Netwerk en ssl/TLS certificaten voor 'alles' ?

Ben al een goede maand bezig om nieuwe dingen te proberen.

b.v Ik was het zat dat ik constant meldingen kreeg van Onedrive/Google drive/Dropbox etc dat storage vol was dus naar alternatieven gaan kijken en kwam ik uit op OwnCloud/Nextcloud. Het is uiteindelijk Nextcloud geworden met Collabora. Ook andere services als WireGuard, AdGuard Home, Docker en andere dingen.

Voor Nextcloud/Collabora heb ik HTTPS werkend, ook AdGuard Home heeft https/encryption beschikbaar ook voor verkeer (als het goed is) Wireguard heeft AdGuard als DNS.

Maar ik raak een beetje verveeld door alle 'onveilige website' meldingen etc. Ook voor router/switch/unifi controller/ruckus etc etc.

Ik probeer dus overal lokale CA pem/crt/key dingen aan te maken. Soms lukt dit soms is het een bak ellende om ze te maken/proberen Edgerouter is een geval apart, bij andere kan ik gewoon de files uploaden of inhoud kopieren/plakken.

Dit werkte redelijk makkelijk https://www.digicert.com/easy-csr/openssl.htm

Waar mogelijk hebben alle apparaten een naam b.v. router.domein.eu, switch.domein.eu, truenas.domein.eu enzovoorts.

Ik wil gewoon van die beveiliging meldingen af op mijn netwerk.

Om de certificaten te maken kwam ik al mkcert/keytool/openssl en dingen als 'easyrsa3 - github' tegen maar hoe hiermee om te gaan?
Voor Nextcloud heb ik guides gebruikt maar die zijn weer niet van toepassing op andere dingen...

Zijn er mensen die dit dagelijks tegenkomen?

synoniem schreef op zaterdag 18 januari 2025 @ 15:33:
Voor mijn interne netwerk gebruik dezelfde domeinnaam als extern alleen heb ik in Pihole dan interne ipnummers staan. Ik haal op 1 plek met Lets Encrypt op basis van DNS een wildcard certificaat op (*.domeinname.nl) en dat certificaat kopieer ik naar de devices waar ik een https verbinding mee wil kunnen maken.

Nou dat wil ik dus ook, toegang regel ik wel via VPN maar een aantal dingen moeten wel toegankelijk zijn vanaf buitenaf. Maar als ik het goed lees gebruik je je Pi-Hole as DHCP server?
Ik probeerde mijn edgerouter zo in te stellen dat die dus ook domein namen uitdeelt, of in ieder geval elke computer met 'computernaam.domein.eu' toegankelijk te maken. Maar geloof dat dat met een DC/AD moet (te lang geleden, laatste keer was server nt4/2000). Denk dat ik dit eerst even in een paar VM's probeer.

En ja heb met letsencrypt certificaten gemaakt op de server waar nextcloud op draait. Hopelijk werkt autorenew ook.

Maar daarom zijn we hier, probeer wat dingen uit maar wel goed.
Was ook met PFsense/Opnsense bezig maar moet daar nog even een goede hardware oplossing voor maken met 2/3 lan poorten.

synoniem schreef op zondag 19 januari 2025 @ 23:25:
[...]

Ik gebruik zelf Traefik als proxy dat werkt prima gewoon 1 port naar buiten open (https 443) en intern zoekt Traefik uit naar welk subdomein hij het verkeer door moet sturen. En Traefik kan alle certificaten (of 1 wildcard certificate) geautomatiseerd aanvragen en vernieuwen. Zowel met TLS, HTTP als DNS.

Het is lastig alle informatie over de setup in beeld te brengen. Dit was de 4de poging om te draaien wat ik wilde. Elke keer van 0 begonnen, lijst bijgehouden waar ik tegenaan liep en zo steeds verder bouwen. Docker had ik toch nodig voor Collabora dus dacht dan kan ik vanuit daar verder.


Traefik wil voor mij niet werken : deze guide geeft een is a directory error : https://www.youtube.com/watch?v=-hfejNXqOz
Met die guide kom ik er ook niet uit. Het probleem waar ik tegenaan loop is waarschijnlijk het volgende :

Server - Ubuntu 2404
Draait : Nextcloud-Apache2->Docker-collabora (https)/Adguard/Wireguard/Docker (Via Letsencrypt de certificaten)
Server heeft dus al poort 22, 53, 80, 443, 1400, 8000, 8080, 8123, 8882, 8883, 8888, 9000, 9443, 18555 allemaal bezet, en een aantal zijn doorgezet naar buiten.

In Docker draaien:
HomeAssistant-Collabora-UnifiController-Portainer. en poorten : 8000/9000/9443/8123/9980/8080/8443/8880/3478/6789/10001
Traefik zal dus op 80/443(8080) moeten komen en open naar internet... Als ik dat doe ligt alles plat.


En door het klooien met traefik is mijn unificontroller om zeep geholpen? maar heb hem weer aan de praat - unhealthy - verwijderen unfi dir en opnieuw installeren. bij dat ik backup had.

waar het op lijkt is dat ik helemaal vanaf 0 moet beginnen, maar ik wil b.v. nextcloud niet in docker/snap draaien want dat is drama. hetzelfde voor wireguard/adguard, teveel gedoe/onkunde om alles goed te laten communiceren.

Ookal was wireguard easy/wg-easy wel erg mooi (maar kreeg het niet voorelkaar dat bij aanmaken nieuwe gebruikers gelijk juiste DNS-Adguard gebruikt werd.).

Waar het op lijkt is dat ik eerst weer ubuntu moet opzetten, traefik als eerst misschien niet in Docker? Dan Nextcloud/Wireguard/Adguard dan Docker voor Portainer/Collabora(backend voor nextcloud)/Unifi/Homeassistant
Maar dat zal ook wel een hoop trial and error worden. Heb nog een stuk of 4 van die Dell bakkies dus kan er 1 naast maken en kijken of dat lukt zonder deze te slopen. Maar dan moet ik wel wisselen tussen portforward rules of gewoon zelfde ip gebruiken op een aparte router en stekkertjes omwisselen zodat het huidige netwerk door kan draaien.

Of misschien hele zwik naar WS2025/IIS met gelijk AD/DC/DNS/DHCP/R&R access (dus router eruit) maar ff uitvogelen hoe ik vlan300 toevoeg, heb ik een mooi single point of failure
Maar ik weet niet of de hardware genoeg is, zijn maar simpele Dell Optiplex bakjes met een i5 3570K/16GB/2-8TB
Heb wel een extra netwerk kaart liggen om netwerk af te schermen. Het kan ook via mijn Supermicro's dual Xeon 12c24t/96GB/42TB per node maar die zuigen nogal wat en erg luid.
Anders nog een Xeon e5 14c28t/64GB waar ongeveer 28TB opslag aan kan.

Was ondertussen ook nog bezig met AD/DC/DNS(DHCP) windows server 2025, draait nu ook in vmware test omgeving.
Jaren geleden mee bezig geweest werk/thuis en aantal installaties gedaan maar door ziekte 5 jaar eruit geweest daarna niet meer nodig gehad, jaartje of 15.(Leuk dat mcse/mcsa of wat ik toen ook gehaald had niets meer mee gedaan op mijn nieuwe werk )
Vroeger ooit eens windows NT/server gebruikt icm die KPN modems die met PPPOE werkte zodat ik internet kon verdelen over mijn thuisnetwerk. Heb ook nog 2 EX4200 48T switches die misschien wat kunnen betekenen.

[ Voor 73% gewijzigd door prutser001 op 20-01-2025 22:13 . Reden: weer terug en wat geprobeerd. ]

Frogmen schreef op dinsdag 21 januari 2025 @ 09:21:
Als je al Truenas hebt draaien kan je daar heel gemakkelijk de app Nginx proxy op draaien die let's encrypt certificaten kan aanvragen. Moet je alleen wel een domein geregistreerd hebben. En dan gebruik je reverse proxy.

Ik ben daar dus mee bezig maar probeer mijn DNS spul over te zetten naar cloudflare zodat ik dns-01 kan gebruiken voor letsencrypt... helaas kloppen/missen de handleidingen niet van versio om dnssec uit te zetten en de opties zijn nergens te vinden!? Versio/pcxtreme of hoe het ook heet is een beetje ruk.

Maar was inderdaad dus bezig met nginx proxy manager en die is ook gestart maar voornamelijk dus met certificaten aan het vechten.

Het lijkt voor een deel te werken nu, moet alleen even kijken

rens-br schreef op dinsdag 21 januari 2025 @ 11:33:
[...]


Deze heb ik in ieder geval draaien in Docker en ben echt ontzettend tevreden. Ik had dit draaiend in enkele minuten.

Ik gebruik zelf deze via docker-compose.

Wat je daarvoor moet inrichting is:

• Poort 443 en 80 moet open staan richting je Reverse proxy server.
• DDNS instellen (is optioneel bij een vast ip) via bijv. DuckDNS
• DDNS instellen in je router
• CNAME record instellen bij je hoster van je subdomein -> je DDNS link. (Bijv. unifi.prutser001.nl -> prutsor001.duckdns.org
• Stel per subdomein in Nginx in waar je naar wilt verwijzen. (bijv. unifi.prutser001.nl -> 192.168.X.XXX:8443)
• Vink vervolgens in Nginx aan dat je een SSL certificaat wilt genereren
• Klaar is kees

Ik heb het nu voor een deel aan de praat maar lijkt erop dat ik 24 uur moet wachten voor de updates.

Nginx proxy manager draait nu op truenas in docker. port80->30020->80 en port443->30021->80 (poorten die truenas/docker toegekend heeft. Maar DNS zelf lijkt nog niet werkend te zijn. NS al aangepast, DNSSEC is al uitgezet door versio nu en hopelijk was dat het..

Nu alleen nog de melding : Add an A, AAAA, or CNAME record for www so that www.mijnwebsite.eu will resolve.


Denk dat ik er bijna ben nu.

[ Voor 55% gewijzigd door prutser001 op 21-01-2025 11:43 ]

rens-br schreef op dinsdag 21 januari 2025 @ 11:33:
[...]


Deze heb ik in ieder geval draaien in Docker en ben echt ontzettend tevreden. Ik had dit draaiend in enkele minuten.

Ik gebruik zelf deze via docker-compose.

Wat je daarvoor moet inrichting is:

1. Poort 443 en 80 moet open staan richting je Reverse proxy server. (ik heb een unifi router)
   [Afbeelding]
2. DDNS instellen (is optioneel bij een vast ip) via bijv. DuckDNS
   [Afbeelding]
3. DDNS instellen in je router
   [Afbeelding]
4. CNAME record instellen bij je hoster van je subdomein richting je DDNS link. (Bijv. unifi. -> prutsor001.duckdns.org
   [Afbeelding]
5. Stel per subdomein in Nginx in waar je naar wilt verwijzen. (bijv. unifi.prutser001.nl -> 192.168.X.XXX:8443)
   [Afbeelding]
6. Vink vervolgens in Nginx aan dat je een SSL certificaat wilt genereren.
   [Afbeelding]
7. Druk op Save en klaar is kees

Ja sorry voor de 2de quote maar ff.

Lijkt erop dat veranderingen door zijn maar dnssec geeft een foutje geen idee waar ik dat moet oplossen nu maar ja. Getest met dnsviz.net

Als ik nu naar mijn 'website' ga krijg ik dus de nginx welkom pagina te zien. Nextcloud kom ik nu niet direct in maar wel via VPN die draait. Eventjes finetunen dus.

EDIT - Ik wacht ff met edits/replies nu want van alles begint te werken. Sommige dingen nog niet maar komt vanzelf hoop ik. Ik weet dat ik niet mag bedanken hier, maar toch bedankt voor de hulp!

[ Voor 3% gewijzigd door prutser001 op 21-01-2025 12:01 ]

rens-br schreef op dinsdag 21 januari 2025 @ 12:33:
[...]


Dat is al goed nieuws. Dat betekent dat hij de weg naar je router en reverse proxy weet te vinden. Krijg je de onderstaande melding?

[Afbeelding]

Want dan betekent het dat je in je reverse proxy het domein nog niet (goed) hebt ingesteld.

Klopt ja, dat kreeg ik, maar geen idee hoe verder. Als ik nu naar 'nc.mijnwebsite.eu' (NextCloud portal) ga dan krijg ik 'err_too_many_redirects' Dit zal er wel mee te maken hebben dat daar al certificaten werkend waren, .htaccess was ook al ingesteld. Maar ik wacht nog even met aanpassen. Kan in ieder geval via VPN overal nog bij dus dat kan nog wel even.

Nou het lijkt erop dat ik ook moet verhuizen naar andere host. Zoek me al uren suf naar dnssec instellingen... zijn dus niet beschikbaar bij pcextreme.. De behulpzame support heeft het nu voor me gedaan. Aan de service van die beste man ligt het niet.

DNSSEC errors beginnen op te lossen van de 8 nog 2 over nu
*website*.eu/CDNSKEY: The CDNSKEY RRset must be signed with a key that is represented in both the current DNSKEY and the current DS RRset. See RFC 7344, Sec. 4.1.
*website*.eu/CDS: The CDS RRset must be signed with a key that is represented in both the current DNSKEY and the current DS RRset. See RFC 7344, Sec. 4.1.

https://dnssec-analyzer.verisignlabs.com/*mijnwebsite*.eu zegt dat het goed is nu.

Updates volgen.

rens-br schreef op dinsdag 21 januari 2025 @ 12:33:
[...]


Dat is al goed nieuws. Dat betekent dat hij de weg naar je router en reverse proxy weet te vinden. Krijg je de onderstaande melding?

[Afbeelding]

Want dan betekent het dat je in je reverse proxy het domein nog niet (goed) hebt ingesteld.

Toch klopt er iets niet, ik heb die 'www.domain.eu' nu doorgezet naar nextcloud, maar 'domain.eu' gaat nog naar NPM.

Alles lijkt uit te komen op mijn nextcloud server/IP zelfs als ik poort 40404 mee geef reageert nextcloud en alles eindigt met 'ERR_TOO_MANY_REDIRECTS' .

Als ik NPM gebruik moeten dan alle eerdere portforwards eruit?
Nu staan ze er nog in maar lijken ook niet te werken, logica zegt mij dat ze er wel in moeten blijven staan.
Of moeten die dan naar NPM geforward worden? Nu staan 80 en 443 naar NPM.

In Cloudflare dash heb ik :

A
domain.eu
IP
Proxied
Auto

A
www
IP
Proxied
Auto

De rest is CNAME dus 'testpagina1, testpagina2', 'apparaat1' etc.
Dingen die op een andere port dan 80 draaien zijn niet proxied.

Alle andere CNAME's die op 80 draaien zijn wel proxied en ik heb al geprobeerd of het uitmaakt of proxy nou wel of niet aan staan.
Ik doe of iets heel simpels fout, of er gaat gewoon iets niet goed.

Intern lijken somige dingen wel goed te gaan, kan eigenlijk elk apparaat benaderen dmv router.domain.eu maar dit komt waarschijnlijk door de AdGuard DNS rewrites. Alleen nog steeds bijna overal 'Not Secure' ondanks dat certificaten in NPM zitten.

[ Voor 7% gewijzigd door prutser001 op 23-01-2025 13:45 . Reden: vergat wat ]

rens-br schreef op donderdag 23 januari 2025 @ 13:49:
[...]


Port forwarden, anders dan 80 en 443 is niet meer nodig. Wat je nu instelt is eigenlijk het volgende:
1. Je geeft bij je hoster aan dat subdomein.prutsor.nl gaat naar je huis IP (al dat niet met een DDNS omweg)
2. Je reverse proxy ziet dat inkomende verkeer en kijkt of subdomein overeenkomt met iets wat hij kent. Als dat bekent is stuurt hij je vervolgens door naar de ingestelde dienst (op de juiste poort).

Zelf poorten forwarden is dus niet meer nodig, dus die moet je eruit halen.
[...]


Dit deel snap ik niet helemaal. Zou je eens een screenshot willen delen?


[...]

Waar verwijst je CNAME naar toe?

[...]


Dat weet ik inderdaad wel zeker.

screenshot




CNAME verwijst naar domain.eu (gezien minecraft.domain.eu werkt zou de rest ook goed moeten zijn).

En inderdaad portforward uitgezet naar 40404 en nu komt minecraft.domain.eu wel goed door maar waarschijnlijk omdat dit de enige is die op een andere poort zit...

rens-br schreef op donderdag 23 januari 2025 @ 14:43:
[...]


Ik ben niet super bekend met de opties die ik zie, maar ik zou verwachten dat ze allemaal op DNS only moeten staan. Proxy doet Cloudfair immers niet, maar dat regel je zelf.


[...]


Minecraft werkt dus zoals verwacht?

We zijn een stukje verder :

Minecraft op minecraft.domain.eu -192.168.1.10:40404
Unifi werkt unifi.domain.eu (wel compleet andere docker image nu).192.168.1.2:8443
truenas werkt ook error 503 en dat klopt. 192.168.1.5
NPM werkt nog op 'domain.eu' / 192.168.1.5
test3 - 192.168.1.6
test1 - 192.168.1.2:9000

Maar Nextcloud geeft nog steeds 'many redirects' error. Nog geen idee wat dat is buiten .htaccess maar dat zal nog wel wat worden.

router/truenas netjes secure nu.
Nextcloud was dat al maar daar kom ik nu niet bij extern zonder vpn.

MsG schreef op donderdag 23 januari 2025 @ 14:56:
Kan je niet een wildcard DNS inrichten bij je domeinclub, en alles gewoon zelf lokaal afvangen? Dan hoef je ook niet alle DNS-entries op 2 plekken in te regelen (zowel bij je host, als in NPM).

bij mij gaan komkommer.nl en *.komkommer.nl gewoon naar mijn Nginx Proxy Manager, en enkel vanuit NPM regel ik eventuele subdomeinen.

Als je vanuit je lokale DNS server ook nog een entry inklopt voor *.komkommer.nl naar je lokale NPM Ip, ipv via het internet, kan je ook makkelijk de Access Lists gebruiken in NPM.

Zie ook: Hoe TLS + domein maar toch local only

Hmm als je met 'rewrite' dus *.domain.eu naar het IP van NPM bedoelt?
Als ik dat doe komt alles op mijn truenas login uit..? maar extern lijkt het wel te werken.

Nu krijg ik wel de melding dat hsts aan staat als ik intern naar die host wil?
Dus b.v. minecraft.domain.eu intern geeft een SSL waarschuwing en kom er nu niet voorbij.

NPM draait dus in een docker container op Truenas dus ik kom er niet helemaal uit.
NPM moet ik lokaal benaderen via 192.168.1.5:30020(30021 en 30022 staat ook open)
30020 = 80 (geeft interface)
30021 = 443 (geeft de congratulations melding)
30022 = 81 (staat standaard aan in de docker image geeft error 400)

Mijn hoofd tolt ff wat anders.

-- Denk eraan om gewoon opnieuw te beginnen. --

- Ubuntu -> NPM, nextcloud? Adguard en Wireguard, Docker - Collabera/Unifi Controller/Homeassistant.

- Truenas Scale voor NAS (Oude nas weg en schijven over, data die erop staat is nog even een dingetje)
- Docker - Minecraft server, e.a. Waarschijnlijk ook VM's.

- Windows Server 2025 - AD/DC (Alle windows computers een herinstallatie zijn te clonen)

Waarom? Gewoon omdat het kan en om wat te doen te hebben (ziek thuis).

Heb genoeg netwerken opgezet in mijn tijd maar dat is meer voor bedrijven en niet zo ingewikkeld.

Hardware die gebruikt gaat worden :

Truenas Scale: Xeon e5 14c/28t-64GB+~ 5 x 8TB, 4 x 4TB en SSD en caching SSD.
Ubuntu: Dell Optiplex 4690-16/24GB+250GB-1TB SSD
Windows Server 2025: Dell Optiplex 4690-16/24GB+250-1TB SSD

Laptops en andere PC's doen er niet echt toe.
De Supermicro dual node (ESXI8.0c) doe ik wel een andere keer iets mee.

Jullie gedachten? Het doel blijft hetzelfde, maar met NPM moet het wel te doen zijn.
Of is het beter on NPM in docker te draaien? Ik heb geen zin in al dat poorten gedoe als ik eerlijk ben. Zoals het nu gaat werkt het niet. Ik wilde ook nog kijken naar Aapanel voor de hobby om dus een beetje met websites/hosten te proberen.

[ Voor 31% gewijzigd door prutser001 op 23-01-2025 20:39 ]

MsG schreef op donderdag 23 januari 2025 @ 20:54:
[...]


Die poorten is puur een implementatiedetail van de server, daar moet je niks mee willen doen als gebruiker, enkel bij het instellen met Ngninx Proxy Manager. Na de proxy manager wil je namelijk dat alles op 443 zit (https-verkeer).

Heb je al wel iets draaien op NPM? Welke hostname gebruik je dan in de browser? Als het goed is moet NPM je doorsturen naar een bepaalde actieve service op het ingestelde domein, en niet op enkel de congratulations-page.

Zie niet in waarom je helemaal opnieuw zou moeten beginnen. Zorg vooral dat je de materie begrijpt, of gaat begrijpen waar je mee merkt. Gebruik desnoods een LLM om concepten je te laten uitleggen.

Het probleem is dat ik niet meer via web bij mijn nextcloud server kan komen zonder poort 80/443 direct naar die computer te zetten. De 'ERROR_TOO_MANY_REDIRECT' krijg ik niet weg. Intern en extern via VPN werkt het wel. Zoals ik het nu zie had ik eerst NPM aan de praat moeten slingeren en daarna pas nextcloud en in 1 keer juiste certificaten welke echt nodig zijn om alle functionaliteiten van Nextcloud te kunnen gebruiken. Ook moet ik het 1 en ander hardwarematig herconfigureren. Bij de laatste installatie verkeerde disk gekozen wat pas opviel nadat alles werkte wil nu LVM...

Ook zitten er her en der al certificaten die weer conflicten geven en dus ook moeilijk te benaderen zijn via normal wegen. waar 'server.domain.eu' niet werkt maar '192.168.1.3' b.v. weer wel. Krijg anders een 'ssl configuration error' of 'net::ERR_CERT_AUTHORITY_INVALID' melding en daar kun je niet voorbij klikken.
En b.v. minecraft.domain.eu doet het van buiten wel maar intern niet iets over hsts error terwijl dat uit staat in NPM.

Buiten dat was ik toch al van plan om mijn netwerk op de schop te doen. moet al 3+ jaar kabel bende in groepenkast voor switch in order maken... Kan dan gelijk rest van spul goed regelen en alle hardware daar bij elkaar (Nu staan servers/NAS her en der verspreid).


Maar ik sta open voor tips of als wat ik voor ogen heb compleet ruk is hoor ik dat graag

ThinkPad schreef op donderdag 23 januari 2025 @ 21:34:
Je kan ook een self-signed certificaat maken voor intern gebruik. Ik heb een *.home.arpa die ik overal intern op kan zetten. Je zult alleen het root certificaat wel op je devices moeten importeren.

Werkt hier prima, ook met NPM. Ik heb niks naar internet open staan dus heb die behoefte qua Let’s Encrypt niet.

Ik heb gelijk met een X-aantal jaar geldigheid gegeneerd (niet te lang, meen dat iOS geen self-signed niet langer dan 2-3 jaar accepteert)

Ik heb dus een domein naam en wil daar dan ook gebruik van maken 30 euro per jaar moet wat moois opleveren.

Ik doe eigenlijk niets met apple apparaten dus dat is voor mij niet echt van toepassing (buiten een iPhone 7 die ik ooit eens gehad heb).

WS2025 draait nu als AD/DC/DNS/DHCP in de test omgeving.
1 laptop bedraad aangesloten krijgt netjes IP en kan inloggen op DC en heeft internet.
Nu nog de oude NAS omzetten naar de Xeon e5 4697/64GB/~40TB opslag (afhankelijk wat ik kwijt kan in kast)

Hierna denk ik maar de hele zwik in mijn serverkast zetten, DHCP uit op de router en kijken wat er gebeurt.
Als het werkt WS2025 DNS naar Adguard omzetten en hopen dat het doet wat ik wil.
En dan kijken of de problemen die ik had opgelost zijn.

Heb alleen even vragen over AD/DC. 'Vroegah' kon ik de desktop die een gebruiker had 'meenemen' naar een andere pc als daar met die gebruikersnaam/pass werd ingelogd. Ik weet echt even niet meer hoe dat zat. Heb wel gezocht maar is me even niet duidelijk.

Daarna nog even Certificate services role aanzetten en met IIS aan de bak.