Let's Encrypt + Proxy

[Zyrusvirus]

Moin alle zusammen.
Ich arbeite mich grade so ein wenig in das Docker Thema ein und möchte nun gerne ein Proxy Container starten der sich um Let's Encrypt Zertifikate kümmert und entspechend an verschiedene Webservices die Anfragen weiter leitet.

Nun würde mich interessieren welches Docker Paket ihr einsetzt für Proxy + Let's Encrypt?

nginx:alpine
letsencrypt-nginx-proxy-companion

Was setzt ihr bereits erfolgreich sein?

 

[haydibe]

Traefik

 

[Benares]

Nimm doch einfach den Reverse-Proxy von Synology und leite darüber auf die verschiedenen Services/Docker-Container um.
Dann hast du das ganze Zertifikats-Geraffel zentral, intern weiter mit http.

 

[Zyrusvirus]

Hatte ich auch schon überlegt. Hab nur noch nicht ganz heraus lesen können ob der auch Let's Encrypt macht ...

 

[haydibe]

macht er, sogar sehr einfach. Aber: der kann NUR domain based reverse proxying über die UI. Wenn man selbst handanlegt kann der nginx auch mehr - allerdings reicht eine krumme konfiguration um den auszuknocken.

Traefik macht auch nur sinn, wenn man seine Container über docker-compose deployed, da nur darüber die Labels leicht zu pflegen sind, die für die Reverse-Proxy Rules verwendet werden. Traefik kann etwas das Letsencrypt in DSM nicht kann: DNS01-Challenge für Wildcard-Zertifikate

 

[blurrrr]

Alternativ halt NPM (Nginx-Proxy-Manager). Was Traefik und das Wildcard-Zertifikat mit der DNS-Challenge angeht... Erstmal einen Domainverwalter haben, der sowas auch via API anbietet (da sowas bei weitem nicht jeder anbietet). Traefik ist für Shell-fremde/-Gegner (soll es ja auch noch geben) auch eher "naja"... oder gibt es da neuerdings eine klick-klick-GUI? ?)... Alternativ könnte man natürlich auch zu einem nackten Nginx greifen.

Was die Zertifikatsgeschichte angeht, hier nochmal eine kleine Info dazu: https://letsencrypt.org/de/docs/challenge-types/

Da die Automatisierung von Ausstellung und Erneuerung sehr wichtig ist, ist die Verwendung von DNS-01-Challenge nur sinnvoll, wenn Ihr DNS-Anbieter über eine API verfügt, mit der Sie Aktualisierungen automatisieren können. Unsere Community hat eine Liste solcher DNS-Anbieter hier gestartet. Ihr DNS-Anbieter ist möglicherweise derselbe wie Ihr Registrar (das Unternehmen, bei dem Sie Ihren Domain-Namen gekauft haben) oder er ist möglicherweise anders. Wenn Sie Ihren DNS-Anbieter ändern möchten, müssen Sie nur einige kleine Änderungen an Ihrem Registrar vornehmen. Sie müssen nicht warten, bis Ihre Domain fast abgelaufen ist.

 

[haydibe]

Traefik ist für Shell-fremde/-Gegner (soll es ja auch noch geben) auch eher "naja"... oder gibt es da neuerdings eine klick-klick-GUI? ?

Nö, Traefik hat nach wie vor einen idi*ten Filter Und es stimmt: nicht jeder braucht es.

Erstmal einen Domainverwalter haben, der sowas auch via API anbietet (da sowas bei weitem nicht jeder anbietet).

Welcher DNS-Anbieter erlaubt den heutzutage bitte nicht den technischen Teil (den mit der Domainveraltung) umzuziehen? Der DNS-Anbieter bleibt einfach weiterhin Registrar (und bekommt jährlich weiter seine Kohle) und man zieht mit der Domainverwaltung rüber zu Cloudflair, so dass man von deren flexiblen Cloudlair-API profitieren kann... Oder man holt sich einfach eine Domain bei einem unterstützen Anbieter? Meine sind bei Netcup und kosten wahnsinnige 1,94€ pro Jahr... wer das als "Showstopper" sieht, dem kann ich auch nicht helfen..

Es ist schon nett, wenn man eine Wildcard-Domain im DNS-Server auf seine WAN-IP zeigen lässt und dann über Traefik Wildcard-Zertifikate ausstellt und am Ende nur noch über Container Labels diesen über eine Subdomain ereichbar machen kann - ohne irgendwas an DNS, Letsencrypt oder Reverse Proxy verändern zu müssen. Aber auch das braucht nicht jeder.

 

[blurrrr]

Najo, kann man machen, bei einer einzelnen IPv4 bestimmt ganz "nett", bei mehreren public IPs (z.B. IPv6) ggf. schon wieder etwas doof (je nachdem, ob alles über den Proxy geht oder eben nicht). Ich versuche halt in diesem Forum den Ball halbwegs flach zu halten, denn wenn man die Leute mit dem ganzen Fach-Chinesisch bombardiert (was hier bestimmt einige könnten), werden die meisten einfach nur spärlich aus der Wäsche schauen... Irgendwer hatte sich hier auch mal letztens darüber beschwert... dabei ist das hier schon nur ein "laues Lüftchen"... ??

Daher auch nur die Statements bzgl. Traefik und der DNS-Challenge (könnte für die meisten nämlich direkt 2x doof laufen - "Traefik ohne GUI - geht garnicht" + "Hoster bietet keine API an und weiter weiss man dann halt auch nicht"). Von daher denk ich eben, dass der Syno-Proxy (mit dem man ja auch durchaus mehrere LE-Zertifikate (inkl. Alt-Names) nutzen kann) für die meisten wohl erstmal so das Mittel der (einfachen) Wahl wäre.

Grundsätzlich hast Du aber natürlich recht, keine Frage

 

[Fusion]

Es reicht sogar wenn man beim gewünschten Hoster CNAME erstellen kann. Dann lässt sich mit challenge- oder (wie ich persönlich) domain-alias Methode verwenden. Man kann dann mit jeder Dummy Domain beim Anbieter der den Zugriff für acme/letsencrypt erlaubt arbeiten. Beim Wunsch Hoster braucht man wie gesagt außer cname überhaupt nichts.
Hat auch den schönen Vorteil, dass man auf den Wunschhoster keiner Zugriff gewähren muss und man einen einzigen Alias arbeiten kann der für jede Ausstellung/Erneuerung mit dem passenden TXT record gefüttert wird.

Kurz, Wege gibt es wie Sand am Meer.
Wäre zwar schöner wenn Syno die noch in die GUI bringt, aber...

Cloudflare bin ich etwas abgerückt, da hab ich und andere teils Probleme, dass die DNS Auflösung Probleme macht (wenn man mit pihole, bind, DNSsec, dnscrypt etc rumspielt). CF, Google und nine sind zwar leicht merkbar DNS IPs, aber ich nehme dann doch lieber andere (und eh den lokalen bind den ich zum pihole gepackt habe)

 

[Zyrusvirus]

Moin alle zusammen.
Ich hab bisschen rumgeschraubt und hab nun watchtower und docker-compose am laufen, einfach um es mal auszuprobieren.
Nun hab ich mich entschieden den Proxy mit nginx umzusetzten.
Das ist soweit auch kein Thema, jedoch bekomm ich bei der Einrichtung die Meldung das es zum Portkonflik kommt auf 80 und 443.
DSM reagiert nicht nur auf 5000 und 5001, sondern auch auf 80 und 443.
Irgendwie kann ich nicht finden wo ich das ändern kann.

Dazu frage ich mich, ob das sicherheitstechnisch überhaupt Sinnvoll ist alle auf der DSM laufen zu lassen, da ja der Proxy eigentlich eine Schutzfunktion hat, neben der SSL Zuteilung.

Lasst ihr eure Proxys wirklich auf der DSM laufen, oder eventuell als vorgelagertes System auf einem Pi?

 

[blurrrr]

Ich lass es vorgelagert laufen (habe aber auch keine Probleme damit sowas "mal eben" bereitzustellen). Das sieht für den normalen Syno-User i.d.R. anders aus, da es meist nur den Router + NAS gibt. Sinnvoll ist es doch zumindestens in sofern, als das man darüber auch direkt das ganze Zertifikatsgeraffel und sonstiges damit abwickeln kann (z.B. noch anderweitige interne Dinge erreichbar machen, wie z.B. die Smarthome-Steuerung und man generell eben einen zentralen Ansprechpunkt hat). Wenn es "wirklich" danach gehen "sollte", müsste man auch noch weiter ausholen und den Reverseproxy in ein eigenes Netz packen mit Zugriffen auf die Ziele wirklich "nur" über die "benötigten" Ports und nix anderes (falls der RP mal geknackt wird)... WAF wäre auch noch so ein Stichwort und zack, ist das Scheunentor wieder sperrangelweit offen und man wird grade von einer wilden Horde Rinder überrannt... ("moo -vvv" ? ).

Also kurzum: Dein Gedanke ist nicht falsch, aber "ein bisschen" ist dann doch wieder besser als "garnichts" Bau Dir Dein Konstrukt einfach so, wie Du - für Dich - es am sinnvollsten erachtest, wenn dann noch fragen auftauchen, weisst ja wo sich hier alle verstecken... ?

 

[Zyrusvirus]

DMZ ist eh schon vorhaden und zwischen Heimnetz und DMZ wird nur das nötige freigegeben.
Hab auch schon überlegt wieder mit Sophos oder ähnliches zu arbeiten, aber das bisschen was aktuell läuft lohnt es einfach nicht.

Mir ist ein sauberes Routing und eine ordentliche Trennung schon wichtig, glaube da muss nen Pi oder ein AlixBoard her.

 

[blurrrr]

zwischen Heimnetz und DMZ wird nur das nötige freigegeben.

DMZ -> Heimnetz, oder wie ist das zu verstehen? Wenn ja, wäre das irgendwie gegen das Konzept einer DMZ. Wenn es genau andersrum gemeint ist, hab ich nix gesagt ?

Mir ist ein sauberes Routing und eine ordentliche Trennung schon wichtig

Die Schlussfolgerung dazu hast Du dann schon ganz richtig getroffen ?

 

[Zyrusvirus]

Ja gut bisschen falsch rum geschrieben. Natürlich von Privat rüber zur DMZ.