HomeLab

[plang.pl]

dann als normaler User (der AB4B ist), diese Daten nicht wegsichern

Auch dafür habe ich nun eine Lösung:
Ich habe es weder hinbekommen, dass Container als User laufen noch dass der gesamte Docker-Daemon als User läuft.
Ich habe nun einfach in der /etc/samba/smb.conf einen Share angelegt, der in das Docker-Verzeichnis zeigt und als "valid users" u.a. "root" eingetragen. Dann mittels smbpasswd -a root ein SMB-Passwort für root gesetzt und mittles passwd root ein Benutzerpasswort gesetzt. Somit kann AB4B nun die Daten als root ziehen. klappt einwandfrei.

 

[Wiesel6]

Darf ich mal eine Verständnisfrage stellen. Das mit dem Wildcardzertifikat mit acme.sh und Proxy Manager habe ich nicht ganz verstanden. Bzw. versuche zu verstehen, ob es sich in meinem Fall lohnt sich näher damit zu beschäftigen.

Bei mir bewegt sich alles nur im Heimnetz. Für vaultwarden habe ich eine Synology.me Subdomain angelegt und diese per reverse proxy von http auf https umleiten lassen. Deswegen bekomme ich auch die bekannte Fehlermeldung, dass das Zertifikat ungültig sei, was im Heimnetz ja egal ist.
Was genau würde mir eure beschrieben Lösung bringen?

 

[plang.pl]

Also ich mache das aktuell (noch) so:
-acme.sh Container: Erneuert Zertifikate automatisch
-NGINX Proxy Manager Container: Macht im Prinzip das, was auch der Syno Reverse Proxy macht, nur mit mehr Funktionen
-alle 3 Monate kopiere ich Zertifikate von acme.sh nach NGINX PM
-AdGuard-Home Container macht die Namensauflösung: so kann ich mittels DDNS-Adresse intern auf die Dienste zugreifen
->keine Zertifikatswarnungen mehr

So soll das in Zukunft laufen:
-die Zertifikate übernimmt auch der NGINX Proxy Manager, sodass ich da manuell gar nix mehr machen muss

Was du tun kannst:
-einen DNS-Server aufsetzen auf der DS, der intern die DDNS Adresse auch auf die interne IP auflöst
->dann hast du auch keine Zertifikatswarnungen mehr
-wenn du gleich einen AdGuard Home dafür nutzt, hast du zusätzlich deutlich weniger Werbung und Traffic
-das Synology DDNS Zertifikat kannst du so lassen, wie es ist. Denn es ist bereits ein WildCard-Zertifikat

 

[Wiesel6]

Als ich die ersten Zeilen deiner Antwort gelesen habe, hab ich direkt gemerkt, dass ich etwas vergessen habe.
Adguard (früher Pihole) habe ich im Einsatz und so lasse ich auf vaultwarden.example.com auf die IP umleiten.

 

[plang.pl]

Dann kannst du das doch so einrichten, dass du keine Zertifikatsmeldungen mehr erhältst

 

[Wiesel6]

Mmmh sehr komisch, dann muss ich irgendwo einen anderen Fehler haben. Denn eigentlich sollte alles so eingerichtet sein… ich schaue mir das nochmal genau an, hoffe ich komme die Tage dazu und mache ggfs. einen eigenen thread auf.

 

[plang.pl]

Im Endeffekt musst du halt einrichten, dass deine DDNS-Adresse (*.synology.me und synology.me) auf die interne IPv4 deiner DS aufgelöst wird. Dann greift nämlich auch das Zertifikat. Und natürlich das Zertifikat in der DS korrekt den Diensten zuordnen. Der Reverse Proxy der DS muss dann auch auf die DDNS-Adresse lauschen

 

[EDvonSchleck]

Wobei du bei den Synology Anwendungen direkt die Adresse oder Subdomain eingeben kannst. Im Anmeldeportal und unter den Anwendungen. Das erzeugt einen Eintrag ähnlich wie beim Reverse Proxy im Webserver, welcher auf den Port 443 lauscht. Die Reverse Proxy braucht man nur für externe Anwendungen wie. z. B. Docker oder Weiterleitungen.

 

[plang.pl]

So. Domain bei netcup ist registriert.
Eine einfache API-URL zum Update der IP mit der Fritte gibt es wohl nicht mehr.
Ich habe nun für "*" einen CNAME auf meine MyFritz Adresse geschalten. Kann man das so machen oder spricht was dagegen?

Nun zum Zertifikat:
Der NGINX hat es nicht geschafft, ein Zertifikat zu ordern.
Habe dann API-Key, API-PW angefordert. Dann mit acme.sh versucht. Schlägt aber auch fehl:
"Verify error:No TXT record found at _acme-challenge.domain.de". dnssleep war auf 300sek.
@EDvonSchleck wie machst du das mit deiner Netcup-Domain?

EDIT: Bei Netcup selbst sehe ich in der DNS-Verwaltung, dass die Subdomain "_acme_challenge" angelegt ist

 

[alexhell]

Ich habe meine Domain auch bei Netcup. Aber das ist für mich auch nur der Registrar. Ich verwalte die Domain über Cloudflare. Mit https://hub.docker.com/r/oznu/cloudflare-ddns/ kann ich ohne Probleme die A Records aktualisieren und muss nicht über die Fritzbox Update API gehen. Vor allem kann man A Records für die Hauptdomain und Subdomains immer aktualiseren lassen (leider muss man für jeden Eintrag eine neue Instanz erstellen). Hat auch den Vorteil, wenn man die Domain umzieht, dann muss man nicht alles neu konfigurieren. Sondern einfach nur wieder die Nameserver eintragen.

 

[Jim_OS]

@plang.pl
Gut das Du Dich damit gerade beschäftigst denn dann brauche ich das nicht machen. So bekomme ich ggf. Ideen was ich mit meiner Netcup Domain so anstellen könnte.

VG Jim

 

[EDvonSchleck]

Eine einfache API-URL zum Update der IP mit der Fritte gibt es wohl nicht mehr.

Vor einiger Zeit habe ich das bemängelt, trotzdem ist der Service und Preis gut. Alternativen gibt es ja.

Ja, den Vorschlag hören wir öfter und es steht bereits auf der Wunschliste für die Zukunft. Ob aus dem Wunsch tatsächlich ein fertiges Produkt wird, können wir jedoch nicht mitteilen. Es gibt bisher keine detailierten Planungen

Alternativen:
https://www.netcup-wiki.de/wiki/API_Clients#Dynamisches_DNS
https://hub.docker.com/r/qmcgaw/ddns-updater (klick)
Necup > DynDNS oder Myfritz

Alle Pakete gibt es auch als Docker, sogar in Kombination.

Ich habe nun für "*" einen CNAME auf meine MyFritz Adresse geschalten. Kann man das so machen oder spricht was dagegen?

CNAME auf * oder @ funktioniert nicht! CNAME auf CNAME jedoch schon.
CNA;ME1 > DynDNS, CNAME2 > CNAME1

Den Rest kannst du zusammenbauen, wie du willst. * & @ greifen bei Übertragung der IPs (siehe oben)

Nun zum Zertifikat:
Der NGINX hat es nicht geschafft, ein Zertifikat zu ordern.
Habe dann API-Key, API-PW angefordert. Dann mit acme.sh versucht. Schlägt aber auch fehl:
"Verify error:No TXT record found at _acme-challenge.domain.de". dnssleep war auf 300sek.
@EDvonSchleck wie machst du das mit deiner Netcup-Domain?

Acme als Docker? und als Host? Die Einträge in der account.conf hast du mit einem Unix fähigen Editor gemacht und nur die Daten in de " und " geändert? Die " und " hast du beibehalten?

EDIT: Bei Netcup selbst sehe ich in der DNS-Verwaltung, dass die Subdomain "_acme_challenge" angelegt ist

Wenn acme richtig läuft, sollten Einträge wieder gelöscht werden. Das sind meisten Überbleibsel, wenn etwas nicht richtig funktioniert hat.

 

[EDvonSchleck]

Ich habe meine Domain auch bei Netcup. Aber das ist für mich auch nur der Registrar. Ich verwalte die Domain über Cloudflare. Mit https://hub.docker.com/r/oznu/cloudflare-ddns/ kann ich ohne Probleme die A Records aktualisieren und muss nicht über die Fritzbox Update API gehen.

Bei Cloudflare bekommt man noch einen gewissen Schutz das, sofern man diesem benötigt. Jedoch liegt denn wieder alles in den USA. Ob man die IP mit dem Cloudflare Updater oder bei Netcup mit einem anderen Updater aktualisiert, sollte egal sein. Ist ja nicht so, dass es sowas nicht für Netcup gibt.

Wie meinst du das mit der Fritzbox-API?

 

[alexhell]

Naja die IP liegt dann in den USA. Die ist aber eh öffentlich. Ob sie bei Netcup oder Cloudflare eingetragen ist, ist für mich kein unterschied. Das ist halt öffentlich zugänglich. Und klar ist es egal ob du die IP bei Netcup oder Cludflare oder sonst wo aktualisierst. Mir ging es nur darum, dass man beim Domainumzug nicht alles neu machen muss.
Ich meine mit der Fritzbox API diese DynDNS Update URL Geschichte. Das bietet ja nicht jeder Anbieter an.

 

[EDvonSchleck]

Naja die IP liegt dann in den USA. Die ist aber eh öffentlich. Ob sie bei Netcup oder Cloudflare eingetragen ist, ist für mich kein unterschied. Das ist halt öffentlich zugänglich. Und klar ist es egal ob du die IP bei Netcup oder Cludflare oder sonst wo aktualisierst. Mir ging es nur darum, dass man beim Domainumzug nicht alles neu machen muss.

Ich schaue mir das bei Gelegenheit an, war aber bereits auf meine Liste. Hast du dafür eine Anleitung?

Ich meine mit der Fritzbox API diese DynDNS Update URL Geschichte. Das bietet ja nicht jeder Anbieter an.

Geht bei Netcup nicht.

 

[plang.pl]

Acme als Docker? und als Host? Die Einträge in der account.conf hast du mit einem Unix fähigen Editor gemacht und nur die Daten in de " und " geändert? Die " und " hast du beibehalten?

Ja. Alles beachtet. Ich hab es ja vorher mit der DDNSS-API hinbekommen.

sollten Einträge wieder gelöscht werden

Ja, die werden auch wieder gelöscht. Während des "dnssleep" kann ich sie sehen. Somit sollte das ja eigentlich passen.

CNAME auf CNAME jedoch schon.

Da muss ich erst mal drauf klarkommen
Danke dir schon mal. Werde mir das alles heute Abend bzw. im Laufe der Woche zu Gemüte führen. Aktuell läuft ja noch alles über DDNSS.
Aber bis das aktuelle Zertifikat ausläuft (im April ), will ich das alles mal automatisiert eingerichtet haben und umgestellt auf netcup.

 

[EDvonSchleck]

Ich bin da sehr zuversichtlich, wird schon

 

[plang.pl]

Ja, wird schon werden. Frisst halt doch wieder deutlich mehr Zeit, als gedacht. Aber ist ja nix Neues.
Und es ist ja auch schön, was Neues dazuzulernen. Und was zum Rumbasteln zu haben.

 

[alexhell]

Eine direkte Anleitung habe ich jetzt leider nicht. Ich könnte es eben nur probieren zu erklären.

Als erstes die Domain über Cloudflare verwalten:
1. Bei Cloudflare anmelden und auf den Punkt Website gehen.
2. Add Site anklicken und es gibt einen kleinen Wizzard.


Hier muss man dann "Free" anklicken. Danach prüft er die DNS Einträge und übernimmt sie. Im letzten Step zeigt er einem die Nameserver an, die man eintragen soll und welche entfernen.
Das wars. Die Seite ist nun über Cloudflare verwaltet.

Jetzt muss man nur noch die DNS Records aktualisieren, damit sie immer auf die aktuelle IP zeigen.
Dafür geht man auf https://dash.cloudflare.com/profile/api-tokens und klickt auf Create Token.


Konfiguriert das so wie oben zu sehen ist und speichert. Der Token wird nur ein einziges mal angezeigt. Also kopieren und gut sichern! Wenn der verloren geht, dann muss man einen neuen Token erstellen.
Mit diesem Token können wir jetzt unsere docker-compose erstellen und es updaten lassen.

version: '2'
services:
  # Haupdomain
  ddns-domain:
    image: oznu/cloudflare-ddns:latest
    restart: always
    network_mode: host
    environment:
      - API_KEY=<DEINTOKEN>
      - ZONE=example.com # durch deine Domain ersetzen 
      - PROXIED=false
      - RRTYPE=AAAA # 
  # Haupdomain IPV6
  ddns-domain-v6:
    image: oznu/cloudflare-ddns:latest
    restart: always
    network_mode: host
    environment:
      - API_KEY=<DEINTOKEN>
      - ZONE=example.com # durch deine Domain ersetzen 
      - PROXIED=false
      - RRTYPE=AAAA # Für IPV6
  
  # Subdomain
  ddns-sudomain:
    image: oznu/cloudflare-ddns:latest
    restart: always
    network_mode: host
    environment:
      - API_KEY=<DEINTOKEN>
      - ZONE=example.com # durch deine Domain ersetzen 
      - SUBDOMAIN=<deine-Subdomain> #Man kann auch * als Wildcard eintragen
      - PROXIED=false
  
  # Subdomain IPV6
  ddns-sudomain-v6:
    image: oznu/cloudflare-ddns:latest
    restart: always
    network_mode: host
    environment:
      - API_KEY=<DEINTOKEN>
      - ZONE=example.com # durch deine Domain ersetzen 
      - SUBDOMAIN=<deine-Subdomain> #Man kann auch * als Wildcard eintragen
      - PROXIED=false
      - RRTYPE=AAAA # Für IPV6

Ich hoffe ich habe nichts vergessen. Wenn etwas nicht direkt geht, dann kann ich es mir nochmal genauer angucken.

 

[EDvonSchleck]

Super Anleitung, danke für die Mühe!

IPv4/6 Kann man das auch in einem Container laufen lassen? Unterscheidet sich ja nur durch den Eintrag RRTYPE=AAAA. Ich schaue mir das einmal näher an.

So werde ich nie fertig