Wildcard Zertifikat und DDNS wirklich notwendig für Docker für rein lokale Nutzung?

d0zer

Benutzer
Mitglied seit
31. Jan 2014
Beiträge
28
Punkte für Reaktionen
4
Punkte
3
Hallo liebe Community,

ich würde gerne einige Anwendungen in Docker installieren und diese rein lokal nutzen. Und zwar so, wie Mariushosting es beschreibt, beispiele wären:
- Kimai https://mariushosting.com/how-to-install-kimai-on-your-synology-nas/
- Openproject https://mariushosting.com/synology-install-openproject-with-portainer/

Nun stoße ich in immer mehr Tutorials von Mariushosting auf die Tatsache, dass er ein Wildcard Zertifikat, DDNS etc. spricht.
Die Tutorials zu diesen Themen habe ich mir angeschaut und es sieht so aus als müsste man dafür die Ports 80, 443, 5001 Richtung Internet öffnen.

Ist das tatsächlich so? Wie kriege ich rein lokale Docker Anwendungen zum laufen, welche HTTPS nutzen ohne, dass ich mich ins Internet veröffentliche wie in den Tutorials von Mariushosting beschrieben?

Lieben Dank euch schon mal, viele Grüße
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Wenn du sie nur lokal nutzt, hast du folgende Optionen:
-einfach http nutzen
-https ohne gültiges Zertifikat mittels IP-Adresse nutzen
->Hint: Ein Zertifikat erhält man normalerweise nur für einen FQDN (eine eigene Domain oder DDNS), nicht für eine IP
Weiterführende Gedankengänge / Optionen:
-einen Synology DDNS nutzen, diesen kannst du auf die interne IP zeigen lassen, dazu hast du dann auch ein Wildcard-Cert
->siehe dieser Thread
-einen eigenen DNS-Server betreiben und die DDNS / Domain - Adresse auf die interne IP auflösen lassen
 
  • Like
Reaktionen: d0zer

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
@d0zer: exakt so nutze ich es. Also, ein wildcard Zertifikat rein lokal, die DS hat keinen externen Zugang. Es läuft wirklich am geschmeidigsten, wenn du eins hast. Allein, um die nervigen Hinweise zu umgehen.

Alternative: mit acme.sh (automatische Zertifikatserneuerung) und Adguard Home (als interner DNS-Server) läuft das problemlos --> "reverse proxy".
 
  • Like
Reaktionen: d0zer

d0zer

Benutzer
Mitglied seit
31. Jan 2014
Beiträge
28
Punkte für Reaktionen
4
Punkte
3
Darf ich fragen wie du das Wildcard Zertifikat dir hast erstellen (lassen) ohne externen Zugang? Ich verstehe es bisher so, dass ich dafür zumindest für die Beschaffung des Zertifikats meine Synology ins Internet exposen muss.
 
Zuletzt bearbeitet von einem Moderator:

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Nein, wenn du eine synology.me Adresse in der Systemsteuerung erstellst (kostenlos) fragt er dich im Anschluss, ob du ein Zertifikat willst. Das kostet auch nix. Für die synology.me Adresse erhältst du automatisch ein Wildcard-Cert und musst dafür auch keine Ports öffnen
 
  • Like
Reaktionen: d0zer

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
@d0zer: Ich wollte die Synology-Adresse umgehen und habe bei netcup sogar nur eine DE-Domain registriert. Die reicht, um über acme.sh ein Zertifikat anzufordern und eine Erneuerung anzustoßen. Das ganze läuft auch ohne Port 80 und 443.

Die Themenkonstellation "docker/acme.sh/Adguard Home (DNS)/reverse proxy" findet sich hier in vielfältigen Threads wieder. Große Beteiligung hatte ein ehemaliges Mitglied "EDvonSchleck".
 
  • Like
Reaktionen: d0zer

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
synology.me Adresse in der Systemsteuerung erstellst
Idealerweise lässt du die Adresse dann (so wie im verlinkten Beitrag) auf deine interne IP zeigen. Alles, was dann noch raus und wieder reingeht, sind die DNS-Anfragen. Schöner ist es natürlich, wenn man einen eigenen DNS-Server betreibt. Ich nutze da wie @*kw* den AdGuard Home und dazu noch unbound. Dann hat man gleich noch einen Netzwerkweiten Werbe- und Tracking-Blocker.
 
  • Like
Reaktionen: d0zer und *kw*

d0zer

Benutzer
Mitglied seit
31. Jan 2014
Beiträge
28
Punkte für Reaktionen
4
Punkte
3
Liebe Community, Danke erstmal für eure zahlreichen Rückmeldungen.
Ich hoffe ihr könnt mein Konfigurationsproblem beheben, ich verzweifle so langsam.

Ich möchte wie gesagt, bloß aus dem LAN auf die Anwendungen per HTTPS und per Domain zugreifen, z.B. per "https://openproject.meinnas.synology.me im Browser"


Ich habe mir nun ein Wildcard Zertifikat erstellen und verknüpfen lassen mit meiner synology.me Adresse, siehe:

1690377948952.png


Meine Synology DDNS Einstellungen sehen folgendermaßen aus:
1690378460166.png



meine beiden gewünschten Docker Anwendungen OpenProject und Kimai habe ich im Reverse Proxy folgendermaßen eingetragen:
1690378087552.png


Beim versuch nun über https://openproject.meinnas.synology.me im Browser die Anwendung zu erreichen, erhalte ich folgende Fehlermeldung:
1690378148228.png



Wo könnt hier mein (Denk)-Fehler stecken?
 

Anhänge

  • 1690378012528.png
    1690378012528.png
    37,3 KB · Aufrufe: 8
  • 1690378224334.png
    1690378224334.png
    16,8 KB · Aufrufe: 6

d0zer

Benutzer
Mitglied seit
31. Jan 2014
Beiträge
28
Punkte für Reaktionen
4
Punkte
3
hab es gefixt. es lag am notwendigen dns rebind schutz den ich erst in der fritzbox einstellen musste
 
  • Like
Reaktionen: maxblank

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
  • Like
Reaktionen: maxblank und d0zer

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Hallo,

(bekannterweise) habe ich dieselbe Ausgangssituation und greife nur lokal über Wildcard-Zertifikat und reverse proxy auf Docker zu.

Problem: ich habe für den externen (Nofall)Zugriff in meiner FritzBox einen funktionierenden VPN-Tunnel (WireGuard) eingerichtet. Der https-Aufruf (bspw. bitwarden.meinedomain.de) wird nicht aufgelöst. Mit der IP+Port der Diskstation funktioniert es.

Jetzt stecke ich gerade gedanklich fest und weiß nicht, an welcher Schraube ich drehen muss, dass ich den https-Aufruf beibehalten kann? (falls das überhaupt so funktioniert?)

[edit]: über rebind in der FB klappt's schonmal nicht.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Du kannst die Konfig. des VPN-Tunnels am Endgerät bearbeiten (in der WireGuard App). Dort musst du deinen DNS-Server des Heimnetzes eintragen.
 
  • Like
Reaktionen: *kw*

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
  • Like
Reaktionen: plang.pl

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Die Fritte schreibt immer den Nameserver in die Config, den sie beim Erstellen konfiguriert hat. Wenn der sich später ändert, bekommt der Client das nicht mit. Also nehme ich an, dass du die Config erstellt hattest, bevor du einen lokalen DNS-Server eingetragen hattest?
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Genau. Erst dann kamen docker&co.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat