Nginx Proxy Manager login

  • Hallo zusammen,

    ich habe mich mal mit dem Nginx Proxy Manager beshäftigt.
    Dabei bin aber nun auf ein Problem gestossen, bei dem ich nicht weiter komme.
    Und zwar wollte ich die Seiten mit "Access Lists" absichern. Dies sollte über user/pass laufen.
    Aber bei Seiten, die selber ein anmeldesystem nutzen (z.B.: tvheadend, oscam, webIF des proxy managers ) klappt das leider
    nicht. Ich werde immer wieder zwischen beiden anmeldungen hin und her geschaltet ?
    Nehme ich z.B.: Openhab komme ich problemlos über das im Proxymanager angelegten login weiter und sehe die Seite.

    Weiß jemand weiter ? Wie habt Ihr das gelöst ?

    vielen Dank schonmal...

    Mein System:

    Spoiler anzeigen


    Server

    Wohnzimmer

    im Haus verteilt


    Cooler Master Elite 110
    ASRock J3455-ITX
    16GB DDR3L-1333
    3x WD green 3TB
    1x 60GB BOOT-SSD
    OMV 6.x
    TVHeadend 4.3.xx

    Phillips PUS8546
    Kodi 21 Beta (maven)

    diverse
    Raspberry Pi
    LibreElec 9.x


    Einmal editiert, zuletzt von Grabber66 (11. August 2021 um 11:38)

  • Schau mal hier so ab Minute

    Externer Inhalt youtu.be
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

    Wenn ich ihn richtig verstanden habe liegt das teilweise am Cache des Browser. Hab jetzt aber nicht alles gesehen bzw nur kurz rein geklickt

  • Vielen dank für das Video.
    Erklärt wird es echt gut, hatte es auch genau so gemacht. Leider keine besserung.
    Ich hab auch schon mal versucht am PC der Arbeit zu testen. leider immer kein wirkliches einloggen möglich.

    lade ich die Seite wird erst der login abgefragt. - so sollte es ja auch sein.
    dann kommt Bild 1:

    Das passt auch, aber dann kommt Bild 2

    Hier muss ich wieder meine logindaten der accesslist eintragen, dann springe ich wieder in bild 1.
    Und daraus wird dann eine Endlosschleife....

    Mein System:

    Spoiler anzeigen


    Server

    Wohnzimmer

    im Haus verteilt


    Cooler Master Elite 110
    ASRock J3455-ITX
    16GB DDR3L-1333
    3x WD green 3TB
    1x 60GB BOOT-SSD
    OMV 6.x
    TVHeadend 4.3.xx

    Phillips PUS8546
    Kodi 21 Beta (maven)

    diverse
    Raspberry Pi
    LibreElec 9.x


  • Ich hab das schon eine ganze Weile über Docker am laufen. Das mit der Acces List hatte ich selbst nie so wirklich auf dem Schirm
    Erst durch Dein Posting drauf gestoßen. Wollte das gerade selbst mal nachstellen und stelle mit erstaunen fest das ich die Einträge erst garnicht habe
    Sehe eigentlich nur die Einträge wo man die Host erstellen kann. Selbst Settings ist nicht sichtbar
    Nu bin ich selbst etwas ratlos woran das liegen könnte. Browser Cache habe ich schon gelöscht [ac]

  • Ganz im ernst....viel Ahnung hat der Typ im Video nicht.

    @Grabber66

    Nur mal so als Hinweis. Es heißt nicht "Statisfy any" sondern "Satisfy any" und wenn dieser Button aktiviert ist, dann bewirkt er, dass entweder mit User/Pass eingeloggt werden darf oder ich nur mit einer gewissen IP drauf zugreifen darf. Solange eins von beiden passt, dann ist der Zugriff erlaubt (ggf auch ohne Passwort im Fall von passender IP). Es müssen aber nicht beide Regeln passen.

    Deaktiviere ich den Button kommt es nur dann zu einer Passwortabfrage durch die Access Lists, wenn ich mit einer bestimmten IP/IP-Range drauf zugreifen möchte. Stimmt schon die IP Range nicht, kommt es erst gar nicht zu der Passwortabfrage. Also...bei deaktiviertem "Satisfy Any" (was dann mit "Satisfy All" gleichzusetzen wäre) muss sowie die IP-Adresse/-Range als auch Username und Passwort stimmen.

    Wenn du nginx als Proxy benutzt und dann darüber zusätzlich ein "Basic Auth" (so nennt man das auch) laufen lassen möchtest...darf ich dann fragen, wie du versuchst auf die TVHeadend-Seite zu kommen?

    Du solltest im Proxymanager etwas einrichten auf was er "hört". Sowas wie www.tvh.<my_domain>.de. Wenn du also diese URL ansurfst sollte dann, nach der eingerichteten Passwortabfrage, ein redirect erfolgen zu der eigentlichen TVH-Seite. Sowas wie 192.168.1.50:9981. Wenn du natürlich auch noch einen eigenen DNS laufen hast, dann kannst du auch eine FQDN (Fully Qualified Domain Name) verwenden.

    Ist das bei dir so eingerichtet?

    Kannst du vielleicht mal Screenshots von deinen Einstellungen posten?

  • So

    Du solltest im Proxymanager etwas einrichten auf was er "hört". Sowas wie www.tvh.<my_domain>.de. Wenn du also diese URL ansurfst sollte dann, nach der eingerichteten Passwortabfrage, ein redirect erfolgen zu der eigentlichen TVH-Seite. Sowas wie 192.168.1.50:9981. Wenn du natürlich auch noch einen eigenen DNS laufen hast, dann kannst du auch eine FQDN (Fully Qualified Domain Name) verwenden.

    So hab ich das bei mir auch eingerichtet. Im Falle von TVH ist eine User/Passwort Abfrage dann ja eh doppelt gemoppelt, da ich am TVH Server selbst schon festlegen kann das die erst garnicht stattfindet wenn ich von innerhalb komme, wie in dem Fall

  • @DaVu Vielen Dank.

    Hier mal die Bilder der Settings:

    Ich habe aktuell aus, da ich es ja nutzen möchte. Mit den verschiedenen Settings Cache, Block, Sockets
    habe ich auch schon gespielt.

    Freigaben an der Fritte sind aktuell Port 80,443.

    Mit der Domain habe ich es gelöst. Das ich eh schon ewig bei Strato eine Domain habe.
    Dort habe ich die Subdomains eingetrage, und die CNAME Enträge auf DDNS verwiesen.
    Diese verweist dann auf meine IP. Aber das sollte ja soweit richtig sein. Denn drauf komme ich ja....

    Mein System:

    Spoiler anzeigen


    Server

    Wohnzimmer

    im Haus verteilt


    Cooler Master Elite 110
    ASRock J3455-ITX
    16GB DDR3L-1333
    3x WD green 3TB
    1x 60GB BOOT-SSD
    OMV 6.x
    TVHeadend 4.3.xx

    Phillips PUS8546
    Kodi 21 Beta (maven)

    diverse
    Raspberry Pi
    LibreElec 9.x


  • ok. Das sieht erstmal grundsätzlich gut aus.

    Und jetzt ist es so, dass wenn du:

    pvr.<Domain>.de

    aufrufst, dann kommt der Login vom Proxy, nach erfolgreicher Eingabe, kommt der Login von TVH und wenn du dann auch dort das PW richtig eingibst, kommt wieder der Login von Proxy? Richtig?

    Wie sieht dann im Browser die URL aus? Wird dort die IP gezeigt oder die FQDN (pvr.<domain>.de). Wenn er die FQDN zeigt, dann könnte es sein, dass dein Browser wieder versucht über den Proxy zu gehen. Zumindest wäre das eine Möglichkeit weswegen das Basic-Auth wieder kommt.

    Sicher bin ich mir aber nicht. Ich werde das vielleicht Mal übers WE testen.

  • So...ich habe aus eigenem Interesse mir mal schnell nen Docker hoch gefahren und den NGINX-Proxy Manager mal getestet. Interessantes Tool [ay] . Kannte ich so bisher noch nicht.

    Wie auch immer. Ich konnte das Problem reproduzieren. Er übernimmt auf jeden Fall die eingegebene URL. Da konnte ich auch bisher noch keine rewrite-rule für setzen. Ist aber auch nicht so wichtig. Mit folgenden Einstellungen hat es bei mir dann geklappt:

    Wie du siehst, läuft der Proxy bei mir auf 127.0.0.1 und somit in nem Docker.

    Ohne TVH-PW musst du das Caching ausschalten, damit es klappt.

    Das Problem an dieser Stelle ist, dass TVH selbst ein Basic-Auth macht, wenn die Passworteingabe aktiviert ist. Wenn du TVH ohne PW Abfrage einrichtest, dann klappt das so. Wenn du in TVH noch zusätzlich eine PW-Abfrage einrichtest, dann klappt das nicht mehr. Das mag am doppelten Basic-Auth liegen. Ich an deiner Stelle würde mich für eine Methode entscheiden.

    So...und jetzt muss ich erstmal schauen, wie ich wieder auf meine Oberfläche von TVH komme. Denn jetzt habe ich mich erstmal ausgesperrt :D Ich schmeiß mich weg :D :D

    3 Mal editiert, zuletzt von DaVu (12. August 2021 um 19:05)

  • Habe ich schon gesagt, dass ich Docker liebe :D

    TVH läuft bei mir als Unraid-Docker.....

    Da ich mich gerade ausgesperrt hatte (allgemeinen Zugriff ("*") deaktiviert und offensichtlich hat TVH das Übernehmen zur Deaktivierung des Passworts für meinen Test-User nicht übernommen und wollte weiterhin ein Passwort haben), bin ich per SSH auf Unraid gegangen.

    Dort dann ein docker ps ausgeführt um zu sehen, wie der Container wirklich heißt. Er heiß "tvheadend"

    Dann habe ich docker exec -it tvheadend bash gemacht um eine Shell in dem Container zu bekommen, was tatsächlich direkt funktioniert hat.

    Dort angekommen, gibt es im root-Ordner das Verzeichnis config was schon mal vielversprechend geklungen hat. Also...ab da rein und umgeschaut. 2 weitere Ordner sind mir aufgefallen: accesscontrol und passwd

    ich bin zuerst in den Accesscontrol-Ordner und dort waren 2 Dateien mit einer kryptischen Buchstaben- und Zahlenkomibnation. Einen cat auf die Dateien gemacht und gesehen, dass es die Konfigs der User im JSON Format sind und ganz simple Optionen haben. Sowas wie "enabled": false und auch einen Usernamen im Klartext.....

    Na perfekt....das "enabled" wieder auf "true" gesetzt bei dem User "*" und gespeichert. Leider ist anscheinend nur "vi" als editor Verfügbar und nicht "vim", aber nun gut...ich will nicht jammern :D

    Als das gespeichert war, aus dem Container wieder raus und ein: docker stop tvheadend und nachfolgend docker start tvheadend gemacht.

    Patsch....schon war wieder alles beim alten ;)

    Ich mag Docker :D

  • Vielen Dank für deine Mühen. So Viel extraarbeit wollte ich dir nicht machen.
    Mit den Tips und der Info in TVH das PW ab zu schalten. Bin ich nun auch so weit
    das alles läuft wie ich es mir vorstelle.

    Danke

    Mein System:

    Spoiler anzeigen


    Server

    Wohnzimmer

    im Haus verteilt


    Cooler Master Elite 110
    ASRock J3455-ITX
    16GB DDR3L-1333
    3x WD green 3TB
    1x 60GB BOOT-SSD
    OMV 6.x
    TVHeadend 4.3.xx

    Phillips PUS8546
    Kodi 21 Beta (maven)

    diverse
    Raspberry Pi
    LibreElec 9.x


  • wenn man aber in TVH die Nutzer / Passwort Abfrage abschaltet,
    Wie kann man dann den Nutzern verschiedenen Rechten geben?
    Habe zum Beispiel mobile Accounts hinterlegt, die von außerhalb zugänglich sind, damit diese dann auch nichts verstellen können, sondern nur Streamen und fertig…

  • naja. Ziemlich einfach. Du aktivierst einfach das Basic Auth und damit die Benutzername/Passwort-Abfrage in TVH und lässt den Proxymanager weg bzw legst keine Credentials dafür fest.

    Technisch gesehen ist das nichts anderes als das, was der Nginx Proxy Manager macht. Nur das man mit dem Proxymanager sozusagen 2 Passwort-Abfragen hintereinander schaltet. Und irgendwie scheint das entweder TVH oder dem Proxymanager nicht zu schmecken.

  • Mal eine Frage @DaVu

    Hast du auch das Problem das Du die Einträge bzw Menüs wie Dashboard Acces List bla blupp nur siehst wenn du über die 127.0.0.1 auf den Proxy Manager gehst

    Komme ich über eine andere Adresse taucht das nicht auf

    Hoffe du weißt auch ohne Bilder was ich meine

  • Hast du auch das Problem das Du die Einträge bzw Menüs wie Dashboard Acces List bla blupp nur siehst wenn du über die 127.0.0.1 auf den Proxy Manager gehst

    Nö. Habe ich nicht. Bei mir läuft es aber, wie gesagt, auch im Docker und wenn den Admin-Bereich des Proxy Managers sehen möchte, dann muss ich die <ip>:8181 ansurfen.

    Auf Port 8080 lauschen die Seiten für HTTP
    und auf 4443 HTTPS

  • Ok Danke für das Testen

    Im Docker läuft es bei mir auch, nur eben auf Port 81.
    Keine Ahnung warum ich die Menüs nur sehe, wenn ich den Proxy Manager direkt auf dem PC aufrufe wo der Docker läuft.
    Kann mich dumpf erinnern das dies mal anders war
    Browser hab ich schon mehrere durch
    Aber egal. Kann/muß ich die Einstellungen eben Lokal machen wenn ich es nutzen will

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!