Ich glaube du hast seine geplante Config missverstanden.
Ha! Da hast du vollkommen recht. Den "WireGuard-Server" hab ich komplett überlesen. 
Wenn dieser als Mittelpunkt dient, hat man natürlich alle Freiheiten zu entscheiden was überhaupt wohin geroutet wird. Und kann mit Netfilter sogar Port-genaues Finetuning betreiben.
Wenn dieser als Mittelpunkt dient, hat man natürlich alle Freiheiten zu entscheiden
Ich habe mir jetzt bei meinem Netzumbau einen Futro mit Opnsense als Wireguard Server angetan.
Das komplizierteste dabei ist, seine Regeln in das verzweigte Webinterface zu füttern.
Ich bin nahe dran, das ganze durch ein normales Debian zu ersetzen und die Regeln wieder von Hand zu schreiben.
Finde ich erheblich übersichtlicher...
Wie so oft: deutlich angenehmer mit Tailscale zu lösen. Da KÖNNEN die Leute die VPN Verbindung nicht als Default Gateway verwenden es sei denn das Ziel ist aktiv als Exit Node definiert.
Wie so oft: deutlich angenehmer mit Tailscale zu lösen.
Ich will aber bewusst Wireguard pur, weil ich es lernen will.
Meine Meinung (kein Angriff): man lernt nicht "am Kunden", sondern für und bei sich. Wenn es für Kunden / Nutzer bessere Lösungen gibt, sollte man diese auch nutzen.
Der Kunde bin ich.
Ich bin Privatier...
Es geht doch hier um Bud und seine Vereinsheimlösung...
Meine Meinung (kein Angriff): man lernt nicht "am Kunden", sondern für und bei sich. Wenn es für Kunden / Nutzer bessere Lösungen gibt, sollte man diese auch nutzen.
Hast du mal in einem Systemhaus bzw. bei einem IT Dienstleister gearbeitet? 
Da lernst du beim Kunden.
Kunde will etwas, du richtest es dort ein und lernst dabei. Je nach Thema und Komplexität werden dann paar Stunden weniger berechnet.
Ich hab da mehr gelernt als in meinem Lehrbetrieb damals. (Subjektiv - Lässt sich nicht vergleichen. Ausbildung hat die Grundlagen gelegt, danach hab ich halt viel Praxis geleistet)
Außerdem ist das nicht unüblich: Auch im Thema Handwerk wird beim Kunden gelernt.
Als Beispiel: Der Azubi in der KFZ Werkstatt schraubt auch an den Kundenwagen, der Klempner bringt auch seinen Azubi mit der bei dir Task erledigt und dabei lernt.
Letztendlich kann man nämlich nicht immer alles in einer Testumgebung vorher aufbauen 🤷♀️
Da lernst du beim Kunden.
Mein Argument ging eher in die Richtung: man bietet "dem Kunden" nicht eine voraussichtlich schlechtere, oder nicht die Erfordernisse erfüllende Lösung an, wenn man bessere schon vorher kennt.
Mein Argument ging eher in die Richtung: man bietet "dem Kunden" nicht eine voraussichtlich schlechtere, oder nicht die Erfordernisse erfüllende Lösung an, wenn man bessere schon vorher kennt.
Ah! Dann hab ich das falsch interpretiert! Sry
Es geht doch hier um Bud und seine Vereinsheimlösung...
Ah. Mangels Zitat bezog ich deinen Post auf Meinen unmittlebar davor...
man lernt nicht "am Kunden", sondern für und bei sich.
Ansonsten bin ich voll deiner Meinung. Ich habe es zu oft erlebt, dass jemand etwas nicht konnte und dann Stundenlang an etwas herumgeknaupt hat, bis es dann einigermaßen ging, der Kunde dann aber all diese Stunden bezahlen sollte. Ein Fachmann hätte das in 1/10 der Zeit hingekriegt.
Dieselbe Unart wie bei KFZlern. Wir wissen nix, aber wir tauschen mal so lang aus, bis es wieder geht. der Kunde zahlt aber schön sämtliche Teile, obwohl sie garnicht defekt sind.
Dieselbe Unart wie bei KFZlern. Wir wissen nix, aber wir tauschen mal so lang aus, bis es wieder geht. der Kunde zahlt aber schön sämtliche Teile, obwohl sie garnicht defekt sind.
So bin ich auch mal zu einem neuen Verteiler gekommen. Motor ging während der Fahrt aus und sprang nicht mehr an, die Werkstatt hat den Verteiler getauscht. Auto lief scheinbar auch wieder. Auf der Heimfahrt ging der Motor aus und sprang nicht mehr an. Die Werkstatt hat dann das Schwimmernadelventil ersetzt und alles war gut. Deren Meister hat mir dann auch erzählt, dass der Austausch des Verteilers aber in jedem Fall notwendig war, weil total ausgeschlagen. Nuja, wer's glaubt, der hätte wahrscheinlich auch noch einige Zehntausend Kilometer gehalten.
Dieselbe Unart wie bei KFZlern. Wir wissen nix, aber wir tauschen mal so lang aus, bis es wieder geht. der Kunde zahlt aber schön sämtliche Teile, obwohl sie garnicht defekt sind.
Leider kann ich bestätigen dass es Teilweise genauso ist. Bsp:. Lautsprecher geht nicht, wird also neu bestellt. Der neue geht immer noch nicht? Tja, das ist was größeres. Und in deutschen Werkstätten mit 200€ Stundensatz geht das schnell in die Tausender.
Hier bin ich wieder 
Ich habe einen Docker-Server aufgesetzt und versuche gerade eine Subdomain auf das Portainer UI zu bekommen. Hierfür habe ich als ersten (bzw. zweiten) Container nginx angelegt. UI auch erreichbar, Proxy Host konfiguriert, funktionieren will es trotzdem nicht. Die entsprechenden Ports sind aber in der ufw (Achtung: ufw-docker) angelegt. Die Domain portainer.example.com zeigt auf die IP des Servers.
bud@docker:~$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip
To Action From
-- ------ ----
22/tcp ALLOW IN Anywhere
22/tcp (v6) ALLOW IN Anywhere (v6)
80/tcp ALLOW FWD Anywhere
81/tcp ALLOW FWD Anywhere
443/tcp ALLOW FWD Anywhere
9443/tcp ALLOW FWD Anywhere
80/tcp (v6) ALLOW FWD Anywhere (v6)
81/tcp (v6) ALLOW FWD Anywhere (v6)
443/tcp (v6) ALLOW FWD Anywhere (v6)
9443/tcp (v6) ALLOW FWD Anywhere (v6)Habe ich etwas übersehen?
Ich habe ein Docker Netzwerk "proxy_network", in das ich Nginx Proxy Manager und alle Container packe, die geproxied werden sollen. Dann kann ich in NPM für Portainer einfach nur http - "portainer" (statt IP, Name geht nur, wenn die Container im gleichen Netzwerk sind) - 9000 (http Port) setzen und es muss gar kein Port (9443) nach außen rausgelegt werden.
Hast Du auch ein NPM SSL Zertifikat angegeben? Dann musst Du https://portainer.example.com ansteuern.
Display MoreNice, das hat funktioniert!
Durch den nginx Stack wurde das Netzwerk nginx_default hinzugefügt. Ich habe jetzt portainer ebenfalls dem nginx_default hinzugefügt, und den Proxy Host auf http - portainer - 9000 geändert, und es funkioniert. Sogar das LE-Zertifikat hat auf Anhieb funkioniert.
Danke! Dann probiere ich mal weiter... Eine Frage aber noch:
Also heißt das, ich muss (abgesehen von SSH, 80 und 443) keine Ports durch UFW öffnen?
Denn nginx "fängt" alle konfigurierten Anfragen über 80 bzw 443 ab und leitet sie intern, also hinter UFW, weiter?
Ja genau - man muss keine andere Ports freigeben (außer man braucht Anwendung außerhalb von Docker etc.).
Ebenfalls sollte man bei dem Container die Ports weggelassen (da du ufw-docker nutzt, sollte es aber keinen großen Unterschied machen).
Ich würde aber wie TBT geschrieben ein Netzwerk erstellen und dort alle Container herein packen, die geproxied werden sollen - sonst wird es irgdenwann unübersichtlich
Meine Docker Compose Files sehen dann ca so aus:
version: "3.8"
services:
interner_service (eg. db):
container_name: interner_service (eg. db)
image: ...
volumes: ...
networks:
- internal //Internes Netz für den Compose File
externer_service (eg.proxy):
container_name: interner_service (eg. db)
image: ...
volumes: ...
networks:
- internal //Internes Netz für den Compose File
- proxy //Netz wo alle Service drinn sinn auch NPM
networks:
internal:
driver: bridge
proxy:
external: true Noch kurz zu Portainer:
Ich würde eventuell auf eine Lösung wie Dockge setzten, da kann man den Ordner seiner Compose Files selber bestimmen => wesentlich einfachere Backups.
(Dazu ist es bei mir auch wesentlich schneller als Portainer)
Inwiefern unübersichtlich? Es reicht doch, wenn ich alle in das nginx:default Netzwerk werfe, und das verwende? Oder nicht?
Ja stimmt, hatte es andersherum gelesen. Ich würde trotzdem ein eigenes Netzwerk erstellen, da nginx:default eigentlich für den Compose File gedacht ist.
Macht aber an sich keinen Unterschied.
