:strip_icc():strip_exif()/u/34345/crop604df19f86683.jpg?f=community)
Sometimes you need to plan for coincidence
:strip_icc():strip_exif()/u/531266/crop60146ed3278a5_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/198189/crop67ecf5f08705a_cropped.jpg?f=community)
@Koepert Maar die Traefik draait dus in een andere Docker omgeving dan je Firefly? Want dan hebben labels geen zin 
Labels kunnen alleen uitgelezen worden van de Docker omgeving waar je Traefik mee verbind en ik gok even dat dat de standaar config is endpoint: "unix:///var/run/docker.sock"
Hoe ziet een file voorbeeld eruit van je? Want ik gebruik hier file voor o.a. de verbinding naar Home Assistant (draait op een andere VM) of services op andere LXC containers en dat werkt prima.
Labels kunnen alleen uitgelezen worden van de Docker omgeving waar je Traefik mee verbind en ik gok even dat dat de standaar config is endpoint: "unix:///var/run/docker.sock"Hoe ziet een file voorbeeld eruit van je? Want ik gebruik hier file voor o.a. de verbinding naar Home Assistant (draait op een andere VM) of services op andere LXC containers en dat werkt prima.
Ja dat had ik ook wel verwacht idd:
@Koepert Maar die Traefik draait dus in een andere Docker omgeving dan je Firefly? Want dan hebben labels geen zin
Maar zonder werkte het OOK niet..Mijn traefik bestaat uit n docker-compose.yml uiteraard, een traefik.yml (met api etc settings) en een config.yml met daarin (oa)
YAML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
| routers; bla bla blabla firefly: entryPoints: - "https" rule: "Host(`firefly.domein.adres`)" middlewares: - default-headers - authelia tls: {} service: firefly services bla bla firefly: loadBalancer: servers: - url: "http://IPADRESZONDERPOORTEN" passHostHeader: true middlewares blabla bla default-headers: headers: frameDeny: true sslRedirect: true browserXssFilter: true contentTypeNosniff: true forceSTSHeader: true stsIncludeSubdomains: true stsPreload: true stsSeconds: 15552000 customFrameOptionsValue: SAMEORIGIN customRequestHeaders: X-Forwarded-Proto: https authelia: forwardAuth: address: blalbla url/domain.. |
Dat is t wel eigenlijk. Ik heb in die config.yml dus meerdere staan (proxmox, jellyfin en home assistant) en dat werkt allemaal van zowel host 1 als host 2.
Heeel strikt genomen andersom
Node 1 = Proxmox host -> werkt met file-config van traefik (zowel intern als extern en zowel url als ip benaderbaar, traefik alleen op url) Werkt tevens met Authelia.
LXCcontainers:
- Pihole (werkt met traefik en authelia, als test)
- Traefik & Authelia op 1 container
VM:
- Home Assistant (werkt met Traefik, geen Authelia want 2FA in Home Assistant, via File config)
Node 2 = Proxmox2 host --> werkt met file-config van traefik (zowel intern als extern en zowel url als ip benaderbaar, traefik alleen op url) Werkt tevens met Authelia.
LXContainers:
- Pihole 2 (passive bu van 1, werkt met traefik en authelia, wederom als test)
- Jellyfin (werkt met Traefik, geen authelia toegevoegd wederom via file)
- Firefly (werkt NIET met Traefik NOCH Authelia) --> Benaderbaar via Intern DNS op firefly.domein en IP-adres. zodra HTTPS://firefly.domein probeer krijg ik OF site reageert niet (zonder alle labels ed) of Header = empty (authelia).
Geen idee hoe dat ontstaan is
maar t werkt, so if it aint broke.... maar heb t voor firefly ff op jouw manier getest.. no difference.
Ja.. dat dus.. Ik ga wel ff verder zoeken.. Er zal ergens iets niet goed zitten.. maar weet nog niet wat.. Blij om te lezen dat in de file van traefik iig in principe niets meer hoeft te staan.. Dat was me niet 100% bekend, ik kom vooral voorbeelden tegen van Fireflyiii + Authelia + Traefik op 1 host/container.. dus het is soms even puzzelen wat er uit kan en wat niet.
ZUCHT... T helpt.. als je de INTERNE DNS eerst op de firefly-container richt.. je die vervolgens wel op de traefik container richt..
Authelia.. is nu ook soort van werkend... geloof ik.. k kreeg net nog n bad gateway NA de Authelia inlog..maar nu lijkt t goed te gaan..
Als ik authelia wil toevoegen krijg ik op https nog steeds niets en bij http dit:
Oeps! Er is een fout opgetreden.
Helaas was deze fout niet te herstellen
. Firefly III is stuk. De fout is:The guard header was unexpectedly empty. See the logs.
Dus ook dat is niet ' zo simpel ' .. maar ik puzzel wel ff door en dank iig voor de hulp
Wat ik dan weer irritant vind: https://docs.firefly-iii....tallation/authentication/
Hier staat dat je deze setting op remote_user_guard moet zetten.. dan werkt het NIET bij web juist WEL..dus de commented regels zijn de bedoeling bij authelia en de eerste werkt..alleen niet met SSO
YAML:
1
2
3
| AUTHENTICATION_GUARD=web #AUTHENTICATION_GUARD=remote_user_guard #AUTHENTICATION_GUARD_HEADER=HTTP_REMOTE_USER |
[ Voor 43% gewijzigd door Koepert op 10-02-2022 21:55 ]
Is er iemand die een idee heeft waarom ik geen Let's Encrypt certificaat kan aanmaken? Ik kwam van NPM af en dacht dit even op te kunnen zetten. Ik loop tegen de volgende error aan:
[code]dial tcp: lookup acme-v02.api.letsencrypt.org on 127.0.0.11:53: read udp 127.0.0.1:38134->127.0.0.11:53: i/o timeout" providerName=dns.acme[/code]
Het lijkt er dus op dat er een DNS-fout is, echter kom ik er niet uit. Veel oplossingen verwijzen naar [code=yaml]network_mode: host[/code], maar dat lijkt niets op te lossen. Verder heb diverse configuraties, zoals van TechnoTim, Smarthomelab en TechJunky geprobeerd. Met mijn provider TransIP krijg ik het niet werkend, maar ook met Cloudflare niet. Het lijkt dus echt een intern stukje te zijn.
Relevant:
[list]
• Ik maak gebruik van een UDM Pro en heb (behalve updates) daar geen veranderingen in gemaakt.
• Daarnaast gebruik ik AdGuard Home als DNS blokker, ook daar zijn geen veranderingen in gemaakt.
[/list]
Edit:
Een aantal avonden bezig geweest, ik stuur dit en heb een helder moment:
Er gaat hier iets mis. Nu mijn router toegevoegd en het werkt
[code]dial tcp: lookup acme-v02.api.letsencrypt.org on 127.0.0.11:53: read udp 127.0.0.1:38134->127.0.0.11:53: i/o timeout" providerName=dns.acme[/code]
Het lijkt er dus op dat er een DNS-fout is, echter kom ik er niet uit. Veel oplossingen verwijzen naar [code=yaml]network_mode: host[/code], maar dat lijkt niets op te lossen. Verder heb diverse configuraties, zoals van TechnoTim, Smarthomelab en TechJunky geprobeerd. Met mijn provider TransIP krijg ik het niet werkend, maar ook met Cloudflare niet. Het lijkt dus echt een intern stukje te zijn.
Relevant:
[list]
• Ik maak gebruik van een UDM Pro en heb (behalve updates) daar geen veranderingen in gemaakt.
• Daarnaast gebruik ik AdGuard Home als DNS blokker, ook daar zijn geen veranderingen in gemaakt.
[/list]
Edit:
Een aantal avonden bezig geweest, ik stuur dit en heb een helder moment:
code:
1
| /etc/resolv.conf |
Er gaat hier iets mis. Nu mijn router toegevoegd en het werkt
[ Voor 8% gewijzigd door bes-r op 15-12-2022 12:48 ]
:strip_exif()/u/20659/crop68b0a63d5da15.gif?f=community)
He who laughs last thinks slowest! | ▶️ Youtube | 🌐 TechJunky.nl | ☀️ 3000Wp PV | Ford Explorer EV Ext
He who laughs last thinks slowest! | ▶️ Youtube | 🌐 TechJunky.nl | ☀️ 3000Wp PV | Ford Explorer EV Ext
:strip_exif()/u/53522/crop583d477015a24.gif?f=community)
:strip_icc():strip_exif()/u/220376/twitchy_ava60.jpg?f=community)
Misschien best even je mailadres weghalen
Heb je de relevante containers ook gelabeled voor Traefik?
[ Voor 13% gewijzigd door Slonzo op 08-02-2023 23:52 ]
Scherp, dank!:
Misschien best even je mailadres weghalen
Ik wil eerst dit werkend krijgen, dit geeft namelijk ook geen TLS-certificaat, ondanks dat dit bijna direct uit de documentatie komt. Dan kijk ik daarna verder naar de andere Docker containers.
Online zijn er vervolgens ook genoeg guides te vinden, maar geen enkele heeft een vruchtbaar effect.
Ik hoef dan trouwens alleen cptchaos.nl en *.cptchaos.nl in het certificaat te hebben.
[ Voor 39% gewijzigd door CH4OS op 09-02-2023 00:15 ]
Ik heb in de log gekeken, daarin zie ik onder andere dit soort meldingen voorbij komen, bij een eerdere poging althans:
code:
1
| 2023-02-08T23:12:40+01:00 ERR Unable to obtain ACME certificate for domains error="unable to generate a certificate for the domains [radarr.cptchaos.nl]: error: one or more domains had a problem:\n[radarr.cptchaos.nl] [radarr.cptchaos.nl] acme: error presenting token: transip: Internal error occurred, please contact our support\n" acmeCA=https://acme-v02.api.letsencrypt.org/directory domains=["radarr.cptchaos.nl"] providerName=letsencrypt.acme routerName=https-radarr@docker rule=Host(`radarr.cptchaos.nl`) |
Ik zal nog even met de huidige setup een nieuwe log maken. De rechten op acme.json staan alleen op rw voor de huidige gebruiker, als ik het mij goed herinner, is dat 0600, toch?
EDIT:
Ik heb nu ook de logging maar even op debug logging gezet. Om de een of andere reden komt dat niet in de log file, dus dan maar even attachen met de container. Dan krijg ik onder andere dit soort dingen:
code:
En met de berichten hierboven, is het wellicht verstandiger om eea anders aan te pakken mbt deze certificaten.
1
| traefik | time="2023-02-09T21:03:25Z" level=error msg="Unable to obtain ACME certificate for domains \"petio.cptchaos.nl\": unable to generate a certificate for the domains [petio.cptchaos.nl]: error: one or more domains had a problem:\n[petio.cptchaos.nl] [petio.cptchaos.nl] acme: error presenting token: transip: Internal error occurred, please contact our support\n" rule="Host(`petio.cptchaos.nl`)" routerName=petio@docker ACME CA="https://acme-v02.api.letsencrypt.org/directory" providerName=myresolver.acme |
[ Voor 29% gewijzigd door CH4OS op 09-02-2023 22:06 ]
:strip_icc():strip_exif()/u/49845/Eye_2_Klein_50.jpg?f=community)
Na allerlei tutorials gebruikt te hebben als inspiratie, heb ik nog steeds geen werkende config voor traefik + compose + TransIp.
Zou iemand zijn werkende config helemaal willen delen?
Zou iemand zijn werkende config helemaal willen delen?
Dit is Tweakers. Wij doen niet aan werkende oplossingen aanbieden:
Na allerlei tutorials gebruikt te hebben als inspiratie, heb ik nog steeds geen werkende config voor traefik + compose + TransIp.
Zou iemand zijn werkende config helemaal willen delen?
Als je nu je eigen config deelt kunnen anderen je waarschijnlijk wel een zetje in de juiste richting geven.
Haha, touché:
[...]
Dit is Tweakers. Wij doen niet aan werkende oplossingen aanbieden
Als je nu je eigen config deelt kunnen anderen je waarschijnlijk wel een zetje in de juiste richting geven.
Ik heb nu:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
| # rules/certs.yaml
http:
routers:
certs:
entryPoints:
- http
- https
service: service-blank
rule: Host("about:blank")
tls:
certResolver: letsencrypt
domains:
- main: "*.mydomain.nl"
sans:
- mydomain.nl
services:
service-blank:
loadBalancer:
servers:
- url: "https://about.blank" |
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
| # rules/middlewares.yaml
http:
middlewares:
redirect:
redirectScheme:
scheme: https
ipwhitelist:
ipWhiteList:
sourceRange:
- "192.168.1.0/24"
ipStrategy:
depth: 0
hsts:
headers:
sslRedirect: true
stsPreload: true
stsSeconds: 315360000
stsIncludeSubdomains: true |
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
| # rules/tls.yaml
tls:
options:
TLSv13:
minVersion: VersionTLS13
cipherSuites:
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
sniStrict: true
default:
minVersion: VersionTLS12
cipherSuites:
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
sniStrict: true |
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
| # traefik.yaml
log:
level: error
entryPoints:
http:
address: ":80"
https:
address: ":443"
traefik:
address: ":8181"
api:
insecure: true
dashboard: true
serversTransport:
insecureSkipVerify: true
providers:
docker:
endpoint: "unix:///var/run/docker.sock"
exposedByDefault: false
network: traefik_ingress
file:
directory: /rules
watch: true
certificatesResolvers:
letsencrypt:
acme:
email: me@protonmail.com
storage: ./acme.json
dnsChallenge:
provider: transip
delayBeforeCheck: 0 |
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
| # docker-compose.yaml
version: "3"
services:
traefik:
container_name: traefik
image: traefik
restart: always
ports:
- 80:80
- 443:443
- 8181:8181
networks:
- traefik_ingress
environment:
- TRANSIP_ACCOUNT_NAME=me
- TRANSIP_PRIVATE_KEY_PATH=transipkey.pem
volumes:
- ${PWD}/traefik.yaml:/etc/traefik/traefik.yaml:ro
- ${PWD}/acme/acme.json:/acme.json
- ${PWD}/rules:/rules:ro
- ${PWD}/transipkey.pem:/transipkey.pem:ro
- /var/run/docker.sock:/var/run/docker.sock
networks:
traefik_ingress:
external: true |
Als ik traefik start, dan klaagt hij over duplicate domains:
code:
1
2
3
4
| [+] Running 1/1 ⠿ Container traefik Started 1.0s traefik | time="2023-03-18T20:25:16Z" level=info msg="Configuration loaded from file: /etc/traefik/traefik.yaml" traefik | time="2023-03-18T20:25:28Z" level=error msg="Unable to obtain ACME certificate for domains \"*.mydomain.nl,mydomain.nl\"" error="unable to generate a certificate for the domains [*.mydomain.nl mydomain.nl]: error: one or more domains had a problem:\n[*.mydomain.nl] [*.mydomain.nl] acme: error presenting token: transip: this exact record already exists.: _acme-challenge 10 TXT PGXvidvMxt8DiBtKUJMHmRa6BtIeAh_WnWHGY_ScYII\n[mydomain.nl] [mydomain.nl] acme: error presenting token: transip: this exact record already exists.: _acme-challenge 10 TXT 6XmkGMJpUQbVp7Dr28RQtf6hYYA7MT6mLKh8uZ-MXhI\n" providerName=letsencrypt.acme ACME CA="https://acme-v02.api.letsencrypt.org/directory" routerName=certs@file rule="Host(\"about:blank\")" |
@zAo En als je bij TransIP inlogt en bij de DNS settings dat TXT-record verwijderd? Lijkt me stap 1
De grap was, dat het hele record niet bestond/bestaat.
Na het een nacht te laten gaan, de boel te herstarten (voor de 10e keer ), zeurt hij er niet meer over. 
Als ik dit aan een container toevoeg, gebeurt er alleen niets; geen log in de traefik container, geen wijzigingen in TransIp. Wat mis ik hier?
Na het een nacht te laten gaan, de boel te herstarten (voor de 10e keer
), zeurt hij er niet meer over. Als ik dit aan een container toevoeg, gebeurt er alleen niets; geen log in de traefik container, geen wijzigingen in TransIp. Wat mis ik hier?
code:
1
2
3
4
5
6
7
8
9
10
11
| labels:
- traefik.enable=true
- traefik.docker.network=traefik_ingress
- traefik.http.routers.navidrome.rule=Host(`muziek.myside.nl`)
- traefik.http.routers.navidrome.entrypoints=http
- traefik.http.routers.navidrome.middlewares=redirect@file
- traefik.http.routers.navidrome-secured.rule=Host(`muziek.myside.nl`)
- traefik.http.routers.navidrome-secured.entrypoints=https
- traefik.http.routers.navidrome-secured.middlewares=hsts@file
- traefik.http.routers.navidrome-secured.tls=true
- traefik.http.services.navidrome.loadbalancer.server.port=4533 |
Dat ik niet aan debug log heb gedacht
Het subdomein lijkt niet aangemaakt te worden, dus ik krijg NXDOMAIN.
Ik probeer een navidrone container te exposen met de volgende labels:
code:
1
2
3
4
5
6
7
8
9
10
11
12
| ports:
- 4533:4533
labels:
- traefik.enable=true
- traefik.docker.network=traefik_ingress
- traefik.http.routers.navidrome.rule=Host(`muziek.domein.online`)
- traefik.http.routers.navidrome.entrypoints=http
- traefik.http.routers.navidrome.middlewares=redirect@file
- traefik.http.routers.navidrome-secured.rule=Host(`muziek.domein.online`)
- traefik.http.routers.navidrome-secured.entrypoints=https
- traefik.http.routers.navidrome-secured.middlewares=hsts@file
- traefik.http.routers.navidrome-secured.tls=true |
De log van Traefik laat dan netjes zien dat die wordt opgepikt:
code:
1
2
3
4
5
6
7
8
9
10
| traefik | time="2023-03-19T12:21:39Z" level=debug msg="Creating load-balancer" routerName=navidrome-secured@docker serviceName=navidrome-navidrome entryPointName=https
traefik | time="2023-03-19T12:21:39Z" level=debug msg="Creating server 0 http://172.27.0.3:4533" serviceName=navidrome-navidrome serverName=0 entryPointName=https routerName=navidrome-secured@docker
traefik | time="2023-03-19T12:21:39Z" level=debug msg="child http://172.27.0.3:4533 now UP"
traefik | time="2023-03-19T12:21:39Z" level=debug msg="Propagating new UP status"
traefik | time="2023-03-19T12:21:39Z" level=debug msg="Added outgoing tracing middleware navidrome-navidrome" entryPointName=https routerName=navidrome-secured@docker middlewareName=tracing middlewareType=TracingForwarder
traefik | time="2023-03-19T12:21:39Z" level=debug msg="Creating middleware" entryPointName=https routerName=navidrome-secured@docker middlewareName=hsts@file middlewareType=Headers
traefik | time="2023-03-19T12:21:39Z" level=warning msg="SSLRedirect is deprecated, please use entrypoint redirection instead." middlewareName=hsts@file middlewareType=Headers entryPointName=https routerName=navidrome-secured@docker
traefik | time="2023-03-19T12:21:39Z" level=debug msg="Setting up secureHeaders from {map[] map[] false [] [] [] [] [] 0 false [] [] true false map[] false 315360000 true true false false false false false}" middlewareName=hsts@file middlewareType=Headers entryPointName=https routerName=navidrome-secured@docker
traefik | time="2023-03-19T12:21:39Z" level=debug msg="Adding tracing to middleware" middlewareName=hsts@file entryPointName=https routerName=navidrome-secured@docker
traefik | time="2023-03-19T12:21:39Z" level=debug msg="Creating middleware" entryPointName=https routerName=certs@file serviceName=service-blank middlewareName=pipelining middlewareType=Pipelining |
Iets later zie ik alleen wel dit:
code:
1
2
| traefik | time="2023-03-19T12:21:39Z" level=debug msg="Looking for provided certificate(s) to validate [\"*.domein.online\" \"domein.online\"]..." ACME CA="https://acme-v02.api.letsencrypt.org/directory" providerName=letsencrypt.acme traefik | time="2023-03-19T12:21:39Z" level=debug msg="No ACME certificate generation required for domains [\"*.domein.online\" \"domein.online\"]." providerName=letsencrypt.acme ACME CA="https://acme-v02.api.letsencrypt.org/directory" |
Hierna wordt er geen DNS entry gemaakt bij TransIP.
Als ik een curl op mijn public IP doe en de host overschrijf naar het navidrone sudomein (muziek.domein.online), dan gaat dat alsnog mis:
code:
1
| curl -H "Host: muziek.domein.online" -v https://my.ip |
In Traefik zie ik dan:
code:
1
2
| traefik | time="2023-03-19T12:20:43Z" level=debug msg="Serving default certificate for request: \"\"" traefik | time="2023-03-19T12:20:43Z" level=debug msg="http: TLS handshake error from my.ip: EOF" |
Waarschijnlijk is het heel obvious, maar ik zie het niet
Als je verwachting is dat Traefik automatisch voor jou DNS regelt: dat is dus niet zo. Je moet zelf de juiste A / AAAA records regelen. Enige dat Traefik met TransIP doet is het uitvoeren van de DNS ACME challenge door heel strict de specificatie te volgen in de zin van "ACME server stuurt een challenge die in een DNS record geplaatst moet worden zodat de ACME server / certificate authority weet dat jij eigenaar van het domein bent". Traefik gaat verder niet automatisch DNS records aanmaken. Sterker nog: de domeinen waarop ik de DNS challenge toepas is in 90% van de gevallen voor een domeinnaam die ik alleen intern / binnenshuis gebruik. Waarbin PiHole de DNS verzorgt en ik met het handje daarin de DNS records opvoer. Mijn Home Assistant bv hoeft niet vanaf het grote boze internet benaderbaar te zijn.:
[...]
Dat ik niet aan debug log heb gedacht
Het subdomein lijkt niet aangemaakt te worden, dus ik krijg NXDOMAIN.
Ik probeer een navidrone container te exposen met de volgende labels:
code:
ports: - 4533:4533 labels: - traefik.enable=true - traefik.docker.network=traefik_ingress - traefik.http.routers.navidrome.rule=Host(`muziek.domein.online`) - traefik.http.routers.navidrome.entrypoints=http - traefik.http.routers.navidrome.middlewares=redirect@file - traefik.http.routers.navidrome-secured.rule=Host(`muziek.domein.online`) - traefik.http.routers.navidrome-secured.entrypoints=https - traefik.http.routers.navidrome-secured.middlewares=hsts@file - traefik.http.routers.navidrome-secured.tls=true
De log van Traefik laat dan netjes zien dat die wordt opgepikt:
code:
traefik | time="2023-03-19T12:21:39Z" level=debug msg="Creating load-balancer" routerName=navidrome-secured@docker serviceName=navidrome-navidrome entryPointName=https traefik | time="2023-03-19T12:21:39Z" level=debug msg="Creating server 0 http://172.27.0.3:4533" serviceName=navidrome-navidrome serverName=0 entryPointName=https routerName=navidrome-secured@docker traefik | time="2023-03-19T12:21:39Z" level=debug msg="child http://172.27.0.3:4533 now UP" traefik | time="2023-03-19T12:21:39Z" level=debug msg="Propagating new UP status" traefik | time="2023-03-19T12:21:39Z" level=debug msg="Added outgoing tracing middleware navidrome-navidrome" entryPointName=https routerName=navidrome-secured@docker middlewareName=tracing middlewareType=TracingForwarder traefik | time="2023-03-19T12:21:39Z" level=debug msg="Creating middleware" entryPointName=https routerName=navidrome-secured@docker middlewareName=hsts@file middlewareType=Headers traefik | time="2023-03-19T12:21:39Z" level=warning msg="SSLRedirect is deprecated, please use entrypoint redirection instead." middlewareName=hsts@file middlewareType=Headers entryPointName=https routerName=navidrome-secured@docker traefik | time="2023-03-19T12:21:39Z" level=debug msg="Setting up secureHeaders from {map[] map[] false [] [] [] [] [] 0 false [] [] true false map[] false 315360000 true true false false false false false}" middlewareName=hsts@file middlewareType=Headers entryPointName=https routerName=navidrome-secured@docker traefik | time="2023-03-19T12:21:39Z" level=debug msg="Adding tracing to middleware" middlewareName=hsts@file entryPointName=https routerName=navidrome-secured@docker traefik | time="2023-03-19T12:21:39Z" level=debug msg="Creating middleware" entryPointName=https routerName=certs@file serviceName=service-blank middlewareName=pipelining middlewareType=Pipelining
Iets later zie ik alleen wel dit:
code:
Hierna wordt er geen DNS entry gemaakt bij TransIP.
En voor domeinen die publiekelijk toegankelijk zijn hoef je natuurlijk niet de DNS challenge te gebruiken. De TLS challenge werkt dan zelfs beter (vereist geen configuratie en werkt sneller doordat er geen DNS record verspreid hoeft te worden). Enige uitzondering is als je wildcard certificaten wilt gebruiken, die kunnen alleen aangevraagd worden via de DNS challenge. Immers moet je dan bewijzen dat het hele domein ook daadwerkelijk van jou is, i.p.v. alleen bewijzen dat jij aan de andere kant van een specifiek (sub)domein zit.
Waarschijnlijk komt dat doordat je niet via SNI aangeeft welk domein je wilt opvragen. Daardoor geeft Traefik het default certificate terug. Immers wordt de TLS verbinding op gezet voordat de HTTP headers verstuurd worden. Dus Traefik moet al een certificaat gebruiken terwijl die niet weet welke Host header je gaat sturen. Daarvoor is SNI bedacht zodat de client in de TLS negotiation al de Server Name kan opgeven.Als ik een curl op mijn public IP doe en de host overschrijf naar het navidrone sudomein (muziek.domein.online), dan gaat dat alsnog mis:
code:
In Traefik zie ik dan:
code:
Waarschijnlijk is het heel obvious, maar ik zie het niet
Maar als je met het handje de DNS hebt aangemaakt komt dat vanzelf goed. Dan kun je gewoon naar muziek.domein.online gaan en weet de browser dat die tijdens de TLS negotiation SNI moet gebruiken om muziek.domein.online "te gebruiken". Waarna Traefik dus het juiste certificaat kan toepassen.
Wederom erg bedankt @RobertMe !
Ik was inderdaad in de veronderstelling dat DNS gedaan zou worden door Traefik omdat ik dat in het verleden met duckdns werkend had.
Ik heb nu een A aangemaakt en naar mijn public IP laten verwijzen, waarna ik het verkeer -uiteraard- zie binnenkomen in traefik als ik met een browser de url open. Heel behulpzaam is de log alleen niet:
Het 172.27.0.2 adres is het docker-ip van traefik.
Kijkend naar de rest van de log, dan ziet het er toch goed uit.
Dat 172.27.0.3 adres, is het adres van de navidrome container, welke samen met traefik in een docker netwerk zit.
Duwtje?
Ik was inderdaad in de veronderstelling dat DNS gedaan zou worden door Traefik omdat ik dat in het verleden met duckdns werkend had.
Ik heb nu een A aangemaakt en naar mijn public IP laten verwijzen, waarna ik het verkeer -uiteraard- zie binnenkomen in traefik als ik met een browser de url open. Heel behulpzaam is de log alleen niet:
code:
1
| traefik | time="2023-03-19T13:04:49Z" level=debug msg="http: TLS handshake error from myip:63737: read tcp 172.27.0.2:443->myip:63737: read: connection reset by peer" |
Het 172.27.0.2 adres is het docker-ip van traefik.
Kijkend naar de rest van de log, dan ziet het er toch goed uit.
code:
1
2
3
4
5
6
7
8
9
| traefik | time="2023-03-19T13:15:01Z" level=debug msg="Creating middleware" serviceName=navidrome-navidrome middlewareName=pipelining middlewareType=Pipelining entryPointName=https routerName=navidrome-secured@docker traefik | time="2023-03-19T13:15:01Z" level=debug msg="Creating load-balancer" entryPointName=https routerName=navidrome-secured@docker serviceName=navidrome-navidrome traefik | time="2023-03-19T13:15:01Z" level=debug msg="Creating server 0 http://172.27.0.3:4533" serviceName=navidrome-navidrome serverName=0 entryPointName=https routerName=navidrome-secured@docker traefik | time="2023-03-19T13:15:01Z" level=debug msg="child http://172.27.0.3:4533 now UP" traefik | time="2023-03-19T13:15:01Z" level=debug msg="Propagating new UP status" traefik | time="2023-03-19T13:15:01Z" level=debug msg="Adding tracing to middleware" entryPointName=https routerName=navidrome-secured@docker middlewareName=hsts@file traefik | time="2023-03-19T13:15:01Z" level=debug msg="Adding route for muziek.domein.online with TLS options default" entryPointName=https traefik | time="2023-03-19T13:15:01Z" level=debug msg="Looking for provided certificate(s) to validate [\"*.domein.online\" \"domein.online\"]..." ACME CA="https://acme-v02.api.letsencrypt.org/directory" providerName=letsencrypt.acme traefik | time="2023-03-19T13:15:01Z" level=debug msg="No ACME certificate generation required for domains [\"*.domein.online\" \"domein.online\"]." providerName=letsencrypt.acme ACME CA="https://acme-v02.api.letsencrypt.org/directory" |
Dat 172.27.0.3 adres, is het adres van de navidrome container, welke samen met traefik in een docker netwerk zit.
Duwtje?
Thanks. Hoewel ik deze specifiek niet meer kan achterhalen (ben naar een simpele setup gegaan om de basis goed te krijgen), blijkt het aan NAT Loopback / Hairpinning te liggen van mijn Delta modem.
Al working now. Dank voor het meedenken!
Ik heb sinds een paar dagen precies hetzelfde probleem. Hoe heb jij het precies opgelost / issue gevonden?:
[...]
Thanks. Hoewel ik deze specifiek niet meer kan achterhalen (ben naar een simpele setup gegaan om de basis goed te krijgen), blijkt het aan NAT Loopback / Hairpinning te liggen van mijn Delta modem.
Al working now. Dank voor het meedenken!
De koppeling met de TransIP API werkt niet lekker en is volgens mij ook al even stuk. Paar maanden terug ben ik daar ook heel veel mee bezig geweest. Uiteindelijk besloten om de DNS via CloudFlare te doen en die API te gebruiken, dat werkt wel. Ik heb het echter wel alleen nodig voor het wildcard certificaat, omdat ik ook voor de subdomeinen een soort van wildcard op DNS niveau heb ingesteld.:
[...]
Dat ik niet aan debug log heb gedacht
Het subdomein lijkt niet aangemaakt te worden, dus ik krijg NXDOMAIN.
Ik probeer een navidrone container te exposen met de volgende labels:
code:
ports: - 4533:4533 labels: - traefik.enable=true - traefik.docker.network=traefik_ingress - traefik.http.routers.navidrome.rule=Host(`muziek.domein.online`) - traefik.http.routers.navidrome.entrypoints=http - traefik.http.routers.navidrome.middlewares=redirect@file - traefik.http.routers.navidrome-secured.rule=Host(`muziek.domein.online`) - traefik.http.routers.navidrome-secured.entrypoints=https - traefik.http.routers.navidrome-secured.middlewares=hsts@file - traefik.http.routers.navidrome-secured.tls=true
De log van Traefik laat dan netjes zien dat die wordt opgepikt:
code:
traefik | time="2023-03-19T12:21:39Z" level=debug msg="Creating load-balancer" routerName=navidrome-secured@docker serviceName=navidrome-navidrome entryPointName=https traefik | time="2023-03-19T12:21:39Z" level=debug msg="Creating server 0 http://172.27.0.3:4533" serviceName=navidrome-navidrome serverName=0 entryPointName=https routerName=navidrome-secured@docker traefik | time="2023-03-19T12:21:39Z" level=debug msg="child http://172.27.0.3:4533 now UP" traefik | time="2023-03-19T12:21:39Z" level=debug msg="Propagating new UP status" traefik | time="2023-03-19T12:21:39Z" level=debug msg="Added outgoing tracing middleware navidrome-navidrome" entryPointName=https routerName=navidrome-secured@docker middlewareName=tracing middlewareType=TracingForwarder traefik | time="2023-03-19T12:21:39Z" level=debug msg="Creating middleware" entryPointName=https routerName=navidrome-secured@docker middlewareName=hsts@file middlewareType=Headers traefik | time="2023-03-19T12:21:39Z" level=warning msg="SSLRedirect is deprecated, please use entrypoint redirection instead." middlewareName=hsts@file middlewareType=Headers entryPointName=https routerName=navidrome-secured@docker traefik | time="2023-03-19T12:21:39Z" level=debug msg="Setting up secureHeaders from {map[] map[] false [] [] [] [] [] 0 false [] [] true false map[] false 315360000 true true false false false false false}" middlewareName=hsts@file middlewareType=Headers entryPointName=https routerName=navidrome-secured@docker traefik | time="2023-03-19T12:21:39Z" level=debug msg="Adding tracing to middleware" middlewareName=hsts@file entryPointName=https routerName=navidrome-secured@docker traefik | time="2023-03-19T12:21:39Z" level=debug msg="Creating middleware" entryPointName=https routerName=certs@file serviceName=service-blank middlewareName=pipelining middlewareType=Pipelining
Iets later zie ik alleen wel dit:
code:
Hierna wordt er geen DNS entry gemaakt bij TransIP.
Als ik een curl op mijn public IP doe en de host overschrijf naar het navidrone sudomein (muziek.domein.online), dan gaat dat alsnog mis:
code:
In Traefik zie ik dan:
code:
Waarschijnlijk is het heel obvious, maar ik zie het niet
EDIT:
Whups, ik zie nu pas dat dit een 2 maanden oude post is, mea culpa!
He? Ik heb nog nooit echt problemen gehad met TransIP. Die keren datveen wildcard cert niet vernieuwd werd kwam dat door een IP whitelist op de TransIP API en dat ik een nieuw IP had
Ik kreeg in elk geval de TransIP API niet aan de praat icm Traefik, ondanks dat ik al jaren hetzelfde IP-adres heb en ik mijn IP-adres had gewhitelist in die API. Toen ik switchte naar CloudFlare DNS werkte het verkrijgen van wildcard certificaten als een zonnetje.:
He? Ik heb nog nooit echt problemen gehad met TransIP. Die keren datveen wildcard cert niet vernieuwd werd kwam dat door een IP whitelist op de TransIP API en dat ik een nieuw IP had
Wellicht werd de API key niet goed door Docker aan de container doorgegeven of zo. Ik gebruik namelijk geen TOML files voor configuratie, enkel configuratie via diverse docker-compose.yml bestanden.
[ Voor 16% gewijzigd door CH4OS op 22-05-2023 16:29 ]
Geloof niet dat ik je hint helemaal begrijp. Staat de test-auth.basicAuth middleware verkeerd, of juist de verwijzing ernaar bij de route? Hoe moet het totaalplaatje van de toml eruit zien volgens jou?:
[...]
Zet de middlewares config eens onder de route waar die bij hoort i.p.v. een nieuwe route maken
[ Voor 7% gewijzigd door JBS op 22-05-2023 16:15 ]
Voor een aantal andere docker containers heb ik basic auth inderdaad ook via labels in docker compose, voor deze specifieke container heb ik een los toml bestand. Op basis van het voorbeeld van @RobertMe werkt basic auth daar nu ook voor
Ik gebruik Traefik icm Proxmox LXC. Maar dat kan inderdaad niet op basis van discovery. Het is "belangrijk" als je een grote schaalbare omgeving hebt waarbij instances ineens op andere servers kunnen draaien. Voor thuis is het leuk, maar noodzakelijk? Nee daar ben ik het absoluut niet mee eens. Mijn server IP is de afgelopen 10 jaar letterlijk nog nooit gewijzigd. En de server zelf wel
Ik probeer in Traefik een default host name rule aan te maken voor mijn Docker containers, zodat ik mezelf een boel kan besparen in de config en in de hostname geen tikfout kan maken. Nu heb ik de volgende regel, eigenlijk letterlijk vanuit het voorbeeld gekopieerd en geplakt in mijn configuratie. Op zich werkt dit, maar geeft het geen gewenst resultaat voor de hostname.
Dit levert een naam op dat er als volgt uit ziet: containernaam-dockernetwerk.mijndomein.nl. Maar jullie raden het vast al: ik wil gewoon containernaam.mijndomein.nl hebben. Maar ik heb geen idee hoe dat te fixen.
Ik kan ook niet zeggen om trimSuffix '-dockernetwork' .Name te doen, omdat ik meerdere containers heb, verspreid over meerdere (Docker) "netwerken".
EDIT:
En voor alsnog opgelost! Ik gebruik nu het volgende als regel:
code:
1
| --providers.docker.defaultRule=Host(`{{ trimPrefix `/` .Name }}.mijndomein.nl`) |
Dit levert een naam op dat er als volgt uit ziet: containernaam-dockernetwerk.mijndomein.nl. Maar jullie raden het vast al: ik wil gewoon containernaam.mijndomein.nl hebben. Maar ik heb geen idee hoe dat te fixen.
Ik kan ook niet zeggen om trimSuffix '-dockernetwork' .Name te doen, omdat ik meerdere containers heb, verspreid over meerdere (Docker) "netwerken".
EDIT:
En voor alsnog opgelost! Ik gebruik nu het volgende als regel:
code:
Gevonden op de community van Traefik. 1
| --providers.docker.defaultRule=Host(`{{ index .Labels "com.docker.compose.service" }}.mijndomein.nl`) |
[ Voor 25% gewijzigd door CH4OS op 18-11-2023 19:24 ]
/u/28318/crop59d5ed176e52f_cropped.png?f=community)
Toch eens even navragen hier, ondanks dat het wat stil is.
Ben onlangs begonnen met het implementeren van Traefik en ik moet zeggen, als je de materie eenmaal een beetje door hebt, dan kan er veel mee.
Inmiddels al wat PowerShell scripts geschreven waarmee ik on the fly configs aan kan maken voor services die niet in de docker instance van Traefik zelf draaien. Ik heb echter één issue:
Ik krijg een site met Windows Authentication net niet helemaal lekker aan de praat.
Ik heb inmiddels begrepen dat daar een TCP router voor nodig is omdat, vermoedelijk, het oppikken van de windows auth nog vóór het http/https verkeer plaatsvindt.
Ik heb het wel werkend gezien in mijn omgeving, maar om de een of andere reden verdwijnt de functionaliteit ook weer en wordt er bij het aanroepen van de router in Traefik een 404 teruggegeven.
In de logging kan ik er niets over terug vinden.
Als ik de traefik container dan een keer stop en start dan werkt het weer voor een minuut of zo, maar dan springt het beeld weer op zwart, vreemd genoeg.
Ik heb twee configuraties geprobeerd (zie hieronder) maar beide lijken dit euvel te hebben (of ik kan er de vinger niet op leggen waarom het stuk gaat en dit heeft er niets mee te maken ).
Het ip adres is benaderbaar. Als ik van Traefik een 404 krijg en ik ga handmatig in de browser naar dit adres, dan krijg ik wel netjes de vraag om een Windows wachtwoord.
Als ik de container stop en start, dan krijg ik kort zelfs van Traefik bij het aanroepen van app.domein.local een ww prompt (ook echt een Windows auth prompt). Ik kan dan zelfs inloggen en de achterliggende site gebruiken. Maar dan na een minuut of vijf, stopt het met werken en krijg ik weer een 404.
Ik heb al rond lopen struinen op de Reddits en Traefik fora, maar zie daar erg weinig informatie. Wel veel gelijkende vragen, maar daar komt bijna nooit antwoord op. Ik vermoed, omdat het wel op een gegeven moment moet lukken, maar niemand meldt de oplossing terug.
In de logging, zelfs met debugging aan zie ik geen duidelijke reden voorbij komen wat er veranderd als Traefik weer een 404 begint terug te geven. Bij opstarten van Traefik zie ik wel netjes dat de config opgepikt wordt en de route wordt opgebouwd en het end-point als UP aangemerkt wordt.
Heeft iemand hier er hier ervaring mee? Of doet iederen met Traefik voornamelijk alles met containers?
Ik heb andere, non-containerized http(s) services wel netjes kunnen plaatsen achter Traefik. Dit is echter de eerste Windows Auth applicatie die ik probeer te migreren.
-UPDATE-
Uiteraard is dit zoiets waar je niet na kan laten om aan te blijven krabben, maar het lijkt er op dat net na de reboot de TCP router voorrang krijgt op ale andere routers, want dat vergat ik te vermelden, als het werkt voor de Windows Auth site, dan is de kans groot dat alle andere sites niet meer werken. Sterker nog, nu ik de melding krijg dat die andere sites het niet doen en ik ros daar herhaaldelijk op F5, dan krijg ik een IIS auth failed scherm en de vraag om in te loggen!
Lijkt er dus op dat AL het verkeer over de TCP router loopt in eerste instantie. Daar zal ik nog eens verder in duiken.
-UPDATE 2-
Ik denk dat ik al wel wat verder ben. Het venijn lijkt bij Traefik toch wel in de 'kleine' lettertjes te zitten. De documentatie is doorspekt met mitsen en maaren. Zoals, nu ik eens goed aan het lezen ben, het advies om een TCP router specifiek op een eigen entrypoint te configureren.
Nu heb ik net zowel in de stack als in de traefik config zelf een extra port met daarop een entrypoint geconfigureerd en DAAR dan de router op aangesloten en dan werkt het! Dus ipv een port denk ik dat ik een extra IP adres toevoeg aan de server en daar het entrypoint/router op ga zetten... 
Ik denk dat ik er verder wel uit ga komen zo. Dank u allen voor het meedenken
Ben onlangs begonnen met het implementeren van Traefik en ik moet zeggen, als je de materie eenmaal een beetje door hebt, dan kan er veel mee.
Inmiddels al wat PowerShell scripts geschreven waarmee ik on the fly configs aan kan maken voor services die niet in de docker instance van Traefik zelf draaien. Ik heb echter één issue:
Ik krijg een site met Windows Authentication net niet helemaal lekker aan de praat.
Ik heb inmiddels begrepen dat daar een TCP router voor nodig is omdat, vermoedelijk, het oppikken van de windows auth nog vóór het http/https verkeer plaatsvindt.
Ik heb het wel werkend gezien in mijn omgeving, maar om de een of andere reden verdwijnt de functionaliteit ook weer en wordt er bij het aanroepen van de router in Traefik een 404 teruggegeven.
In de logging kan ik er niets over terug vinden.
Als ik de traefik container dan een keer stop en start dan werkt het weer voor een minuut of zo, maar dan springt het beeld weer op zwart, vreemd genoeg.
Ik heb twee configuraties geprobeerd (zie hieronder) maar beide lijken dit euvel te hebben (of ik kan er de vinger niet op leggen waarom het stuk gaat en dit heeft er niets mee te maken
).code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| ## appconfiguration
tcp:
routers:
app:
entryPoints:
- https
service: app
rule: "HostSNI(`app.domein.locall`)" #hier heb ik ook al HostSNI(`*`) geprobeerd. Echter dan vallen alle andere sites om, ivm de manier waarop TCP vs HTTPS behandeld wordt in Traefik
tls:
options: default
passthrough: true
services:
app:
loadBalancer:
servers:
- address: "192.168.0.1:443" |
Het ip adres is benaderbaar. Als ik van Traefik een 404 krijg en ik ga handmatig in de browser naar dit adres, dan krijg ik wel netjes de vraag om een Windows wachtwoord.
Als ik de container stop en start, dan krijg ik kort zelfs van Traefik bij het aanroepen van app.domein.local een ww prompt (ook echt een Windows auth prompt). Ik kan dan zelfs inloggen en de achterliggende site gebruiken. Maar dan na een minuut of vijf, stopt het met werken en krijg ik weer een 404.
Ik heb al rond lopen struinen op de Reddits en Traefik fora, maar zie daar erg weinig informatie. Wel veel gelijkende vragen, maar daar komt bijna nooit antwoord op. Ik vermoed, omdat het wel op een gegeven moment moet lukken, maar niemand meldt de oplossing terug.
In de logging, zelfs met debugging aan zie ik geen duidelijke reden voorbij komen wat er veranderd als Traefik weer een 404 begint terug te geven. Bij opstarten van Traefik zie ik wel netjes dat de config opgepikt wordt en de route wordt opgebouwd en het end-point als UP aangemerkt wordt.
Heeft iemand hier er hier ervaring mee? Of doet iederen met Traefik voornamelijk alles met containers?
Ik heb andere, non-containerized http(s) services wel netjes kunnen plaatsen achter Traefik. Dit is echter de eerste Windows Auth applicatie die ik probeer te migreren.
-UPDATE-
Uiteraard is dit zoiets waar je niet na kan laten om aan te blijven krabben, maar het lijkt er op dat net na de reboot de TCP router voorrang krijgt op ale andere routers, want dat vergat ik te vermelden, als het werkt voor de Windows Auth site, dan is de kans groot dat alle andere sites niet meer werken. Sterker nog, nu ik de melding krijg dat die andere sites het niet doen en ik ros daar herhaaldelijk op F5, dan krijg ik een IIS auth failed scherm en de vraag om in te loggen!
Lijkt er dus op dat AL het verkeer over de TCP router loopt in eerste instantie. Daar zal ik nog eens verder in duiken.
-UPDATE 2-
Ik denk dat ik al wel wat verder ben. Het venijn lijkt bij Traefik toch wel in de 'kleine' lettertjes te zitten. De documentatie is doorspekt met mitsen en maaren. Zoals, nu ik eens goed aan het lezen ben, het advies om een TCP router specifiek op een eigen entrypoint te configureren.
Nu heb ik net zowel in de stack als in de traefik config zelf een extra port met daarop een entrypoint geconfigureerd en DAAR dan de router op aangesloten en dan werkt het! Dus ipv een port denk ik dat ik een extra IP adres toevoeg aan de server en daar het entrypoint/router op ga zetten... Ik denk dat ik er verder wel uit ga komen zo. Dank u allen voor het meedenken
[ Voor 17% gewijzigd door ElCondor op 26-04-2024 09:28 ]
Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)
:strip_icc():strip_exif()/u/384807/crop64230383615bf_cropped.jpg?f=community)
Enkel Traefik eigen docs, maar dat kan ook van v2 zijn geweest.
Wat wijkt er dan behoorijk af? ik deel echt een ienie-mini stukje net - als dat al zoveel afwijkt
Wat wijkt er dan behoorijk af? ik deel echt een ienie-mini stukje net - als dat al zoveel afwijkt
[ Voor 14% gewijzigd door Hmmbob op 15-02-2025 18:41 ]
Sometimes you need to plan for coincidence
Heb ervoor gekozen om opnieuw te beginnen, en deze gevolgd https://www.simplehomelab...ocker-compose-guide-2024/
Helaas niet met een werkend geheel, wat ongetwijfeld aan mezelf ligt. Het is gewoon allemaal net wat te complex voor iemand die niet erg in deze netwerk wereld thuis is. Althans, dat vind ik, zeker nu ik een Cloudflare Tunnel gezien heb
:strip_icc():strip_exif()/u/71319/crop63827a2053b9b_cropped.jpg?f=community)
/u/34216/rei-60-xmas.png?f=community)
Sorry voor de late reactie. Ik laat het dan maar zo. De inspanning om het om te bouwen weegt niet af tegen de moeite die ik erin moet steken.
Een andere vraag over treafik, en dan de logs. De logs zijn er wel maar er wordt geen output gestuurd naar docker logs.
Inhoud /home/user/docker/logs/traefik/treafik.log
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
| 2025-04-17T10:08:53+02:00 DBG github.com/traefik/traefik/v3/pkg/middlewares/compress/compress.go:143 > Unable to parse MIME type error="mime: no media type" middlewareName=middlewares-compress@file middlewareType=Compress 2025-04-17T10:08:53+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.5:8080 2025-04-17T10:08:53+02:00 DBG github.com/traefik/traefik/v3/pkg/middlewares/compress/compress.go:143 > Unable to parse MIME type error="mime: no media type" middlewareName=middlewares-compress@file middlewareType=Compress 2025-04-17T10:08:53+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.5:8080 2025-04-17T10:08:54+02:00 DBG github.com/traefik/traefik/v3/pkg/middlewares/compress/compress.go:143 > Unable to parse MIME type error="mime: no media type" middlewareName=middlewares-compress@file middlewareType=Compress 2025-04-17T10:08:54+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.5:8080 2025-04-17T10:09:01+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.6:80 2025-04-17T10:09:03+02:00 DBG github.com/traefik/traefik/v3/pkg/middlewares/recovery/recovery.go:45 > Request has been aborted [141.101.76.104:48402 - /api/hosts/c4a28df9-9cf5-41e5-a663-ca7b10fc1e38/containers/421e0f707a0d/logs/stream?stdout=1&stderr=1&levels=info&levels=debug&levels=warn&levels=error&levels=fatal&levels=trace&levels=unknown]: net/http: abort Handler middlewareName=traefik-internal-recovery middlewareType=Recovery 2025-04-17T10:09:31+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.6:80 2025-04-17T10:09:31+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.6:80 2025-04-17T10:09:32+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.6:80 2025-04-17T10:09:41+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.6:80 2025-04-17T10:09:42+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.6:80 2025-04-17T10:09:50+02:00 DBG github.com/traefik/traefik/v3/pkg/middlewares/compress/compress.go:143 > Unable to parse MIME type error="mime: no media type" middlewareName=middlewares-compress@file middlewareType=Compress 2025-04-17T10:09:50+02:00 DBG github.com/traefik/traefik/v3/pkg/middlewares/compress/compress.go:143 > Unable to parse MIME type error="mime: no media type" middlewareName=middlewares-compress@file middlewareType=Compress 2025-04-17T10:10:01+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.6:80 2025-04-17T10:10:31+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.6:80 2025-04-17T10:10:31+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.6:80 2025-04-17T10:10:31+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.6:80 2025-04-17T10:10:50+02:00 DBG github.com/traefik/traefik/v3/pkg/middlewares/compress/compress.go:143 > Unable to parse MIME type error="mime: no media type" middlewareName=middlewares-compress@file middlewareType=Compress 2025-04-17T10:10:50+02:00 DBG github.com/traefik/traefik/v3/pkg/middlewares/compress/compress.go:143 > Unable to parse MIME type error="mime: no media type" middlewareName=middlewares-compress@file middlewareType=Compress 2025-04-17T10:11:01+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.6:80 2025-04-17T10:11:04+02:00 DBG github.com/traefik/traefik/v3/pkg/middlewares/compress/compress.go:143 > Unable to parse MIME type error="mime: no media type" middlewareName=middlewares-compress@file middlewareType=Compress 2025-04-17T10:11:04+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.5:8080 2025-04-17T10:11:14+02:00 DBG github.com/traefik/traefik/v3/pkg/middlewares/recovery/recovery.go:45 > Request has been aborted [141.101.76.104:48396 - /api/hosts/c4a28df9-9cf5-41e5-a663-ca7b10fc1e38/containers/8457a480dbf4/logs/stream?stdout=1&stderr=1&levels=info&levels=debug&levels=warn&levels=error&levels=fatal&levels=trace&levels=unknown]: net/http: abort Handler middlewareName=traefik-internal-recovery middlewareType=Recovery 2025-04-17T10:11:31+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.6:80 2025-04-17T10:11:31+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.6:80 2025-04-17T10:11:31+02:00 DBG github.com/traefik/traefik/v3/pkg/server/service/loadbalancer/wrr/wrr.go:213 > Service selected by WRR: http://192.168.34.6:80 |
Docker logs (middels Dozzle, maart ook portainer is leeg).
:no_upscale():strip_icc():strip_exif()/f/image/Hdo0fKTnK9AchDOCIvDVIJ3k.jpg?f=user_large)
Het zou me fijn lijken om de logoutput in docker logs te laten lopen. Maakt het raadplegen van de logs makkelijker (dus niet meer een 'cat' of 'tail' te hoeven op de prompt of te hoeven raadplegen in vs code.
Al mijn andere containers loggen nu al netjes naar docker logs zonder enige extra config van mijn hand.
Als ik het goed begrijp moet ik voor de traefik container een log driver configureren en dan zou het werken.
Hoe langer ik erover nadenk, hoe meer ik mezelf afvraag of het eigenlijk wel verstandig is.
Misschien hebben de makers van traefik een hele goede reden om niet default de logs te outputten naar docker logs.
Iemand een idee, mening, of ervaring hierover/hiermee?
:strip_exif()/u/101588/the_lemmings_masacre_2_by_wormthingy.gif?f=community)
:strip_icc():strip_exif()/u/94045/crop66c1b4250e8a2_cropped.jpg?f=community)
Ok. Die is identiek
Hmmm. Ik neem aan dat je de rest hebt weggelaten, zoals de LapiURl en LapiKey. Zonder start het bij mij niet op.
Hmm. Ja, het zou allemaal in één keer moeten werken, maar bij mij dus nog niet.
Op het moment dat ik enabled: true zet, dan gaan alle interne sites op 403, toegang geweigerd.
Maar ik krijg inmiddels al een hint waar het fout gaat. Ondanks dat ik overal infra-crowdsec heb staan, blijft "iets" crowdsec zoeken, die bestaat natuurlijk niet, en blijkbaar gaat het dan fout.
Bash Session:
1
2
3
4
5
6
| DEBUG: CrowdsecBouncerTraefikPlugin: 2025/10/11 16:47:44 handleRemediationServeHTTP ip:168.119.123.75 remediation:t DEBUG: CrowdsecBouncerTraefikPlugin: 2025/10/11 16:48:03 ServeHTTP ip:18.193.252.127 isTrusted:false DEBUG: CrowdsecBouncerTraefikPlugin: 2025/10/11 16:48:03 cache:Get key:18.193.252.127 DEBUG: CrowdsecBouncerTraefikPlugin: 2025/10/11 16:48:03 ServeHTTP:Get ip:18.193.252.127 isBanned:false cache:miss DEBUG: CrowdsecBouncerTraefikPlugin: 2025/10/11 16:48:03 ServeHTTP:handleNoStreamCache ip:18.193.252.127 isBanned:t crowdsecQuery:unreachable url:http://crowdsec:8080/v1/decisions?ip=18.193.252.127 Get "http://crowdsec:8080/v1/decisions?ip=18.193.252.127": dial tcp: lookup crowdsec on 127.0.0.11:53: no such host DEBUG: CrowdsecBouncerTraefikPlugin: 2025/10/11 16:48:03 handleRemediationServeHTTP ip:18.193.252.127 remediation:t |
Ik zoek dus ff verder waar dat nu door komt!
Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs
@alex3305 . Het draait nu.
Ik had in de plugin def van de bouncer dit staan. Geen idee waar ik dat vandaan heb gehaald
Dat moet dit zijn. Ik kreeg verder geen foutmeldingen dat ik ongeldige velden heb gebruikt.
Maar nu werkt alles dus
Het resultaat is dat het gemiddelde CPU verbruik met 0,3% is gedaald (op een schaal van 0..100%). Een aantal backed applicaties zie ik nu ook minder verbruiken. Niet veel, maar het telt weer leuk aan.
Wat ik wilde is dus gelukt: minder belasting van de backends, naast veiliger natuurlijk.
Dit is wel allemaal nog via de bouncer. Vraag me af of dat nog beter wordt met de firewall die iptables/nftables doet voor de bekende ip adressen.
Ik had in de plugin def van de bouncer dit staan. Geen idee waar ik dat vandaan heb gehaald
YAML:
1
| crowdsecLapiUrl: "http://infra-crowdsec:8080/" |
Dat moet dit zijn. Ik kreeg verder geen foutmeldingen dat ik ongeldige velden heb gebruikt.
YAML:
1
| crowdsecLapiHost: infra-crowdsec:8080 |
Maar nu werkt alles dus
Het resultaat is dat het gemiddelde CPU verbruik met 0,3% is gedaald (op een schaal van 0..100%). Een aantal backed applicaties zie ik nu ook minder verbruiken. Niet veel, maar het telt weer leuk aan.
Wat ik wilde is dus gelukt: minder belasting van de backends, naast veiliger natuurlijk.
Dit is wel allemaal nog via de bouncer. Vraag me af of dat nog beter wordt met de firewall die iptables/nftables doet voor de bekende ip adressen.
Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs
Grappig dat als Traefik en CrowdSec samen hun werk doen, en je geen enkele alert meer hebt, dat de console van CrowdSec dan gaat twijfelen of CrowdSec nog wel werkt. Blijkbaar zit daar geen communicatie tussen om dat aan te geven...
:strip_exif()/f/image/5nXDK659W0XSjGZgpacrxwnn.png?f=user_large)
Je wordt hierdoor ook "gestraft" doordat je in dit soort gevallen de "Lite" blocklist krijgt (max 3k IP's), en niet de volledige omdat je nu niks meer bijdraagt door het gebrek aan alerts. Dus ze schroeven de beveiliging omlaag zodat er weer alerts kunnen komen
Ze gaan er natuurlijk ook standaard vanuit dat je een ban van 4h doet. Bij mij zijn ze (bijna altijd) permanent, dus daarmee ook geen last van terugkerende alerts en dus decisions. Immers, botjes leren niet van een straf, die gaan gewoon door.
En custom AppSec collections/parsers/scenario's/alerts tellen niet, want die kunnen ze niet verifieren...
Ik heb dus wel een aantal van die custom dingen draaien om bijv. Wordfence blocks in de access log door te zetten naar CrowdSec. Het is nu enkel wachten op een onverlaat die weer een poging doet om in te loggen met "admin" of een andere logische gebruikersnaam
Al met al dus na 4 dagen een mooi resultaat: ik zie bijna geen 4** status codes meer in de logs voorbijkomen. Alles is een stuk rustiger. Voorlopig dus ook geen noodzaak om de hele lijst van ThreatHive (126.000 IPs) toe te passen.
EDIT #1
Er was blijkbaar een communicatie probleem met CrowdSec, al heb ik geen idee wat dan, maar sinds een uurtje heb ik plotseling weer stapels alerts en zijn alle alerts sinds zaterdagochtend binnengekomen: gemiddeld zo'n 100 per dag
Ik heb lokaal zitten kijken, en zag met "cscli alerts list" bergen met alerts. Toen ik daarna in de CrowdSec console ging kijken, kwamen ze vervolgens allemaal binnen
Dus dat ik bijna geen 4** status codes meer voorbij zie komen dat klopt, maar CrowdSec alert zich nog helemaal suf elke dag. Mijn custom alerts doen het nog niet, dus daar moet ik nog naar kijken...
EDIT #2
Nou. Zolang ik:
/f/image/JP63HfB9LfT456xbqBs52lzG.png?f=fotoalbum_large)
Maar ja, dan wel dus rond de 100 alerts per dag. Ik weet ff niet wat nu verstandiger is
Dezelfde IP adressen komen nu meerdere malen per dag langs. Met een bantijd van 24h isdat al flink minder natuurlijk.
Het wordt denk ik beetje laveren tussen een langere bantijd, toepassing van de emerging threats lijst (update 1x per dag, 24h bantijd, lijst van ca 1.500 ip blokken) en het verlies van de 15k community blocklist die dan de "lite" variant van 3k wordt.
Als voorbeeld:
Je ziet een heel IP bereik elke dag terugkomen. Dag in dag uit exact dezelfde probes, alerts en blocks.
In de emerging threats lijst staat dit bereik (78.153.140.0/24) gewoon geblokkeerd...
EDIT #3
Ja hoor, En dan heb ik Alerts, krijg ik dit weer:
/f/image/7dR1VHmOSXlVakhbD8rg6EPj.png?f=fotoalbum_large)
Afijn: Geen Alerts is niet goed, maar teveel ook niet. Ik heb die Emerging Threats lijst er nu maar ingezet, en ga de bantijd verlengen. Pfff. Het is 15 oktober en ik zit op 406 van de 500 voor de hele maand
Ik neem aan dat alles lokaal gewoon blijft werken, zelfs als ik over die 500 ga.
Je wordt hierdoor ook "gestraft" doordat je in dit soort gevallen de "Lite" blocklist krijgt (max 3k IP's), en niet de volledige omdat je nu niks meer bijdraagt door het gebrek aan alerts. Dus ze schroeven de beveiliging omlaag zodat er weer alerts kunnen komen
Ze gaan er natuurlijk ook standaard vanuit dat je een ban van 4h doet. Bij mij zijn ze (bijna altijd) permanent, dus daarmee ook geen last van terugkerende alerts en dus decisions. Immers, botjes leren niet van een straf, die gaan gewoon door.
En custom AppSec collections/parsers/scenario's/alerts tellen niet, want die kunnen ze niet verifieren...
Ik heb dus wel een aantal van die custom dingen draaien om bijv. Wordfence blocks in de access log door te zetten naar CrowdSec. Het is nu enkel wachten op een onverlaat die weer een poging doet om in te loggen met "admin" of een andere logische gebruikersnaam
Al met al dus na 4 dagen een mooi resultaat: ik zie bijna geen 4** status codes meer in de logs voorbijkomen. Alles is een stuk rustiger. Voorlopig dus ook geen noodzaak om de hele lijst van ThreatHive (126.000 IPs) toe te passen.
EDIT #1
Er was blijkbaar een communicatie probleem met CrowdSec, al heb ik geen idee wat dan, maar sinds een uurtje heb ik plotseling weer stapels alerts en zijn alle alerts sinds zaterdagochtend binnengekomen: gemiddeld zo'n 100 per dag
Ik heb lokaal zitten kijken, en zag met "cscli alerts list" bergen met alerts. Toen ik daarna in de CrowdSec console ging kijken, kwamen ze vervolgens allemaal binnen
Dus dat ik bijna geen 4** status codes meer voorbij zie komen dat klopt, maar CrowdSec alert zich nog helemaal suf elke dag. Mijn custom alerts doen het nog niet, dus daar moet ik nog naar kijken...
EDIT #2
Nou. Zolang ik:
- Niet de lijst van Emerging Threats gebruik (https://rules.emergingthr...es/emerging-Block-IPs.txt) om als decision aan CrowdSec toe te voegen
- Een korte ban tijd (4 uur nu ff) gebruik
:strip_exif()/f/image/JP63HfB9LfT456xbqBs52lzG.png?f=user_large)
Maar ja, dan wel dus rond de 100 alerts per dag. Ik weet ff niet wat nu verstandiger is
Dezelfde IP adressen komen nu meerdere malen per dag langs. Met een bantijd van 24h isdat al flink minder natuurlijk.
Het wordt denk ik beetje laveren tussen een langere bantijd, toepassing van de emerging threats lijst (update 1x per dag, 24h bantijd, lijst van ca 1.500 ip blokken) en het verlies van de 15k community blocklist die dan de "lite" variant van 3k wordt.
Als voorbeeld:
Je ziet een heel IP bereik elke dag terugkomen. Dag in dag uit exact dezelfde probes, alerts en blocks.
In de emerging threats lijst staat dit bereik (78.153.140.0/24) gewoon geblokkeerd...
Bash Session:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
| │ 415 │ Ip:78.153.140.203 │ crowdsecurity/http-sensitive-files │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-14T22:37:25Z │ │ 414 │ Ip:78.153.140.203 │ crowdsecurity/http-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-14T22:37:25Z │ │ 267 │ Ip:78.153.140.203 │ crowdsecurity/http-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-13T12:32:31Z │ │ 266 │ Ip:78.153.140.203 │ crowdsecurity/http-sensitive-files │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-13T12:32:31Z │ │ 252 │ Ip:78.153.140.151 │ crowdsecurity/http-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-13T09:17:57Z │ │ 251 │ Ip:78.153.140.151 │ crowdsecurity/http-admin-interface-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-13T09:17:58Z │ │ 250 │ Ip:78.153.140.151 │ crowdsecurity/http-sensitive-files │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-13T09:17:57Z │ │ 249 │ Ip:78.153.140.123 │ crowdsecurity/http-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-13T09:01:45Z │ │ 248 │ Ip:78.153.140.123 │ crowdsecurity/http-sensitive-files │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-13T09:01:45Z │ │ 160 │ Ip:78.153.140.203 │ crowdsecurity/http-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-12T13:56:53Z │ │ 159 │ Ip:78.153.140.203 │ crowdsecurity/http-sensitive-files │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-12T13:56:53Z │ │ 146 │ Ip:78.153.140.123 │ crowdsecurity/http-admin-interface-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-12T08:39:51Z │ │ 145 │ Ip:78.153.140.123 │ crowdsecurity/http-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-12T08:39:50Z │ │ 144 │ Ip:78.153.140.123 │ crowdsecurity/http-sensitive-files │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-12T08:39:50Z │ │ 106 │ Ip:78.153.140.224 │ crowdsecurity/http-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-12T02:59:35Z │ │ 105 │ Ip:78.153.140.224 │ crowdsecurity/http-sensitive-files │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-12T02:59:35Z │ │ 100 │ Ip:78.153.140.179 │ crowdsecurity/http-admin-interface-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-12T02:05:31Z │ │ 99 │ Ip:78.153.140.179 │ crowdsecurity/http-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-12T02:05:29Z │ │ 98 │ Ip:78.153.140.179 │ crowdsecurity/http-sensitive-files │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-12T02:05:29Z │ │ 93 │ Ip:78.153.140.151 │ crowdsecurity/http-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-12T01:49:40Z │ │ 92 │ Ip:78.153.140.151 │ crowdsecurity/http-sensitive-files │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-12T01:49:40Z │ │ 54 │ Ip:78.153.140.203 │ crowdsecurity/http-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-11T14:35:09Z │ │ 53 │ Ip:78.153.140.203 │ crowdsecurity/http-sensitive-files │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-11T14:35:09Z │ │ 49 │ Ip:78.153.140.224 │ crowdsecurity/http-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-11T13:24:26Z │ │ 48 │ Ip:78.153.140.224 │ crowdsecurity/http-sensitive-files │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-11T13:24:26Z │ │ 45 │ Ip:78.153.140.179 │ crowdsecurity/http-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-11T10:51:04Z │ │ 44 │ Ip:78.153.140.179 │ crowdsecurity/http-sensitive-files │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-11T10:51:04Z │ │ 11 │ Ip:78.153.140.203 │ crowdsecurity/http-probing │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-10T16:39:13Z │ │ 10 │ Ip:78.153.140.203 │ crowdsecurity/http-sensitive-files │ GB │ 202306 Hostglobal.plus Ltd │ ban:1 │ 2025-10-10T16:39:13Z │ |
EDIT #3
Ja hoor, En dan heb ik Alerts, krijg ik dit weer:
:strip_exif()/f/image/7dR1VHmOSXlVakhbD8rg6EPj.png?f=user_large)
Afijn: Geen Alerts is niet goed, maar teveel ook niet. Ik heb die Emerging Threats lijst er nu maar ingezet, en ga de bantijd verlengen. Pfff. Het is 15 oktober en ik zit op 406 van de 500 voor de hele maand
Ik neem aan dat alles lokaal gewoon blijft werken, zelfs als ik over die 500 ga.
[ Voor 114% gewijzigd door Mars Warrior op 15-10-2025 18:37 ]
Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs
Met het dynamisch maken van de bantijd in CrowdSec's profiles.yaml lijkt alles een stuk rustiger te zijn. De bans zijn nu afhankelijk van het aantal decisions in de database (zowel actief als verlopen) * 24h. Dan krijg je dus dat bans bij herhaalde overtredingen steeds langer worden.
De Alerts blijven komen overigens. Ik zit nu vanzelfsprekend ruim over de limiet van 500, maar dat zal me een zorg zijn. De Alerts zorgen ervoor dat er nieuwe - en langere - bans worden uitgedeeld. Zou je de bans in een firewall zetten, dan werkt dat niet omdat die IP adressen worden tegengehouden. En als die ban verloopt, dan komen alle botjes weer van voren af aan je backends verstoren. Nu ik ze nog steeds afvang in Traefik/CrowdSec, worden de bans dus elke keer verlengd.
Het enige dat ik niet kan vinden is hoevaak de database wordt opgeschoond, dus dat verlopen decisions worden verwijderd.
De minimale bantijd van 24u is eigenlijk nog net te kort voor een enkele ban: de meeste botjes komen bijna elke dag rond dezelfde tijd langs. Het bannen van minder dan 24h heeft dus ook geen enkele zin: ze komen toch niet meer langs in die tijd. De standaard 4u van CrowdSec vind ik dan ook vreemd overkomen, immers dat helpt bij mij helemaal niets.
Door de werking van CrowdSec (Alerts --> Nieuwe decision gebaseerd op eerdere decisions) krijgen botjes die regelmatig langs komen feitelijk een "permanente" ban: de bantijd wordt immers elke keer verlengd. Precies wat mijn doel was.
/f/image/g7UCKJWgKujSdKgouARPVlS8.png?f=fotoalbum_large)
De Alerts blijven komen overigens. Ik zit nu vanzelfsprekend ruim over de limiet van 500, maar dat zal me een zorg zijn. De Alerts zorgen ervoor dat er nieuwe - en langere - bans worden uitgedeeld. Zou je de bans in een firewall zetten, dan werkt dat niet omdat die IP adressen worden tegengehouden. En als die ban verloopt, dan komen alle botjes weer van voren af aan je backends verstoren. Nu ik ze nog steeds afvang in Traefik/CrowdSec, worden de bans dus elke keer verlengd.
Het enige dat ik niet kan vinden is hoevaak de database wordt opgeschoond, dus dat verlopen decisions worden verwijderd.
De minimale bantijd van 24u is eigenlijk nog net te kort voor een enkele ban: de meeste botjes komen bijna elke dag rond dezelfde tijd langs. Het bannen van minder dan 24h heeft dus ook geen enkele zin: ze komen toch niet meer langs in die tijd. De standaard 4u van CrowdSec vind ik dan ook vreemd overkomen, immers dat helpt bij mij helemaal niets.
Door de werking van CrowdSec (Alerts --> Nieuwe decision gebaseerd op eerdere decisions) krijgen botjes die regelmatig langs komen feitelijk een "permanente" ban: de bantijd wordt immers elke keer verlengd. Precies wat mijn doel was.
:strip_exif()/f/image/g7UCKJWgKujSdKgouARPVlS8.png?f=user_large)
Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs
Voor diegenen die Traefik met plugins gebruiken en in het algemeen Renovate gebruiken om software / dependencies / ... te updaten.
Met deze "custom manager" (in de Renovate config) herkent en update Renovate deze plugins:
Voorbeeld van een resultaat:
/f/image/EnotzeIWJ8YRffeXJO7LwO2c.png?f=fotoalbum_large)
:strip_exif()/f/image/NpONIORNNvboOW1KqiT9zMMQ.png?f=user_large)
En tegen mijn verwachting in..., en geen idee hoe Renovate het doet, maar het werkt ook goed als je meerdere plugins zou hebben met dezelfde versie.
Als in, als test had ik dit in mijn Traefik.yaml gezet:
En ook in dat geval deed Renovate prima alleen de version regel bij de oidc plugin updaten
(en ik geloofde het zo slecht, dat ik de twee plugins ook nog eens heb omgedraaid, en het is dus ook niet dat Renovate een search & replace doet en stopt na de eerste match. Met de plugins omgedraaid update hij dus de tweede (oidc) en niet nog steeds "alleen de eerste" of zo).
Daarnaast ondersteund de JSONata custom manager niet alleen JSON, maar ook yaml en toml met automatische conversie (anders werkte mijn voorbeeld sowieso al niet). Voor de TOML gebruikers is het dus ook mogelijk om "fileFormat": "yaml" => toml + "managerFilePatterns": ["/traefik.ya?ml/"]" => /traefik.toml te doen (of je kunt dus beiden er in opnemen). Of het ook werkende te krijgen is als je Traefik commnd line flags gebruikt weet ik niet (want dat zijn dan vast twee regels die op basis van het zelf verzonnen naampje bij elkaar moeten worden gevoegd als 1 match met depName / packageName + currentValue).
Met deze "custom manager" (in de Renovate config) herkent en update Renovate deze plugins:
JSON:
1
2
3
4
5
6
7
8
9
10
11
| "customManagers": [ { "customType": "jsonata", "fileFormat": "yaml", "managerFilePatterns": ["/traefik.ya?ml/"], "matchStrings": [ "experimental.plugins.*.{\"depName\": $substringAfter(moduleName, \"/\"), \"currentValue\": version, \"packageName\": \"https://\" & moduleName}" ], "datasourceTemplate": "git-tags" } ] |
Voorbeeld van een resultaat:
:strip_exif()/f/image/EnotzeIWJ8YRffeXJO7LwO2c.png?f=user_large)
En tegen mijn verwachting in..., en geen idee hoe Renovate het doet, maar het werkt ook goed als je meerdere plugins zou hebben met dezelfde versie.
Als in, als test had ik dit in mijn Traefik.yaml gezet:
YAML:
1
2
3
4
5
6
7
8
| experimental: plugins: traefik-oidc-auth: moduleName: "github.com/sevensolutions/traefik-oidc-auth" version: "v0.16.0" foo: moduleName: "github.com/foo/bar" version: "v0.16.0" |
En ook in dat geval deed Renovate prima alleen de version regel bij de oidc plugin updaten
(en ik geloofde het zo slecht, dat ik de twee plugins ook nog eens heb omgedraaid, en het is dus ook niet dat Renovate een search & replace doet en stopt na de eerste match. Met de plugins omgedraaid update hij dus de tweede (oidc) en niet nog steeds "alleen de eerste" of zo).Daarnaast ondersteund de JSONata custom manager niet alleen JSON, maar ook yaml en toml met automatische conversie (anders werkte mijn voorbeeld sowieso al niet
). Voor de TOML gebruikers is het dus ook mogelijk om "fileFormat": "yaml" => toml + "managerFilePatterns": ["/traefik.ya?ml/"]" => /traefik.toml te doen (of je kunt dus beiden er in opnemen). Of het ook werkende te krijgen is als je Traefik commnd line flags gebruikt weet ik niet (want dat zijn dan vast twee regels die op basis van het zelf verzonnen naampje bij elkaar moeten worden gevoegd als 1 match met depName / packageName + currentValue).