL
include conf.d/include/force-ssl.conf;









proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_http_version 1.1;



location /shared/ {
proxy_pass http://192.168.0.12/shared/;
}
}

location /data/ {
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Scheme $scheme;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://192.168.0.12:80/data;





# Block Exploits
include conf.d/include/block-exploits.conf;



# Force SSL
include conf.d/include/force-ssl.conf;









proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_http_version 1.1;



location /data/ {
proxy_pass http://192.168.0.12/data/;
}
}

location /remote/ {
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Scheme $scheme;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://192.168.0.12:80/remote;





# Block Exploits
include conf.d/include/block-exploits.conf;



# Force SSL
include conf.d/include/force-ssl.conf;









proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_http_version 1.1;



location /remote/ {
proxy_pass http://192.168.0.12/remote/;
}
}

location /wss {
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Scheme $scheme;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://192.168.0.12:8080/wss;





# Block Exploits
include conf.d/include/block-exploits.conf;



# Force SSL
include conf.d/include/force-ssl.conf;









proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_http_version 1.1;



location /wss {
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_pass http://192.168.0.12:8080;
}
}





location / {










proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_http_version 1.1;


# Proxy!
include conf.d/include/proxy.conf;
}


# Custom
include /data/nginx/custom/server_proxy[.]conf;
}

                            Zur Konsolenausgabe:

                            Das sagt mir leider alles nicht wirklich viel, keine Ahnung wo ich nach suchen kann...
                            Ich habe hier eine Fehlermeldung gefunden:

                            Bildschirmfoto 2022-01-30 um 13.10.00.png

                            Wo kann ich da genauer gucken?

                            Vielen Dank,
                            Mucki

                            Kommentar

                              #44
                              Die Konfiguration sieht für mich seltsam aus, da es die selben Zeilen mehrfach gibt, oder ist das ein copy/paste-Fehler?
                              Kannst Du das nochmal korrigieren, wenn das in Deinem NPM richtig hinterlegt ist?

                              Kommentar

                                #45
                                Hi,

                                einen Copy & Paste Fehler kann ich ausschließen. Das ist 1:1 der Inhalt der Datei wie sie vom NPM kommt.

                                Dann wird es wohl daran liegen, das ich das Ganze falsch nachgebaut habe

                                Kommentar

                                Vorherige 1 2 3 4 5 template Weiter
                                Lädt...
                                X

                                Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                                Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                                Ich stimme zu