ComputerBase
Aktuelles

NGINX Manager Letsencrypt local

  • Ersteller Ersteller Babula
  • Erstellt am Erstellt am
B

Babula

Gast
Vaultwarden lässt sich ja ohne Domain nicht aufrufen, dass ganze endet dann in einer dauerhaften Ladeschleife. Bin aktuell überfragt wie ich das ganze mit dem NGINX Proxy Manager so handhabe, dass ich für eine Locale IP Adresse Zertifikat erhalte. Meine Domain kann ich verwenden um eines zu er halten, muss aber HTTP und HTTPS an der Fritzbox öffnen und geöffnet lassen.
Hab aber kein Interesse das für jeden mein Homeserver zu erreichen ist und nutze daher den Wireguard VPN der Fritzbox.

Wie kann ich Vaultgarden nur local einrichten ?
 
Wenn du bereits eine Domain besitzt, dann kannst du einfach ein Zertifikat von Lets Encrypt über die DNS Challenge abrufen, dann muss dein Server auch nicht öffentlich erreichbar sein.
 
  • Gefällt mir
Reaktionen: madmax2010, Der Lord und prayhe
Wie schon erwähnt wurde musst du dafür nichts öffnen. Du kannst im Nginx Proxy Manager beim Zertifikat anfordern den Haken bei DNS Challenge setzen und dann die geforderten API Daten deines Domainanbieters eintragen.
Zusätzlich noch ein genereller Hinweis an der Stelle für dein Setup: Du musst im Router für deine Domain eine Ausnahme für den DNS Rebind Schutz einrichten, sonst haut das nicht hin wenn deine Domain auf eine lokale IP zeigt
 
  • Gefällt mir
Reaktionen: Der Lord
Babula schrieb:
muss aber HTTP und HTTPS an der Fritzbox öffnen und geöffnet lassen
Zum Vergrößern anklicken....
Jaein, nur kurzzeitig, nichts "geöffnet lassen"

bei der HTTP Challenge von Letsencrypt müsste der Server erreichbar sein... ca 5 Minuten lang. Bis das Zertifikat ausgestellt ist. Dann 90 Tage Ruhe wo nicht erreichbar sein muss. Letzencrypt ist das egal sobald die Challenge durch ist. Kann man ¡zur Not! auch von Hand mal machen. Nur falls Letsencrypt irgendwann einfällt das Intervall schärfer zu stellen oder man viele verschiedene Domains hat, wird es anstrengend

die bereits genannte DNS Challenge braucht dies nicht somit viel bequemer, aber ist auch nicht immer möglich, je nach Hosting Situation

ich nutze bis heute ehrlich gesagt nur die HTTP challenge, aber ich habe dafür, auch 1€ server bei netcup, als http proxy und zentraler wireguard hub. an der fritz wird immer noch die ip geändert und 24h trennung gemacht, was durch wg auch überbrückt wird
 
Bin bei cloudflare, die bieten dir ein token an, welches du in nginx eintragen kannst.
Dazu wird lokaler DNS benötigt, für die Domainumschreibung.
Genau so läuft es bei mir hervorragend, an jedem Endgerät und über wireguard auch unterwegs.

Bloß nicht deine Fritte veröffentlichen. Bloß nicht.
Ergänzung ()

prayhe schrieb:
Du musst im Router für deine Domain eine Ausnahme für den DNS Rebind Schutz einrichten, sonst haut das nicht hin wenn deine Domain auf eine lokale IP zeigt
Zum Vergrößern anklicken....
Selbst das ist nicht nötig.
Finde ich seltsam, wenn die Domain auf meine fritte zeigt.
Vielleicht will man mit der Domian ja noch anderes tun in Zukunft.
 
Zuletzt bearbeitet:
Man könnte auch mit einem Self Certified Cert machen. In caddy sind das 3 Zeilen.
 
  • Gefällt mir
Reaktionen: Der Lord
RedPanda05 schrieb:
Man könnte auch mit einem Self Certified Cert machen. In caddy sind das 3 Zeilen.
Zum Vergrößern anklicken....
Hab ich mehrfach versucht, wollte vaultwarden alles nicht akzeptieren.



Tornhoof schrieb:
Ich denke, wenn Let's Encrypt die Zertifikatsdauer auf 6 Tag reduziert, wird die Challenge Zeit auch reduziert werden.
Zum Vergrößern anklicken....
Auch das ist nicht nötig.
Zumindest über cloudflare und dem token.
Wird automatisch aktualisiert.
Einmal einrichten, für immer Ruhe.
 
Alternativ, .ovh Domain besorgen. Die kosten 3€ im Jahr und bieten Api Steuerung an, um das ganze günstig über die DNS Challenge zu machen.
Ergänzung ()

@Skudrinka mit dem Self Cert geht das zu 100%, da muss irgendwas an deinem Setup nicht in Ordnung sein. Bzw. als ich es vor 2 Monaten getestet ging das ohne Probleme.
 
RedPanda05 schrieb:
mit dem Self Cert geht das zu 100%, da muss irgendwas an deinem Setup nicht in Ordnung sein. Bzw. als ich es vor 2 Monaten getestet ging das ohne Probleme.
Zum Vergrößern anklicken....
Im Browser ja.
Die App für Windows und Android hat den Dienst quittiert.
 
CA Route gehen, CA in den entsprechenden Root Store importieren (was in Android afaik nicht mehr so einfach ist).

Aber wenn dein Weg über Cloudflare geht ists eh besser.
 
@Skudrinka fair enough, ich hatte tatsächlich nur die Browser Extension und die Webseite getestet. Das tut mir leid. In dem Fall: automatisierte DNS Challenge über Tokens.
 
Skudrinka schrieb:
Selbst das ist nicht nötig.
Finde ich seltsam, wenn die Domain auf meine fritte zeigt.
Zum Vergrößern anklicken....
Der Eintrag zeigt ja nicht auf seinen Router, sondern auf ein Gerät im Heimnetzwerk. Und doch ist nötig, weil bei solchen Geschichten die meisten Router Standardmäßig erstmal abblocken zwecks Rebind Schutz.
Skudrinka schrieb:
Vielleicht will man mit der Domian ja noch anderes tun in Zukunft.
Zum Vergrößern anklicken....
Dafür gibt es Subdomains ;)
 
  • Gefällt mir
Reaktionen: Der Lord und RedPanda05
prayhe schrieb:
Und doch ist nötig,
Zum Vergrößern anklicken....
Zumindest nicht bei meiner Variante.
Nginx ruft einfach nur den token ab.
Bin da bestimmte nicht tief im Thema, kann nur sagen, dass es so auf Anhieb funktioniert, ohne weitere Einstellungen oder sonstiges.
 
Skudrinka schrieb:
Zumindest nicht bei meiner Variante.
Zum Vergrößern anklicken....
Ich kann dir nur sagen, dass wenn du ganz regulär bei einer (Sub)domain einen Record auf eine IP im lokalen Netz einrichtest, dass dann die allermeisten Router keine Verbindung zu besagter IP erlauben, um dich vor diesen Rebind Angriffen zu schützen. Daher der Tipp gleich die ganze eigene Domain auf die Whitelist zu setzen. Vielleicht ist das bei deinem Router nicht so, habe ich aber noch nicht gesehen ehrlich gesagt
 
Ich glaube wir reden hier aneinander vorbei :D Das mit dem API Token für die DNS Challenge ist schon klar. Mein Tipp mit dem Rebind Schutz hat sich darauf bezogen, dass wenn er später z.B. auf vaultwarden.beispiel.de zugreifen möchte und diese Subdomain auf die lokale IP zeigt, dass dann der Router vermutlich die Verbindung erstmal nicht erlauben wird aus genannten Gründen
 
Wie gesagt, bin da nicht tief im Thema.
Aber was hat der Router damit zu tun, wenn ich eine lokale Domain aufrufen möchte?
Dafür verwende ich doch einen DNS für die Umschreibung.
Mit meiner Domain bei cloudflare habe ich nichts weiteres gemacht. Habe diese nur registriert und das Zertifikat für diese erstellen lassen.
Den token genommen, in nginx eingetragen und die IP von vaultwarden umschrieben.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

enf.GuAnDi
Nginx Proxy Manager: HTTPS-Konfiguration und Fehlerbehebung für lokale Dienste
Antworten
13
Aufrufe
1.036
enf.GuAnDi
enf.GuAnDi
D
NGINX Proxy Manager: Mehrere Domains
Antworten
4
Aufrufe
1.229
DerSchalker92
D
LordHelmchen200
Nextcloud-AIO (All in One) mit Nginx Proxy Manager statt Caddy
2
Antworten
28
Aufrufe
1.628
LordHelmchen200
LordHelmchen200
C
RustDesk Server und Nginx Proxy Manager.
Antworten
2
Aufrufe
965
Colossus5510
C
slice90
lokale SSL Zertifikate mit nginx proxy manager
Antworten
3
Aufrufe
965
slice90
slice90
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

Dieser Dialog konnte nicht vollständig geladen werden, eine Zustimmung gilt daher nur vorläufig. Blockiert ein Browser-Add-on Third-Party-Scripte?

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz