Mini-Tutorial / How to: Reverse Proxy unter Unraid

hi2hello

Hier mal eine "kurze" Anleitung, wie ich unter Unraid einen Reverse Proxy einrichten konnte, mit dem ich Zugriff auf versch. Dienste (Emby, Airsonic, nextcloud, …) des Servers, sowie die Unraid-GUI bzw. das Web-Interface habe.

Die Anleitung basiert auf dem englischsprachigen Tutorial von cyanlabs . Mit diesem war aber kein Zugriff auf die GUI möglich, zudem funktioniert das so wie dort beschrieben in der Form mit dem aktuellen Let’s Encrypt Docker-Container nicht mehr. Somit habe ich die Anleitung an einigen Stellen abgewandelt …

Bei duckdns.org registrieren
- Servernamen aussuchen
- Token aufschreiben / speichern
duckdns-Docker über die Community Applications auf unraid installieren
- Apps > duckdns suchen
- Installieren (Docker-Einstellungen siehe Screenshot)
  https://www.kodinerds.net/index.php/Atta…s-settings-jpg/
Firewall / Router konfigurieren
- Port-Forwarding:
  Port 443 > Port 443 der IP des Servers, TCP genügt
  Port 80 > Port 81 der IP des Servers, TCP genügt
Let’s Encrypt-Docker über die Community Applications (Apps) auf Unraid installieren
- Apps > letsencrypt suchen
- Installieren (Docker-Einstellungen siehe Screenshot)
  https://www.kodinerds.net/index.php/Atta…t-settings-jpg/
  - ERKLÄRUNG:
    - Domain Name:
      Der Name des Servers bzw. der Adresse, die bei duckdns registriert wurde.
      Code
      
      [namedesservers].duckdns.org
      (in die eckigen Klammern natürlich der Name - ohne eckige Klammern)
    - Subdomain(s):
      Unter diesen Subdomains wird der Server ebenfalls erreichbar sein. Für die GUI könnte man dort z.B. "GUI" eingeben, der Server wäre dann unter "GUI.namedesservers.duckdns.org" erreichbar. Wichtig z.B. auch für eine sicherheitskonforme Installation von nextcloud. Daher hier auch "nextcloud" als Subdomain eingeben, so dass der Dienst unter "nextcloud.namedesservers.duckdns.org" erreichbar ist.
      Beispiel für Eintrag:
      Code
      
      GUI,nextcloud
      (ACHTUNG: KEIN Komma zwischen Subdomains!!!)
    - Advanced Settings / HTTPVAL:
      auf „true“ setzen (ohne Anführungszeichen), sonst klappt die Generierung der Keys für die Verschlüsselung nicht und das Letsencrypt-Docker wird nach der Installation mit Fehler (siehe [definition='1','0']log[/definition]) beendet!
(nginx) Config anpassen
- liegt unter …appdata/letsencrypt/user/site-confs
- Datei: default mit Texteditor (nicht word!) editieren
  https://www.kodinerds.net/index.php/Atta…42-default-txt/

Code

upstream backend {
	server [IP.des.Servers]:19999;
	keepalive 64;
}


server {
	listen 443 ssl default_server;
	listen 80 default_server;
	root /config/www;
	index index.html index.htm index.php;


	server_name [namedesservers].duckdns.org;


	ssl_certificate /config/keys/letsencrypt/fullchain.pem;
	ssl_certificate_key /config/keys/letsencrypt/privkey.pem;
	ssl_dhparam /config/nginx/dhparams.pem;
	ssl_ciphers 'verschlüsselt';
	ssl_prefer_server_ciphers on;


	client_max_body_size 0;




    ### Ab hier Einbindung von Emby
	location /emby {
	include /config/nginx/proxy.conf;
	proxy_pass http://[IP.des.Servers]:8096;
	}


    ### Ab hier Einbindung von Airsonic
	location /airsonic {
	include /config/nginx/proxy.conf;
	proxy_pass http://[IP.des.Servers]:4040/airsonic;
	}




	location ~ /netdata/(?<ndpath>.*) {
		proxy_set_header X-Forwarded-Host $host;
		proxy_set_header X-Forwarded-Server $host;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_pass http://backend/$ndpath$is_args$args;
		proxy_http_version 1.1;
		proxy_pass_request_headers on;
		proxy_set_header Connection "keep-alive";
		proxy_store off;
	}
}




    ### Ab hier wird die GUI, das Web-Interface angesprochen
    ### Der erste Teil in eckigen Klammern entspricht einer Subdomain, 
    ### die bei Installation unter "Subdomains" eingetragen wurde


server {  
    listen 443 ssl;
    server_name [GUI].[namedesservers].duckdns.org;


    root /config/www;
    index index.html index.htm index.php;


    ###SSL Certificates
    ssl_certificate /config/keys/letsencrypt/fullchain.pem;
    ssl_certificate_key /config/keys/letsencrypt/privkey.pem;


    ###Diffie–Hellman key exchange ###
    ssl_dhparam /config/nginx/dhparams.pem;


    ###SSL Ciphers
    ssl_ciphers 'verschlüsselt';


    ###Extra Settings###
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;


        ### Add HTTP Strict Transport Security ###
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
    add_header Front-End-Https on;


    client_max_body_size 0;


    ### Ab hier Einbindung der GUI
	location / {
	include /config/nginx/proxy.conf;
	proxy_pass http://[IP.des.Servers]/;
	}




}


    ### Beispiel für Einbindung von sicherheitskonformer nextcloud
    ### Der erste Teil in eckigen Klammern entspricht einer weiteren Subdomain, 
    ### falls diese bei Installation unter "Subdomains" eingetragen wurde


server {  
    listen 443 ssl;
    server_name [nextcloud].[namedesservers].duckdns.org;


    root /config/www;
    index index.html index.htm index.php;


    ###SSL Certificates
    ssl_certificate /config/keys/letsencrypt/fullchain.pem;
    ssl_certificate_key /config/keys/letsencrypt/privkey.pem;


    ###Diffie–Hellman key exchange ###
    ssl_dhparam /config/nginx/dhparams.pem;


    ###SSL Ciphers
    ssl_ciphers 'verschlüsselt';


    ###Extra Settings###
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;


        ### Add HTTP Strict Transport Security ###
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
    add_header Front-End-Https on;


    client_max_body_size 0;




    ### Ab hier Einbindung von nextcloud
 	location / {
        proxy_pass https://[IPdesServers]:444/;
        proxy_max_temp_file_size 2048m;
        include /config/nginx/proxy.conf;
    }


}

Alles anzeigen

Datei speichern als "default" und darauf achten, dass KEINE Endung wie .txt oder ähnliches gespeichert wird!
Datei mit folgenden Rechten versehen: -rw-rw-r-- (664)

letsencrypt Docker neu starten

GUI:
Mit der gespeicherten config (also "default") sollte die GUI nun erreichbar sein unter:
https://[erstesubdomainderconfig].[namedesservers].duckdns.org.

DIENSTE:

https://[nextcloud].[namedesservers].duckdns.org für nextcloud (falls diese zuvor installiert wurde)
Emby sollte zu erreichen sein unter: https://[namedesservers].http://duckdns.org/emby
Airsonic wäre in diesem Fall zu erreichen unter: https://[namedesservers].http://duckdns.org/airsonic

ADD-ON:

Für nextcloud über Reverse Proxy benötigt es ein paar Einstellungen, die sich hier im Tutorial von cyanlabs finden
Codes für die Einbindung weiterer Diensten wie Plex, Deluge, Sonarr, Radarr, etc. finden sich hier (ebenfalls im Tut von cyanlabs)

ACHTUNG:
Ich konnte die Webseiten nur unter https://… aufrufen. http:// funktionierte nicht!

Viel Erfolg und gutes Gelingen!

-------------------------------------
EDIT (wg Update auf Unraid 6.4)

Mit dem Update auf Unraid 6.4 funktioniert obige Beschreibung nicht mehr, da das Web-GUI von 6.4 ein eigenes nginx-SSL mitbringt und sich somit zwei Verschlüsselungen auf dem selben Port in die Quere kommen. Es ist also wichtig, SSL/TLS in Unraid unter Settings auszuschalten UND den Port 443 in den Container-Einstellungen von lets encrypt auf 445 oder höher zu stellen. Im Anschluss nicht vergessen, auch die Portweiterleitung am Router gemäß dieses Ports zu aktualisieren.

Unraid GUI: Settings > Identification > SSL Certificate Settings > Use SSL/TLS: No > apply
Docker > letsencrpyt > Edit > https: > 446 oder höher > apply
Router > Portweiterleitung > IP.Adresse.des.Servers > Quellport: 443 > Zielport: der im letsencrypt docker-container eingestellt ist (446 oder höher) > TCP > speichern
Falls noch nicht geschehen: Router > Portweiterleitung > IP.Adresse.des.Servers > Quellport: 80 > Zielport: der im letsencrypt docker-container eingestellt ist (hier im Beispiel wäre das 81) > TCP > speichern
neustart letsencrypt docker

Et voilà - funktioniert wieder!

Snickers

Zitat von hi2hello

Advanced Settings / HTTPVAL:
auf „true“ setzen (ohne Anführungszeichen), sonst klappt die Generierung der Keys für die Verschlüsselung nicht und das Letsencrypt-Docker wird nach der Installation mit Fehler beendet!
Subdomains:
Unter diesen Subdomains wird der Server ebenfalls erreichbar sein. Für die GUI könnte man dort z.B. "GUI" eingeben, der Server wäre dann unter "GUI.namedesservers.duckdns.org" erreichbar. Wichtig z.B. für eine sicherheitskonforme Installation von nextcloud. Daher hier auch nextcloud als Subdomain eingeben, so dass der Dienst unter "nextcloud.namedesservers.duckdns.org" erreichbar ist.

Erst einmal vielen Dank!

kannst du das näher erläutern? Hatte ich es richtig verstanden das du auch auf das unRaid Gui kommst mit Duckdns

Ich habe z.b Meinserver.duckdns.net <-- greift auf mein Cloudcommander zu, http://Meinserver.duckdns.net/emby <-- greift auf das Emby ui zu und http://Meinserver.duckdns.net/plex....

Wie gebe ich das mit den Subdomains an?

hi2hello

Zitat von Snickers

Erst einmal vielen Dank!
kannst du das näher erläutern? Hatte ich es richtig verstanden das du auch auf das unRaid Gui kommst mit Duckdns
Ich habe z.b Meinserver.duckdns.net <-- greift auf mein Cloudcommander zu, http://Meinserver.duckdns.net/emby <-- greift auf das Emby ui zu und http://Meinserver.duckdns.net/plex....

Wie gebe ich das mit den Subdomains an?

Ja, mit diesen Einstellungen kommt man mit duckdns auf die GUI / das Web-Interface von Unraid.

Letztendlich ist das eine Frage des Routings (Proxy Pass) in der config und welche Subdomains zuvor in der Installation angegeben wurden. Soweit ich weiß, lässt sich die GUI nicht mit der direkten Serveradresse ansprechen (also namedesservers.duckdns.org) sondern benötigt eine Subdomain (jedenfalls habe ich es nur so hinbekommen). Ich greife also auf die GUI unter subdomain.namedesservers.duckdns zu.

Im Gegensatz zu cyanlabs greife ich unter "Domain Name" direkt auf meine Serveradresse zu, nicht auf die Hauptdomain duckdns.org (was faktisch übrigens auch vollkommener Nonsens ist )
cyanlabs > duckdns.org
ich > servername.duckdns.org

Cyanlabs beschreibt den eigentlichen Servernamen unter Subdomain(s). Da ich das bereits im Domain-Namen habe, kann ich dort also wunderbar andere Subdomains angeben und dieses Feld somit für seinen eigentlichen Zweck nutzen.

cyanlabs > servername.duckns.org
ich > subdomain.servername.duckdns.org

Zudem kann ich somit mehr als eine Subdomain vergeben. Rein theoretisch für jeden Dienst wenn ich das möchte.
Bsp.: https://emby.servername.duckdns.org, https://airsonic.servername%e2%80%a6 usw.
subdomain1,subdomain2,subdomain3, …

Das bedeutet aber mehr Schreiberei in der config (die Keys müssen jeder Subbomain zugewiesen werden), zudem kann man diese Dienste auch prima als directories aufrufen:
https://servername.duckdns.org/namedesdienstes

Für die GUI geht das aber wie gesagt nur über eine Subdomain und bei owncloud / nextcloud empfiehlt es sich aus Sicherheitsgründen, diese Dienste über eine Subdomain laufen zu lassen und nicht über ein Verzeichnis.

cyanlabs setzt im Tutorial die Einstellung bei "Only Subdomains" auf true. Das benötigen wir im Falle meiner Einstellung nicht, da wir für alle Domains, also Haupt- UND Subdomains keys haben wollen, die uns Zugriff ermöglichen.

hi2hello

Noch eine Erklärung zu

Advanced Settings / HTTPVAL:
auf „true“ setzen (ohne Anführungszeichen), sonst klappt die Generierung der Keys für die Verschlüsselung nicht und das Letsencrypt-Docker wird nach der Installation mit Fehler beendet!

In der ersten Installation hatte ich das auf false und es hat prima funktioniert. Seit dem heutigen Update kann letsencrypt wegen eines Fehlers so aber wohl keine Keys mehr validieren. Es ist wahrscheinlich, dass dies eine temporär benötigte Einstellung für den Docker-Container ist und mit einem der kommenden Updates wieder "normal", also ohne http-validierung funktioniert.

Kommentar des Entwicklers im Support-Forum zu diesem Thema
Kurze Erklärung, was bei letsencrypt passiert ist, das diese Einstellung nötig macht

hi2hello

Kleiner Nachtrag: Die beiden Screenshots der Einstellungen für den Docker-Container und die config-Datei "default" als Anhänge.

Eraxar

Nice vielen dank, das mit den subdomains wusste ich nicht, so müsste ich dann ja auch endlich collabora zum laufen bekommen

hi2hello

Habe die obige Anleitung mal um lauffähige Einstellungen bzw. einige notwendige Anpassungen unter Unraid 6.4 ergänzt …

Eraxar

hast du das mit Port 445 gemacht? Der dürfte eigentlich nicht gehen der wird soweit ich das im Unraid Forum rausgelesen hab von Samba genutzt

hi2hello

Zitat von Eraxar

hast du das mit Port 445 gemacht? Der dürfte eigentlich nicht gehen der wird soweit ich das im Unraid Forum rausgelesen hab von Samba genutzt

Nein, ich habe bei mir einen anderen Port gewählt und 445 nicht ausprobiert. Ich habe das in der Beschreibung oben abgeändert auf "446 oder höher".

Sorry für das Versehen und danke für den Hinweis!

mpbtwok

Servus,

nach dem ich jetzt 2 Tage verschissen habe in der Hoffnung "Traefik" am laufen zu kommen und dann doch aufzugeben habe ich nun jetzt auch Probleme mit meinen LetsEnycrpt Config, womöglich entdeckt jemand von Euch meinen Fehler - ich blick nicht mehr durch.

Schon mal ein Danke-Vorab.

LetsEncrypt Container

LetsEncrypt Default-Config

Code

upstream backend {
	server 192.168.0.99:19999;
	keepalive 64;
}


server {
	listen 443 ssl default_server;
	listen 80 default_server;
	root /config/www;
	index index.html index.htm index.php;


	server_name _;


	ssl_certificate /config/keys/letsencrypt/fullchain.pem;
	ssl_certificate_key /config/keys/letsencrypt/privkey.pem;
	ssl_dhparam /config/nginx/dhparams.pem;
	ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
	ssl_prefer_server_ciphers on;


	client_max_body_size 0;


	location = / {
		return 301;
	}
	location / {
		include /config/nginx/proxy.conf;
		proxy_pass https://192.168.0.99:1316/;
	}
}
server {
	listen 443 ssl;
	listen 80;
	root /config/www;
	index index.html index.htm index.php;


	server_name cloud.domain.com;


	ssl_certificate /config/keys/letsencrypt/fullchain.pem;
	ssl_certificate_key /config/keys/letsencrypt/privkey.pem;
	ssl_dhparam /config/nginx/dhparams.pem;
	ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
	ssl_prefer_server_ciphers on;


	client_max_body_size 0;


	location = / {
		return 301;
	}
	location / {
		include /config/nginx/proxy.conf;
		proxy_pass https://192.168.0.99:1317/;
	}
}
server {
	listen 443 ssl;
	listen 80;
	root /config/www;
	index index.html index.htm index.php;


	server_name guacamole.domain.com;


	ssl_certificate /config/keys/letsencrypt/fullchain.pem;
	ssl_certificate_key /config/keys/letsencrypt/privkey.pem;
	ssl_dhparam /config/nginx/dhparams.pem;
	ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
	ssl_prefer_server_ciphers on;


	client_max_body_size 0;


	location = / {
		return 301;
	}
	location / {
		include /config/nginx/proxy.conf;
		proxy_pass https://192.168.0.99:1317/;
	}
}

Alles anzeigen

NextCloud Config.php

PHP: config.php

<?php
$CONFIG = array (
  'memcache.local' => '\\OC\\Memcache\\APCu',
  'datadirectory' => '/data',
  'instanceid' => '123',
  'passwordsalt' => '123',
  'secret' => '123',
  'trusted_domains' => 
  array (
    0 => '192.168.0.99:13164',
    1 => 'cloud.domain.com',
	2 => 'domain.com',
  ),
'trusted_proxies' => '192.168.0.99',
'overwritewebroot' => '/',
'overwrite.cli.url' => '/',
  'dbtype' => 'sqlite3',
  'version' => '13.0.0.14',
  'installed' => true,
);

Alles anzeigen

NextCloud Default

Code: nextcloud.default

upstream php-handler {
  server 127.0.0.1:9000;
# server unix:/var/run/php/php7.0-fpm.sock;
}


server {
  listen 80;
  server_name _;
  # enforce https
  return 301 https://$server_name$request_uri;
}


server {
  listen 443 ssl;
  server_name _;


  ssl_certificate /config/keys/cert.crt;
  ssl_certificate_key /config/keys/cert.key;


  # Add headers to serve security related headers
  add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
  add_header X-Content-Type-Options nosniff;
  # add_header X-Frame-Options "SAMEORIGIN";
  add_header X-XSS-Protection "1; mode=block";
  add_header X-Robots-Tag none;
  add_header X-Download-Options noopen;
  add_header X-Permitted-Cross-Domain-Policies none;


  # Path to the root of your installation
  root /config/www/;
  # set max upload size
  client_max_body_size 10G;
  fastcgi_buffers 64 4K;


  # Disable gzip to avoid the removal of the ETag header
  gzip off;


  # Uncomment if your server is build with the ngx_pagespeed module
  # This module is currently not supported.
  #pagespeed off;


  index index.php;
  error_page 403 /core/templates/403.php;
  error_page 404 /core/templates/404.php;


  rewrite ^/.well-known/carddav /remote.php/dav/ permanent;
  rewrite ^/.well-known/caldav /remote.php/dav/ permanent;


  # The following 2 rules are only needed for the user_webfinger app.
  # Uncomment it if you're planning to use this app.
  #rewrite ^/.well-known/host-meta /public.php?service=host-meta last;
  #rewrite ^/.well-known/host-meta.json /public.php?service=host-meta-json last;


  location = /robots.txt {
    allow all;
    log_not_found off;
    access_log off;
  }


  location ~ ^/(build|tests|config|lib|3rdparty|templates|data)/ {
    deny all;
  }


  location ~ ^/(?:\.|autotest|occ|issue|indie|db_|console) {
    deny all;
  }


  location / {


    rewrite ^/remote/(.*) /remote.php last;


    rewrite ^(/core/doc/[^\/]+/)$ $1/index.html;


    try_files $uri $uri/ =404;
  }


  location ~ \.php(?:$|/) {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    include /etc/nginx/fastcgi_params;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    fastcgi_param PATH_INFO $fastcgi_path_info;
    fastcgi_param HTTPS on;
    fastcgi_param modHeadersAvailable true; #Avoid sending the security headers twice
    fastcgi_pass php-handler;
    fastcgi_intercept_errors on;
  }


  # Adding the cache control header for js and css files
  # Make sure it is BELOW the location ~ \.php(?:$|/) { block
  location ~* \.(?:css|js)$ {
    add_header Cache-Control "public, max-age=7200";
    # Add headers to serve security related headers
    add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
    add_header X-Content-Type-Options nosniff;
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
    add_header X-Robots-Tag none;
    add_header X-Download-Options noopen;
    add_header X-Permitted-Cross-Domain-Policies none;
    # Optional: Don't [definition='1','0']log[/definition] access to assets
    access_log off;
  }


  # Optional: Don't [definition='1','0']log[/definition] access to other assets
  location ~* \.(?:jpg|jpeg|gif|bmp|ico|png|swf)$ {
    access_log off;
  }
}

Alles anzeigen

Vielen Dank.

hi2hello

Lass uns mal Schritt für Schritt vorgehen. Als allererstes also mal den Reverse Proxy. Um nextcloud etc. kann man sich im Anschluss kümmern.
Zuerst mal ein paar Fragen
- Welche Version von UnRaid nutzt Du?
- Falls 6.4 und höher: Hast Du die neue https bzw. SSL-Funktionalität in UnRaid aktiviert?
- Sind die entsprechenden Ports auf Deinem Router frei?
Für mich sehen Deine configs nicht so aus, als ob Du die Anleitung hier befolgt hättest.
-Hast Du?

mpbtwok

Hallo,

danke für die Rückmeldung.

Bisher 6.4.1. habe es aber jetzt bereits ebenso in 6.5. probiert.
Unraid Ports sind auf andere als 80/443 geändert.
Ports - Ja. Mit Jwilders Nginx + LetsEncrypt funktioniert's (außer Nextcloud)
Config habe ich meines wissens befolgt, jedoch nicht mit Duckdns, sondern eigener Domain und eben nur für 2 Docker-Container und nur als Subdomain Config.

hi2hello

- Versuch Mal Port 446, mit 443 macht der oben beschriebene Docker-Container von linux.io. Probleme. In der config 443 stehen lassen, aber im Router dann 446 öffnen und im den Docker-Container-Settings https von 443 auf 446.

Deine config unterscheidet sich ziemlich von der oben gezeigten

Code

location = / {
		return 301;
	}
	location / {
		include /config/nginx/proxy.conf;
		proxy_pass https://192.168.0.99:1317/;
	}

Was möchtest Du hier erreichen? Versuchst Du auf die webgui von unraid unter Port 1317 zuzugreifen? In Zeile 12 Deines Quellcodes ist kein Server angegeben. Absicht oder Namen hier zu Sicherhitszwecken im Forum gelöscht?

Ich bin mir nicht sicher, glaube mich aber zu erinnern, dass der Zugriff auf die Unraid webgui über eine Hauptdomain so nicht möglich war. Ich musste eine Subdonain für einen solchen Zugang einrichten.

Deine config sieht generell ziemlich anders aus, als die in obigem Beispiel. Eigentlich müsste sie so beginnen …

Code

upstream backend {
	server 192.168.0.99:19999;
	keepalive 64;
}


server {
	listen 443 ssl default_server;
	listen 80 default_server;
	root /config/www;
	index index.html index.htm index.php;


	server_name namedesservers.domain.url;

Alles anzeigen

mpbtwok

Okay.... Ich hatte wohl noch vom cyanlabs.net eine ältere Version. Habe nun die von hier nochmals 1:1 von vorne bearbeitet. Einzig die Zeile mit

Code

ssl_ciphers 'MIIDMjCCAhoCCQDj1/RgLVgxzDANBgkqhkiG9w0BAQsFADBbMQswCQYDVQQIDAJD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';

Alles anzeigen

musste ich ebenfalls durch

Code

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

ersetzen.

Weiters durfte ich nicht die NextCloud config ändern bis auf den weiteren trusted Domain.

Nun funktioniert es. Danke für die Hints.

Snickers

Moin, hat jemand lets Encrypted unter unRaid 6.5.1 am laufen?

Irgendwie bekomme ich es nicht mehr hin!
Port 80 & 443 sind weiter geleitet und httpval ist auf true gesetzt.

Es lässt sich irgendwie kein Schlüssel laden da wenn ich mich recht erinnere gesagt wird das die Ports nicht weiter geleitet worden sind obwohl ich wenn ich DynDNS Adresse:80 eingebe ich auf das Webgui komme

Ist meine Annahme richtig das mit der standard default Datei die Keys auch geladen werden?

Vll. kann mir jemand ja ein wenig auf die Sprünge helfen?

reey

Also prinzipiell klappt das auf jeden Fall
Wie kommst du denn darauf, dass es nicht klappt?
Wenn du auf Port 80 zugreifen kannst, sollte ja auch schon der Webserver laufen und das ist soweit ich weiß erst dann der Fall, wenn letsencrypt schon die Zertifikate erstellt hat..
kannst du mit https://<DynDNS Adresse> auf deine Verschlüsselte Seite?

Snickers · Bildschirmfoto 2018-05-15 um 17.09.33.png

Ich habe mal ein paar Screenshots gemacht um es evtl besser zu dokumentieren.

Der Log sagt mir:

Plugins selected: Authenticator standalone, Installer None
Unable to register an account with ACME server
ERROR: Cert does not exist! Please see the validation error above. The issue may be due to incorrect dns or port forwarding settings. Please fix your settings and recreate the container

das default file kann ich gern auch noch anhängen

Wenn im Log etwas rot oder Orange makiert ist weiß ich das etwas nicht läuft und von daher komme ich darauf

Snickers

Problem gefunden!!!

Ich musste den Docker komplett neu anlegen und nicht das Template nutzen

Taobyebye

Hallo,
erstmal herzlichen Dank für das Tutorial!
Ich versuche es umzusetzen..

Zitat

###SSL Ciphers

Muss das bei jedem das selbe sein ?

Was habe ich falsch geamacht?

Code

upstream backend {
	server 192.168.1.11:19999;
	keepalive 64;
}


#####Nextcloud
server {  
    listen 443 ssl;
    server_name nextcloud.strohhhalm.de;


    root /config/www;
    index index.html index.htm index.php;


    ###SSL Certificates
    ssl_certificate /config/keys/letsencrypt/fullchain.pem;
    ssl_certificate_key /config/keys/letsencrypt/privkey.pem;


    ###Diffie–Hellman key exchange ###
    ssl_dhparam /config/nginx/dhparams.pem;


    ###SSL Ciphers
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';


    ###Extra Settings###
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;


        ### Add HTTP Strict Transport Security ###
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
    add_header Front-End-Https on;


    client_max_body_size 0;




    ### Ab hier Einbindung von nextcloud
 	location / {
        proxy_pass https://192.168.1.11:444/;
        proxy_max_temp_file_size 2048m;
        include /config/nginx/proxy.conf;
    }


}


#####Dokuwiki
server {  
    listen 443 ssl;
    server_name dokuwiki.strohhhalm.de;


    root /config/www;
    index index.html index.htm index.php;


    ###SSL Certificates
    ssl_certificate /config/keys/letsencrypt/fullchain.pem;
    ssl_certificate_key /config/keys/letsencrypt/privkey.pem;


    ###Diffie–Hellman key exchange ###
    ssl_dhparam /config/nginx/dhparams.pem;


    ###SSL Ciphers
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';


    ###Extra Settings###
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;


        ### Add HTTP Strict Transport Security ###
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
    add_header Front-End-Https on;


    client_max_body_size 0;




    ### Ab hier Einbindung von Dokuwiki
 	location / {
        proxy_pass https://192.168.1.11:442/;
        proxy_max_temp_file_size 2048m;
        include /config/nginx/proxy.conf;
    }


}


#####unRAID_GUI
server {  
    listen 443 ssl;
    server_name unraid.strohhhalm.de;


    root /config/www;
    index index.html index.htm index.php;


    ###SSL Certificates
    ssl_certificate /config/keys/letsencrypt/fullchain.pem;
    ssl_certificate_key /config/keys/letsencrypt/privkey.pem;


    ###Diffie–Hellman key exchange ###
    ssl_dhparam /config/nginx/dhparams.pem;


    ###SSL Ciphers
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';


    ###Extra Settings###
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;


        ### Add HTTP Strict Transport Security ###
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
    add_header Front-End-Https on;


    client_max_body_size 0;




    ### Ab hier Einbindung von der GUI
 	location / {
        proxy_pass https://192.168.1.11/;
        proxy_max_temp_file_size 2048m;
        include /config/nginx/proxy.conf;
    }


}

Alles anzeigen

Domäne: strohhhalm.de
Subdomänen: nextcloud.strohhhalm.de, mediawiki.strohhhalm.de, gui.strohhhalm.de
Einzelheiten zu den Containern im Anhang
Router leitet Port 443 auf 443 und Port 90 auf 81 weiter auf die Adresse 192.168.1.11

reey

Die domain ist auch die richtige?
Oder hast du die ersetzt/anonymisiert?
Wenn ich einen DNS Lookup für alle deine Domains/Subdomains mache, bekomme ich keine Einträge..

Habe mal nachgeguckt und die domain ist noch zu kaufen, also schätze ich mal, dass es nicht deine ist..

Edit: Leitest du port 90 oder 80 weiter auf port 81?

Mini-Tutorial / How to: Reverse Proxy unter Unraid

Jetzt mitmachen!

Tags

Benutzer online in diesem Thema