1
Nginx + Proxmox Firewall
Hallo Community,
ich möchte von dem NPM auf einen reinen Nginx reverse proxy umsteigen und spiele aktuell etwas mit dem Setup. So ganz kann ich mir das Szenario nicht erklären, irgendwo scheint bestimmt noch ein fehler zu sein.
Mein Setup:
Ergebnis direkt nach Installation:
Nach Konfig:
Dass ich den 9443 auf dem portainer host vpm nginx freigebe ist klar, aber warum muss ich denn den 443 aus dem anderen Netz freigeben? Ich dachte immer, dass der Aufruf lediglich vom nginx host passiert. Die org. IP wird zwar mitgesendet, aber sollte doch in diesem Zusammenhang nicht verwendet werden. Sonst macht doch der nginx keinen Sinn wenn ich eh für alles den 443 aufmachen muss...
Anmerkung:
Rufe ich den portainer vom Smartphone (iphone) aus demselben Netz 30.0/24 auf scheint die Regle mit der 443 nicht zu stören wenn sie nicht da ist. Auch wird hier normal schnell die Seite geladen.
Vom Notebook und Desktop gibt es wieder Unterschiede zwischen Brave - Dauert trotz regeln immer lange, Firefox mit regeln gewohnt schnell…
Wo habe ich einen Konfig oder Denkfehler? Oder wo könnte ein Ansatz sein?
ich möchte von dem NPM auf einen reinen Nginx reverse proxy umsteigen und spiele aktuell etwas mit dem Setup. So ganz kann ich mir das Szenario nicht erklären, irgendwo scheint bestimmt noch ein fehler zu sein.
Mein Setup:
- LXC mit nginx 1.18 - ufw aus - auf LXC http und https freigegeben aus all meinen Netzen
- LXC mit Portainer auf Docker - ufw aus - auf LXC ist Port 9443 vom nginx lxc freigeben und aus den zugreifenden Netzen Port 443
Ergebnis direkt nach Installation:
- LXC kann ich nach der installation von unter http als auch unter https mit eigenem selg-signed cert unter meiner gewählten url erreichen (nginx.int.home)
Nach Konfig:
- geändert in /etc/nginx/sites-available/int.home - default link entfernt
erver {
listen 80;
server_name portainer-dev.int.home;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl;
server_name portainer-dev.int.home;
ssl_certificate /etc/nginx/ssl/int.home.crt;
ssl_certificate_key /etc/nginx/ssl/int.home.key;
ssl_prefer_server_ciphers on;
location / {
proxy_pass https://192.168.21.12:9443;
include proxy_params;
}
}- nginx.int.home -> leitet ebenfalls auf den Portainer unter https://192.168.21.12:9443 weiter -> Muss das so?
- Aufruf von portainer-dev.int.home von dekstop oder notebook aus 192.168.30.0/24 dauert exterm lange. Gefühlt geht es mal, mal geht es nicht.
- Nun habe ich mal in die Firewall logs auf Proxmox vom portainer-host geschaut.
- 443 aus dem 192.168.30.0/24 geblockt -> Muss ich freibeben
- 9443 wird aus dem nginx netz 192.168.21.0/24 geblockt - freigeben mit direkter IP
Dass ich den 9443 auf dem portainer host vpm nginx freigebe ist klar, aber warum muss ich denn den 443 aus dem anderen Netz freigeben? Ich dachte immer, dass der Aufruf lediglich vom nginx host passiert. Die org. IP wird zwar mitgesendet, aber sollte doch in diesem Zusammenhang nicht verwendet werden. Sonst macht doch der nginx keinen Sinn wenn ich eh für alles den 443 aufmachen muss...
Anmerkung:
Rufe ich den portainer vom Smartphone (iphone) aus demselben Netz 30.0/24 auf scheint die Regle mit der 443 nicht zu stören wenn sie nicht da ist. Auch wird hier normal schnell die Seite geladen.
Vom Notebook und Desktop gibt es wieder Unterschiede zwischen Brave - Dauert trotz regeln immer lange, Firefox mit regeln gewohnt schnell…
Wo habe ich einen Konfig oder Denkfehler? Oder wo könnte ein Ansatz sein?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6710603841
Url: https://administrator.de/contentid/6710603841
Printed on: April 28, 2024 at 17:04 o'clock
1 Comment
Also langsam gebe ich auf.
Wo und wie konfiguriert ihr denn einen Nginx reverse für multiple hosts in einem LAN? Ich habe mittlerweile mehrere Ansätze gesehen, aber keiner scheint zuverlässig zu funktioniren. Beispiel: Ein Aufruf von Portainer im Brave von einem Ubuntu funktioniert, Aufrif Safari auf mac ebenfalls, vom Firefox auf Ubuntu nciht...
Ich kann auch nicht sicher sage, dass es ein Firewlal Thema auf dem Proxmox oder Sense ist. Sehe zb nichts was blockiert wird in den Logs.
What to do?
Wo und wie konfiguriert ihr denn einen Nginx reverse für multiple hosts in einem LAN? Ich habe mittlerweile mehrere Ansätze gesehen, aber keiner scheint zuverlässig zu funktioniren. Beispiel: Ein Aufruf von Portainer im Brave von einem Ubuntu funktioniert, Aufrif Safari auf mac ebenfalls, vom Firefox auf Ubuntu nciht...
Ich kann auch nicht sicher sage, dass es ein Firewlal Thema auf dem Proxmox oder Sense ist. Sehe zb nichts was blockiert wird in den Logs.
What to do?
