Hoe TLS + domein maar toch local only - Netwerken

woensdag 25 december 2024 15:41

Acties:

0 Henk 'm!

Forumzwerver

Topicstarter

Om het Proxmox-topic niet verder te laten bevuilen (MsG in "Het grote Proxmox VE topic")

Ik heb de volgende setup:

Proxmox-servertje met een Nginx Proxy Manager LXC container, die openstaat naar de buitenwereld.

Vanuit Nginx Proxy Manager maak ik dan hosts aan die resolven naar de diverse andere containers/vm's op mijn Proxmox-server. Ik heb een domeinnaam gekoppeld aan Cloudflare waardoor ik via een DNS-challenge een wildcard certificaat heb voor het domein.

Zo heb ik bijvoorbeeld (fictief) homeassistant.komkommer.nl of bijvoorbeeld octoprint.komkommer.nl

Maar daarnaast wil ik diverse diensten draaien alleen lokaal, maar idealiter wel gewoon met een hostname en een geldige TLS, in plaats van aldoor weg moeten klikken van die niet-http warnings e.d..

Bijvoorbeeld proxmox.komkommer.nl of andere local only zaken.

Alleen ik kom er niet helemaal uit. Het liefst introduceer ik niet nog weer extra tooling.

Ik heb een Access List gemaakt in Nginx Proxy Manager (NPM), en die ziet er alsvolgt uit:
Afbeeldingslocatie: https://tweakers.net/i/iKMMaTljMCWn4ctZDmBWm816OmU=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/w4q13hc66RxU9ZoXvIeVDbMj.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/iKMMaTljMCWn4ctZDmBWm816OmU=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/w4q13hc66RxU9ZoXvIeVDbMj.png?f=user_large

Maar ondanks deze entries krijg ik vanaf m'n eigen netwerk gewoon een 403. Als ik de Access List uitzet werkt het wel, maar ja dan kan de hele wereld meegenieten, en dat wil ik precies voorkomen.

Hoe hebben anderen hier dit ingeregeld?

Specs:
Subnet: 192.168.1.X

Proxmox-server draait AdGuard als lokale DNS.

[ Voor 6% gewijzigd door MsG op 25-12-2024 15:44 ]

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

woensdag 25 december 2024 18:39

Acties:

0 Henk 'm!

Wiebeltje

Dat ssl certificaat staat bij Cloudflare of op je nginx proxy? Ik weet dat Cloudflare die ddos protection e.d. heeft maar daarmee gaat Cloudflare waarschijnlijk ook als proxy fungeren. Kun je niet in je access logs op nginx proxy er achter komen vanaf welk ip je requests komen?

Edit: werkt het wel als je in je hosts file een regel toe voegt met je domeinnaam en je nginx server ip? Ik gok dat je toch ergens via een extern ip binnen komt

[ Voor 22% gewijzigd door Wiebeltje op 25-12-2024 18:57 ]

woensdag 25 december 2024 20:22

Acties:

0 Henk 'm!

nelizmastr

Goed wies kapot

Eens met bovenstaande. Ik acht de kans dat je nginx proxy manager je externe IP ziet i.p.v. je interne bijna 100% tenzij je container en lokale hosts een lokale DNS server hebben die correct intern resolven op de juiste FQDN’s en interne IP’s.
Daarvoor moet je wel e.e.a. doen in adguard en je dhcp server, anders resolvet hij de publieke DNS.

Dit zou je in logs moeten kunnen vinden/bevestigen.

[ Voor 13% gewijzigd door nelizmastr op 25-12-2024 20:23 ]

I reject your reality and substitute my own

woensdag 25 december 2024 21:50

Acties:

0 Henk 'm!

MsG

Forumzwerver

Topicstarter

Sorry er ontbreekt wat info inderdaad. In Nginx Proxy Manager koppel ik Let's Encrypt aan een dns-challenge van Cloudflare. Hierdoor heb je maar 1 wildcard tls-certificaat die automagisch verlengd wordt.

Ik zal eens meten welk ip wordt gezien.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

woensdag 25 december 2024 22:35

Acties:

0 Henk 'm!

Wiebeltje

Ik heb zelf ook zo'n opzet maar dan met pihole.

Wat ik op het moment heb is dit:

- Router heeft de pihole(adguard) als dns server ingesteld (DHCP server settings)
- in pihole losse dns records toegevoegd met sub.domein.nl 192.168.0.x (ip nginx proxy)

Via DHCP krijgt elk device dan de adguard dns server en die gaat dus het interne ip terug geven ipv het externe.

Kan het beter? Wellicht, maar voor mij werkt het prima zo

Edit: zie ook deze link. Mijn oplossing lijkt wel der makkelijkste https://serverfault.com/q...l-server-using-a-dns-path

[ Voor 17% gewijzigd door Wiebeltje op 25-12-2024 23:13 ]

woensdag 25 december 2024 22:52

Acties:

0 Henk 'm!

joostdejonge123

Ik heb hier een verlijkbare setup. Uiteindelijk kreeg ik het werkend door mijn externe ip adres in allow lost te zetten en mijn 192.168.1.0/24.

Van buiten lijkt het in ieder geval dicht te zijn (hopelijk houdt nginx het goed genoeg tegen), en op mijn interne netwerk werken de hostnames en certificaten...

woensdag 25 december 2024 23:21

Acties:

0 Henk 'm!

daily.data.inj

Mijn setup is om de subdomeinen alleen aan de LAN zijde te laten DNS resolven door pfsense. Deze worden dan geforward naar een intern LAN IP adres waar een reverse proxy draait om de TLS verbinding op te zetten e.d.
Dit is dan een wildcard certificaat van Lets Encrypt die max 3 maanden geldig is. Reverse proxy zorgt automagisch voor de renewal. Zo krijg je bijv. *.services.komkommer.nl.
Werkt voor mij geweldig.

Nadeel is wel dat als DNS resolving niet lokaal via de LAN gebeurd (wanneer je bijv. VPN gebruikt) het resolven niet werkt

donderdag 26 december 2024 00:34

Acties:

0 Henk 'm!

PuijkeN

euhm ?

Je hebt gewoon split-dns nodig ... m.a.w. de records die je aanmaakt in je externe DNS provider, dien je ook aan te maken in je lokale DNS (AdGuard).

Je verwijst dan gewoon naar je interne IP .. klaar

Even kleine toevoeging, als je een bepaalde service niet extern bereikbaar wil maken .. maak je de DNS records alleen aan in je interne DNS. Zolang je als al eerder hier gezegd is werkt met een wildcard Lets Encrypt certificaat met DNS challenge is dat perfect mogelijk. (hier een volledig apart domein voor interne zooi via Lets Encrypt - zolang het maar met DNS challenge werkt).

[ Voor 48% gewijzigd door PuijkeN op 26-12-2024 00:41 ]

PVOutput

donderdag 26 december 2024 08:55

Acties:

0 Henk 'm!

MsG

Forumzwerver

Topicstarter

Wiebeltje schreef op woensdag 25 december 2024 @ 22:35:
Ik heb zelf ook zo'n opzet maar dan met pihole.

Wat ik op het moment heb is dit:

- Router heeft de pihole(adguard) als dns server ingesteld (DHCP server settings)
- in pihole losse dns records toegevoegd met sub.domein.nl 192.168.0.x (ip nginx proxy)

Via DHCP krijgt elk device dan de adguard dns server en die gaat dus het interne ip terug geven ipv het externe.

Kan het beter? Wellicht, maar voor mij werkt het prima zo

Edit: zie ook deze link. Mijn oplossing lijkt wel der makkelijkste https://serverfault.com/q...l-server-using-a-dns-path

Maar wat configureer je nog in Nginx Proxy Manager nadat je die dns-verwijzing hebt toegevoegd onder die host? Bijv. proxmox.komkommer.nl . Als je dan alsnog een record aanmaakt voor Nginx Proxy Manager hier voor krijg je toch alsnog dat de hele wereld er bij kan?

Misschien voor de verduidelijking, ik heb subdomeinen waar de hele wereld bij mag en subdomeinen waar alleen intern bij mag. Beide hebben hetzelfde domein.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

donderdag 26 december 2024 08:59

Acties:

+1 Henk 'm!

RudolfR

Ik heb in adguard een dns rewrite die het wildcard domein herschrijft naar het lokale ip van de nginx proxy.

donderdag 26 december 2024 09:15

Acties:

0 Henk 'm!

R2D2

Ik ben afgestapt van Nginx proxy manager en over naar Caddy maar hoe ik het heb gedaan is als volgt.

Domein in cloudflare en via DNS challenge de certificaten af laten handelen, dan in cloudflare het domein laten verwijzen naar een intern ip adres, in mijn geval 192.168.68.250 en van daaruit laat ik Caddy (in jouw geval Nginx proxymanager) het regelen.

Werkt helemaal top binnen het eigen netwerk zonder dat er ook maar 1 poort open hoeft. Buiten de deur maak ik gebruik van een WireGuard verbinding naar de Unraid server en werkt alles ook naar behoren.

iRacing profiel | Sim-Racer.nl

donderdag 26 december 2024 09:28

Acties:

0 Henk 'm!

Vorkie

Als je komkommer.nl extern hebt, kan ik je ook adviseren om voor interne sites bijvoorbeeld proxmox.int.komkommer.nl te gebruiken.

Je kan dan een TLS wildcard gebruiken met *.int.komkommer.nl.

Die int.komkommer.nl zone kan je dan bijhouden op je router of Adguard.

Dan hoef je niets met split dns te doen - je externe sites hou je op komkommer.nl en je interne sites op int.komkommer.nl.

je zou zelfs zoals hierboven ook staat dan je proxmox.int.komkommer kunnen registeren op je interne IP bij je externe koster. Dan kan iemand het IP wel ophalen - maar krijgt je 192.168.1.x terug.

donderdag 26 december 2024 09:33

Acties:

0 Henk 'm!

Wiebeltje

MsG schreef op donderdag 26 december 2024 @ 08:55:
[...]

Maar wat configureer je nog in Nginx Proxy Manager nadat je die dns-verwijzing hebt toegevoegd onder die host? Bijv. proxmox.komkommer.nl . Als je dan alsnog een record aanmaakt voor Nginx Proxy Manager hier voor krijg je toch alsnog dat de hele wereld er bij kan?

Misschien voor de verduidelijking, ik heb subdomeinen waar de hele wereld bij mag en subdomeinen waar alleen intern bij mag. Beide hebben hetzelfde domein.

Cloudflare:
sub1.komkommer.nl -> extern ip
sub2.komkommer.nl -> extern ip
Of simpelweg *.komkommer.nl -> extern ip

Adguard:
sub1.komkommer.nl -> intern ip
sub2.komkommer.nl -> intern ip
Proxmox.komkommer.nl -> intern ip
Of simpelweg *.komkommer.nl -> intern ip

Wat firewall betreft zul je ip restricties per vhost/subdomein (in nginx proxy manager) moeten inrichten als die verschillen per subdomein. Publieke domeinen hoeven dan geen rules. Interne iets van allow 192.168.1.0/24. Dat zou al snel voldoende moeten zijn. Wellicht nog een vpn ip range als je die hebt of het interne Docker netwerk?

Let wel, ik ben niet bekend met zowel adguard als nginx proxy manager. Ik heb dus geen idee wat het allemaal wel / niet in kan richten. Ik gebruik pihole en een zelf geconfigureerde nginx instance die alles naar verschillende containers door proxy'ed. De werking netwerk technisch is het wel gewoon het zelfde

donderdag 26 december 2024 10:23

Acties:

0 Henk 'm!

MsG

Forumzwerver

Topicstarter

Het verschil lijkt te zijn dat ik 1 publieke dns verwijzing heb voor komkommer.nl vanuit Cloudflare en alle subdomeinen enkel inregel op NPM (Nginx Proxy Manager).

Ik zal eens kijken naar het alternatief om alle subdomeinen in te regelen vanuit Cloudflare ipv npm. Dan verlies ik wel een beetje het gemak van een subdomein opzetten in npm, maar dat neem ik voor lief.

Dank voor de inzichten tot nu toe.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

donderdag 26 december 2024 10:40

Acties:

0 Henk 'm!

krijn1985

Ik denk niet dat je probleem dan opgelost is. Je moet een lokale DNS draaien waarbij je die subdomeinen die je alleen lokaal wilt hebben dus doorstuurt naar je lokale IP adres (van NPM). Zoals iemand anders zei is het probleem waarschijnlijk dat hij via je externe IP binnenkomt, want dat is het IP adres wat uit de DNS server gehaald wordt.

donderdag 26 december 2024 10:45

Acties:

0 Henk 'm!

MsG

Forumzwerver

Topicstarter

Ik draai sowieso een lokale dns (Adguard). Ik zal eens kijken of ik daar het domein in kan zetten en kijken of hij dan lokaal binnenkomt.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

donderdag 26 december 2024 10:48

Acties:

0 Henk 'm!

R2D2

MsG schreef op donderdag 26 december 2024 @ 10:23:
Het verschil lijkt te zijn dat ik 1 publieke dns verwijzing heb voor komkommer.nl vanuit Cloudflare en alle subdomeinen enkel inregel op NPM (Nginx Proxy Manager).

Ik zal eens kijken naar het alternatief om alle subdomeinen in te regelen vanuit Cloudflare ipv npm. Dan verlies ik wel een beetje het gemak van een subdomein opzetten in npm, maar dat neem ik voor lief.

Dank voor de inzichten tot nu toe.

Maar waarom dan niet de publieke definiëren met ext.komkommer.nl en dan je int.komkommer.nl als wildcard in cloudflare naar een 192.168.x.x adres?

Die interne dan naar je nginx proxy manager laten verwijzen en je kunt alles mappen zoals je wil zonder een extra tool.

iRacing profiel | Sim-Racer.nl

donderdag 26 december 2024 10:50

Acties:

0 Henk 'm!

Sebazzz

3dp

MsG schreef op woensdag 25 december 2024 @ 15:41:
Om het Proxmox-topic niet verder te laten bevuilen (MsG in "Het grote Proxmox VE topic")
Maar ondanks deze entries krijg ik vanaf m'n eigen netwerk gewoon een 403. Als ik de Access List uitzet werkt het wel, maar ja dan kan de hele wereld meegenieten, en dat wil ik precies voorkomen.

Dat kan zijn omdat je misschien IPv6 op je netwerk hebt. Je moet je IPv6 subnets ook whitelisten.

[Te koop: 3D printers] [Website] Agile tools: [Return: retrospectives] [Pokertime: planning poker]

donderdag 26 december 2024 10:51

Acties:

0 Henk 'm!

Sebazzz

3dp

MsG schreef op donderdag 26 december 2024 @ 10:45:
Ik draai sowieso een lokale dns (Adguard). Ik zal eens kijken of ik daar het domein in kan zetten en kijken of hij dan lokaal binnenkomt.

Dat moet je sowieso doen. Lokaal verkeer lokaal houden

[Te koop: 3D printers] [Website] Agile tools: [Return: retrospectives] [Pokertime: planning poker]

donderdag 26 december 2024 10:55

Acties:

0 Henk 'm!

R2D2

Afbeeldingslocatie: https://media.cleanshot.cloud/media/12512/Ripd88FKqfSEGHYs6aKU2mcHAxwR9GTJE2rESgGK.jpeg?Expires=1735228328&Signature=hPX8ET4QOQqIVxk84~3fOc4~p5LyvOJ-Qf3AzSJdxZF3HzbmsZbLrnWRocipisHS5dNHM~lJ34NzfWQghB5iMu7XFdZCxMF8gCrpTq0b6RgFcETGHxxoUV11XOP1BBJDyC4GCT1Wjdl~ZINZCM-jlydHHLUZpBhpzuSYj3wG31nKtq~LHVpuWLNy6OBRfG8kn5qnpBJlugVClPZ~NwQUAunzwqXAcLlKYuTcJR-3W~CYOAO~6JslhW1wy7qPkariGlBt0tdR5uVBBOUBFg027GxAlm5vuDgh3WnemwVm9QzpV-3dGqfQhVDeRJog1GSzag4loiKDqZy1CRp83RKz7Q__&Key-Pair-Id=K269JMAT9ZF4GZ

Plaatje ter verduidelijking, die 192.168.68.250 komt uit bij Caddy in mijn geval en Caddy doet de rest:

Afbeeldingslocatie: https://media.cleanshot.cloud/media/12512/qPl4uAJcBUS4FDT6DhSuiyhfcjckP7NmlIPWzSjp.jpeg?Expires=1735228489&Signature=WG946ir2MfCOM~E3cNAcsBfSzydWJAx7HGXfjNpSyKTGELGuowRfa30hsRV9NiaALzs8MqHbAb7T4L4-zRKtMfdeUggzQANBrp5zBthE5C4Ec-LapcZA0GGP0V3gKYT2jNObXWjX7iEL1QsCJbA~DLRoL0QyIGThvF2VuiXs12ssNSV1deeRUqiNqg95ISMoeunQZ1WYc3eMRhtcgMHWgWFzx9zQdFj9F91s71ZYC3czx46SPeFkwWc8qQr2RecHl9JTN9dtpxusK5OOb70ryeqe8Bhm5vvBy4Ig~c3WAP24ql6HBx5xd~iDn~P-kG~QNEwUigRUn4c0Ga7jEpxJCA__&Key-Pair-Id=K269JMAT9ZF4GZ

Simpeler kan volgens mij niet.

iRacing profiel | Sim-Racer.nl

donderdag 26 december 2024 11:03

Acties:

0 Henk 'm!

MsG

Forumzwerver

Topicstarter

Sebazzz schreef op donderdag 26 december 2024 @ 10:50:
[...]

Dat kan zijn omdat je misschien IPv6 op je netwerk hebt. Je moet je IPv6 subnets ook whitelisten.

Ik heb ipv6 bewust uitgezet in mijn Fritzbox router om niet meteen extra complexiteit die ik niet volledig begrijp te introduceren. Wie weet komt dat in de toekomst, als ik het beter begrijp.

R2D2 schreef op donderdag 26 december 2024 @ 10:55:
[Afbeelding]

Plaatje ter verduidelijking, die 192.168.68.250 komt uit bij Caddy in mijn geval en Caddy doet de rest:

[Afbeelding]

Simpeler kan volgens mij niet.

Heb je hier ook domeinen die je juist wel naar buiten toe wil? Ik heb dus een mix van bla.komkommer.nl die ook wereldwijd te resolved moet zijn, als floep.komkommer.nl die ik alleen intern wil kunnen benaderen. Hij mag best wereldwijd resolven, dat is mij om het even. Als de toegang maar enkel intern is.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

donderdag 26 december 2024 11:22

Acties:

0 Henk 'm!

Wiebeltje

MsG schreef op donderdag 26 december 2024 @ 10:45:
Ik draai sowieso een lokale dns (Adguard). Ik zal eens kijken of ik daar het domein in kan zetten en kijken of hij dan lokaal binnenkomt.

Dit is als het goed is je oplossing

.

Dns resolven en rechten moet je hier los van elkaar zien. Als je bepaalde subdomeinen af wil schermen moet je firewall rules op die specifieke subdomeinen zetten.

donderdag 26 december 2024 14:09

Acties:

0 Henk 'm!

R2D2

MsG schreef op donderdag 26 december 2024 @ 11:03:
[...]

Heb je hier ook domeinen die je juist wel naar buiten toe wil? Ik heb dus een mix van bla.komkommer.nl die ook wereldwijd te resolved moet zijn, als floep.komkommer.nl die ik alleen intern wil kunnen benaderen. Hij mag best wereldwijd resolven, dat is mij om het even. Als de toegang maar enkel intern is.

Jazeker, de wildcard resolved naar het interne ip adres waar Unraid met Caddy op draait, eventuele sub domeinen die publiekelijk zijn en het hoofddomein resolven naar een VPS waar ik mijn website op draai. Ik heb het zelf bewust niet via AdGuard gedaan omdat ik niet al het interne verkeer via AdGuard Home heb lopen en die oplossing bij mij ook niet helemaal lekker werkte als ik met een VPN verbonden was met het thuisnetwerk.

Je bent er dus zo goed als, verwijs bij Cloudflare gewoon eerst je *.komkommer.aardbei eens naar het op adres van je proxmox/nginx proxy manager machine en je zult zien dat het werkt. Daarna nog even WireGuard er tegenaan en je kunt zowel binnen als buitenshuis (middels Wireguard) dan gewoon gaan verbinden met soepstengel.komkommer.aardbei

iRacing profiel | Sim-Racer.nl

donderdag 26 december 2024 14:26

Acties:

0 Henk 'm!

MsG

Forumzwerver

Topicstarter

Wiebeltje schreef op donderdag 26 december 2024 @ 11:22:
[...]

Dit is als het goed is je oplossing .

Dns resolven en rechten moet je hier los van elkaar zien. Als je bepaalde subdomeinen af wil schermen moet je firewall rules op die specifieke subdomeinen zetten.

Ja, maar ik heb dus geen losse firewalls behalve mn centrale router, en wilde niet onnodig lower level gaan. Ik denk dat als ik lokaal al bij mn npm uit kom (ipv vanaf lokaal alsnog via mn publieke op) dat ik dan wel de Access Lists kan gebruiken van npm, ipv dat ik dan weer op een ander niveau met een firewall moet gaan hannesen.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

donderdag 26 december 2024 15:32

Acties:

0 Henk 'm!

Wiebeltje

MsG schreef op donderdag 26 december 2024 @ 14:26:
[...]

Ja, maar ik heb dus geen losse firewalls behalve mn centrale router, en wilde niet onnodig lower level gaan. Ik denk dat als ik lokaal al bij mn npm uit kom (ipv vanaf lokaal alsnog via mn publieke op) dat ik dan wel de Access Lists kan gebruiken van npm, ipv dat ik dan weer op een ander niveau met een firewall moet gaan hannesen.

Je router kan de ssl verbindingen niet lezen (en dus weet die niet voor welk domein het verkeer bedoeld is. Je kan daar niks blokkeren op domein niveau. De Rotter hoeft alleen poort 443 door te geven.

Wat ik met firewall rules bedoelde heet dus blijkbaar access lists in NPM

. Ik weet dus niet precies wat je wel en niet kan met NPM. Het gaat er om dat je op interne subdomeinen een interne access list zet. De publieke subdomeinen hoeven er waarschijnlijk geen te hebben. Ik hoop dat het zo duidelijker is

donderdag 26 december 2024 23:42

Acties:

+2 Henk 'm!

MsG

Forumzwerver

Topicstarter

Ik heb in AdGuard een redirect gemaakt van *.komkommer.nl naar het lokale ip/hostname van de Nginx Proxy Manager, en nu kan NPM keurig onderscheid maken tussen intern en extern verkeer, gezien het interne verkeer nu wèl vanuit 192.168.1.X komt. Hiermee werken ook meteen de Access Lists.

Ideaal! Iedereen hartelijk dank voor de hulp.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

Pagina: 1

Reageer