netzer2021
Goto Top

Nginx + Proxmox Firewall

Hallo Community,

ich möchte von dem NPM auf einen reinen Nginx reverse proxy umsteigen und spiele aktuell etwas mit dem Setup. So ganz kann ich mir das Szenario nicht erklären, irgendwo scheint bestimmt noch ein fehler zu sein.

Mein Setup:
  • LXC mit nginx 1.18 - ufw aus - auf LXC http und https freigegeben aus all meinen Netzen
  • LXC mit Portainer auf Docker - ufw aus - auf LXC ist Port 9443 vom nginx lxc freigeben und aus den zugreifenden Netzen Port 443

Ergebnis direkt nach Installation:
  • LXC kann ich nach der installation von unter http als auch unter https mit eigenem selg-signed cert unter meiner gewählten url erreichen (nginx.int.home)

Nach Konfig:
  • geändert in /etc/nginx/sites-available/int.home - default link entfernt
erver {
        listen 80;
        server_name portainer-dev.int.home;
	return 301 https://$server_name$request_uri;
}

server {
	listen 443 ssl;
	server_name portainer-dev.int.home;
	ssl_certificate  /etc/nginx/ssl/int.home.crt;
	ssl_certificate_key  /etc/nginx/ssl/int.home.key; 
	ssl_prefer_server_ciphers on;

	location / {
		proxy_pass https://192.168.21.12:9443;
		include proxy_params;
	}
}
  • nginx.int.home -> leitet ebenfalls auf den Portainer unter https://192.168.21.12:9443 weiter -> Muss das so?
  • Aufruf von portainer-dev.int.home von dekstop oder notebook aus 192.168.30.0/24 dauert exterm lange. Gefühlt geht es mal, mal geht es nicht.

  • Nun habe ich mal in die Firewall logs auf Proxmox vom portainer-host geschaut.
  • 443 aus dem 192.168.30.0/24 geblockt -> Muss ich freibeben
  • 9443 wird aus dem nginx netz 192.168.21.0/24 geblockt - freigeben mit direkter IP

Dass ich den 9443 auf dem portainer host vpm nginx freigebe ist klar, aber warum muss ich denn den 443 aus dem anderen Netz freigeben? Ich dachte immer, dass der Aufruf lediglich vom nginx host passiert. Die org. IP wird zwar mitgesendet, aber sollte doch in diesem Zusammenhang nicht verwendet werden. Sonst macht doch der nginx keinen Sinn wenn ich eh für alles den 443 aufmachen muss...

Anmerkung:
Rufe ich den portainer vom Smartphone (iphone) aus demselben Netz 30.0/24 auf scheint die Regle mit der 443 nicht zu stören wenn sie nicht da ist. Auch wird hier normal schnell die Seite geladen.

Vom Notebook und Desktop gibt es wieder Unterschiede zwischen Brave - Dauert trotz regeln immer lange, Firefox mit regeln gewohnt schnell…

Wo habe ich einen Konfig oder Denkfehler? Oder wo könnte ein Ansatz sein?

Content-Key: 6710603841

Url: https://administrator.de/contentid/6710603841

Printed on: May 23, 2024 at 13:05 o'clock

Member: netzer2021
netzer2021 Apr 11, 2023 at 19:48:53 (UTC)
Goto Top
Also langsam gebe ich auf.

Wo und wie konfiguriert ihr denn einen Nginx reverse für multiple hosts in einem LAN? Ich habe mittlerweile mehrere Ansätze gesehen, aber keiner scheint zuverlässig zu funktioniren. Beispiel: Ein Aufruf von Portainer im Brave von einem Ubuntu funktioniert, Aufrif Safari auf mac ebenfalls, vom Firefox auf Ubuntu nciht...

Ich kann auch nicht sicher sage, dass es ein Firewlal Thema auf dem Proxmox oder Sense ist. Sehe zb nichts was blockiert wird in den Logs.

What to do?