Vielleicht eine saudumme Frage, weil ich keine Ahnung vom NPM habe: Warum macht man die conf nicht einfach selber? Das ist doch ein einmaliger Aufwand und mir scheint das nicht schwerer, als den NPM korrekt zu konfigurieren. Was soll der NPM denn besser oder einfacher machen?
-
-
Ich habe auch unzählige Versuche unternommen die Konfiguration für NGINX manuell zu erstellen. Leider ohne Erfolg :-( Mit dem NPM kann alles über die Web-Oberfläche konfiguriert werden. Wenn man sich nicht mit dem Syntax von NGINX auskennt ist das wesentlich einfacher :-) Auch die Zertifikate für SSL unter Letsencrypt werden hier automatisch erstellt.Zitat von saegefisch Beitrag anzeigenZuletzt geändert von eric4980; 01.02.2022, 12:19.Kommentar
-
Die Konfiguration für nginx ist in Beitrag #17 zu sehen.
Es muss nur diese eine Datei in dem Verzeichnis für die Konfigurationen (/etc/nginx/sites-available/) angelegt werden.
Danach diese Konfiguration mit ln -s /etc/nginx/sites-available/edomi /etc/nginx/sites-enabled/edomi aktivieren und nginx neu starten.
Die Konfiguration kann nach Anpassung der Pfade und IP-Adressen 1:1 übernommen werden.
Die letzten 3 Zeilen sind für die Authentisierung per TLS-Client-Zertifikat und können zwecks kurzem Test weg gelassen werden.
Ebenso müssen die Zeilen 6-8 dann auskommentiert werden.Zuletzt geändert von Glotzkowski; 01.02.2022, 13:48.Kommentar
-
Interessenanfrage:
Ich habe das ganze mit traefik als Reverseproxy aufgebaut. Das schöne ist daran das ich die Zertifikate per DNS Challenge bekomme.
Das klappt mit meinem Domänen Provider und Nginx Proxy Manager nicht, unter traefik sehr gut und voll automatisch.
Ich habe das ganze auch doppelt aufgebaut, soll heißen: Zuhause bei mir gibt es einen traefik ReverseProxy der macht nur externes IPv6 zu internen Diensten.
Auf einem 1&1 VServer (für 1€/Monat) läuft auch eine traefik Instanz die mir IPv4 auf IPv6 tunnelt.
Das meiste funktioniert.
Aber das Benutzer Zertifikat durchzureichen, klappt noch nicht.
Wenn also Interesse besteht kann ich das mal in einem eigenen Thread beschreiben.
Für mich war das Interessant da mein Internet Provider nur IPv6 anbietet, öffentliche IPv4 Adresse kostet extra (4,95€/Monat).
Zuletzt geändert von Lapheus; 01.02.2022, 20:19.Gruß
LapheusKommentar
-
Da hätte ich für evtl. zukünftige Konstellationen Interesse dran.Zitat von Lapheus Beitrag anzeigen
Hatte ich auch schonmal überlegt die Verbindung bei DS-lite-Internetanschlüssen so zu bauen.Kommentar
-
-
Zumindest früher ist für mich traefik immer aus den Optionen gefallen, weil der per se keine Client Certificates (CC) konnte. Wäre ja schön, wenn er das mittlerweile könnte, dann könnte man traefik eine neue Chance geben, weil der mit LE-Zertifikaten so geschmeidig sein soll. Die CCs im RevProxy waren für mich nicht verhandelbar, um mein Netz nicht Tür und Tor zu öffnen.Zitat von Lapheus Lapheus Beitrag anzeigen
Aber auch nginx hat so seine Probleme... der läuft mit den CCs seit Jahren für diverse Dienste inkl. edomi super stabil, aber damit schlägt die regelmäßige Erneuerung der LE-Zertifikate für die Domains fehl - weil LE natürlich kein CC hat und so die Challenge nicht ausführen kann. Die geht nur ohne CC. Daher muss man alle 90 Tage mal kurz die CCs deaktivieren in der conf, die LE erneuern und dann wieder die CCs reaktivieren. Dauert 5 min und könnte sicher auch per Script/cron-Job gelöst werden. Oder hat jemand LE-renew mit CC per nginx hin bekommen?Zuletzt geändert von saegefisch; 01.02.2022, 21:13.Kommentar
-
Ja, mit einer Instanz funktioniert CC bei mir einwandfrei. Das wäre für mich auch ein Nogo gewesen, wenn nicht.Zitat von saegefisch Beitrag anzeigen
Auch mit nginx geht das erneuern von Zertifikaten mit CC. Die Bedingung dafür ist, das du nicht das HTTP-01 challenge Verfahren nutzt, sondern es per DNS-01 challenge machst. Dafür benötigst du einen DDNS Dienst oder eine Domain die eine DNS API unterstützt.
Traefik nutzt als ACME-Client Lego.
Für nginx habe ich vorher das acme.sh Script genutzt siehe https://github.com/acmesh-official/acme.sh
Beide haben mehrere DNS-API Implementierungen.Gruß
LapheusKommentar
-
Bei LE wird die Challenge auf Port 80 durchgeführt, ich habe Port 80 im nginx deaktiviert, sodass der certbot bei der Erneuerung den Port 80 öffnet.
Damit umgehe ich das im nginx konfigurierte CC für TLS.
Kommentar
-
Zitat von Glotzkowski Beitrag anzeigenHallo zusammen,Zitat von StarwarrsfanAber sicher doch! Sehr, gerne.
der Anfang ist gemacht, siehe hier.
Der IPv4 zu IPv6 Tunnel muss ich noch einfügen, kommt aber noch...
Gruß
LapheusKommentar
-
Hi ThorstenGehrig
ich benutze auch den NGINX Proxy Manager.
Kurze Frage an dich wo hast du diese Config Datei im Proxy Manager eingefügt und wie bekomme ich die ca.crt Datei?
Über Deine Antwort würde ich mich freuen.
Vielen Dank und GrüßeKommentar
-
Hi BadWicky
ich war vermutlich nicht klar in meinem posting - habs gerade nochmal nachgearbeitet.
Den ganzen abschnitt braucht man nur wenn man zertifikatsbasierte client-authorisierung einbauen möchte... also eigentlich nur indirekt mit dem nginx zusammenhängend.
Du kannst das einfach weglassen - oder wenn du client-zertifikate nutzen willst schau mal hier: HS mit Apache2/Reverse-Proxy und Zertifkatsbasierender Authentifizierung - KNX-User-Forum (easyRSA bis zum build-key-pkcs12)
Damit kriegst du dann das ca.crt (dein root-zertifikat) und mehrere client-zertifikate (die die auf deine clients installieren musst).
Ich hoffe das hilft!
gruß
ThorstenKommentar
-
Hallo Thorsten,
meinProblem ist dahingehend, dass ich wenn ich edomi über den Proxy-Manger konfiguriere ich nur folgenden Zustand habe wenn ich diesen aufrufe
F16B4816-0340-46D6-8FDC-EB7C7CDF5029.jpg
Meine Frage war eigentlich, wie du den Proxy-Manger konfiguriert hast damit edomi erreichbar ist.
Kommentar
-
Hi
hier mal schnell zusammengefasst: - die IP 192.168.0.111 ist hier durch deine lokale Edomi-IP zu ersetzen.
domain: edomi.meinedomain.de
http://
192.168.0.111
80
Block common exploids: on
web sockets suport
zusätzliche locations
/admin
192.168.0.111/admin
80
location /admin {
proxy_pass http://192.168.0.111/admin/;
}
/visu/
192.168.0.111/visu/
80
location /visu/ {
sub_filter "WebSocket(serverProtocol+'://'+serverIp+':'+serverPort)" "WebSocket(serverProtocol+'://'+serverIp+':443/wss')";
sub_filter_types application/javascript;
sub_filter_once off;
proxy_pass http://192.168.0.111/visu/;
}
/shared/
192.168.0.111/shared
80
location /shared/ {
proxy_pass http://192.168.0.111/shared/;
}
/data/
192.168.0.111/data
80
location /data/ {
proxy_pass http://192.168.0.111/data/;
}
/remote/
192.168.0.111/remote
80
location /remote/ {
proxy_pass http://192.168.0.111/remote/;
}
/wss
192.168.0.111
port 8080
location /wss {
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_pass http://192.168.0.111:8080;
}
Ich hoffe du kommst damit klar.
Gruß
ThorstenKommentar
-
Hi
Kommt mir bekannt vor. Hast Du den abschliessenden "/" an der URL?Zitat von BadWicky Beitrag anzeigenKind regards,
YvesKommentar
Kommentar