SWAG vs Nginx Proxy Manager

[alexhell]

Hallo zusammen,

im Moment nutze ich als Reverse Proxy SWAG (nicht auf der Synology, sondern einer VM in Proxmox) und bin damit eigentlich auch sehr zufrieden. Aber ich habe trotzdem in letzter Zeit überlegt, ob ich vielleicht auf Nginx Proxy Manager wechseln sollte. Aber ich bin mir unsicher, ob ich damit alles auch so leicht hinbekomme wie mit SWAG. Könnten mir Leute die den Nginx Proxy Manager einsetzen folgende Punkte beantworten, ob das ohne weiteres möglich ist.

1. maxmind (oder ähnliche) integration. Das heißt ich will pro Reverse Proxy Eintrag festlegen können von welchen Ländern aus das erreichbar sein soll.
2. Das selbe mit Authelia bzw. Authentika
3. Muss viel konfiguriert werden, dass Fail2Ban ordentlich läuft?

Ich bin mir unsicher, ob der Umstieg sich für mich lohnt oder nicht.
Vorteil: Ich hätte ein Webinterface
Nachteil: Die Flexibilität geht verloren und mehr Konfiguration ist notwendig.

Wäre schön, wenn mir die Leute die es im Einsatz haben sagen könnten ob das so möglich wäre.

 

[plang.pl]

Also ich setze den NGINX PM in einer lubuntu-VM unter Proxmox ein. Und ich bin sehr zufrieden. Zertifikate (Wildcard) werden automatisch verlängert. In der kommenden Version 3 (die es aktuell als BETA gibt), soll einiges neu dazukommen. U.a. der Support für acme.sh. Meiner Ansicht nach ist die BETA aber aktuell nicht lauffähig. Ich habs nicht hinbekommen.
Zu 1: Glaube nicht. Es gibt natürlich Zugangskontrollprofile, aber halt nach IP/Subnet. Kann ich aber nicht sicher behaupten, da mit das nix sagt
Zu 2: Sagt mir auch nix.
Zu 3: Hab ich leider auch nicht im Einsatz. Steht aber noch auf meinem Zettel. Ich denke, dass man dazu leicht Anleitungen / Hinweise findet.
Ich sehe bei dir nicht ganz den Grund, warum du wechseln willst. Klar, Webinterface kann ein Vorteil sein. Wenn du es aber aktuell nicht vermisst, warum der Aufwand?

 

[alexhell]

Wenn ich die drei Punkte sehr leicht eingerichtet bekommen hätte, dann wäre das Webinterface halt nett zu haben. Aber so wichtig ist mir das Webinterface dann doch nicht, dass ich auf das andere verzichte. Daher vorher die Frage.
Ich hab mir das mal installiert und probiert aber das nicht wirklich direkt gefunden.
SWAG kann leider auch nur ein Zertifikat erzeugen bzw. verwenden. Man kann zwar ein Wildcard Zertifikat verwenden, aber wenn man mehrere Domains hat oder auch subdomain.subdomain.domain.de verwendet, dann muss man halt mit alternate Names arbeiten. Das wäre auch ein netter Punkt noch.... Dann bleibe ich bei SWAG weiterhin

Zu 1: Glaube nicht. Es gibt natürlich Zugangskontrollprofile, aber halt nach IP/Subnet. Kann ich aber nicht sicher behaupten, da mit das nix sagt

Das ist ein Dienst der einem eine Datenbank mit IPs zu Ländern/Städten bereitstellt und durch eine Definition von paar Variablen kann man für jeden Eintrag definieren von wo es aufrufbar ist.

Zu 2: Sagt mir auch nix.

Beide Dienste sorgen für 2FA vor jedem Proxy. Also kann man konfigurieren ob OTP, SMS oder Yubi Key..

 

[plang.pl]

Also das mit mehreren Zertifikaten geht problemlos.
Danke für die Infos.

 

[alexhell]

Danke dir fürs bestätigen, dass es nicht direkt geht. Dann werde ich weiter bei SWAG bleiben und mir die Arbeit sparen

 

[Ulfhednir]

Ich bin zwar kein NPM-User, aber vor der Frage SWAG oder NPM stand ich ebenfalls, bevor ich mich für SWAG entschied. Ich glaub ich bin auch der erste, der im Forum überhaupt zu SWAG gefunden hat. Sei's drum.

Grundsätzlich bauen beide Systeme auf die selbe Architektur auf (Nginx). Wenn etwas bei SWAG funktioniert, ist die Wahrscheinlichkeit also recht hoch, dass die Anpassung von SWAG auch mit dem NPM funktioniert:

zu 1.) https://www.reddit.com/r/nginxproxy...ial_nginx_proxy_manager_together_with_geoip2/
zu 2.) https://www.authelia.com/integration/proxies/nginx-proxy-manager/
zu 3.) https://www.pc-howto.com/docker-mit-nginx-proxymanager-ufw-fail2ban-mariadb-und-nextcloud-teil-5/

Der Vorteil von SWAG liegt für mich auf der Hand: Es gibt eine Grundkonfiguration, die auch gewartet wird.
Zudem lassen sich einige sinnvolle Docker-MODS verwenden. Ich würde jedenfalls keinen Wechsel zu NPM forcieren.

P.S.: Hast du deine Jails in Fail2Ban erweitert?

 

[alexhell]

Das beides auf Nginx basiert ist mir klar. Mir ging es nur um den Aufwand das zu konfigurieren und ob man das pro Eintrag per Webinterface auch konfigurieren kann. Weil wenn ich da die Configs anpassen muss, dann kann ich das auch bei SWAG
Es müsste halt relativ schnell gehen, damit sich ein Wechsel lohnt.
Die Dockermods find ich auch praktisch. Da verwende ich folgende

linuxserver/mods:swag-dashboard|linuxserver/mods:swag-auto-reload|linuxserver/mods:swag-maxmind

Wegen Fail2Ban. Ich hatte mal eigene Jails, aber der Dienst läuft nicht mehr und somit gibt es die auch nicht mehr. Wollte aber demnächst noch Vaulwarden einrichten.

Edit: Übrigens danke für die Links. Die guck ich mir mal genauer an, auch wenn ich nicht wechseln werde

 

[alexhell]

@Ulfhednir hast du bei dir mal den Mod CrowdSec eingerichtet? Ich wollte den mal einrichten, aber es kamen erstmal Fehlermeldungen und dann hatte ich keine Zeit mehr weiter nach zu gucken und seit dem ruht das Vorhaben

 

[Ulfhednir]

Bisweilen noch nicht. Ich habe ja auch eine "echte" Firewall vor meiner DS, die mir schon einiges wegfiltert.

 

[alexhell]

Weil ich auf Dauer keine Lust habe mich immer per SSH zu verbinden wenn ich was ändern will, habe ich für mich eine gute Lösung gefunden. Ich habe mir den CloudCommander mit installiert. Als Ordner den SWAG Config Ordner gemountet und nun kann ich alles per Browser ändern/löschen/hinzufügen. Und das Ding hat auch ein Terminal mit drin, das heißt ich kann auch direkt meine Configs wieder mit git commiten. Für mich ist das jetzt eine sehr gute Lösung.