Docker - Portainer nicht über das Internet erreichbar

Joney · May 23rd 2023

Hallo zusammen,

leider habe ich Probleme den Docker Container Portainer über die IP mit den Ports 9443 oder 9000 zu erreichen.

Dabei bin ich wie folgt vorgegangen (Testweise Server neu installiert und nach dem Test heruntergefahren):

Code

#Authentifizierung per SSH-Key einrichten

#Server updaten (Ubuntu 22.04)
sudo apt update && sudo apt upgrade -y
sudo reboot

#Hostname setzen
sudo hostnamectl set-hostname ***
#Timezone setzen
sudo timedatectl set-timezone Europe/Berlin
#Apache2 Webserver installieren
sudo apt install apache2 -y

#Docker installieren (wie in der Anleitung: https://docs.docker.com/engine/install/ubuntu/)
#Set up the repository
#Update the apt package index and install packages to allow apt to use a repository over HTTPS:
sudo apt-get update
sudo apt-get install ca-certificates curl gnupg -y

#Add Docker’s official GPG key:
sudo install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
sudo chmod a+r /etc/apt/keyrings/docker.gpg

#Use the following command to set up the repository:
echo \
  "deb [arch="$(dpkg --print-architecture)" signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
  "$(. /etc/os-release && echo "$VERSION_CODENAME")" stable" | \
sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
  
#Install Docker Engine
#Update the apt package index:
sudo apt-get update

#Install Docker Engine, containerd, and Docker Compose.
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

#Verify that the Docker Engine installation is successful by running the hello-world image.
sudo docker run hello-world
#Hello from Docker!
#This message shows that your installation appears to be working correctly.

#Portainer installieren (wie in der Anleitung: https://docs.portainer.io/start/install-ce/server/docker/linux)
#Portainer Volume erstellen
docker volume create portainer_data

#Portainer Container installieren 
docker run -d -p 9443:9443 --name portainer --restart=always -v /var/run/docker.sock:/var/run/docker.sock -v portainer_data:/data portainer/portainer-ce:latest

Display More

Testweise habe ich dann folgende Dinge ausprobiert:

Per docker ps habe ich geprüft ob der Container läuft:

82701e65f8c6 portainer/portainer-ce:latest "/portainer" 41 seconds ago Up 40 seconds 8000/tcp, 9000/tcp, 0.0.0.0:9443->9443/tcp, :::9443->9443/tcp portainer

ss -tulpen gibt folgendes aus:

tcp LISTEN 0 4096 0.0.0.0:9443 0.0.0.0:* users:(("docker-proxy",pid=3191,fd=4)) ino:41036 sk:5 cgroup:/system.slice/docker.service <->

sudo ufw status Status: inactive

sudo nano /etc/sysctl.conf #net.ipv4.ip_forward=1 ändern in net.ipv4.ip_forward=1 sudo sysctl -p

Code

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy DROP)
target     prot opt source               destination
DOCKER-USER  all  --  anywhere             anywhere
DOCKER-ISOLATION-STAGE-1  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain DOCKER (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             172.17.0.2           tcp dpt:9443

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target     prot opt source               destination
DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere

Chain DOCKER-ISOLATION-STAGE-2 (1 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere

Chain DOCKER-USER (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Display More

Ich hoffe Ihr könnt mir da weiter helfen, ich stehe da leider auf dem Schlauch.

LG

engine · May 23rd 2023

Nur zur Sicherheit: Du hast die IP mit dem Port 9443 eh über httpS angesprochen, oder? Weil mit http:// geht da nichts, der Port 9000 - sofern du den exposest (was du aber im Docker run nicht machst) wäre der http port.

EDIT: Für die Zukunft würde ich dir einen reverse proxy dafür empfehlen oder portainer nur über VPN (tailscale z.b) erreichbar machen.

Joney · May 23rd 2023

Den Port 9443 hatte ich über https versucht zu erreichen und 9000 über http. Den Port 9000 hatte ich ausprobiert steht aber oben nicht im Code vom ersten Post drin.

Als VPN nehme ich Wireguard mit einer Web Oberfläche, welche ich über Portainer installieren wollte.

Probiert habe ich jetzt auch einen Webbrowser auf Port 80 zu installieren, dieser war auch nicht zu erreichen. docker run -d --name apache -p 80:80 httpd

Der Server wurde dafür neu aufgesetzt ohne apache über apt install zu installieren.

Patrick0815 · May 23rd 2023

Verwendest du für die Verbindungsversuche den Hostnamen oder die IP?

Kannst du von der Clientseite mal ein curl -v auf einen der Dienste loslassen?

Joney · May 23rd 2023

Ich versuche per IP auf die Seiten zu kommen

curl -v IP:9443

* Trying IP:9443...

* connect to IP port 9443 failed: Timed out

* Failed to connect to IP port 9443 after 21045 ms: Couldn't connect to server

* Closing connection 0

curl: (28) Failed to connect to IP port 9443 after 21045 ms: Couldn't connect to server

frank_m · May 23rd 2023

Sind die iptables NAT Regeln korrekt eingerichtet?

Übrigens ist deine Firewall eine Katastrophe. Da kann man auch direkt Werbung für den Server in Hacker Kreisen schalten. Also erste Amtshandlung: Den Server absichern!

Joney · May 23rd 2023

Wie im ersten Post erwähnt ist der Server nur ein Testserver und wird nach dem testen heruntergefahren. Mein anderer Server auf dem nachher alles laufen soll ist abgesichert.

Die Nat Einstellungen werde ich überprüfen wenn ich wieder zu Hause bin. Theoretisch sollte ja Docker selbst die iptables regeln erstellen oder?

Paul · May 23rd 2023

Teste auch mal, ob du auf dem Server selbst auf Portainer zugreifen kannst, z.B. mit telnet

$ telnet SERVER_IP:9443
$ telnet 127.0.0.1:9443

Danach auch mal direkt mit curl. Um sicher zu stellen, dass die App überhaupt richtig läuft und die Docker iptables Regeln richtig funktionieren. Danach kannst du den Zugriff von extern debuggen.

TBT · May 23rd 2023

Schalte die Firewall aus und versuche den Zugriff nochmal. Ich gehe stark davon aus, dass das das Problem ist.

frank_m · May 23rd 2023

Quote from Joney

Theoretisch sollte ja Docker selbst die iptables regeln erstellen oder?

Theoretisch. Aber Port 9000 taucht auch nicht auf, und den wolltest du ja eigentlich auch haben.

Quote from TBT

Schalte die Firewall aus und versuche den Zugriff nochmal.

Die Firewall ist ja aus, darauf hab ich ja hingewiesen. Außerdem braucht man ja einige iptables Regeln für Forwarding und NAT.

Du versuchst den Zugriff über die IP und nicht über einen Hostnamen? Der Server ist dafür eingerichtet, auf die IP zu lauschen?

TBT · May 23rd 2023

Du musst eigentlich gar nix an IPTables machen, damit Docker funktioniert und sicher ist. Bzw. andersrum: wenn man was macht ist die Chance groß, etwas zu verbaseln.

frank_m · May 23rd 2023

Quote from TBT

Du musst eigentlich gar nix an IPTables machen, damit Docker funktioniert und sicher ist.

Eigentlich sollte das so sein. Docker erstellt selber die nötigen Einträge für die Portweiterleitungen, wenn man das in der Dockerkonfiguration angibt.

Quote from TBT

Bzw. andersrum: wenn man was macht ist die Chance groß, etwas zu verbaseln.

Auch da stimme ich zu. Aber kontrollieren, ob alle Einträge stimmen, kann man ja mal.

Was mir aber fehlt: Auch auf dem Host laufen Services, die vermutlich nicht von außen erreichbar sein sollen. Dafür gibt es keine Firewall-Einträge. Für die ist man selber verantwortlich, und diesbezüglich gibt es nichts in den iptables Listen von oben.

Joney · May 23rd 2023

Quote from frank_m

Sind die iptables NAT Regeln korrekt eingerichtet?

Code

iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  anywhere             anywhere             ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  anywhere            !localhost/8          ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  172.17.0.0/16        anywhere
MASQUERADE  tcp  --  172.17.0.2           172.17.0.2           tcp dpt:9443

Chain DOCKER (2 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
DNAT       tcp  --  anywhere             anywhere             tcp dpt:9443 to:172.17.0.2:9443

Display More

Quote from Paul

Teste auch mal, ob du auf dem Server selbst auf Portainer zugreifen kannst, z.B. mit telnet

$ telnet SERVER_IP:9443
$ telnet 127.0.0.1:9443

Danach auch mal direkt mit curl. Um sicher zu stellen, dass die App überhaupt richtig läuft und die Docker iptables Regeln richtig funktionieren. Danach kannst du den Zugriff von extern debuggen.

Code

telnet IP:9443
telnet: could not resolve IP:9443/telnet: Name or service not known
telnet 127.0.0.1:9443
telnet: could not resolve 127.0.0.1:9443/telnet: Name or service not known

curl -v telnet://IP:9443
*   Trying IP:9443...
* connect to IP port 9443 failed: Connection timed out
* Failed to connect to IP port 9443 after 129538 ms: Connection timed out
* Closing connection 0
curl: (28) Failed to connect to IP port 9443 after 129538 ms: Connection timed out
curl -v telnet://127.0.0.1:9443
*   Trying 127.0.0.1:9443...
* Connected to 127.0.0.1 (127.0.0.1) port 9443 (#0)

Display More

Quote from frank_m

Theoretisch. Aber Port 9000 taucht auch nicht auf, und den wolltest du ja eigentlich auch haben.

Die Firewall ist ja aus, darauf hab ich ja hingewiesen. Außerdem braucht man ja einige iptables Regeln für Forwarding und NAT.

Du versuchst den Zugriff über die IP und nicht über einen Hostnamen? Der Server ist dafür eingerichtet, auf die IP zu lauschen?

Den Port 9000 habe ich testweise ausprobier aber wieder verworfen, da dieser auch nicht funktioniert und ich den lieber über https laufen lassen will.

Code

sudo netstat -nlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:9443            0.0.0.0:*               LISTEN      3191/docker-proxy
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      598/sshd: /usr/sbin
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      531/systemd-resolve
tcp6       0      0 :::9443                 :::*                    LISTEN      3197/docker-proxy
tcp6       0      0 :::80                   :::*                    LISTEN      1439/apache2
tcp6       0      0 :::22                   :::*                    LISTEN      598/sshd: /usr/sbin
udp        0      0 127.0.0.53:53           0.0.0.0:*                           531/systemd-resolve
udp        0      0 217.160.***:68       0.0.0.0:*                           529/systemd-network
raw6       0      0 :::58                   :::*                    7           529/systemd-network
raw6       0      0 :::58                   :::*                    7           529/systemd-network

Display More

Paul · May 23rd 2023

Ich hatte im telnet Beispiel oben leider einen kleinen Fehler. Dort bitte keinen Doppelpunkt zwischen Host und Port nutzen. (Leider durch C&P nicht gesehen). Das war auch mehr als Hinweis gedacht, nicht um es 1:1 einfach so zu kopieren.

Code

telnet HOST PORT

Der Rest sieht etwas verstörend aus. Du musst die Platzhalter schon noch durch die richtige IP ersetzen. im curl Befehl darf dann natürlich kein telnet mehr vorkommen, sondern schon das richtige Protokoll:

Code

curl -k https://127.0.0.1:9443

Joney · May 23rd 2023

Danke für den Hinweis, mit telnet kenne ich mich nicht so besonders aus und ich dachte ich sollte auch curl mit telnet machen. Die Platzhalter habe ich immer mit der richtigen IP eingetragen und nur hier wieder raus genommen.

Code

telnet 217.160.*** 9443
Trying 217.160.***...
telnet: Unable to connect to remote host: Connection timed out
telnet 127.0.0.1 9443
Trying 127.0.0.1...
Connected to 127.0.0.1.
curl -k https://217.160.***:9443
curl: (28) Failed to connect to 217.160.*** port 9443 after 130962 ms: Connection timed out
curl -k https://127.0.0.1:9443
curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection to 127.0.0.1:9443

Joney · May 24th 2023

So, ich hab das Problem umgangen, indem ich es einfach auf dem Server bei Netcup installiert habe und es funktionierte direkt ohne Probleme.

Da ich eigentlich erstmal alles testen wollte habe ich es auf einem kleinen 1€ Server bei St***o probiert, wo es aber warum auch immer nicht ging.

nitram · May 24th 2023

Haben die nicht eine Softwarefirewall? Da kannst du so viel bei den Iptables rum machen wie du willst. Was mich allerdings wundert ist, dass auf localhost es auch nicht ging...

Google St***o Firewall.

Patrick0815 · May 24th 2023

Quote from Joney

Da ich eigentlich erstmal alles testen wollte habe ich es auf einem kleinen 1€ Server bei St***o probiert, wo es aber warum auch immer nicht ging.

Ggf. eine Information die schon im Initalposting nützlich gewesen wäre. Per Default gehen wohl die meisten von einem VPS oder RS hier bei Netcup aus.

Tags