[Docker] [alle OS] Het grote Docker ervaringen en tips topic

- /volume1/pad/naar/muziek:rw

[ Voor 20% gewijzigd door gijpie op 07-05-2025 00:28 . Reden: android client toegevoegd ]

Ghoulli schreef op dinsdag 6 mei 2025 @ 22:54:
Navidrome is eigenlijk niks anders dan een programma wat de muziek voor je af kan spelen. Als je al muziek op jouw server hebt staan hoef jij alleen de map van jouw muziek te mappen. Dit kan, volgens mij, Navidrome niet uit zichelf. Hier heb je wat andere, extra dingen voor nodig.

Zo als volgt:
Lidarr - De backbone van de gehele operatie. In Lidarr kun je zoeken naar verschillende artiesten en albums en deze toevoegen aan jouw library. Om de files om te downloaden te vinden heeft Lidarr een Indexer nodig. Deze Indexer, in mijn geval voor Usenet maar kan ook een torrent indexer zijn, moet toegevoegd worden in Lidarr.

Indexer - De Indexer is niks anders dan een groot telefoonboek waarin alle mensen staan die voor jou het album of de artiest hosten naar het internet.

Nadat de Indexer aan Lidarr is toegevoegd moet je een download client hebben. Dit kan NZBGet zijn voor Usenet of qBittorrent voor Torrents. Torrents zijn makkelijker, daar hoef je verder niks voor in te stellen. Bij Usenet (NZBGet) werkt het als volgt: Je hebt een News-server nodig. Deze News-Server vist voor jou de bestanden van het Usenet en plaatst deze in jouw download client, waardoor jij ze vervolgens ook kunt downloaden. Een News-server wordt ook wel een Provider genoemd.

Nadat de bestanden gedownload zijn van de Provider worden deze geplaatst in een map zoals aangegeven in Lidarr. Deze map koppel je aan Navidrome (/pad/naar/muziek) en dan kun je via Navidrome naar je muziek luisteren.

gijpie schreef op woensdag 7 mei 2025 @ 00:18:
[...]


Heb je dit aangepast naar het daadwerkelijke pad naar je muziek? Buiten dat map je volgens mij naar niks in je docker container :rw geeft alleen aan read/write. Daar moet ook nog iets als een pad in de container staan.

Eigenlijk zou er iets als volgt moeten staan: /path/to/your/music/folder:/music:rw Waar alles voor de dubbele punt het pad naar je muziekfiles op de NAS moet zijn en alles na de dubbele punt het pad in de container.

Zoiets dus: - /volume1/docker/navidrome/mijn_muziek:/music:rw

Zet je muziek dan in de mijn_muziek map en bij de instellingen in Navidrome selecteer je als bestandslokatie /music

Voor Android kies je een subsonic client zoals bijvoorbeeld substreamer

[ Voor 12% gewijzigd door FLA NL op 08-05-2025 22:08 ]

Visualize your location history, track your movements, and analyze your travel patterns with complete privacy and control.

gijpie schreef op donderdag 8 mei 2025 @ 22:11:
Nog niet geprobeerd. Ben in de playstore alleen de officiele WG app tegen gekomen.

Ik los dit nu op met een cloudflare tunnel naar mijn server. Maar ik zal eens kijken wat er verder nog mogelijk is.

Dank je wel.

Arosa schreef op maandag 19 mei 2025 @ 22:48:
@Mars Warrior :

Kan je een hint geven wat ik verkeerd doe? Best al wat uurtjes gezocht op het internet, maar ik kom niet verder dan dit:
[Afbeelding] [Afbeelding] [Afbeelding] [Afbeelding]
De shared folder krijg ik niet zichtbaar in Immich.

Heb jij ook meerdere gebruikers?

1
2
3
4
5

# Read only location of existing archive
EXTERNAL_ARCHIVE=/mnt/pool/Afbeeldingen/Archief

# The location where your uploaded files are stored
UPLOAD_LOCATION=/mnt/pool/Afbeeldingen/Upload

1
2
3
4
5
6
7
8

  immich-server:
    container_name: immich_server
    image: ghcr.io/immich-app/immich-server:${IMMICH_VERSION:-release}
    cpuset: $CPUSET_E_CORES_ALL
    volumes:
      - ${UPLOAD_LOCATION}:/usr/src/app/upload
      - ${EXTERNAL_ARCHIVE}:/usr/src/app/archive
      - /etc/localtime:/etc/localtime:ro

• Duplicati
  Gemakkelijk in gebruik te nemen, nu nog een keer testen om zelf te ondervinden hoe betrouwbaar het is.
• Emby
  Net zo makkelijk en werkt prima om een bescheiden dvd-collectie voortaan digitaal te benaderen
• Immich
  Wat problemen gehad om de externe bibliotheek bereikbaar te krijgen, maar ondertussen ook bijna mijn complete collectie mobiele telefoonfoto's 'online'.
• Nginx
  Wat een hoop slechte en onvolledige instructies staan er op internet, dit heeft mij heel wat uurtjes en proberen gekost, maar uiteindelijk met de uitleg van MariusHosting het nu voor elkaar mijn Immich ook buiten de deur te bereiken.

Arosa schreef op zondag 25 mei 2025 @ 08:54:
Vanwege de wat beperkte software van Ugreen, was Docker de beste optie om toch alles te kunnen doen.

Ik heb ondertussen de volgende Containers draaien:

• Duplicati
  Gemakkelijk in gebruik te nemen, nu nog een keer testen om zelf te ondervinden hoe betrouwbaar het is.
• Emby
  Net zo makkelijk en werkt prima om een bescheiden dvd-collectie voortaan digitaal te benaderen
• Immich
  Wat problemen gehad om de externe bibliotheek bereikbaar te krijgen, maar ondertussen ook bijna mijn complete collectie mobiele telefoonfoto's 'online'.
• Nginx
  Wat een hoop slechte en onvolledige instructies staan er op internet, dit heeft mij heel wat uurtjes en proberen gekost, maar uiteindelijk met de uitleg van MariusHosting het nu voor elkaar mijn Immich ook buiten de deur te bereiken.

1
2
3

   labels:
      caddy: immich.mijndomein.nl
      caddy.reverse_proxy: "{{upstreams 2283}}"

Nu zoek ik nog een tool om eenvoudig verschillende mappen (zonder compressie of versleuteling) naar een usb-schijf te kopiëren (voor mijn eigen gemoedsrust, als extra backup). Iemand nog tips voor een app in Docker? Of kan dat niet?

Mars Warrior schreef op zondag 25 mei 2025 @ 10:05:
(Vanzelfsprekend moeten de poorten wel opengezet/geforward worden, maar dat is altijd nodig voor IPv4. Voor IPv6 dan weer niet: daar kun je gewoon een IPv6 adres icm poorten gebruiken die je firewall doorlaat)

RobertMe schreef op zondag 25 mei 2025 @ 10:28:
[...]
Hoe noem je dat? Als het blijkbaar niet "open zetten" is? Bij IPv6 is het juist alleen open zetten, bij IPv4 open zetten + een DNAT (destination NAT) regel aanmaken. Maar de meeste consumenten routers zal het gewoon 1 actie zijn. (Als die consumenten router dit al ondersteund bij IPv6. In ieder geval schijnen er nogal wat provider modem/routers te zijn waarbij de firewall gebrekkige IPv6 support heeft en een poort openen/toestaan niet mogelijk is. Terwijl IPv4 port forwards prima mogelijk zijn).

Mars Warrior schreef op zondag 25 mei 2025 @ 11:01:
Vanzelfsprekend heb ik vaste IPv6 adressen toegekend aan mijn servers. Ik heb zo'n groot subnet van de KPN dat ik miljoenen servers/devices op mijn adres kan hebben. Vraag me niet waarom KPN zo'n groot subnet (64 bits) uitdeelt, maar goed.

• Al mijn apparaten hebben een vast IPv4 adres. Dat is al jaaaaaaaaaaaaaaaaaaaaaaaaaaaaren zo.
• Verder krijgen ze van de router (ik vermoed via SLAAC / Router Announcements) een IPv6 adres .

• Sommige containers netjes het externe of lokale IP (altijd IPv4) vastleggen
• Anderen het IPv4 adres van de Docker Gateway van mijn Ingress Netwerk als "remote_ip" bepaalt.
• (meerdere).

• Als de externe DNS IPv4 only is, dan gaat het altijd goed!
• Als de externe DNS IPv4 én IPv6 adressen geeft, dan gaat het eigenlijk altijd fout: ik krijg het Docker Gateway adres als "remote_ip"

1. Überhaupt Docker van mijn firewall af laten blijven (ik gebruik nftable, de iptables opvolger, en Docker kan alleen overweg met iptables of firewalld).
2. Geen exposed ports gebruiken (want anders start die de proxies, en dat wil ik niet)
3. Alle containers krijgen een static IP, waardoor ik dus zelf in de firewall de regels kan aanmaken
4. Alle containers krijgen een IPv6 adres (ook statisch) dat routeerbaar is (in mijn LAN is dat een ULA adres, op mijn VPS is dat een GUA adres)
5. Voor containers die via IPv4 bereikbaar moeten zijn maak ik in de firewall met de hand een DNAT regel aan (bv dus poort 80 binnenkomend op het WAN IP herschrijven naar poort 80 van de Traefik container).
6. Voor containers die via IPv6 bereikbaar moeten zijn maak ik in de firewall een (accept) forward regel aan, direct met "als destination het IP van de Traefik container is en de poort is 80 (of 443) dan accept").

Mars Warrior schreef op donderdag 29 mei 2025 @ 20:05:
@RobertMe zijn dat soms de userland proxies? Daar wel eerder van gehoord, maar geen idee wat dat was/is.

Het gevolg voor remote_ip staat vziw nergens gedocumenteerd en wordt ook nergens uitgelegd.

Ik gebruik verder gewoon iptables. Dat werkt ootb. Ook fail2ban kan ik dan standaard gebruiken. Nftables vereist aanpassingen.

Ik hoop dat alles straks werkt als ik ipv6 heb aangezet.

[ Voor 10% gewijzigd door RobertMe op 29-05-2025 21:32 ]

@RobertMe:
En netwerken kun je niet bewerken. De enige optie is dus alle containers die in zo'n netwerk (in jouw geval het ingress netwerk?) zitten stoppen, verwijderen, het netwerk verwijderen, het netwerk opnieuw aanmaken met IPv6 en daarna weer de containers aanmaken & starten.

[ Voor 6% gewijzigd door Airw0lf op 29-05-2025 21:42 ]

[ Voor 117% gewijzigd door ed1703 op 30-05-2025 01:10 ]

Airw0lf schreef op donderdag 29 mei 2025 @ 21:37:
[...]


Dat klopt an sich wel - netwerken kun je niet bewerken.

Maar wat zou er gebeuren als je een nieuw (bridge) netwerk aanmaakt met IPv6 actief?
En vervolgens alle containers aan dit nieuwe netwerk knoopt?
Als alles goed werkt kan het oude non-IPv6 netwerk verwijderd worden?

Het zou nog steeds een hele klus zijn - maar minder ingrijpend dan alle containers verwijderen en opnieuw aanmaken.

Of heb ik hier nu een klok-en-klepel iets "geschreven"?

[ Voor 13% gewijzigd door RobertMe op 29-05-2025 21:56 ]

RobertMe schreef op donderdag 29 mei 2025 @ 22:48:
[...]

Ik kan mij niet indenken dat dat niet werkt inderdaad. Caddy zal gewoon het binnenkomende IPv6 adres zien en kan die dus ook prima in de logging / X-FORWARDED-FOR header / ... opnamen. En hoe Caddy met de backends babbelt is natuurlijk onafhankelijk van hoe de client met Caddy babbelt. Niet veel anders als de userland proxy van Docker Alleen doet Caddy (mogelijk/waarschijnlijk) HTTP verkeer proxyen, en doet die userland proxy van Docker TCP / UDP proxyen zonder enige verdere kennis van de hogere protocollen.

[ Voor 74% gewijzigd door Mars Warrior op 29-05-2025 23:15 ]

Mars Warrior schreef op donderdag 29 mei 2025 @ 23:01:
[...]

Ik heb de externe DNS weer omgezet. TTL staat op 10 minuten, maar dat is soms een flink kwartiertje...

Zou Caddy nu, omdat de containers in het ingress netwerk enkel IPv4 babbelen de IPv6 aanvraag domweg afwijzen, waardoor er - dankzij die oogballen - altijd een IPv4 verbinding wordt opgezet?

Mars Warrior schreef op donderdag 29 mei 2025 @ 23:23:
@RobertMe Zie mijn vorige, gewijzigde post!

Net ff de logfile voor Fail2Ban bekeken, en daar zie ik bij een foute inlog het IPv6 adres. Dus Fail2Ban gaat dan het juiste adres blokkeren. Dan zal het IPv4 adres vervolgens wel weer komen, maar goed. Dat krijg je met zowel IPv4 als IPv6: twee wegen die naar dezelfde server leiden.

[ Voor 25% gewijzigd door RobertMe op 29-05-2025 23:39 ]

RobertMe schreef op donderdag 29 mei 2025 @ 23:30:
Ik hoop voor je dat fail2ban uberhaupt de volledige /64 blokkeert. Anders hebben ze sowieso 2^64 (oftewel: 1.8e19) adressen beschikbaar Dat zou dan ook weer een leuke attack vector (/DoS) zijn om fail2ban / de firewall over de zeik te krijgen door een enorme (ip)set op te bouwen met dus miljarden individuele adressen er in.

alex3305 schreef op donderdag 5 juni 2025 @ 20:34:
Ik had eigenlijk verwacht dat een wijziging in de Docker Compose voldoende zou zijn om de netwerktoewijzing teniet te doen. Maar dat is dus wellicht onterecht. Het is ook niet het einde van de wereld, maar vond het vooral verwarrend.

alex3305 schreef op donderdag 5 juni 2025 @ 20:34:
[...] Het implementeren van een DNS reflector zoals @RobertMe in het Home Assistant topic beschreef staat naar zijn bericht inmiddels op mijn lijstje. [...]

Mars Warrior schreef op zondag 15 juni 2025 @ 13:33:
Het blokkeren van IPv6 is wel altijd een /128 adres. Dus geen subnet van /64, /56 of /48 aangezien ik ook niet weet hoe groot het subnet aan de andere kant is.
Vooralsnog geen "flood" aan verschillende IPv6 adressen die pogingen doen om binnen te komen, en daarmee een mega lijst van IP adressen geeft voor Fail2Ban om te blokkeren.

RobertMe schreef op zondag 15 juni 2025 @ 13:53:
[...]
Ergo: ik zou gewoon een /64 gebruiken. De kans dat je daarmee legitieme gebruikers onterecht blokkeert is zeer klein. En dat zal dan vast een gebruiker zijn die of het of zelf "opzoekt" (VPN gebruiken, altijd een risico dat anderen misbruik doen waardoor het IP geblokkeerd wordt) of meer eigenaardigheden zal hebben.

[ Voor 13% gewijzigd door Mars Warrior op 15-06-2025 18:11 ]

Dennis schreef op zaterdag 9 augustus 2025 @ 22:40:
Hopelijk kan iemand hier mij een klein beetje in de goede richting duwen, twijfelde wel tussen dit topic en het Traefik topic.

Ik ben vandaag begonnen met Docker. Eerst de hele boel opgezet bij Hetzner met de Ubuntu-Docker app. Ging allemaal prima. Daarna ook Portainer succesvol geïnstalleerd en dat is netjes toegankelijk. De volgende stap was Authentik. Dat is op zich ook gelukt, maar nu zit ik even met een gewetensvraag.

Mijn doel is uiteindelijk om (nog een keer) Matrix te installeren. En ik wil kijken of ik Vaultwarden aan de praat kan krijgen. Ik ga ervan uit dat dat lukt trouwens .

Maar aannemend dat ik deze services uiteindelijk veilig wil exposen met Traefik en dan dus in combinatie met Authentik, wat is een logische manier om het op te bouwen? Gebruik ik één grote Stack in Portainer en daarin alle componenten en dus één Traefik, of is het logischer om een en ander te groeperen qua logische services en dan dus ook meerdere Traefiks te draaien? Elke service moet uiteindelijk een eigen subdomain krijgen, dus vault.xxx.nl, chat.xxx.nl, etc.

Ik heb al wat filmpjes gekeken en blogs gelezen maar het is voor mij een beetje een overload aan informatie met als toppunt de video's van simple ( ) homelabs. Benieuwd naar jullie best practices.

Dennis schreef op zondag 10 augustus 2025 @ 09:38:
Dank @RobertMe, dat meerdere instances overbodig is vermoedde ik al een beetje.

Authentik ga ik zelfstandig inzetten, inderdaad met OIDC. Zag alleen dat Vaultwarden dat niet ondersteunt dus daar moet ik nog even over nadenken.

Ik vind de leercurve van Traefik heel hoog en ik heb het nog niet eens draaien. Ik begrijp dat je een deel van de configuratie al in de docker compose meegeeft. Ondertussen begrijp ik nog niet hoe een en ander in Docker werkt m.b.t. users en hoe je directorystructuren op de host netjes gebruikt. De combinatie met Portainer word ik ook niet gelukkig van, want in de compose voorbeelden van Traefik wordt er naar externe files verwezen, maar in Portainer kun je dat niet goed uitvoeren (daar moet je alles in één file plakken). Snap daar eerlijk gezegd niets van.

En ik begrijp nog niet waarom er zoveel losse containers zijn te downloaden en te draaien via Portainer (die via de Docker Hub beschikbaar zijn) terwijl je dat moeilijk in een stack kunt krijgen en daar nou juist de meerwaarde lijkt te zitten van Portainer. Dan valt de hele use case voor Portainer toch zo'n beetje weg?

Waarom ben ik hier eigenlijk ook alweer aan begonnen?

Mars Warrior schreef op zondag 10 augustus 2025 @ 10:08:
[...]

Traefik zou altijd mijn allerlaatste keuze zijn. Waarom geen Caddy met de docker plug-in? Simpeler wordt het niet met twee regels labels om een site over HTTPS te ontsluiten.

RobertMe schreef op zondag 10 augustus 2025 @ 10:36:
[...]
Als Traefik is opgezet kan die het ook met twee regels Twee labels om traefik te "enablen" voor de service en voor de domeinnaam er op te zetten (middels een host rule). Maar die laatste is dan weer niet perse het meest intuïtief traefik.http.routers.<naampje>.rule=Host(`...`) als ik mij niet vergis.[/]

Mars Warrior schreef op zondag 10 augustus 2025 @ 11:07:
[...]

Zeker als je die andere 100 regels abracadabra vergeet

Ik heb met 50 containers in één docker compose file minder labels nodig dan Traefik voor één service

Maar goed. Ik weet niet of ChatGPT tegenwoordig al die abracadabra automatisch kan genereren…

Dennis schreef op zondag 10 augustus 2025 @ 12:20:
Dank iedereen voor jullie overpeinzingen!

@Mars Warrior goeie vraag en dat vraag ik me nu ook af. Al zou Caddy niet mijn eerste keuze zijn, maar eerder nginx omdat ik dat relatief goed ken. En ik heb het gevoel (maar het is niet meer dan dat) dat Caddy iets te gesimplificeerd is. Ik wil ook bijvoorbeeld client certificate authentication uitvoeren en het lijkt wel of dat kan maar het ziet er geforceerd uit.

Ik weet ook nog niet of ik Authentik wil houden of toch liever Authelia wil gebruiken, bijvoorbeeld in combinatie met lldap. Dat zou ook een mooie stack zijn.

Ik ga eens kijken hoever ChatGPT kan komen met helpen, dat was een goede tip ook!

alex3305 schreef op zondag 10 augustus 2025 @ 14:48:
Ga alsjeblieft voor authenticatie en autorisatie niet zomaar uit van antwoorden van een taalmodel. Authentik - en anderen - zijn echt geen projectjes die zonder voorkennis binnen een middagje (veilig) in elkaar klust. Daarmee wil ik niet zeggen dat het niet kan, maar het is niet voor niets een apart kennisgebied. Ik heb (professionele) ervaring met legio authenticatie oplossingen en Authentik staat om eerlijk te zijn ook niet bijster hoog op mijn lijstje.

Yarisken schreef op zondag 10 augustus 2025 @ 17:41:
Ik gebruik Caddy enkel om een lokale statische website te hosten en dus nog niet als reverse proxy. Blij dat ook authenticatie mee kan opgevangen worden.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

services:
  adguard-home:
    container_name: adguard-home
    image: adguard/adguardhome:v0.107.64
    ...
    labels:
      ...
      caddy_3.layer4.udp/:53.route.proxy: "udp/{{upstreams 53}}"
      caddy_4.layer4.tcp/:53.@dns-over-tls.tls: "sni dns.example.com"
      caddy_4.layer4.tcp/:53.route: "@dns-over-tls"
      caddy_4.layer4.tcp/:53.route.1_tls: ""
      caddy_4.layer4.tcp/:53.route.2_proxy: "{{upstreams 53}}"
      caddy_5.layer4.:853.@dns-over-tls.tls: "sni dns.example.com"
      caddy_5.layer4.:853.route: "@dns-over-tls"
      caddy_5.layer4.:853.route.1_tls: ""
      caddy_5.layer4.:853.route.2_proxy: "{{upstreams 53}}"

1
2
3
4
5
6
7
8
9
10
11
12
13
14

services:
  forgejo:
    container_name: forgejo
    image: codeberg.org/forgejo/forgejo:12.0.1
    ...
    labels:
      caddy: "git.example.com"
      caddy.@forgejo.host: "git.example.com"
      caddy.handle: "@forgejo"
      caddy.handle.reverse_proxy: "{{upstreams 3000}}"
      caddy.layer4.:22.@forgejo-ssh.ssh: ""
      caddy.layer4.:22.@forgejo-ssh.remote_ip: "192.168.0.0/16"
      caddy.layer4.:22.route: "@forgejo-ssh"
      caddy.layer4.:22.route.proxy: "{{upstreams 22}}"

alex3305 schreef op maandag 11 augustus 2025 @ 11:27:

YAML:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

services: adguard-home: container_name: adguard-home image: adguard/adguardhome:v0.107.64 ... labels: ... caddy_3.layer4.udp/:53.route.proxy: "udp/{{upstreams 53}}" caddy_4.layer4.tcp/:53.@dns-over-tls.tls: "sni dns.example.com" caddy_4.layer4.tcp/:53.route: "@dns-over-tls" caddy_4.layer4.tcp/:53.route.1_tls: "" caddy_4.layer4.tcp/:53.route.2_proxy: "{{upstreams 53}}" caddy_5.layer4.:853.@dns-over-tls.tls: "sni dns.example.com" caddy_5.layer4.:853.route: "@dns-over-tls" caddy_5.layer4.:853.route.1_tls: "" caddy_5.layer4.:853.route.2_proxy: "{{upstreams 53}}"

Of Forgejo:

YAML:

1 2 3 4 5 6 7 8 9 10 11 12 13 14

services: forgejo: container_name: forgejo image: codeberg.org/forgejo/forgejo:12.0.1 ... labels: caddy: "git.example.com" caddy.@forgejo.host: "git.example.com" caddy.handle: "@forgejo" caddy.handle.reverse_proxy: "{{upstreams 3000}}" caddy.layer4.:22.@forgejo-ssh.ssh: "" caddy.layer4.:22.@forgejo-ssh.remote_ip: "192.168.0.0/16" caddy.layer4.:22.route: "@forgejo-ssh" caddy.layer4.:22.route.proxy: "{{upstreams 22}}"

Sorry @Mars Warrior, had to do it

alex3305 schreef op maandag 11 augustus 2025 @ 13:28:
@Ghoulli Wat ik eigenlijk had onderschat en uiteindelijk wel een super mooie quick win vond, was dat ik mijn SSH sleutel en groepenbeheer ook in de LDAP kan doen. Dit wordt dan - na sync - automatisch gebruikt in Forgejo en voor PAM-authenticatie. Het fijne is dat ik daar dan ook nauwelijks omkijken naar heb en was verrassend eenvoudig.

alex3305 schreef op zondag 10 augustus 2025 @ 14:59:
Ook heb ik geprobeerd om Caddy HA uit te voeren [...]

Ghoulli schreef op maandag 11 augustus 2025 @ 11:36:
@alex3305 Hier heb je een mooie setup aan, ik had geen idee dat Caddy zo uitgebreid was (heb er ook niet zo in verdiept moet ik bekennen). Ik heb momenteel Caddy in gebruik om SSL certificaten uit te delen voor websites die ik via de browser ook buitenshuis wil bereiken (reverse proxy). De LLDAP integratie vind ik wel een interessante, vooral omdat ik het toch al heb draaien.

Dennis schreef op maandag 11 augustus 2025 @ 19:41:
[...]

Wat doe je dan precies? Wie maakt die certificaten/hoe doe je dat? Ik gebruik zelf ejbca maar dat is geheel handmatig. Ik heb ook WPA2 enterprise wifi (moet nog overstappen naar WPA3) met certificaten voor mijn beveiligde netwerk.

[ Voor 3% gewijzigd door Ghoulli op 12-08-2025 08:54 ]

Ghoulli schreef op dinsdag 12 augustus 2025 @ 08:42:
Ik heb in Caddy aangegeven via mijn Caddyfile welk (sub)domain name er aan welke port gekoppeld is. Ik heb een eigen domain name gekocht bij Cloudflare. Zie deze video voor een uitleg zoals ik het ook heb gedaan.

Dennis schreef op dinsdag 12 augustus 2025 @ 09:47:
[...]

Het ging me meer om hoe je de certificaten aanmaakt. Of je dat via ACME/Let's Encrypt doet of anderszins .

[ Voor 37% gewijzigd door Ghoulli op 12-08-2025 10:17 ]

Mars Warrior schreef op dinsdag 7 oktober 2025 @ 17:50:
maar Prometheus is voor mij altijd een no-go vanweg het absurde CPU en Disk gebruik. Voorheen kreeg Prometheus het voor elkaar om één enkele E-core 100% te belasten.

alex3305 schreef op dinsdag 7 oktober 2025 @ 19:39:
[...]
Vergeet ook niet dat het ook om een hobby gaat. En dan mag er best wat tijd en moeite in zitten . Mocht je er mee willen spelen kan ik Pocket ID ten zeerste aanraden.

Mars Warrior schreef op dinsdag 7 oktober 2025 @ 18:19:
Thanx voor de "heads up".
Ik draai - zoals vaker - nog heel wat oude versies in mijn setup. Ik update niet zo vaak.
Als de L4 plugin nu kapot is, dan ga ik daar ook veel last van krijgen. Dat is niet de bedoeling. Nu kun je met Docker gewoon weer de oude container starten, maar ik zit niet te wachten op dit soort gezeik na een update.

1
2
3
4
5
6
7
8
9
10
11

 > [builder 2/2] RUN GOTOOLCHAIN=go1.24.1 xcaddy build     --with github.com/caddy-dns/cloudflare     --with github.com/greenpau/caddy-security     --with github.com/hslatman/caddy-crowdsec-bouncer/http     --with github.com/hslatman/caddy-crowdsec-bouncer/layer4     --with github.com/hslatman/caddy-crowdsec-bouncer/appsec     --with github.com/lucaslorentz/caddy-docker-proxy/v2     --with github.com/mholt/caddy-l4     --with github.com/mholt/caddy-dynamicdns     --with github.com/WeidiDeng/caddy-cloudflare-ip:
124.4 go: added github.com/joho/godotenv v1.5.1
124.4 go: added github.com/lucaslorentz/caddy-docker-proxy/v2 v2.10.0
124.4 2025/08/19 10:48:01 [INFO] exec (timeout=0s): /usr/local/go/bin/go get -v github.com/mholt/caddy-l4 github.com/caddyserver/caddy/v2@v2.10.0 
124.5 go: downloading github.com/mholt/caddy-l4 v0.0.0-20250814163833-b0a5a508a938
124.8 go: accepting indirect upgrade from github.com/cloudflare/circl@v1.6.0 to v1.6.1
124.8 go: accepting indirect upgrade from github.com/quic-go/quic-go@v0.50.1 to v0.54.0
124.8 go: github.com/mholt/caddy-l4@v0.0.0-20250814163833-b0a5a508a938 requires
124.8   github.com/caddyserver/caddy/v2@v2.10.1-0.20250720214045-8ba7eefd0767, but v2.10.0 is requested
124.8 go: github.com/mholt/caddy-l4@upgrade (v0.0.0-20250814163833-b0a5a508a938) requires github.com/caddyserver/caddy/v2@v2.10.1-0.20250720214045-8ba7eefd0767, not github.com/caddyserver/caddy/v2@v2.10.0
124.8 2025/08/19 10:48:01 [FATAL] exit status 1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

services:
  traefik:
    container_name: traefik
    image: traefik:v3.5.3
    restart: on-failure:10
    networks:
      ingress:
      ipvlan:
        ipv4_address: 192.168.1.4
        ipv6_address: aaaa:aaaa:aaaa:1:b00b::135
      monitoring:
    volumes:
      - /etc/localtime:/etc/localtime:ro
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - /opt/appdata/traefik/traefik.yaml:/traefik.yaml:ro
      - /opt/appdata/traefik/config:/configs:ro
      - /opt/appdata/traefik/certs/acme.json:/acme.json:rw
      - logs:/logs:rw
    security_opt:
      - no-new-privileges=true
    cpus: 1

networks:
  ingress:
    name: swarm-overlay
    external: true

  ipvlan:
    name: br0
    external: true

  monitoring:
    name: monitoring
    external: true

volumes:
  logs:
    name: traefik-logs

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76

api:
  dashboard: True
  insecure: True

entryPoints:
  web:
    address: ":80"

    http:
      redirections:
        entryPoint:
          to: websecure
          scheme: https
          permanent: true

  websecure:
    address: ":443"
    asDefault: true
    http:
      tls:
        certResolver: letsEncrypt
        domains:
          - main: "example.com"
            sans:
              - "*.example.com"

      middlewares:
        - traefik-real-ip@file
        - security-headers@file
        - rate-limit@file

    http3:
      advertisedPort: 443

    forwardedHeaders:
      trustedIPs:
        - 127.0.0.1/32
        - 192.168.0.0/16
        - 172.16.0.0/12
        - 10.0.0.0/8
        # Cloudflare IPs kunnen hier

  dns-over-tls:
      address: :853/tcp
  mqtt-over-tls:
      address: :8883/tcp
  smtp-over-tls:
      address: :465/tcp
  ssh:
      address: :22/tcp

providers:
  providersThrottleDuration: 15s

  file:
    directory: "/configs"

  docker:
    watch: true
    exposedByDefault: false
    network: "swarm-overlay"

certificatesResolvers:
  letsEncrypt:
    acme:
      email: alex3305@tweakers.net
      storage: /acme.json
      dnsChallenge:
        # Provider credentials should be stored in environment variables.
        provider: cloudflare
        resolvers:
          - "1.1.1.1:53"
          - "1.0.0.1:53"

metrics:
  prometheus: {}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

http:
  middlewares:
    traefik-real-ip:
      plugin:
        traefik-real-ip: {}

    local-ips-allowed:
      ipAllowList:
        sourceRange:
          - 192.168.0.0/16
          - 172.16.0.0/12
          - 10.0.0.0/8

    security-headers:
      headers:
        customResponseHeaders:
          browserXssFilter: true
          contentTypeNosniff: true
          frameDeny: true

    rate-limit:
      rateLimit:
        average: 100
        period: 1
        burst: 100

Ik heb eerder / vaker met Treafik gespeeld en gewerkt, maar vind dat nog steeds een enorm waterhoofd.

De reden dat ik aan het experimentern was/ben met Traefik voor thuis is dat ik geen Cloudflare heb (veel docker services hangen aan verschillende subdomeinen en toplevel domeinen, die vanzelfsprekend extern worden beheerd). Nu gebruik ik wel wat WAFjes, maar ik wil eigenlijk het gros van het botverkeer met Anubis en Crowdsec eruit filteren, eigenlijk dus volgens jouw plaatje.

Caddy heeft icm Anubis meerdere lagen/instanties nodig, terwijl Traefik dat netjes met middlewares kan afhandelen.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49

services:
  forgejo:
    container_name: forgejo
    image: codeberg.org/forgejo/forgejo:12.0.4
    networks:
      internal:
      ingress:
      forgejo:
    labels:
      traefik.enable: true
      traefik.http.routers.forgejo.rule: "Host(`example.com`)"
      traefik.http.routers.forgejo.middlewares: "forgejo-anubis@docker"
      traefik.http.services.forgejo.loadbalancer.server.port: "80"
      traefik.tcp.routers.forgejo-ssh.entrypoints: "ssh"
      traefik.tcp.routers.forgejo-ssh.rule: "HostSNI(`*`)"
      traefik.tcp.services.forgejo-ssh.loadbalancer.server.port: "22"

  anubis:
    container_name: forgejo-anubis
    image: ghcr.io/techarohq/anubis:v1.22.0
    networks:
      internal:
      ingress:
    environment:
      BIND: ":8080"
      TARGET: " "
      COOKIE_DOMAIN: "example.com"
      SERVE_ROBOTS_TXT: "true"
      REDIRECT_DOMAINS: "example.com"
      PUBLIC_URL: "https://anubis.example.com"
    labels:
      traefik.enable: true
      traefik.http.routers.forgejo-anubis.rule: "Host(`anubis.example.com`)"
      traefik.http.services.forgejo-anubis.loadbalancer.server.port: "8080"
      traefik.http.middlewares.forgejo-anubis.forwardauth.address: "http://anubis:8080/.within.website/x/cmd/anubis/api/check"

networks:
  internal:
    name: forgejo-internal
    attachable: false

  forgejo:
    name: forgejo
    attachable: true
    driver: overlay

  ingress:
    name: swarm-overlay
    external: true

Crowdsec heb ik nog niet naar gekeken, maar zou ik dan ook willen toepassen.

Heb jij enig idee hoeveel verkeer jij met Anubis en Crowdsec blokkeert, ondanks dat je ook al Cloudflare gebruikt? Ik lees sterk varierende cijfers als je geen Cloudflare gebruikt: daar claimen mensen dat ze 70-90% van het verkeer kwijt zijn op hun backend services. Als ik zie wat Wordfence op Wordpress al blokkeert, dan wil ik dat best geloven.

alex3305 schreef op dinsdag 7 oktober 2025 @ 19:39:
[...]

• diensten zonder authenticatie beveiligen

Vooral die laatste use case vind ik enorm aantrekkelijk. Ik heb bijvoorbeeld mijn eigen gehoste shields instantie beveiligd door Forgejo als OAuth2 Server in te zetten. Deze dienst kan ik dus veilig ontsluiten naar het internet zonder dat er zonder toestemming gebruik van wordt gemaakt.

[ Voor 4% gewijzigd door orvintax op 07-10-2025 23:22 . Reden: Typo + link ]

orvintax schreef op dinsdag 7 oktober 2025 @ 23:20:
Misschien interpreteer ik dit nu te simpel, maar hier gebruik ik gewoon HTTP basic authentication met Caddy voor.

Maar goed, mijn belangrijkste design punt voor mijn homelab is KISS

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44

services:
  caddy:
    container_name: caddy
    image: alex3305/caddy:v2.10.0
    networks:
      ingress:
      ipvlan:
        ipv4_address: 192.168.1.10
    cap_add:
      - NET_ADMIN
    environment:
      CADDY_INGRESS_NETWORKS: swarm-overlay
    volumes:
      - /opt/appdata/caddy:/config
      - caddy-data:/data
      - /var/run/docker.sock:/var/run/docker.sock:ro
    command: ["docker-proxy", "--caddyfile-path", "/config/Caddyfile"]

  pocket_id:
    container_name: pocket-id
    image: ghcr.io/pocket-id/pocket-id:v1.13.1
    restart: on-failure:10
    networks:
      ingress:
    volumes:
      - pocket-id-data:/app/data
    labels:
      caddy: "*.example.com"
      caddy.@pocket-id.host: "id.example.com"
      caddy.handle: "@pocket-id"
      caddy.handle.reverse_proxy: "{{ '{{' }}upstreams 1411{{ '}}' }}"

networks:
  ingress:
    name: swarm-overlay
    external: true

  ipvlan:
    name: br0
    external: true

volumes:
  caddy-data:
  pocket-id-data:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84

{
    order authenticate before respond
    order authorize before basicauth
    order authorize before reverse_proxy

    security {
        oauth identity provider pocket-id {
            realm pocket-id
            driver generic

            client_id CLIENT_ID_POCKET_ID
            client_secret CLIENT_SECRET_POCKET_ID
            scopes openid email profile groups
            extract all from userinfo

            base_auth_url https://id.example.com
            metadata_url https://id.example.com/.well-known/openid-configuration

            delay_start 3
        }

        authentication portal default-auth-portal {
            enable identity provider pocket-id

            crypto default token lifetime 86400
            crypto key sign-verify 703576704369326f4f6e11b1eeaf189a07f5590dd7fc983d1473efb6dbca4f49

            cookie domain example.com
            cookie insecure off

            cookie lifetime 172800

            ui {
                meta title "example.com Authentication Portal"
                meta author "example.com"
                meta description "Authentication portal for accessing homelab services"

                links {
                    "Apps" https://example.com/lovelace/apps icon "las la-sitemap"
                    "View Me" "/whoami" icon "las la-user"
                }
            }

            transform user {
                match role user
                action add role authp/user
            }

            transform user {
                match role admin
                action add role authp/admin

                ui link "User Management" https://users.example.com icon "las la-users"
                ui link "Whoami" https://whoami.example.com icon "las la-question-circle"
            }
        }

        authorization policy user_access {
            set auth url https://auth.example.com/oauth2/pocket-id/authorization-code-callback
            crypto key sign-verify 703576704369326f4f6e11b1eeaf189a07f5590dd7fc983d1473efb6dbca4f49

            allow roles user

            inject headers with claims
            inject header "X-Username" from "userinfo|preferred_username"
            inject header "X-Token-User-Picture" from picture

            validate bearer header
        }

        authorization policy admin_access {
            set auth url https://auth.example.com/oauth2/pocket-id/authorization-code-callback
            crypto key sign-verify 703576704369326f4f6e11b1eeaf189a07f5590dd7fc983d1473efb6dbca4f49

            allow roles admin

            inject headers with claims
            inject header "X-Username" from "userinfo|preferred_username"
            inject header "X-Token-User-Picture" from picture

            validate bearer header
        }
    }
}

1
2
3
4
5
6
7
8

services:
  my-service:
    labels:
      caddy: "*.example.com"
      caddy.@service.host: "service.example.com"
      caddy.handle: "@service"
      caddy.handle.authorize: "with user_access"
      caddy.handle.reverse_proxy: "{{ '{{' }}upstreams 80{{ '}}' }}"