Wildcard Zertifikat und DDNS wirklich notwendig für Docker für rein lokale Nutzung?

[d0zer]

Hallo liebe Community,

ich würde gerne einige Anwendungen in Docker installieren und diese rein lokal nutzen. Und zwar so, wie Mariushosting es beschreibt, beispiele wären:
- Kimai https://mariushosting.com/how-to-install-kimai-on-your-synology-nas/
- Openproject https://mariushosting.com/synology-install-openproject-with-portainer/

Nun stoße ich in immer mehr Tutorials von Mariushosting auf die Tatsache, dass er ein Wildcard Zertifikat, DDNS etc. spricht.
Die Tutorials zu diesen Themen habe ich mir angeschaut und es sieht so aus als müsste man dafür die Ports 80, 443, 5001 Richtung Internet öffnen.

Ist das tatsächlich so? Wie kriege ich rein lokale Docker Anwendungen zum laufen, welche HTTPS nutzen ohne, dass ich mich ins Internet veröffentliche wie in den Tutorials von Mariushosting beschrieben?

Lieben Dank euch schon mal, viele Grüße

 

[plang.pl]

Wenn du sie nur lokal nutzt, hast du folgende Optionen:
-einfach http nutzen
-https ohne gültiges Zertifikat mittels IP-Adresse nutzen
->Hint: Ein Zertifikat erhält man normalerweise nur für einen FQDN (eine eigene Domain oder DDNS), nicht für eine IP
Weiterführende Gedankengänge / Optionen:
-einen Synology DDNS nutzen, diesen kannst du auf die interne IP zeigen lassen, dazu hast du dann auch ein Wildcard-Cert
->siehe dieser Thread
-einen eigenen DNS-Server betreiben und die DDNS / Domain - Adresse auf die interne IP auflösen lassen

 

[*kw*]

@d0zer: exakt so nutze ich es. Also, ein wildcard Zertifikat rein lokal, die DS hat keinen externen Zugang. Es läuft wirklich am geschmeidigsten, wenn du eins hast. Allein, um die nervigen Hinweise zu umgehen.

Alternative: mit acme.sh (automatische Zertifikatserneuerung) und Adguard Home (als interner DNS-Server) läuft das problemlos --> "reverse proxy".

 

[d0zer]

Darf ich fragen wie du das Wildcard Zertifikat dir hast erstellen (lassen) ohne externen Zugang? Ich verstehe es bisher so, dass ich dafür zumindest für die Beschaffung des Zertifikats meine Synology ins Internet exposen muss.

 

[plang.pl]

Nein, wenn du eine synology.me Adresse in der Systemsteuerung erstellst (kostenlos) fragt er dich im Anschluss, ob du ein Zertifikat willst. Das kostet auch nix. Für die synology.me Adresse erhältst du automatisch ein Wildcard-Cert und musst dafür auch keine Ports öffnen

 

[*kw*]

@d0zer: Ich wollte die Synology-Adresse umgehen und habe bei netcup sogar nur eine DE-Domain registriert. Die reicht, um über acme.sh ein Zertifikat anzufordern und eine Erneuerung anzustoßen. Das ganze läuft auch ohne Port 80 und 443.

Die Themenkonstellation "docker/acme.sh/Adguard Home (DNS)/reverse proxy" findet sich hier in vielfältigen Threads wieder. Große Beteiligung hatte ein ehemaliges Mitglied "EDvonSchleck".

 

[plang.pl]

synology.me Adresse in der Systemsteuerung erstellst

Idealerweise lässt du die Adresse dann (so wie im verlinkten Beitrag) auf deine interne IP zeigen. Alles, was dann noch raus und wieder reingeht, sind die DNS-Anfragen. Schöner ist es natürlich, wenn man einen eigenen DNS-Server betreibt. Ich nutze da wie @*kw* den AdGuard Home und dazu noch unbound. Dann hat man gleich noch einen Netzwerkweiten Werbe- und Tracking-Blocker.

 

[d0zer]

Liebe Community, Danke erstmal für eure zahlreichen Rückmeldungen.
Ich hoffe ihr könnt mein Konfigurationsproblem beheben, ich verzweifle so langsam.

Ich möchte wie gesagt, bloß aus dem LAN auf die Anwendungen per HTTPS und per Domain zugreifen, z.B. per "https://openproject.meinnas.synology.me im Browser"


Ich habe mir nun ein Wildcard Zertifikat erstellen und verknüpfen lassen mit meiner synology.me Adresse, siehe:




Meine Synology DDNS Einstellungen sehen folgendermaßen aus:




meine beiden gewünschten Docker Anwendungen OpenProject und Kimai habe ich im Reverse Proxy folgendermaßen eingetragen:



Beim versuch nun über https://openproject.meinnas.synology.me im Browser die Anwendung zu erreichen, erhalte ich folgende Fehlermeldung:




Wo könnt hier mein (Denk)-Fehler stecken?

 

[d0zer]

hab es gefixt. es lag am notwendigen dns rebind schutz den ich erst in der fritzbox einstellen musste

 

[plang.pl]

Wenn du das nun doch noch mit AdGuard machen möchtest, ich habe soeben eine Anleitung veröffentlicht: https://www.synology-forum.de/threa...e-unbound-um-domain-lokal-aufzuloesen.127925/

 

[*kw*]

Hallo,

(bekannterweise) habe ich dieselbe Ausgangssituation und greife nur lokal über Wildcard-Zertifikat und reverse proxy auf Docker zu.

Problem: ich habe für den externen (Nofall)Zugriff in meiner FritzBox einen funktionierenden VPN-Tunnel (WireGuard) eingerichtet. Der https-Aufruf (bspw. bitwarden.meinedomain.de) wird nicht aufgelöst. Mit der IP+Port der Diskstation funktioniert es.

Jetzt stecke ich gerade gedanklich fest und weiß nicht, an welcher Schraube ich drehen muss, dass ich den https-Aufruf beibehalten kann? (falls das überhaupt so funktioniert?)

[edit]: über rebind in der FB klappt's schonmal nicht.

 

[plang.pl]

Du kannst die Konfig. des VPN-Tunnels am Endgerät bearbeiten (in der WireGuard App). Dort musst du deinen DNS-Server des Heimnetzes eintragen.

 

[*kw*]

@plang.pl super, hat funktioniert!

 

[plang.pl]

Die Fritte schreibt immer den Nameserver in die Config, den sie beim Erstellen konfiguriert hat. Wenn der sich später ändert, bekommt der Client das nicht mit. Also nehme ich an, dass du die Config erstellt hattest, bevor du einen lokalen DNS-Server eingetragen hattest?

 

[*kw*]

Genau. Erst dann kamen docker&co.