[Traefik - Proxy/Loadbalancer] Ervaringen & Discussie

1

Cannot start the provider *file.Provider: /rules/middlewares.yaml: field not found, node: authResponseHeaders"

File Provider
The file parser has been changed, since v2.3 the unknown options/fields in a dynamic configuration file are treated as errors.

[ Voor 31% gewijzigd door lxz op 11-12-2020 15:21 ]

level=error msg="The ACME resolver \"letsencrypt\" is skipped from the resolvers list because: unable to get ACME account: permissions 755 for acme.json are too open, please use 600"

[ Voor 36% gewijzigd door JBS op 17-12-2020 18:11 ]

• Waar ik vooral tegenaan gelopen ben, is dat de werkwijze rondom het werken met losse rule files in 2.2 anders werkt dan in 2.3. Mijn opzet met rule files werkte in 2.3 niet, in 2.2 direct.
  Toevallig mensen van 2.2 of lager naar 2.3 geüpgraded die hier ook tegenaan gelopen zijn?
• De labels voor Docker Compose heb ik gemaakt op basis van de labels onder 'Container Configuration' in deze tutorial https://blog.jswart.xyz/posts/traefik-routing/
  Wat me opvalt is dat het werkt met en zonder het laatste label, dat vind ik wat verwarrend. Is dat logisch?

  - traefik.http.services.servicename.loadbalancer.server.port=serviceport

• Iemand hier Traefik 2.x goed kunnen inregelen voor de Docker container linuxserver/unifi-controller? Zowel met Docker Compose labels als met een file rule wil het niet werken en krijg ik een Internal Server Error terug. Benaderen op INTERN_IPADRES:PORT werkt uiteraard wel gewoon.

[ Voor 43% gewijzigd door JBS op 18-12-2020 15:53 ]

JBS schreef op vrijdag 18 december 2020 @ 15:26:
Drie punten:

• De labels voor Docker Compose heb ik gemaakt op basis van de labels onder 'Container Configuration' in deze tutorial https://blog.jswart.xyz/posts/traefik-routing/
Wat me opvalt is dat het werkt met en zonder het laatste label, dat vind ik wat verwarrend. Is dat logisch?
[...]

• Iemand hier Traefik 2.x goed kunnen inregelen voor de Docker container linuxserver/unifi-controller? Zowel met Docker Compose labels als met een file rule wil het niet werken en krijg ik een Internal Server Error terug. Benaderen op INTERN_IPADRES:PORT werkt uiteraard wel gewoon.

mithras schreef op zaterdag 19 december 2020 @ 13:04:
[...]
Staat ook in de documentatie, maar de service wordt automatisch aangemaakt als je die niet defineert (of koppelt aan een routere). Als een docker container één poort exposed, pakt Traefik die poort. Als je een container hebt met meerdere poorten, moet je sowieso de loadbalancer service gebruiken omdat Traefik niet kan gokken hoe het verkeer moet lopen.

[...]
Laat je definitie eens zien?
Duidelijk. Voor de UniFi container is die regel dus wel nodig, maar ook mét die regel werkt het niet. Met onderstaande labels krijg ik een 'Bad Gateway'

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

unifi-controller:
  image: linuxserver/unifi-controller
  container_name: unifi-controller
  environment:
    - PUID=1000
    - PGID=1000
  volumes:
    - ${USERDIR}/docker/unifi:/config
  ports:
    - 3478:3478/udp
    - 10001:10001/udp
    - 8080:8080
    - 8081:8081
    - 8443:8443
    - 8843:8843
    - 8880:8880
    - 6789:6789
  restart: unless-stopped
  labels:
    - traefik.enable=true
    - traefik.http.middlewares.unifi-redirect.redirectscheme.scheme=https
    - traefik.http.routers.unifi-redirect.entrypoints=web
    - traefik.http.routers.unifi-redirect.middlewares=unifi-redirect
    - traefik.http.routers.unifi-redirect.rule=Host(`unifi.domeinnaam.nl`)
    - traefik.http.routers.unifi.entrypoints=websecure
    - traefik.http.routers.unifi.rule=Host(`unifi.domeinnaam.nl`)  
    - traefik.http.routers.unifi.tls.certresolver=letsencrypt     
    - traefik.http.services.code.loadbalancer.server.port=8443

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

[http]
 [http.middlewares]
   [http.middlewares.unifi-redirect.redirectScheme]
       scheme = "https"

 [http.routers.unifi-redirect]
   entrypoints = ["web"]
   rule = "Host(`unifi.domeinnaam.nl`)"
   middlewares = ["unifi-redirect"]
   service = "unifi"

 [http.routers.unifi]
   entrypoints = ["websecure"]
   rule = "Host(`unifi.domeinnaam.nl`)"
   service = "unifi"
   [http.routers.unifi.tls]
       certResolver = "letsencrypt"

 [http.services]
   [http.services.unifi.loadbalancer]
     [[http.services.unifi.loadBalancer.servers]]
       url = "https://192.168.178.24:8443"

1
2

[serversTransport]
  insecureSkipVerify = true

1
2
3
4
5
6
7
8

labels:
    - traefik.enable=true
    - traefik.http.routers.unifi.rule=Host(`unifi.domeinnaam.nl`)
    - traefik.http.routers.unifi.entrypoints=websecure
    - traefik.http.routers.unifi.tls=true
    - traefik.http.routers.unifi.tls.certresolver=letsencrypt
    - traefik.http.services.unifi.loadbalancer.server.scheme=https
    - traefik.http.services.unifi.loadbalancer.server.port=8443

[ Voor 118% gewijzigd door JBS op 19-12-2020 14:29 ]

[ Voor 36% gewijzigd door Jazco2nd op 29-12-2020 23:48 ]

Jazco2nd schreef op dinsdag 29 december 2020 @ 23:46:
@kdbruin deze methode is veel simpeler en werkt hier heel goed: https://blog.jswart.xyz/posts/traefik-routing/
Ook voor services die niet in Docker draaien: https://blog.jswart.xyz/posts/traefik-without-containers/
Smarthomebeginner heeft echt nogal overdreven guides merk ik. Het heeft me wel goed op weg geholpen met mijn homeserver maar ik gebruik nooit de volledige methodes die ze daar schrijven.


Andere vraag:
Weet iemand misschien een simpele SMTP container die werkt icm Traefik in Docker?
Ik gebruikte https://github.com/namshi/docker-smtp maar dan komen alle mails die door je docker containers worden gestuurd in je spam. Het moet dus via een TLS verbinding verzonden worden.

Ik heb nog geen concreet voorbeeld gevonden van een smtp container icm Traefik labels voor de certificaten.

[ Voor 13% gewijzigd door Jazco2nd op 30-12-2020 11:49 ]

Jazco2nd schreef op woensdag 30 december 2020 @ 11:48:
@qwasd geen idee. Maar je noemt nou net 1 ding die ik ook heb en het nut niet inzie om deze online te exposen: Unifi Controller. Die draait bij mij ook. Maar doet gewoon z'n ding. Waarom zou je daarbij willen komen wanneer je niet thuis bent?

Voor paswoorden gebruik ik Keepass, het DB bestandje van Keepass wordt gewoon gesynced met mijn devices (Syncthing) dus heb ik het ook niet voor nodig..
En voor File management gebruik ik FileRun ipv Nextcloud, simpeler, lichter en veel sneller. Die heeft 2FA ingebouwd.

Maar ik had wel dit gebookmarked voor als ik een service ga draaien die het wel nodig heeft, omdat het niet-Google is en zou werken icm Traefik:

https://github.com/authelia/authelia

[ Voor 6% gewijzigd door qwasd op 30-12-2020 16:59 ]

lolgast schreef op maandag 4 januari 2021 @ 12:04:
@qwasd Dat komt waarschijnlijk omdat je die poort vanaf je host niet doorzet naar je dockercontainer, maar hem via de URL rechtstreeks aanspreekt naar het container IP-adres.

Als je dat lokaal op IP:PORT wilt laten werken zul je dus je docker-compose file even moeten aanvullen met dat poortnummer

1
2
3
4
5
6
7
8
9
10

    labels:
      - traefik.enable=true
      - traefik.http.middlewares.filerun-redirect.redirectscheme.scheme=https
      - traefik.http.routers.filerun-redirect.entrypoints=web
      - traefik.http.routers.filerun-redirect.middlewares=filerun-redirect
      - traefik.http.routers.filerun-redirect.rule=Host(`aaa.$DOMAIN`)
      - traefik.http.routers.filerun.entrypoints=websecure
      - traefik.http.routers.filerun.rule=Host(`aaa.$DOMAIN`)
      - traefik.http.routers.filerun.tls.certresolver=letsencrypt
      - traefik.http.services.filerun.loadbalancer.server.port=80

[ Voor 11% gewijzigd door Jazco2nd op 10-01-2021 02:13 ]

lolgast schreef op zondag 10 januari 2021 @ 20:08:
@bart.koppers Nee daar is geen aparte container voor nodig. Als je dit toevoegt aan je toch al draaiende Traefik container ben je klaar.

Ik heb bovenstaande nu draaien via een nginx:alpine container zonder volumemappings. Maar je hebt íets nodig om de labels/middlewares aan te hangen

RobertMe schreef op zondag 10 januari 2021 @ 21:21:
[...]
Als je de file provider gebruikt kun je daarin de router + een (dummy) service + de middleware vastleggen. Dan hoef je het ook niet aan een container te koppelen.

Hmmbob schreef op donderdag 14 januari 2021 @ 10:08:
Enig dingetje wat je kán hebben is "hairpin NAT" issues, dat je router het niet snapt/goed verwerkt als je vanaf je LAN een server probeert te benaderen die ook op je LAN zit, maar via het externe IP.

peterstr schreef op donderdag 14 januari 2021 @ 10:14:
[...]


Ik Gebruik hiervoor de interne DNS server op mijn router (Mikrotik) waar ik dezelfde domein namen gebruik als extern maar dan met de interne adressen. De clients zoeken eerst de interne DNS op voordat ze buiten de deur gaan kijken en dus krijg je dan je interne adres terug.

Ik heb overigens voor iedere domein naam een eigen certificaat. Werkt ook goed.

1

error msg="Unable to obtain ACME certificate for domains \"\" : unable to generate a certificate in ACME provider when no domain is given" providerName=myresolver.acme

1

debug msg="Serving default certificate for request: \"domain.com\""`

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59

version: "3.3"

services:
        traefik:
                image: "traefik:v2.3"
                container_name: "traefik"
                command:
                        - "--log.level=DEBUG"
                          # allow dashboard access without password, default port 8080
                        - "--api.insecure=true"
                        - "--api.dashboard=true"
                          # enable docking provider
                        - "--providers.docker=true"
                          # do not expose docker, unless told so
                        - "--providers.docker.exposedbydefault=false"
                          # entrypoints
                        - "--entrypoints.web.address=:80"
                        - "--entrypoints.websecure.address=:443"
                          # https redirection
                        - "--entrypoints.web.http.redirections.entrypoint.to=websecure"
                        - "--entrypoints.web.http.redirections.entrypoint.scheme=https"
                        - "--entrypoints.web.http.redirections.entrypoint.permanent=true"
                          # http challenge
                          #- "--certificatesresolvers.myresolver.acme.httpchallenge=true"
                          # - "--certificatesresolvers.myresolver.acme.httpchallenge.entrypoint=web"
                          # dns challenge
                        - "--certificatesresolvers.myresolver.acme.dnschallenge=true"
                        - "--certificatesresolvers.myresolver.acme.dnschallenge.provider=transip"
                        - "--certificatesresolvers.myresolver.acme.dnschallenge.delayBeforeCheck=0"
                        - "--certificatesResolvers.myresolver.acme.dnschallenge.resolvers=ns0.transip.net"
                        - "--certificatesresolvers.myresolver.acme.email=user@mail.com"
                        - "--certificatesresolvers.myresolver.acme.storage=/letsencrypt/acme.json"
                labels:
                        - "traefik.enable=true"
                        - "traefik.http.routers.traefik.tls.certresolver=myresolver"
                        - "traefik.http.routers.traefik.tls.domains.main=domain.com"
                        - "traefik.http.routers.traefik.tls.domains.sans=*domain.com"
                ports:
                        - "80:80"
                        - "443:443"
                          # port for dashboard api
                        - "8080:8080"
                environment:
                        - "TRANSIP_ACCOUNTNAME_FILE=user@mail.com"
                        - "TRANSIP_PRIVATE_KEY_PATH=./transip_private.key"
                volumes:
                        - "./letsencrypt:/letsencrypt"
                        - "/var/run/docker.sock:/var/run/docker.sock:ro"
                        - "./transip_private.key:/transip.key:ro"
        whoami:
                image: "traefik/whoami"
                container_name: "simple-service"
                labels:
                        - "traefik.enable=true"
                        - "traefik.http.routers.whoami.rule=Host(`whoami.domain.com`)"
                        - "traefik.http.routers.whoami.entrypoints=websecure"
                        - "traefik.http.routers.whoami.tls.certresolver=myresolver"
                        - "traefik.http.routers.whoami.middlewares=testauth"
                        - "traefik.http.middlewares.testauth.basicauth.users=user:XXXXXXXXXXXXX"

[ Voor 3% gewijzigd door mca2 op 16-01-2021 19:48 ]

mca2 schreef op zaterdag 16 januari 2021 @ 17:31:
Ik probeer al een tijdje wildcard certificaten aan de praat te krijgen. HTTP-challenge ging prima maar wildcards is toch andere koek. NB, het gaat hier om een simpele thuis server met een paar apps erin, ik ben dus zou vrij geweest alles in 1 docker-compose.yml te zetten maar ik krijg de foutmelding

code:

1	error msg="Unable to obtain ACME certificate for domains \"\" : unable to generate a certificate in ACME provider when no domain is given" providerName=myresolver.acme

Maar hij heeft veel de default certificaten voor al mijn domains die ik bij TransIP heb, dus die api lijkt wel te werken

code:

1	debug msg="Serving default certificate for request: \"domain.com\""`

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

version: "3.3" services: traefik: image: "traefik:v2.3" container_name: "traefik" command: - "--log.level=DEBUG" # allow dashboard access without password, default port 8080 - "--api.insecure=true" - "--api.dashboard=true" # enable docking provider - "--providers.docker=true" # do not expose docker, unless told so - "--providers.docker.exposedbydefault=false" # entrypoints - "--entrypoints.web.address=:80" - "--entrypoints.websecure.address=:443" # https redirection - "--entrypoints.web.http.redirections.entrypoint.to=websecure" - "--entrypoints.web.http.redirections.entrypoint.scheme=https" - "--entrypoints.web.http.redirections.entrypoint.permanent=true" # http challenge #- "--certificatesresolvers.myresolver.acme.httpchallenge=true" # - "--certificatesresolvers.myresolver.acme.httpchallenge.entrypoint=web" # dns challenge - "--certificatesresolvers.myresolver.acme.dnschallenge=true" - "--certificatesresolvers.myresolver.acme.dnschallenge.provider=transip" - "--certificatesresolvers.myresolver.acme.dnschallenge.delayBeforeCheck=0" - "--certificatesResolvers.myresolver.acme.dnschallenge.resolvers=ns0.transip.net" - "--certificatesresolvers.myresolver.acme.email=user@mail.com" - "--certificatesresolvers.myresolver.acme.storage=/letsencrypt/acme.json" labels: - "traefik.enable=true" - "traefik.http.routers.traefik.tls.certresolver=myresolver" - "traefik.http.routers.traefik.tls.domains.main=domain.com" - "traefik.http.routers.traefik.tls.domains.sans=*domain.com" ports: - "80:80" - "443:443" # port for dashboard api - "8080:8080" environment: - "TRANSIP_ACCOUNTNAME_FILE=user@mail.com" - "TRANSIP_PRIVATE_KEY_PATH=./transip_private.key" volumes: - "./letsencrypt:/letsencrypt" - "/var/run/docker.sock:/var/run/docker.sock:ro" - "./transip_private.key:/transip.key:ro" whoami: image: "traefik/whoami" container_name: "simple-service" labels: - "traefik.enable=true" - "traefik.http.routers.whoami.rule=Host(`whoami.domain.com`)" - "traefik.http.routers.whoami.entrypoints=websecure" - "traefik.http.routers.whoami.tls.certresolver=myresolver" - "traefik.http.routers.whoami.middlewares=testauth" - "traefik.http.middlewares.testauth.basicauth.users=user:XXXXXXXXXXXXX"

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

      - --entrypoints.https.http.tls.certresolver=dns-cloudflare
      - --entrypoints.https.http.tls.domains[0].main=$DOMAINNAME
      - --entrypoints.https.http.tls.domains[0].sans=*.$DOMAINNAME
      # - --entrypoints.https.http.tls.domains[1].main=$DOMAINNAME2 # Pulls main cert for second domain
      # - --entrypoints.https.http.tls.domains[1].sans=*.$DOMAINNAME2 # Pulls wildcard cert for second domain
      - --providers.docker.network=traefik_proxy
      - --providers.docker.swarmMode=false
      - --providers.file.directory=/rules # Load dynamic configuration from one or more .toml or .yml files in a directory
      - --providers.file.watch=true # Only works on top level files in the rules folder
      #- --certificatesResolvers.dns-cloudflare.acme.caServer=https://acme-staging-v02.api.letsencrypt.org/directory # LetsEncrypt Staging Server - uncomment when testing
      - --certificatesResolvers.dns-cloudflare.acme.email=$CLOUDFLARE_EMAIL
      - --certificatesResolvers.dns-cloudflare.acme.storage=/acme.json
      - --certificatesResolvers.dns-cloudflare.acme.dnsChallenge.provider=cloudflare
      - --certificatesResolvers.dns-cloudflare.acme.dnsChallenge.resolvers=1.1.1.1:53,1.0.0.1:53
      - --certificatesResolvers.dns-cloudflare.acme.dnsChallenge.delayBeforeCheck=90 # To delay DNS check and reduce LE hitrate

1

- --entrypoints.https.http.tls.certresolver=dns-cloudflare

1

- "traefik.http.routers.traefik.tls.certresolver=myresolver"

[ Voor 5% gewijzigd door qwasd op 16-01-2021 22:26 ]

1
2

- "traefik.http.routers.traefik.tls.domains[0].main=domain.com"
- "traefik.http.routers.traefik.tls.domains[0].sans=*.domain.com"

1
2
3
4

level=debug msg="legolog: [WARN] [*.domain.com] acme: cleaning up failed:
transip: error for _acme-challenge.domain. in CleanUp: could not get token from
authenticator: error requesting token: Your key signature is invalid or API is not
enabled in your account

[ Voor 34% gewijzigd door mca2 op 17-01-2021 00:07 ]

[ Voor 18% gewijzigd door FireDrunk op 21-01-2021 07:59 ]

Jazco2nd schreef op woensdag 20 januari 2021 @ 23:26:
Hoe kan dat? De labels van Traefik verwachten toch juist dat je van buitenaf afkomstig bent, het SSL certificaat is toch vast ook wel gekoppeld aan je externe IP? Anders ben je toch niet "beveiligd"?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

unifi:
                image: "ghcr.io/linuxserver/unifi-controller"
                container_name: unifi
                environment:
                        - PUID=1000
                        - PGID=1000
                        - MEM_LIMIT=1024M #optional
                volumes:
                        - ./unifi/config:/config
                        - ./unifi/autobackup:/usr/lib/unifi/data/backup/autobackup
                ports:
                        - 3478:3478/udp
                        - 10001:10001/udp
                        - 8080:8080
                        - 8443:8443
                        - 1900:1900/udp #optional
                        - 8843:8843 #optional
                        - 8880:8880 #optional
                        - 6789:6789 #optional
                        - 5514:5514 #optional
                restart: unless-stopped
                labels:
                        - "traefik.enable=true"
                        - "traefik.http.routers.unifi.rule=Host(`unifi.mydomain.com`)"
                        - "traefik.http.routers.unifi.entrypoints=websecure"
                        - "traefik.http.routers.unifi.tls=true"
                        - "traefik.http.routers.unifi.tls.certresolver=myresolver"
                        - "traefik.http.services.unifi.loadbalancer.server.scheme=https"
                        - "traefik.http.services.unifi.loadbalancer.server.port=8443"

[ Voor 5% gewijzigd door mca2 op 02-02-2021 23:04 ]

TheDweep schreef op dinsdag 2 februari 2021 @ 18:04:
Zodra ik de Middlewares weghaal krijg ik bad gatewary en wanneer ik de middlewares laat zoals ze zijn, krijg ik 404. Ik snap/zie niet waar het probleem zit:

[...]

Wie kan mij een duw in de goede richting geven?

1
2
3
4
5
6
7
8
9
10
11
12

labels:
  - "traefik.enable=true"
  - "traefik.docker.network={{ traefik_docker_network }}"

  - "traefik.http.routers.firefly.entrypoints=websecure"
  - "traefik.http.routers.firefly.rule=Host(`{{ firefly_public_domain }}`)"
  - "traefik.http.routers.firefly.tls=true"
  - "traefik.http.routers.firefly.tls.certresolver=le"

  - "traefik.http.routers.firefly_http.entrypoints=web"
  - "traefik.http.routers.firefly_http.rule=Host(`{{ firefly_public_domain }}`)"
  - "traefik.http.routers.firefly_http.middlewares=redirect-to-https"

docker logs -f firefly-app

mithras schreef op woensdag 3 februari 2021 @ 09:30:
[...]
Die middleware heb je helemaal niet nodig volgens mij? Denk dat het probleem ergens anders zit. Dit zijn mijn labels namelijk met een werkende Firefly iii (in Ansible format, maar je kan het prima volgen):

code:

1 2 3 4 5 6 7 8 9 10 11 12

labels: - "traefik.enable=true" - "traefik.docker.network={{ traefik_docker_network }}" - "traefik.http.routers.firefly.entrypoints=websecure" - "traefik.http.routers.firefly.rule=Host(`{{ firefly_public_domain }}`)" - "traefik.http.routers.firefly.tls=true" - "traefik.http.routers.firefly.tls.certresolver=le" - "traefik.http.routers.firefly_http.entrypoints=web" - "traefik.http.routers.firefly_http.rule=Host(`{{ firefly_public_domain }}`)" - "traefik.http.routers.firefly_http.middlewares=redirect-to-https"

Ik zou vooral even de logs checken van Firefly zelf (naam van je eigen container even aanpassen):

docker logs -f firefly-app

Het zou zomaar kunnen liggen aan je docker netwerken. Ik heb een dedicated firefly netwerk waar de db en app in zitten. Vervolgens zit de app óók gekoppeld aan het Traefik netwerk. Via de labels geef je aan dat Traefik connectie legt via het Traefik netwerk.

mca2 schreef op dinsdag 2 februari 2021 @ 22:34:
Traefik draait inmiddels prima met een wildcard certificaat voor mijn domein. Ook heb ik inmiddels een paar services draaien, die het prima doen. Echter lukt het mij niet Unifi aan de praat te krijgen. De container en logon op het portal werkt allemaal prima maar er wordt geen enkel device gedetecteerd. Het lijkt of Unifi op het interne Traefik netwerk zit (172.x) ipv het daadwerkelijke netwerk (192.168.x).

Ik heb alles in 1 docker-compose file staan en gebruik het default netwerk met daarin deze service voor Unifi. Wat gaat er hier mis?

Jazco2nd schreef op woensdag 3 februari 2021 @ 14:24:
@TheDweep Je Nextcloud labels moet je niet als default zien voor andere apps.
Kijk liever naar deze guide als basis en gebruik die labels als default. Enkele apps hebben extras nodig zoals OnlyOffice en wellicht Nextcloud.

offtopic:
Pihole heeft dit natuurlijk alleen nodig voor DoH, als je dat niet gebruikt (en dat hoeft niet vanzelfsprekend te zijn, DOH versleuteld alleen de verbinding naar de eerste DNS provider, niks bij de DNS provider en ook niks van die naar alle andere providers toe, die zien dus allemaal je volledige, onversleutelde request), zijn Traefik labels overbodig. Je kan immers ook gewoon een Unbound containertje toevoegen, die ervoor zorgt dat geen enkele DNS provider een compleet beeld heeft van je domain requests.
Of overstappen op AdGuardHome (ook open-source en slechts een enkele binary dus geen container nodig) die zelfs al het QUIC dns protocol ondersteund.. wat DOH overbodig maakt.

[ Voor 6% gewijzigd door TheDweep op 03-02-2021 20:42 ]

Jazco2nd schreef op dinsdag 9 februari 2021 @ 13:03:
Ik ben erg benieuwd wat de meningen hier zijn over Caddy of Swag voor je homeserver.

Caddy: https://caddyserver.com/
Nu ik Caddy heb ontdekt: dat is schrikbarend eenvoudig alternatief voor Traefik. Het is zo simpel dat ik me afvroeg of het wel kon werken dus heb het reeds ff voor 1 container getest. Het werkt gewoon. Geen labels nodig, 1 regel in de caddy conf file per service en je bent klaar! Bizar!

Waarom vind je online in bijna alle moderne guides dan aanbevelingen voor Traefik?
Is Traefik met zijn middleware extra veilig tov Caddy?

En dan Swag: https://github.com/linuxserver/docker-swag
1 container die alles doet wat Traefik ook doet plus Fail2ban. Is dit een meer traditionele benadering? Het is ook een stuk simpeler op te zetten dan Traefik, maar heb dit niet geprobeerd.

Caddy is het eenvoudigst, doet by default alles wat je nodig hebt, vandaar zo simpel op te zetten, Swag lijkt ook eenvoudig en lijkt meer security minded, gebruikt losse onderdelen zoals nginx en fail2ban.

Waarom heb ik dan avonden besteed om Traefik uit te vogelen

Jazco2nd schreef op dinsdag 9 februari 2021 @ 13:03:
Ik ben erg benieuwd wat de meningen hier zijn over Caddy of Swag voor je homeserver.

Caddy: https://caddyserver.com/
Nu ik Caddy heb ontdekt: dat is schrikbarend eenvoudig alternatief voor Traefik. Het is zo simpel dat ik me afvroeg of het wel kon werken dus heb het reeds ff voor 1 container getest. Het werkt gewoon. Geen labels nodig, 1 regel in de caddy conf file per service en je bent klaar! Bizar!

Waarom vind je online in bijna alle moderne guides dan aanbevelingen voor Traefik?
Is Traefik met zijn middleware extra veilig tov Caddy?

En dan Swag: https://github.com/linuxserver/docker-swag
1 container die alles doet wat Traefik ook doet plus Fail2ban. Is dit een meer traditionele benadering? Het is ook een stuk simpeler op te zetten dan Traefik, maar heb dit niet geprobeerd.

Caddy is het eenvoudigst, doet by default alles wat je nodig hebt, vandaar zo simpel op te zetten, Swag lijkt ook eenvoudig en lijkt meer security minded, gebruikt losse onderdelen zoals nginx en fail2ban.

Waarom heb ik dan avonden besteed om Traefik uit te vogelen

[ Voor 4% gewijzigd door FireDrunk op 09-02-2021 14:27 ]

prefix is the string to add before the current path in the requested URL. It should include a leading slash (/).

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

[http]
 [http.middlewares]
 
   [http.middlewares.pv-redirect.redirectScheme]
       scheme = "https"
       

 [http.routers.pv-redirect]
   entrypoints = ["web"]
   rule = "Host(`pv.domein.nl`)"
   middlewares = ["pv-redirect"]
   service = "pv"

 [http.routers.pv]
   entrypoints = ["websecure"]
   rule = "Host(`pv.domein.nl`)"
   service = "pv"
   [http.routers.pv.tls]
       certResolver = "letsencrypt"

 [http.services]
   [http.services.pv.loadbalancer]
     [[http.services.pv.loadBalancer.servers]]
       url = "http://192.168.178.24:4000/d/abcs/pv"

JBS schreef op dinsdag 16 februari 2021 @ 08:06:
@lolgast Dank voor de richting, die add prefix lijkt inderdaad relevant, hoewel ik twijfel of deze voor mijn doel de oplossing is.


[...]


In het voorbeeld wordt /foo toegevoegd aan de URL, voor de /bar/.
In mijn geval wil ik graag dat een subdomein uitkomt op een interne locatie wat een IP adres met poort is aangevuld met /d/abcs/pv. Voor veel andere zaken zoals mijn NAS werkt een dergelijke opzet, maar de toevoeging achter het interne adres doet het voor dit specifieke doel in de soep lopen.

• Middleware: prefix met /d/abcs/pv
• Router: pv gekoppeld aan service pv en met middleware van hierboven
• Service: pv met loadbalancing URL "http://192.168.178.24:4000"

The AddPrefix middleware updates the path of a request before forwarding it.

[ Voor 5% gewijzigd door mithras op 16-02-2021 10:04 ]

GAEvakYD schreef op vrijdag 19 februari 2021 @ 21:07:
# - "traefik.http.routers.traefik-secure.middlewares=traefik-auth"
- "traefik.http.middlewares.traefik-auth.basicauth.users=XXXX:YYYY". //XXX en YYY is dummy voor GOT post

jvwou123 schreef op zaterdag 20 februari 2021 @ 09:01:
[...]


Staat er een punt achter de username:password?

1

"traefik.http.middlewares.traefik-auth.basicauth.users=banaan:$$apr1$$DXORKT34$$qTRY0US47yI.ty0DDvdwn3"

1

      - "traefik.http.routers.traefik.middlewares=traefik-https-redirect"

1

      - "traefik.http.routers.traefik.middlewares=traefik-auth"

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

    labels:
      - "traefik.enable=true"
      - "traefik.docker.network=traefik_proxy"
      - "traefik.http.routers.traefik.entrypoints=http"
      - "traefik.http.routers.traefik.rule=Host(`thuis.banaan.org`)"

      - "traefik.http.routers.traefik-secure.entrypoints=https"
      - "traefik.http.routers.traefik-secure.rule=Host(`thuis.banaan.org `)"
      - "traefik.http.routers.traefik-secure.tls=true"
      - "traefik.http.routers.traefik-secure.tls.certresolver=letsencrypt"
      - "traefik.http.routers.traefik-secure.service=api@internal"
      - "traefik.http.routers.traefik-secure.middlewares=traefik-auth"
#      - "traefik.http.routers.traefik.middlewares=traefik-auth"
      - "traefik.http.routers.traefik.middlewares=traefik-https-redirect" 

      - "traefik.http.middlewares.traefik-https-redirect.redirectscheme.scheme=https"
      - "traefik.http.middlewares.traefik-auth.basicauth.users=banaan:$$apr1$$snZhW2Oo$$739dDwdUfkl8gf4De5al1"

[ Voor 255% gewijzigd door GAEvakYD op 20-02-2021 16:31 ]

mithras schreef op dinsdag 16 februari 2021 @ 10:03:
[...]

De middleware zorgt toch dat een incoming request intern een prefix krijgt in het pad zodat het request richting de service de prefix bevat Dus dat zou toch moeten lukken?

• Middleware: prefix met /d/abcs/pv
• Router: pv gekoppeld aan service pv en met middleware van hierboven
• Service: pv met loadbalancing URL "http://192.168.178.24:4000"

Als het goed lees van de docs (niet zelf getest) heb je nu een extern punt voor Traefik "https://pv.domein.nl" dat intern (via middleware en de service) wordt doorgestuurd naar "http://192.168.178.24:4000/d/abcs/pv". En dus ook, "https://pv.domein.nl/foo?bar" wordt "http://192.168.178.24:4000/d/abcs/pv/foo?bar".

Zoals Traefik namelijk zelf stelt:

[...]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

[http]
 [http.middlewares]
   [http.middlewares.pv-redirect.redirectScheme]
       scheme = "https"
   [http.middlewares.add-pv.addPrefix]
       prefix = "/d/abcd/pv"
       
 [http.routers.pv-redirect]
   entrypoints = ["web"]
   rule = "Host(`pv.domein.nl`)"
   middlewares = ["pv-redirect"]
   service = "pv"

 [http.routers.pv]
   entrypoints = ["websecure"]
   rule = "Host(`pv.domein.nl`)"
   service = "pv"
   [http.routers.pv.tls]
       certResolver = "letsencrypt"

 [http.services]
   [http.services.pv.loadbalancer]
     [[http.services.pv.loadBalancer.servers]]
       url = "http://192.168.178.24:4000"

JBS schreef op zaterdag 20 februari 2021 @ 20:40:
[...]

Ik geloof dat ik het toch niet helemaal begrijp, hoewel het vast logisch klinkt voor de meer ervaren Traefik gebruikers. Zou je me alsnog op weg willen helpen op basis van onderstaande rule bestand?
Aangezien pv.domein.nl me nog niet naar http://192.168.178.24:4000/d/abcd/pv brengt maar naar het standaard Grafana dashboard, doe ik ongetwijfeld iets niet goed.

YAML:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

[http] [http.middlewares] [http.middlewares.pv-redirect.redirectScheme] scheme = "https" [http.middlewares.add-pv.addPrefix] prefix = "/d/abcd/pv" [http.routers.pv-redirect] entrypoints = ["web"] rule = "Host(`pv.domein.nl`)" middlewares = ["pv-redirect"] service = "pv" [http.routers.pv] entrypoints = ["websecure"] rule = "Host(`pv.domein.nl`)" service = "pv" [http.routers.pv.tls] certResolver = "letsencrypt" [http.services] [http.services.pv.loadbalancer] [[http.services.pv.loadBalancer.servers]] url = "http://192.168.178.24:4000"

RobertMe schreef op zaterdag 20 februari 2021 @ 20:52:
[...]

Je past de add-pv middleware nu nergens toe? Lijkt mij toch dat je die moet toepassen op de pv route.

cannot get ACME client transip: some credentials information are missing: TRANSIP_ACCOUNT_NAME,TRANSIP_PRIVATE_KEY_PATH"

    traefik:
         image: traefik:2.4
         container_name: traefik
         security_opt:
           - no-new-privileges:true
         ports:
           - 80:80
           - 443:443
           - 8083:8080
         volumes:
           - /var/run/docker.sock:/var/run/docker.sock:ro
           - ./traefik/traefik.yml:/traefik.yml:ro
           - ./traefik/logs:/logs
           - ./traefik/certs:/certs
           - ./traefik/rules:/rules:ro
         restart: unless-stopped
         environment:
           - TZ:${TZ}
           - TRANSIP_ACCOUNT_NAME:${TRANSIP_ACCOUNT_NAME}
           - TRANSIP_PRIVATE_KEY_PATH:${TRANSIP_PRIVATE_KEY_PATH}

[ Voor 3% gewijzigd door CH4OS op 09-08-2021 01:06 ]

CH4OS schreef op maandag 9 augustus 2021 @ 00:51:
Ik ben nu ook bezig om mijn webserver VM overbodig te maken en alles in een mooie Traefik contrainer te klappen. Daarbij wil ik graag wildcard certificaten via TransIP hebben.

timosmit schreef op maandag 9 augustus 2021 @ 11:30:
[...]

Als ik je een tip mag geven, dan zou ik ook even kijken naar de manier waarop je je Docker-socket beschikbaar stelt aan Traefik. De manier waarop je het nu doet, heeft nogal wat consequenties op het gebied van beveiliging.

Ik heb hier in een ander topic (VPS-onderhoud) wat uitleg over gegeven.

[ Voor 41% gewijzigd door CH4OS op 09-08-2021 12:17 ]

CH4OS schreef op maandag 9 augustus 2021 @ 11:50:
[...]
Ik zie niet helemaal hoe dat per se veiliger is. Als iemand al toegang heeft tot de container, ziet diegene dat er iets anders is en is het dus vervolgens een kwestie van overstappen naar de juiste container... Links of rechtsom zul je dus toch wel de Docker socket moeten mounten / doorgeven aan een container.

Ik zou dan eerder opteren om via SSH de toegang te verlenen, dan heb je de toegang in de hand middels de pubkeys. Dan gebruik je een unprivileged user, die wel toegang heeft tot de Docker commando's.

Tecnativa heeft immers ook gewoon de socket nodig en in die documentatie wordt hij zelfs niet eens als read-only gemount. Ik betwijfel in hoeverre dit veiliger is ten op zichte van dit er tussen, anders dan dat je naar deze container moet voor de toegang ten op zichte van een container dat deze socket direct gemount heeft. Ik zou dan echt eerder de SSH way gebruiken. Maar gelukkig is mijn thuisserver niet zo interessant.

EDIT:
Mooiste zou zijn als je Docker gewoon root-less draait en dat kan gewoon (die ook weer wat nadelen kent, zie het kopje 'Known limitations'), zoals Podman dat doet.

[ Voor 12% gewijzigd door RobertMe op 09-08-2021 12:20 ]

RobertMe schreef op maandag 9 augustus 2021 @ 12:17:
[...]

Het verschil is dat Traefik beschikbaar is vanaf het netwerk / internet. Als er dus een lek in Traefik zit waardoor containers gestart kunnen worden wat remote te exploiten is via HTTP heb je dus een probleem als Traefik rechtstreeks met de Docker daemon connect. Met die extra tussenlaag voorkom je dus dat er "extra" dingen worden gedaan met de Docker daemon (als in: het onmogelijk maken om containers te starten, stoppen, ...).
Het gaat dus niet om of je Traefik vertrouwd, maar dat Traefik lek kan zijn.

V.w.b. de socket beschikbaar stellen als read-only of niet. Dat maakt natuurlijk niks uit. Read-only in deze betekent dat je de socket file niet kunt overschrijven. Maar communiceren via een socket file is gewoon tweewegs.

[ Voor 7% gewijzigd door CH4OS op 09-08-2021 12:23 ]

CH4OS schreef op maandag 9 augustus 2021 @ 12:19:
[...]
Dat weet ik, maar door een laag er tussen te zetten los je het probleem niet op, je contained het alleen naar die specifieke container. Voor de rest hou je dus gewoon het security issue (je houdt immers dat je ergens een mount hebt naar de socket terwijl dat slechte beveiliging is. ). Dan lijkt rootless Docker mij verstandiger.

RobertMe schreef op maandag 9 augustus 2021 @ 12:26:
[...]

Die tussenlaag voegt zeker wel extra beveiliging toe. Immers kan een aanvaller niet zomaar die tussenliggende container exploiten. Een request naar Traefik die via een exploit een container start kan dat niet met die tussenliggende container. Want die denied gewoon toegang tot dat deel van de API. Dan moet de aanvaller dat tussenliggende stuk software dus ook zien te exploiten, over de Traefik hop heen ook nog eens.
En die tussenlaag is dus puur om ACL toe te voegen op de originele Docker daemon. Niet om andere beveilingsmiddelen te bieden. De Docker daemon staat gewoon alle operaties toe voor iedereen. Met dit laagje zorg je ervoor dat Traefik alleen kan zien welke containers er draaien (+ luisteren voor nieiw gestarte containers en gestopte containers etc).

V.w.b. rootless: zie de edit van mijn vorige post. Rootless docker voegt ook maar voor een deel beveiliging toe. En in de context van Traefik toegang geven tot de Docker socker vind ik API restricties belangrijker dan Docker rootless draaien (maar uiteindelijk is het natuurlijk een én én verhaal).

CH4OS schreef op maandag 9 augustus 2021 @ 11:50:
[...]
Ik zie niet helemaal hoe dat per se veiliger is. Als iemand al toegang heeft tot de container, ziet diegene dat er iets anders is en is het dus vervolgens een kwestie van overstappen naar de juiste container... Links of rechtsom zul je dus toch wel de Docker socket moeten mounten / doorgeven aan een container.

Tecnativa heeft immers ook gewoon de socket nodig en in die documentatie wordt hij zelfs niet eens als read-only gemount. Ik betwijfel in hoeverre dit veiliger is ten op zichte van dit er tussen, anders dan dat je naar deze container moet voor de toegang ten op zichte van een container dat deze socket direct gemount heeft. Ik zou dan echt eerder de SSH way gebruiken. Maar gelukkig is mijn thuisserver niet zo interessant.

[ Voor 4% gewijzigd door timosmit op 09-08-2021 12:56 ]

[ Voor 7% gewijzigd door FireDrunk op 10-08-2021 08:28 ]

Faifz schreef op zondag 26 december 2021 @ 15:00:
Je certificaat is getekend voor root@rpi4 wat natuurlijk geen URL of een IP-adres is. Een certificaat gaan tekenen voor 127.0.0.1 (of ::1) is niet echt nuttig. Je browser zal altijd de melding geven dat het certificaat niet vertrouwd is tenzij je de CA certificaat in je root store installeert.

Behalve voor de traefik container zelf, expose je geen poorten want je laadt traefik in de container door 'traefik.enable=true' te gebruiken. Je kan een poort maar maximaal eenmaal binden aan een IP-adres en jij probeert het 2x.

Wat is je domeinnaam nu precies home.arpa of rpi4.home.arpa? Hou het simpel en blijf bij home.arpa als je enkele DNS zone. Ik zal er vanuit gaan dat traefik-dashboard de volgende FQDN heeft: traefik.home.arpa en je wil whoami.home.arpa voor whoami.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

version: '3' services: traefik: image: traefik:2.5 container_name: traefik command: # Traefik-dashboard settings - "--log.level=DEBUG" - "--api.dashboard=true" - "--api.insecure=false" # Docker als provider - "--providers.docker=true" - "--providers.docker.exposedbydefault=false" - "--providers.file.directory=/etc/traefik/dynamic" # Entrypoint -> is a front-end named "web" on HTTP Port 80 - "--entrypoints.web.address=:80" # Entrypoint -> is a front-end named "web-secure" on HTTPS Port 443 - "--entrypoints.web-secure.address=:443" labels: ### Traefik dashboard stuff ### - traefik.enable=true - traefik.http.routers.traefik-secure.tls=true - traefik.http.routers.traefik-secure.entrypoints=web-secure - traefik.http.routers.traefik-secure.rule=Host(`traefik.home.arpa`) - traefik.http.routers.traefik-secure.service=api@internal ports: - 80:80 - 443:443 volumes: - ${USERDIR}/traefik/config.yml:/etc/traefik/dynamic/config.yml:ro - ${USERDIR}/traefik/certs:/etc/certs:ro - /var/run/docker.sock:/var/run/docker.sock:ro whoami: image: traefik/whoami container_name: whoami restart: unless-stopped labels: - traefik.enable=true - traefik.http.routers.whoami-secure.entrypoints=web-secure - traefik.http.routers.whoami-secure.tls=true - traefik.http.routers.whoami-secure.rule=Host("whoami.home.arpa")

config.yml:

code:

1 2 3 4

tls: certificates: - certFile: /etc/certs/local-cert.pem keyFile: /etc/certs/local-key.pem

Traefik dashboard is optioneel en is vrijwel nutteloos vind ik. Dus die settings kan je beter weglaten als je het niet nodig hebt.

Edit: je kan beter een wildcard certificaat gaan maken voor *.home.arpa zodat je deze kunt gebruiken voor traefik.home.arpa en whoami.home.arpa

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

version: '3'
services:
  traefik:
    image: traefik:2.5
    container_name: traefik
    command:
      - "--log.level=DEBUG"
      - "--providers.docker=true"
      - "--providers.docker.exposedbydefault=false"
      - "--providers.file.directory=/etc/traefik/dynamic"
      - "--entrypoints.web.address=:80"
      - "--entrypoints.web-secure.address=:443"
    ports:
      - 80:80
      - 443:443
    volumes:
     - ${USERDIR}/traefik/config.yml:/etc/traefik/dynamic/config.yml:ro
     - ${USERDIR}/traefik/certs:/etc/certs:ro
     - /var/run/docker.sock:/var/run/docker.sock:ro

  whoami:
    image: traefik/whoami
    container_name: whoami
    restart: unless-stopped
    labels:
      - traefik.enable=true
      - traefik.http.routers.whoami-secure.entrypoints=web-secure
      - traefik.http.routers.whoami-secure.tls=true
      - traefik.http.routers.whoami-secure.rule=Path("/whoami")

  esphome:
    image: esphome/esphome
    container_name: esphome2
    restart: unless-stopped
    volumes:
      - ${USERDIR}/esphome:/config:rw
      - /etc/localtime:/etc/localtime:ro
    labels:
      - traefik.enable=true
      - traefik.http.routers.esphome-secure.entrypoints=web-secure
      - traefik.http.routers.esphome-secure.tls=true
      - traefik.http.routers.esphome-secure.rule=Path("/esphome")
      - traefik.http.services.esphome-secure.loadbalancer.server.port=6052

JorisV schreef op maandag 27 december 2021 @ 12:51:
[...]


Dank!
Ik krijg het niet helemaal voor elkaar, maar dat ligt aan mij. Domein/DNS en de certificaten is me een raadsel. Ik heb het traefik dashboard er uit gegooid en ik heb nu:

Daarmee kan ik whoami bereiken op https://rpi4/whoami. Dat is prima. Iets anders (whoami.rpi4 of varianten lukt echt niet).
Ik heb geprobeerd in google chrome het certificaat te exporteren en te importeren, maar ik krijg nog steeds een waarschuwing van een niet geldig certificaat.
Ik probeer nu ook een andere container toe te voegen: EspHome. Die luistert naar poort 6052. Bij het starten van de container krijg ik: Starting dashboard web server on http://0.0.0.0:6052, maar bij https://rpi4/esphome komt er een: WARNING 404 GET /esphome (172.23.0.2)
Dus
-hoe krijg ik het goed certificaat geïmporteerd?
-hoe krijg ik esphome aan de gang?

1
2
3
4
5
6
7

openssl req -newkey rsa:4096 \
            -x509 \
            -sha256 \
            -days 3650 \
            -nodes \
            -out example.crt \
            -keyout example.key

Faifz schreef op maandag 27 december 2021 @ 13:35:
[...]


Maak je wel de A records aan op je DNS server? Die moeten allemaal verwijzen naar het IP-adres van traefik.

esphome.home.arpa - 192.168.1.100 (traefik IP)
whoami.home.arpa - 192.168.1.100

Je kan een self-signed certificaat aanmaken op je linux host met het volgende:

code:

1 2 3 4 5 6 7

openssl req -newkey rsa:4096 \ -x509 \ -sha256 \ -days 3650 \ -nodes \ -out example.crt \ -keyout example.key

Als je liever een tool online gebruikt ipv de CLI; https://www.selfsignedcertificate.com/

Je krijgt een prompt waar je gevraagd wordt om het land etc in te geven, maar het enige dat belangrijk is de common name. Als common name geef je gewoon *.home.arpa in. Dit certificaat is wel niet getekend voor gewoon 'https://rpi4'. Je kan meerdere SAN's toevoegen (CN), maar je certificaat vernieuwen omdat je een nieuwe back-end server toevoegt (deze keer is het esphome) is niet echt praktisch.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

  homeassistant:
    container_name: homeassistant
    image: "ghcr.io/home-assistant/raspberrypi4-homeassistant:stable"
    depends_on:
      - mosquitto
    volumes:
      - ${USERDIR}/hass:/config
      - /etc/localtime:/etc/localtime:ro
    environment:
      - TZ=${TZ}
    restart: unless-stopped
    privileged: true
    network_mode: host
    labels:
      - traefik.enable=true
      - traefik.http.routers.homeassistant.rule=Path("/hass")
      - traefik.http.routers.homeassistant.tls=true
      - traefik.http.routers.homeassistant.entrypoints=web-secure
      - traefik.http.services.homeassistant.loadbalancer.server.port=8123

JorisV schreef op dinsdag 28 december 2021 @ 23:12:
[...]


Ik ben weer een klein stapje verder! Ik moest het root certificaat installeren in windows en android en nu heb een geaccepteerde https://rpi4/whoami.
Mijn doel is uiteindelijk om home assistant in https te krijgen. Daarvoor heb ik nu:

JorisV schreef op dinsdag 28 december 2021 @ 23:12:

Ik ben weer een klein stapje verder! Ik moest het root certificaat installeren in windows en android en nu heb een geaccepteerde https://rpi4/whoami.
Mijn doel is uiteindelijk om home assistant in https te krijgen. Daarvoor heb ik nu:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

version: '3.3'
networks:
  traefik:
    external: true
services:
  traefik:
    image: traefik:2.5
    container_name: traefik
    command:
      # Docker als provider
      - "--providers.docker=true"
      - "--providers.docker.exposedbydefault=false"
      - "--providers.file.directory=/etc/traefik/dynamic"
      # Entrypoint -> is a front-end named "web" on HTTP Port 80
      - "--entrypoints.web.address=:80"
      # Entrypoint -> is a front-end named "web-secure" on HTTPS Port 443
      - "--entrypoints.web-secure.address=:443"
    ports:
      - 80:80
      - 443:443
    networks:
      - traefik
    restart: unless-stopped
    volumes:
     - ./dynamic-config.yml:/etc/traefik/dynamic/config.yml:ro
     - ./certs:/etc/certs:ro
     - /var/run/docker.sock:/var/run/docker.sock:ro

1
2
3
4

tls:
  certificates:
    - certFile: /etc/certs/local-cert.pem
      keyFile: /etc/certs/local-key.pem

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

version: "3"
  
networks:
  traefik:
    external: true
  esphomenetwork:

services:
  esphome:
    image: esphome/esphome
    container_name: esphome2
    volumes:
      - ./esphome-config:/config:rw
      - /etc/localtime:/etc/localtime:ro
    restart: unless-stopped
    networks:
      - traefik
      - esphomenetwork
    labels:
      - "traefik.enable=true"
      - "traefik.docker.network=traefik"
      - "traefik.http.routers.esphome-secure.entrypoints=web-secure"
      - "traefik.http.routers.esphome-secure.rule=Host(`esphome.home.arpa`)"
      - "traefik.http.routers.esphome-secure.tls=true"
      - "traefik.http.services.esphome-secure.loadbalancer.server.port=6052"

lolgast schreef op donderdag 10 februari 2022 @ 09:52:
@Koepert Je kunt sowieso de 'file' functie van Traefik gebruiken natuurlijk

In mijn .env

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

TRUSTED_PROXIES=** # It's also possible to change the way users are authenticated. You could use Authelia for example. # Authentication via the REMOTE_USER header is supported. Change the value below to "remote_user_guard". # # This will also allow Windows SSO. # # If you do this please read the documentation for instructions and warnings: # https://docs.firefly-iii.org/advanced-installation/authentication # # This function is available in Firefly III v5.3.0 and higher. ##AUTHENTICATION_GUARD=web AUTHENTICATION_GUARD=remote_user_guard # If the guard is changed, Firefly III uses the 'REMOTE_USER' header as per RFC 3875. # You can also use another header, like AUTH_USER when using Windows SSO. # Some systems use X-Auth headers. In that case, use HTTP_X_AUTH_USERNAME or HTTP_X_AUTH_EMAIL # Depending on your system, REMOTE_USER may need to be changed to HTTP_REMOTE_USER # # Firefly III won't be able to send emails when the header you use isn't an email address. # AUTHENTICATION_GUARD_HEADER=HTTP_REMOTE_USER

in mijn firefly container:

code:

1 2 3 4 5 6

- "traefik.enable=true" - "traefik.http.routers.firefly_iii.rule=Host(`myserver.com`)" - "traefik.http.routers.firefly_iii.entrypoints=https" - "traefik.http.routers.firefly_iii.middlewares=authelia@docker" - "traefik.http.routers.firefly_iii.tls=true" - "traefik.http.services.firefly_iii.loadbalancer.server.port=8080"

In Authelia

code:

1 2 3 4 5 6 7

- "traefik.enable=true" - "traefik.http.routers.authelia.rule=Host(`login.myserver.com`)" - "traefik.http.routers.authelia.entrypoints=websecure" - "traefik.http.routers.authelia.tls=true" - "traefik.http.middlewares.authelia.forwardauth.address=http://authelia:9091/api/verify?rd=https://login.myserver.com/" - "traefik.http.middlewares.authelia.forwardauth.trustForwardHeader=true" - "traefik.http.middlewares.authelia.forwardauth.authResponseHeaders=Remote-User,Remote-Groups"

Met uiteraard overal mn eigen/juiste domein.

[ Voor 63% gewijzigd door Koepert op 10-02-2022 12:06 ]

lolgast schreef op donderdag 10 februari 2022 @ 20:33:
@Koepert Maar die Traefik draait dus in een andere Docker omgeving dan je Firefly? Want dan hebben labels geen zin Labels kunnen alleen uitgelezen worden van de Docker omgeving waar je Traefik mee verbind en ik gok even dat dat de standaar config is endpoint: "unix:///var/run/docker.sock"

Hoe ziet een file voorbeeld eruit van je? Want ik gebruik hier file voor o.a. de verbinding naar Home Assistant (draait op een andere VM) of services op andere LXC containers en dat werkt prima.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45

routers;
bla bla
blabla 
    firefly:
      entryPoints:
        - "https"
      rule: "Host(`firefly.domein.adres`)"
      middlewares:
        - default-headers
        - authelia
      tls: {}
      service: firefly 



services
bla
bla
    firefly:
      loadBalancer:
        servers:
          - url: "http://IPADRESZONDERPOORTEN"
        passHostHeader: true


middlewares
blabla
bla
    default-headers:
      headers:
        frameDeny: true
        sslRedirect: true
        browserXssFilter: true
        contentTypeNosniff: true
        forceSTSHeader: true
        stsIncludeSubdomains: true
        stsPreload: true
        stsSeconds: 15552000
        customFrameOptionsValue: SAMEORIGIN
        customRequestHeaders:
          X-Forwarded-Proto: https

    authelia:
      forwardAuth:
        address: blalbla url/domain.. 

lolgast schreef op donderdag 10 februari 2022 @ 20:55:
Ok, dus even op een rijtje voor mij:
Traefik op Node 2
Firefly op Node 1

Proxmox werkt via de file-config van Traefik?

Werkt Firefly wel als je die benaderd op zijn IP?