nginxproxymanager vs proxy von der Synology

[daschmidt94]

hier ist meine

Spoiler: docker-compose

version: "2.1"
services:
  crowdsec:
    image: crowdsecurity/crowdsec:latest
    container_name: crowdsec
    environment:
      - GID=0
      - COLLECTIONS=crowdsecurity/nginx crowdsecurity/http-cve crowdsecurity/whitelist-good-actors
      - CUSTOM_HOSTNAME=debian
    volumes:
      - /home/docker/swag/crowdsec/config:/etc/crowdsec:rw
      - /home/docker/swag/crowdsec/data:/var/lib/crowdsec/data:rw
      - /home/docker/swag/config/log/nginx:/var/log/swag:ro
      - /home/docker/swag/config/log/syslog:/var/log/syslog:ro
      - /var/log:/var/log/host:ro
    restart: unless-stopped
    logging:
      driver: syslog
      options:
        syslog-address: "udp://192.168.178.199:514"
        tag: 'crowdsec'

  swag:
    image: linuxserver/swag:latest
    container_name: swag
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
    environment:
      - PUID=0
      - PGID=0
      - TZ=Europe/Berlin
      - DOCKER_MODS=linuxserver/mods:swag-dashboard|linuxserver/mods:swag-auto-reload|linuxserver/mods:swag-maxmind|linuxserver/mods:swag-crowdsec
      - CROWDSEC_API_KEY=xxxxxx
      - CROWDSEC_LAPI_URL=http://crowdsec:8080
      - MAXMINDDB_LICENSE_KEY=xxx
      - URL=xxx.at
      - SUBDOMAINS=wildcard
      - VALIDATION=dns #WIE DAS LE ZERTIFIKAT GEHOLT WERDEN SOLL
      - DNSPLUGIN=cloudflare #DOMAIN ANBIETER
      - PROPAGATION=30
      - EMAIL=xxxxxx@xxxx.at
    volumes:
      - /home/docker/swag/config:/config
    ports:
      - 443:443
      - 80:80
      - 81:81
    dns:
      - 192.168.178.222
    logging:
      driver: syslog
      options:
        syslog-address: "udp://192.168.178.199:514"
        tag: 'swag'

  tailon:
    ports:
      - '5002:80'
    container_name: tailon
    volumes:
      - /home/docker/swag/config/log/syslog:/log/syslog
      - /home/docker/swag/config/log/nginx/access.log:/log/nginx/access.log
      - /home/docker/swag/config/log/nginx/unauthorized.log:/log/nginx/unauthorized.log
      - /home/docker/swag/config/log/nginx/error.log:/log/nginx/error.log
    image: ghcr.io/kmlucy/docker-tailon
    restart: unless-stopped

  #WENN DAS NICHT VERWENDET WIRD, DANN MUSS DER TEIL MIT "loggin:" entfernt werden
  syslog-ng:
    image: lscr.io/linuxserver/syslog-ng:latest
    container_name: syslog-ng
    environment:
      - PUID=0
      - PGID=0
      - TZ=Europe/Berlin
    volumes:
      - /home/docker/docker/swag/syslog:/config
      - /home/docker/docker/swag/config/log/syslog:/var/log #optional
    ports:
      - 514:5514/udp
      - 601:6601/tcp
      - 6514:6514/tcp
    restart: unless-stopped

  cloudcmd:
    user: "0:0"
    container_name: cloudcmd
    ports:
      - 9080:8000
    volumes:
      - /home/docker/swag/cloudcmd:/root
      - /home/docker/swag/config:/mnt/swag
    image: coderaiser/cloudcmd
    restart: unless-stopped
    logging:
      driver: syslog
      options:
        syslog-address: "udp://192.168.178.199:514"
        tag: 'cloudcmd'

 

[alexhell]

Starten beide Container richtig? Also mal in die Logs von beiden geguckt? So auf anhieb sehe ich nichts.... Mich wundert aber wieso du es als root ausführst. Bin mir nicht zu 100% sicher, aber glaube da könnte ein Container meckern.

 

[Ulfhednir]

Danke! Jetzt muss ich mich nicht mehr selbst bei Crowdsec registrieren, da ich jetzt einen API-Key habe.
Unabhängig davon würde ich SWAG erstmal in der Minimalkonfiguration installieren und auch maxmind erstmal weglassen.
Wenn du verstanden hast, wie die Proxyfiles konfiguriert werden müssen, dann solltest du dich weitertasten.
Alles andere macht rein didaktisch überhaupt keinen Sinn.

 

[alexhell]

Da stimme ich @Ulfhednir zu. Ich würde alles entfernen was nicht notwendig ist. Also Logging, maxmind, Crowdsec und alle anderen Container bis auf SWAG. Wenn SWAG richtig funktioniert, sprich du kannst deinen Dienst aufrufen, dann würde ich nach und nach mehr einbauen. Und ja entfern lieber alle API Keys und auch deine Email.

 

[daschmidt94]

Danke! Jetzt muss ich mich nicht mehr selbst bei Crowdsec registrieren, da ich jetzt einen API-Key habe.

läuft sowieso nicht und wenn es mal läuft generier ich neue

 

[Ulfhednir]

Dann warte ich halt, bis du das nächste mal den API-Key hier im Forum postest.
P.S.: Ich wollte dich nur darauf aufmerksam machen, dass Konfigurationsdaten immer mit Obacht behandelt werden sollten.
Crowdsec tangiert mich derzeit nicht, da ich eine "echte" Firewall mit vergleichbarer Funktion vorgeschaltet habe. Du solltest den Key aber trotzdem ändern. Der Feind liest bekanntermaßen mit.

 

[daschmidt94]

ab und zu geschehen doch wunder

in der vaultwardenconfig hab ich nach der ip ein ; vergessen -.-

 

[alexhell]

Sowas wird einem im swag Log mitgeteilt

 

[daschmidt94]

Sowas wird einem im swag Log mitgeteilt

richtig, hab jetzt portainer installiert, da kann man das besser sehen -.-

 

[alexhell]

Funktioniert jetzt das Routing richtig? Dann würde ich mal die vaultwarden config nochmal neu kopieren und es richtig ausfüllen und dann testen, ob alles funktioniert. Gerade mit den Syncs..... Und danach langsam weiter aufbauen wenn du noch Lust hast.

 

[daschmidt94]

ja Funktioniert jetzt alles von deinem Stack bis auf

 [error] 649#649: *1 [lua] crowdsec.lua:459: Allow(): [Crowdsec] bouncer error: Http error 403 while talking to LAPI (http://crowdsec:8080/v1/decisions?ip=192.168.178.79), client: 192.168.178.79, server: _, request: "GET / HTTP/1.1", host: "192.168.178.220:81"

 

[alexhell]

Dann funktioniert Crowdsec noch nicht richtig.... Ist da mehr zu finden in dne Logs von Crowdsec? zur not neustarten und logs prüfen.

 

[daschmidt94]

leider müllt der den ganzen log im Portainer voll

 

[alexhell]

Ja, aber gibt es da Auffälligkeiten?

 

[daschmidt94]

nicht wirklich diese Fehler sind mir aufgefallen:

time="25-08-2023 09:04:58" level=error msg="while fetching bouncer info: select bouncer: ent: bouncer not found: unable to query" ip=172.19.0.5
time="25-08-2023 09:16:10" level=error msg="while fetching bouncer info: select bouncer: ent: bouncer not found: unable to query" ip=172.19.0.5
time="25-08-2023 09:24:28" level=error msg="while fetching bouncer info: select bouncer: ent: bouncer not found: unable to query" ip=172.19.0.5

und in der Weboberfläche folgendes:

 

[alexhell]

So sieht es im Dasboard bei mir auch aus. Das ist ok....
Öffne mal zwei Tabs. Einmal die Logs und in dem anderen Tab Crowdsec neustarten. Und poste dann mal den Auszug.

 

[daschmidt94]

Das ist alles was zu sehen ist

 

[alexhell]

Da kommt can't load CAPI credentials from '/etc/crowdsec//online_api_credentials.yaml. Hast du auf online einen Account erstellt?

 

[daschmidt94]

Hab mich registriert und einen Api Key bekommen. Reicht das nicht?

Edit: die Datei ist bei mir auch leer

 

[alexhell]

MAn muss online keinen Account machen. Das war nur die Frage, ob du es hast. Ich würde den kompletten Crowdsec Ordner löschen. Den API Key bei SWAG entfernen und neu starten. Crowdsec starten und bouncer registrieren, damit du einen API Key bekommst und dann den einfügen und gucken ob es funktioniert. Irgendwas ist bei dir durcheinander.