itstrue
Goto Top

Adguard Home Login Seite Authentifizierung vorschalten

Hallo,

ich habe auf eine vServer Adguard Home installiert, eingerichtet und die Zugriffe nur per DoT von meiner IP eingerichtet.
Leider bietet Adguard keine 2FA an.

Die Login Seite ist bereites mit user und Passwort versehen.
Kann ich der Login Seite irgendwie eine weitere Authentifizerung vorschalten, so dass die Login Seite z.B. auch erst nach User / PW zugänglich wird?

Auf dem Server läufst sonst weder Docker, nich Nginx, noch Apache.
Ubuntu 22.0.x LTS ARM

Kann hier jemand Tipps geben?

Danke

Content-Key: 84031649531

Url: https://administrator.de/contentid/84031649531

Printed on: April 25, 2024 at 08:04 o'clock

Member: Xerebus
Xerebus Nov 18, 2023 at 23:22:35 (UTC)
Goto Top
Hallo
Solle mit .htaccess funktionieren.
Goggle mal danach.
Member: itstrue
itstrue Nov 19, 2023 at 00:10:38 (UTC)
Goto Top
Daran hatte ich auch gedacht. Hab das auch eingrichtet:
in opt/Adguard die .htaccess
und in home/blabla eine .htpasswd samt Inhalt

Zeigt aber keine Wirkung
Mitglied: 8030021182
8030021182 Nov 19, 2023 updated at 07:21:45 (UTC)
Goto Top
Hi.
Wieso blockst du das Webinterface nicht mit der Firewall am WAN? Du willst per WAN auf die Verwaltungs-GUI?? Sehr schlechte Idee! Würde ich persönlich nur über VPN zum vServer zugänglich machen, der Rest der Welt braucht da ja keine Zugangsmöglichkeit!
Für DNSoTLS nutzt man ja eh andere Ports.

Gruß Katrin
Member: Vision2015
Vision2015 Nov 19, 2023 at 08:14:10 (UTC)
Goto Top
Moin...

wiso hast du Adguard Home auf einen vServer bei einem Hoster?
das ding kann auf einem Raspberry Pi laufen, dann brauchst du auch kein gefummel.

Frank
Member: itstrue
itstrue Nov 19, 2023 at 08:20:20 (UTC)
Goto Top
Ich hab es fast befürchtet, dass die Fragen kommen warum ich ihn nicht auf einem Raspberry im lokalen Netzwerk installiert habe.

Das soll hier aber nicht zur Debatte stehen.

Was heißt mit der Firewall am WAN blocken. Ich und nur ich will ja von überall auf das GUI zugreifen. Aktuell ist es nur per aktiver SSH Verbindung zum Server erreichbar, von außen nicht. Ist aber unkomfortabel
Mitglied: 8030021182
8030021182 Nov 19, 2023 updated at 08:36:56 (UTC)
Goto Top
Zitat von @itstrue:
Was heißt mit der Firewall am WAN blocken.
Na, den Zugriff am WAN-Port auf die GUI blockieren aber über das VPN Subnetz erreichbar machen .
Ich und nur ich will ja von überall auf das GUI zugreifen.
Genau das kannst du ja per VPN nur du hast ja die Schlüssel fürs VPN.

. Ist aber unkomfortabel
VPN ist hier ein klick von überall aus ..., daheim ist es bei mir eh dauerhaft verbunden.

Ich sehe das Problem hier ehrlich gesagt nicht.

Aktuell ist es nur per aktiver SSH Verbindung zum Server erreichbar
Das VPN für Arme 😬.
Member: itstrue
itstrue Nov 19, 2023 at 08:34:39 (UTC)
Goto Top
Schön, dass ihr das Problem nicht seht. Wie gesagt es soll in etwa umgesetzt werden wie beschrieben.
Mitglied: 8030021182
8030021182 Nov 19, 2023 updated at 08:44:00 (UTC)
Goto Top
Dann Pack dir nen Reverse Proxy auf den vServer da kannst du ja vorauthentifizieren so viel du willst. Ob das dann komfortabler ist als ein VPN, naja, Zeit wird es jedenfalls keine sparen, nur den vServer anfälliger für DDoS und Attacken machen.
Member: itstrue
itstrue Nov 19, 2023 at 08:48:42 (UTC)
Goto Top
Und nochmal. Wenn ich es in der Firewall blocke, habe auch ich keinen Zugriff mehr
Mitglied: 8030021182
8030021182 Nov 19, 2023 updated at 09:28:29 (UTC)
Goto Top
Zitat von @itstrue:

Und nochmal. Wenn ich es in der Firewall blocke, habe auch ich keinen Zugriff mehr
Doch hast du eben wohl, weil du dafür erstens nur die VPN Ports am WAN zulässt und aus dem VPN Subnetz heraus dann den Zugriff auf die WebGUI des Adguard zulässt.
Glaube du hast noch nie mehr als eine Firewall-Regel konfiguriert und dann nen vServer auf die Welt loslassen, schäm dich ... 🤣
Mitglied: 8030021182
8030021182 Nov 19, 2023 updated at 09:04:31 (UTC)
Goto Top
By the way, der Adguard http Server ist in GOlang geschrieben, htaccess Files gibt es da nicht, GOLang kann Basic-Auth aber selber
https://github.com/abbot/go-http-auth
Sicherer wird es dadurch aber ehrlich gesagt auch nicht und du musst jedes mal ran wenn du Adguard aktualisierst.
Denn damit schützt du nicht den http-Server selbst sondern nur die Anwendung.
Vorgeschalteter Reverse Proxy (nginx/apache) oder VPN zum vServer is the way to go
Member: itstrue
itstrue Nov 19, 2023 at 09:17:56 (UTC)
Goto Top
Auf jeden Fall hab ich einen gesitteten Umgangston.

Wenn es so einfach ist…
Dann erzähl mal wie ich ein WireGuard VPN in Docker, über das bisher der ganze Traffic komplett ins Internet geht einrichte, damit die Anfragen an den Server, das AdGuard etc , den Server auch erreichen.

Von mir aus auch ZeroTier. Simpel. Und nicht eine Woche Setup.

Aber da es ja lt. Deiner Äußerung super einfach ist, sind wir ja in 5 min fertig
Mitglied: 8030021182
8030021182 Nov 19, 2023 updated at 09:27:00 (UTC)
Goto Top
Hier kennt niemand dein gesamtes Setup, mit Docker kommst du erst jetzt erst um die Ecke geschweige denn welche Firewall zum Einsatz kommt weiß hier auch niemand und dann erwartest du ein fertiges Setup zum abtippen. Übe damit erst mal selbst im Lab bevor man sich an einen vServer begibt, dann wird auch ein Schuh draus. 🖖
Member: itstrue
itstrue Nov 19, 2023 updated at 11:46:15 (UTC)
Goto Top
Wer sagt das Docker bereits drauf ist?

[Von Moderation entfernt, bitte bleibt alle höflich und gesittet. Merci]
Ich habe der „Dame” nur mit ihrer eigenen Wortwahl geantwortet…

An meiner Aussage, dass nichts dahinter steckt, halte ich fest.
Member: Visucius
Visucius Nov 19, 2023 updated at 09:56:16 (UTC)
Goto Top
Jaja, der „gesittete Umgangston“ 😏

PS: Es gibt „freie“ piholes und verm. auch adguards im Netz
Member: itstrue
itstrue Nov 19, 2023 at 10:27:43 (UTC)
Goto Top
Danke. Die freien Versionen sind bekannt und kommen nicht in Frage.
Member: DivideByZero
DivideByZero Nov 19, 2023 at 12:38:55 (UTC)
Goto Top
Und wo genau liegt jetzt das Problem, eine der genannten Lösungen umzusetzen?

a) vorgeschalteter Reverse Proxy mit Auth
b) über Firewall alles außer VPN eingehend sperren (spart die Authentifizierung)

Beides funktioniert, wobei natürlich b) die sinnvollere Wahl ist.
Also grob: dauerhafter VPN-Tunnel von zu Hause zu Server, daneben von Smartphone eigener Tunnel nach Hause. Von unterwegs: VPN auf Smartphone einschalten, das dann über zu Hause als "Relaystation" zum pihole führt.

Und eine simple Implementierung für a): github.com/newhouseb/simpleotp. Deutlich besser: www.authelia.com/

Gruß

DivideByZero
Member: itstrue
itstrue Nov 19, 2023 at 13:25:34 (UTC)
Goto Top
Danke. Kenne natürlich die Reverse Proxies und auch Authelia. Aber alles über das Ziel hinausgeschossen.

Dann gibt es wohl keine simple Lösung. Dann bleibt es wie es ist.
Member: transocean
transocean Nov 19, 2023 updated at 14:12:16 (UTC)
Goto Top
Moin,

installiere HomeAssistant auf dem Server. Da kannst Du AdGuard drunter laufen lassen. HA bietet eine 2FA Möglichkeit an.

Gruß

Uwe

screenshot 2023-11-19 150909