roadrage3
03.12.2023, aktualisiert um 13:55:03 Uhr
view4154
view6
0
Goto Top

Vaultwarden hinter NGINX Reverse Proxy: NGINX Default Website anstatt Vaultwarden

gelöstFrageLAN, WAN, WirelessLinux Netzwerk
Hallo zusammen,

da wird der Sonntag dafür geopfert den neuen Vaultwarden Server aufzusetzen aber leider komm ich hier gerade nicht mehr weiter.

Host ist n Root Server bei Hetzner im Rechenzentrum. Hab ne fest IPv4 und n IPv6 Subnetz zugeteilt bekommen.
Auf dem Server hab ich gestern Mailcow installiert und das hinter einen NGINX Reverse Proxy gesetzt, da noch der Vaultwarden und eine Nextcloud dazu kommen sollen.
Mailcow Server funktioniert wunderbar, Webseite ist erreichbar, SMTP / IMAP funktioniert alles.

Dann heute den Vaultwarden aufsetzen wollen. NGINX Config nach https://github.com/dani-garcia/vaultwarden/wiki/Proxy-examples erstellt und NGINX neugestartet. Läuft ohne Fehler.
Vaultwarden Docker Compose File erstellt und gestartet. Läuft ebenfalls.
Schaut gut aus, tut wie es soll. Also Browser aufmachen, Vaultwarden aufrufen und konfigurieren... Ne, da kommt ne NGINX Default Webseite und kein Vaultwarden.

Docker Compose gibt an, dass Port 8444 aufm Host an Port 80 aufm Docker weitergegeben wird. Lt. 
docker ps -a
hat der Vaultwarden Container den Port 8444 in Beschlag genommen... Wieso also antwortet NGINX mit seiner default Web Site die unter /var/www/html abgelegt ist?

NGINX Config File:
#Vaultwarden
upstream vaultwarden-default {
        zone vaultwarden-default 64k;
        server 127.0.0.1:8444;
                #keepalive 2;
}
map $http_upgrade $connection_upgrade {
        default upgrade;
        ''      close;  
}
server {
        listen          443 ssl http2;
        listen          [::]:443 ssl http2;
        server_name     vault.TLD;

        ssl_certificate         /opt/ejb-ssl/wildcard.TLD/cert.crt;
        ssl_certificate_key     /opt/ejb-ssl/wildcard.TLD/key.key;
        add_header Strict-Transport-Security "max-age=3153600" always;  

        # Logging
        access_log /var/log/nginx/vault.TLD.access.log;
        error_log /var/log/nginx/vault.TLD.error.log;

        #Reverse Proxy
        location /vault/ {
                proxy_http_version 1.1;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection $connection_upgrade;
                proxy_set_header Host $Host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                #proxy_set_header X-Forwarded-Proto  $schema;
                proxy_pass http://vaultwarden-default;
                #proxy_pass http:{{comment_single_line_double_slash:1}}
        }
}
#HTTP redirect to HTTPS
server {
        listen          80;
        listen          [::]:80;
        server_name     vault.TLD;
        if ($host = TLD) {
                return 301 https://vault.TLD$request_uri;
        }
        return 404;
}

Vaultwarden Docker-Compose File:
version: '3'  

services:
  vaultwarden:
    container_name: vaultwarden
    image: vaultwarden/server:latest
    restart: unless-stopped
    volumes:
      - ./vw-data/:/data/
    ports:
      - 8444:80
      - 3012:3012
    environment:
      - LOG_FILE=/data/vaultwarden.log
      - WEBSOCKET_ENABLED=true
      - DOMAIN=https://vault.TLD/vault

Hier ist sicher ein NGINX Experte dabei der mir meinen Fehler aufzeigen kann. Wäre ich super dankbar für.

Vorab schonmal schönen Sonntag face-smile

Ben
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 6298278346

Url: https://administrator.de/contentid/6298278346

Ausgedruckt am: 24.11.2024 um 15:11 Uhr

6 Kommentare
Neuester Kommentar
Goto Top
commodity
commodity 03.12.2023 um 14:26:59 Uhr
Goto Top
Ich bin kein Nginx-Experte face-smile
IMO hast Du aber den Reverse-Proxy falsch konfiguriert. Die proxy-pass-Rule muss auf Server:Port zeigen, wobei Server der Docker-Host und Port hier 8444 wäre.
Vielleicht verständlich beschrieben hier.

Viele Grüße, commodity
RoadRage3
RoadRage3 03.12.2023 um 14:51:18 Uhr
Goto Top
Zitat von @commodity:
Ich bin kein Nginx-Experte face-smile
IMO hast Du aber den Reverse-Proxy falsch konfiguriert. Die proxy-pass-Rule muss auf Server:Port zeigen, wobei Server der Docker-Host und Port hier 8444 wäre.
Vielleicht verständlich beschrieben hier.

Der Upstream Block kann auch lt. https://nginx.org/en/docs/http/ngx_http_upstream_module.html für Proxy_Pass verwendet werden. Des weiteren ist es auch so in der Doku zu Vaultwarden hinterlegt.

Viele Grüße, commodity
RoadRage3
Lösung RoadRage3 03.12.2023 um 14:54:26 Uhr
Goto Top
Hab eben Pause gemacht und nochmal weiter Suchmaschinen befragt. Bin dabei auf https://dev.to/danielkun/nginx-everything-about-proxypass-2ona gestoßen. Als er da erwähnt hat, dass die Slashes in den Konfigurationen sehr wichtig sind hab ich mir das nochmal genauer angeschaut.

Hab @commodity's Tipp dennoch angewandt und die 127.0.0.1:8444 als Proxy_pass eingetragen. Und dann das oben mit dem Slash. Hab den Slash noch hinzugefügt und zack, läuft...

Dafür hab ich jetzt zwei Stunden gebraucht.... Wegen einem Slash....
aqui
aqui 03.12.2023 um 15:01:53 Uhr
Goto Top
Wegen einem Slash....
Autsch! Der Dativ ist dem Genitiv sein Tod!
heart2
commodity
commodity 03.12.2023 um 17:47:08 Uhr
Goto Top
Der Dativ ist dem Genitiv sein Tod!
sic!

Viele Grüße, commodity
Th0mKa
Th0mKa 03.12.2023 um 20:23:20 Uhr
Goto Top
Quote from @aqui:
Autsch! Der Dativ ist dem Genitiv sein Tod!

Lustige Buchreihe von Bastian Sick, die Zwiebelfisch Kolumnen auf Spiegel Online waren in der Mittagspause auch immer sehr unterhaltsam.

/Thomas
gelöstFrageLAN, WAN, WirelessLinux Netzwerk
Mehr von RoadRage3RoadRage3KERBEROS bzw. SPNEGOS Authentifzierung auf Terminalservern nicht funktionalRoadRage3 - 12 KommentareRoadRage3Kaspersky schlägt zurück: Ein offener Brief ans BSIRoadRage3 - 20 KommentareRoadRage3Fehler beim Exchange RelayingRoadRage3 - 5 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 15 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 11 Kommentare