[Anleit.] ReverseProxy, Portfreigabe, Fritzbox unter Proxmox
-
seit wochen schiebe ich die installation eine reverse proxy servers hinaus, um eine sichere portfreigabe hinzubekommen - allein letsencrypted für https einzurichten war für mich ein "bömisches dorf". falls ich was flsch gemacht habe, wäre es gut, wenn die sicherheitsprofis das mitteilen könnten !
jetzt habe ich jedoch zwei anleitungen gefunden und es dauerte keine 15 minuten, das ganze einzurichten. ich wollte meinen tracecar server von außen zugreifbar machen. das ganze ist für proxmox lxc gedacht. falls man kein proxmox hat, kann das auch der nginx auch anders installiert werden
was habe ich gemacht:
- dyndns auf fritzbox eingerichtet mit duckdns - kostenlos
- fritzbox port-weiterleitung vorbereitet
- proxmox lxc mit nginx proxy manager installiert: über diese seite: https://tteck.github.io/Proxmox/
- nginx konfiguriert mit youtube reihe https://www.youtube.com/watch?v=aRURfnY2ikg
duckdns in fritzbox sieht so aus:
fritzbox freigabe:
- proxmox lxc mit nginx proxy manager installiert: über diese seite: https://tteck.github.io/Proxmox/
dank dieser seite https://tteck.github.io/Proxmox/ war das mit ein paar klicks in 3 min erstellt
anschliessend das ganze mit dem youtube video eingestellt/konfiguriert und erfolgreich getestet - das letsencrypt-thema war mit 4 klicks erledigt
danke an @crunchip für die proxmox script seite
danke an @tteckster - tolle scripte - super arbeitEDIT: habe auch die ports geändert: https://forum.iobroker.net/post/965727
-
@liv-in-sky vielleicht sollte man erwähnen das es manchmal bei der Erstellung des let’s encrypt Zertifikats zum Fehler kommen kann. Das ist so nicht ersichtlich, man bekommt nur eine Fehlermeldung. Schaut man dann aber in der Konsole dann sieht man das das Kontingent der kostenlose Zertifikate ausgeschöpft ist. Dann muss man einfach später oder an einem anderen Tag nochmal versuchen eins zu erstellen.
Hat mir schon mal ganz schön die Nerven geraubt weil ich nicht wusste warum das nicht geht und die Fehlermeldung auch nicht darauf hindeutete. -
Ich habe es ähnlich eingerichtet, allerdings läuft mein NPM als docker container.
Zusätzlich habe ich den Verbindungen zu den verwalteten Servern über die access lists ein Zugangspasswort verpasst.
-
mit der access list hatte ich mich auch befasst - ich wollte gerne den iobroker simple api adapter ansprechen und noch ein kennwort dazufügen - bekomme das aber nicht ans laufen mit tasker und httpget
hast du vielleicht eine idee ? kann man überhaut diese user und password abfrage in der url mit angeben ?
-
@liv-in-sky sagte in [Anleit.] ReverseProxy, Portfreigabe, Fritzbox unter Proxmox:
kann man überhaut diese user und password abfrage in der url mit angeben ?
Das funktioniert meines Wissens bei https nicht.
-
@meister-mopper das habe ich schon vermutet - ist das ganze auch so sicher genug.
man kann ja den port nicht scannen und weiß ja letztlich auch nicht, wie die url heißen muss - ist mit https verschlüsselt - also sollte doch kein sicherheitsleck da sein ?
-
@liv-in-sky sagte in [Anleit.] ReverseProxy, Portfreigabe, Fritzbox unter Proxmox:
sicherheitsleck
Na ja, wirklich sicher ist bei einer Portfreigabe tatsächlich nichts. Ich habe es aber trotzdem laufen ¯\ (ツ) /¯
-
@liv-in-sky sagte in [Anleit.] ReverseProxy, Portfreigabe, Fritzbox unter Proxmox:
man kann ja den port nicht scannen und weiß ja letztlich auch nicht, wie die url heißen muss - ist mit https verschlüsselt - also sollte doch kein sicherheitsleck da sein ?
warum kann man den port nicht scannen?
er ist ja offen im netzt, also wird er auch gefundenüber fingerprinting mechanismen finden die angreifer heraus was da für ein betriebssystem und welche serversoftware dahintersteht (apache/nginx, php,python,node,etc).
idealerweise kommt so ein reverse proxy noch in eine demilitarisierte zone mit noch einem zusätzlichen firewall in richtung deines intranets
-
bin da nicht so fit - aber offen ist nur 80 und 443 an der fritzbox für außen
wie kann man dann den simple api port scannen - von außen ?
-
musst gar nicht selbst machen:
https://www.shodan.io/oder du richtest dir mal einen honeypot ein
https://github.com/cowrie/cowrie -
@oliverio
danke - das muss ich erstmal in ruhe durchlesen und kapieren -
Nachdem ich gesehen habe wie oft 80 und 443 angesprochen werden, öffne ich die Ports nur bei Bedarf, also wenn das Zertifikat verlängert werden muss. Danach sind die bei mir wieder dicht. Habe für die Anwendung die online sein soll ein fünfstelligen Port gewählt. Die werden im Gegensatz zu den anderen meist genutzten Ports sehr selten angesprochen.
-
[edit] hier stand unwichtiges !
-
@liv-in-sky sagte in [Anleit.] ReverseProxy, Portfreigabe, Fritzbox unter Proxmox:
hat sich erledigt !
Mach ich auf keinen Fall oder bessere Lösung???
-
nee - hatte dort mein problem beschrieben und dann doch selbst gelöst - wie im chat beschrieben - nachträglich editiert
-
Habe NRP auf Proxmox laufen (Docker) / DYNDNS eingerichtet auf Fritzbox 7590 Fritz!OS 07.29
1x Cloud und 1x Webserver.
Nach dem Einrichten läuft alles wunderbar allerdings nur bis zur Zwangstrennung und Vergabe einer neuen IPv4 durch den Internetanbieter. Danach sind die Seiten nicht mehr aufrufbar.
Hat jemand eine Idee ? -
@steffen_go2lan
und dyndns löst schon die neue ip auf?
welche seiten meinst du? du rufst von aussen deine seiten in deinem netzwerk auf? -
@ciddi89 sagte in [Anleit.] ReverseProxy, Portfreigabe, Fritzbox unter Proxmox:
Nachdem ich gesehen habe wie oft 80 und 443 angesprochen werden, öffne ich die Ports nur bei Bedarf, also wenn das Zertifikat verlängert werden muss. Danach sind die bei mir wieder dicht. Habe für die Anwendung die online sein soll ein fünfstelligen Port gewählt. Die werden im Gegensatz zu den anderen meist genutzten Ports sehr selten angesprochen.
Kannst du mir mal beschreiben wie du das umgesetzt hast?
Habe zwei Anwendung in NPM und würde die auch gerne von den Standart Ports weg biegen.
-
@wendy2702 ja klar
Die Anwendung ist nur erreichbar unter https://ip-Adresse:443
Habe mir dann einen neuen Port ausgesucht zb 51443. Kann aber auch jeder andere Nummer sein.
Diese habe ich dann auf meine FRITZ!Box freigegeben und zeigt auf den nginx Proxy Manager.
Im Proxy Manager dann eingestellt das https://meinewebsite.de:51443 auf https/:ip-Adresse:443 zeigen soll. Dann noch ssl Zertifikat erstellen, nur dafür und fürs aktualisieren muss 80/443 auf sein. Danach kann das wieder geschlossen werden.
Gibt bestimmt noch andere Möglichkeiten wie man es am besten umsetzen kann und auch verschiedene subdomains nutzen kann usw. Aber da ich nur eine Anwendung freigegeben hab reicht mir dieser Weg. -
@ciddi89 Danke für die schnelle Antwort.
Irgendwie habe ich heute den Kopf quer..
Magst du mir mal ein Screenshot zeigen?
