Reverse Proxy - Sicher von außen?

Paddii

Lt. Commander
Registriert
Okt. 2008
Beiträge
1.348
Hallo zusammen,

ich nutze derzeit ein TrueNAS Scale System und habe mich nun mal an Vaultgarden versucht. nginx Proxy Manager und Vaultgarden sind als Docker Container installiert.

nginx läuft dabei im Host Modus (eigene IP im Netzwerk), da TrueNAS leider keinen Port unter 9000 für Container kann. Für ngnix braucht es aber zwingend Erreichbarkeit auf Port 80 und 443.

Soweit funktioniert auch alle echt gut. Aber nun hatte ich gelesen, dass ein Reverse Proxy teilweise auch von "Außen" erreichbar sein kann.

Das NAS und auch Vaultgarden sollen vollkommen Netzwerkintern bleiben. Für alles externe nutze ich eine VPN.
Ich muss auch ehrlich sagen, dass ich von dieser Materie nicht sonderlich viel Ahnung habe.

Im Grunde habe ich bei meiner Netcup Domain alles aus der DNS entfernt und nur "A 192.168.170.56" (die Netzwerk interne IP von nginx) eingetragen. Danach mit nginx Let's Encrypt für die Domain eingerichtet und unter Proxy Hosts die jeweiligen Geräte im Heimnetz (zB. TrueNAS -> http://192.168.170.145:81) eingestellt.

Nun kann ich unter der jeweiligen Domain / Subdomain meine Geräte mit https erreichen.

Aber wäre das so sicher zu verwenden? Oder wäre es in dieser Form von außerhalb des Netzwerk erreichbar? Muss man das noch irgendwie absichern?

Und mal allgemein gefragt, ist diese Form von https denn sicher? Also könnte zB. der Anbieter sehen was ich mache, oder wäre das genau so sicher, wie wenn es komplett innerhalb des Heimnetztes passiert? Im Grunde läuft dann ja alles über diese externe Domain.

Schon einmal Vielen dank für jede Hilfe!

Gruß
Patrick
 
Paddii schrieb:
Aber wäre das so sicher zu verwenden? Oder wäre es in dieser Form von außerhalb des Netzwerk erreichbar? Muss man das noch irgendwie absichern?
Das ist eine interne IP - ohne physischen Zugriff zu oder VPN in dein Netz kann damit sonst keiner was anfangen.

Paddii schrieb:
Und mal allgemein gefragt, ist diese Form von https denn sicher? Also könnte zB. der Anbieter sehen was ich mache, oder wäre das genau so sicher, wie wenn es komplett innerhalb des Heimnetztes passiert?
Der Provier wird die DNS-Abfrage an den Nameserver von deinem Registrar sehen. Daraus irgendwelche Schlüsse ziehen kann er aber eher nicht.

Wobei ich auch nicht kapiere wofür du die externe Domain bezahlst - außer du nutzt die noch für was anderes, z.B. Email-Dienste?
 
  • Gefällt mir
Reaktionen: Paddii
Hast du die Domain per DNS-Challenge verifizieren lassen oder per HTTP-Challenge?
Wenn HTTP, dann muss Lets-Encrypt zugriff auf deinen Reverse-Proxy haben, und wenn Lets-Encrypt zugreifen kann, kann es potentiell jeder.
Der beste Schutz dagegen ist jedliche Portweiterleitungen im Router zu entfernen aber dann kann Lets-Crypt das Zertifikat nicht mehr aktualisieren.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Paddii und madmax2010
Rickmer schrieb:
Das ist eine interne IP - ohne physischen Zugriff zu oder VPN in dein Netz kann damit sonst keiner was anfangen.


Der Provier wird die DNS-Abfrage an den Nameserver von deinem Registrar sehen. Daraus irgendwelche Schlüsse ziehen kann er aber eher nicht.

Wobei ich auch nicht kapiere wofür du die externe Domain bezahlst - außer du nutzt die noch für was anderes, z.B. Email-Dienste?

Ich habe bei Netcup einen Webspace mit mehreren Domains inklusive. Daher dachte ich mir halt ich nutze lieber gleich eine von denen (da ich die eh nicht alle brauche), als duckdns.org.

Nilson schrieb:
Hast du die Domain per DNS-Challenge verifizieren lassen oder per HTTP-Challenge?
Wenn HTTP, dann muss Lets-Encrypt zugriff auf deinen Reverse-Proxy haben, und wenn Lets-Encrypt zugreifen kann, kann es potentiell jeder.
Der beste Schutz dagegen ist jedliche Portweiterleitungen im Router zu entfernen aber dann kann Lets-Crypt das Zertifikat nicht mehr aktualisieren.

In nginx hatte ich DNS-Challenge mit dem Api Key von Netcup genutzt.

Also in der Fritzbox sind eigentlich keine Ports weitergeleitet oder frei gegeben.
 
Keine Ports weitergeleitet und VPN (Wireguard) über die FB? Dann bist du recht sicher unterwegs.
 
  • Gefällt mir
Reaktionen: Paddii
Vielen dank für die vielen Antworten.

Jetzt habe ich nur leider ein anderes Problem gefunden, wo ich nun leider echt nicht weiterkomme.

Wenn ich mich von außerhalb des Netzwerkes, mit WireGuard, über die FRITZ!Box verbinde, dann kann ich Vaultwarden über die Domain nicht aufrufen. Über die direkte (interne) IP funktioniert es aber. Kann das irgendwie an nginx liegen?

Hat jemand eine Idee woran das liegen könnte?
 
Wer ist denn für die Namesauflösung im VPN zuständig?

Cu
redjack
 
  • Gefällt mir
Reaktionen: Paddii
Vielen Dank für den Tipp, bin dadurch auf den Fehler gestoßen.

Das Problem ist, dass wenn man eine Wirecard Verbindung über die FRITZ!Box einrichtet, die FRITZ!Box sich selbst als DNS Server in die config einträgt.

Nur das scheint nicht richtig mit einem Reverse Proxy zu funktionieren. Ich hab die DNS in der WireGuard config Datei jetzt manuell auf 1.1.1.1 geändert, und es funktioniert!
 
  • Gefällt mir
Reaktionen: redjack1000
Zurück
Oben