Beiträge von h725rk

Zitat von TBT

Noch ein Tip: Der Port 81 "muss" nicht im docker-compose rausgelegt werden. Mein NPM ist so konfiguriert, dass der Port nur erstmalig offen war, dann habe ich mit NPM einen Reverse Proxy für NPM selbst eingerichtet und natürlich mit SSL Zertifikat versehen (hierfür am Besten ein *.domain.tld Zertifikat via DNS Let's Encrypt Challenge holen), um dann in NPM "http" "namedesNPMcontainers" "81" zu konfigurieren und dann auf https://npmsubdomain.domain.tld zu legen. Sobald das erledigt ist, ist die NPM Oberfläche selbst geproxied und der herausgelegte HTTP Port 81 kann im docker-compose auskommentiert werden. Dann kann auch zusätzliche Sicherheit mit NPM eingebaut werden.

Ebenso muss KEIN HTTP(S) Port irgendeines Containers, der durch NPM geproxied wird, herausgelegt werden, sondern ALLE diese Ports können auskommentiert werden. Ports die nicht durch NPM geleitet werden können (z.B. FTP, SMTP(S), IMAP(S), etc.) müssen natürlich schon rausgelegt werden.

Eine einfachere Variante von Wireguard sind diverse controllerbasierten VPNs wie Tailscale (basiert auf Wireguard), Netbird, Netmaker und andere. Zerotier setzt ein OSI Layer drunter an. Du kannst auch den VPN Client direkt in einen Container integrieren (

Externer Inhalt www.youtube.com

Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

Alle externen Inhalte anzeigen

Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

), dann bist Du, wenn Du mit dem VPN verbunden bist, direkt mit dem NPM Container verbunden und kannst ihn konfigurieren. In diesem Fall legst Du einfach den Port 81 nicht heraus und reverse proxiest Du ihn auch nicht. Dann ist er nur über das VPN erreichbar.

Danke, das hört sich sehr interessant an. Bei Gelegenheit schaue ich mir das an

Danke dir für die Erklärung

Ich kann mir ja, das Thema Wireguard nochmal in Ruhe anschauen. Leider sehe ich aktuell keinen Mehrwertmehr dafür, da der Traffic von Docker durch die speziellen IPTables nach draußen unterbunden werden können. Durch die Freigabe in ufw kann ich das freigeben, was ich möchte.

Da ich aktuell alles zurückgesetzt habe, würde ich das Thema vielleicht am Wochenende mal anfassen. Leider sind durch die Zurücksetzung alle Konfigurationsdateien gelöscht und ja, kein Backup, kein Mitleid Ich weiß. Aber der Aufbau ist schnell gemacht.

/Edit:

Vom Thema DSLite bin ich noch verschont geblieben. Aber die Anleitung werde ich mir aufjedenfall mal anschauen. Danke

Ist wohl die beste Lösung.

Ich werde den Server löschen lassen, da ich komplett unwissend bin.

Vielen Dank für diese "schöne" Unterhaltung.

Zitat von tokon

Da kannst du dir mal ufw-docker anschauen:

https://github.com/chaifeng/ufw-docker

Vielen Dank, das hat mir geholfen.

Wireguard ist erstmal kein Thema mehr für mich.

OK, das kann hier geschlossen werden.

Ich lasse mich nicht als Lügner bezeichnen, nur weil ich von einer Software (Wireguard) mal keine Ahnung habe und Hilfe benötige.

Danke für die Antworten, aber ich bin erstmal raus.

OK, also folgendes muss ich machen:

- eine feste IP vergeben

- Das mit dem NAT verstehe ich nicht, sind das die PostUp und PostDown Regeln und diese sollte ich löschen?

- Was meinst du mit Default Routes im Client. Sind das die AllowedIPs?

Zum Thema SSH.

Das ist abgesichert.
- Anderer Port

- root deaktiviert

- ssh gehärtet mit ssh audit

- Public-Key-Verfahren integriert

- TOTP ist auch aktiv

- Und zu guter Letzt, crowdsec ist eingerichtet und läuft

Dafür habe ich einige Zeit benötigt, aber ich denke es ist ordentlich abgesichert.

Ich habe die Config von Wireguard mal angepasst. Ich kann eine Verbindung aufbauen, aber ich komme nicht mehr mit SSH drauf:

[Interface]
Address = 10.8.0.0/24
MTU = 1500
SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE
ListenPort = 64000
PrivateKey = SERVERPrivateKey

[Peer]
PublicKey = PublicKey-Client
AllowedIPs = 10.8.0.2/32
Endpoint = EnpointIP:56162

Am Client habe ich nicht verändert. Bei der SSH Config habe ich noch folgendes aktiviert:

...
ListenAddress ÖffentlicheIP
ListenAddress 10.8.0.1
...

An der Config vom Client habe ich nichts verändert

[Interface]
PrivateKey = PrivateKeyClient
Address = 10.8.0.2/32
DNS = 1.1.1.1


[Peer]
PublicKey = PublicKeyServer
AllowedIPs = 0.0.0.0/0
Endpoint = Domain:64000
PersistentKeepalive = 25

Ich habe es mit der öffentliche Adresse und mit der internen Adresse von Wireguard.

Muss ich in den IPTables noch was freigeben?

Es soll nicht nur docker, sonder der komplette Server über wireguard angesprochen werden.

Zitat von frank_m

Deshalb sage ich immer, nie eine Anleitung blind abtippen. Lesen, verstehen, auf die eigene Situation adaptieren, umsetzen.

Das Konzept ist ok, die Umsetzung ist schlecht. In erster Linie solltest du den VPN Tunnel umbauen.

Kannst du mir sagen, auf was ich achten sollte?

Danke, das mache ich mal morgen.

Gute Fragen, kann ich dir wirklich nicht beantworten. Ich habe für wireguard eine Anleitung verwendet. Diese ist wohl falsch. Ich habe sonst scripte für wireguard verwendet, aber auf diesen Server wollte ich alles selber konfigurieren.

Ich denke, ich muss wohl das ganze Konzept nochmal überarbeiten.

Moin,

ich habe mir einen RootServer geholt.

Aktuell sitze ich an einem Problem, bei dem ich eine Lösung habe, aber nicht weiß, ob diese so in Ordnung ist.

Problem:

Meinen Server steuere ich mit ufw, damit alle unwichtigen Ports zu sind. Ich habe einen Wireguard laufen, um interne Dinge auf dem Server zu tun.

Ich habe Docker auf dem Server installiert. Mit Docker Compose habe ich einen Nginx Proxy Manager (NPM) am Laufen. Nun das Problem, dadurch dass keine weitere Firewall vor dem Server geschalten ist, wird jeder Port den man in der Compose-Datei angibt über die IPTables aufgemacht. Bei einem NPM sind die Standardports 80,443 und 81. Den Port 81 würde ich gerne schützen und diese soll nur über den Wireguard erreichbar sein.

Wireguard ist wie folgt auf dem Server konfiguriert:

[Interface]
Address = 10.8.0.1/24
SaveConfig = true
PostUp = ufw route allow in on wg0 out on ens3
PostUp = iptables -t nat -I POSTROUTING -o ens3 -j MASQUERADE
PostUp = ip6tables -t nat -I POSTROUTING -o ens3 -j MASQUERADE
PreDown = ufw route delete allow in on wg0 out on ens3
PreDown = iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE
PreDown = ip6tables -t nat -D POSTROUTING -o ens3 -j MASQUERADE
ListenPort = 64000
PrivateKey = KEY

[Peer]
PublicKey = KEY
AllowedIPs = 10.8.0.2/32
Endpoint = IP:65096

Der Client ist wie folgt konfiguriert:

[Interface]
Address = 10.8.0.3/32
DNS = 1.1.1.1
PrivateKey = KEY

[Peer]
PublicKey = KEY
AllowedIPs = 0.0.0.0/0
Endpoint = SERVER:64000
PersistentKeepalive = 25

Damit ich nun den Port 81 über Wireguard erreich kann. Habe ich in der Compose-Datei von NPM die folgende Zeile hinzugefügt

...

Ports:

- '10.8.0.1:81:81'

Das funktioniert, aber irgendwie finde ich das Falsch.

Ich würde die Portfreigabe gerne über ufw steuern. Docker kann gerne die Ports öffnen, aber ich würde die gerne mit, z.B. sudo ufw deny 81/tcp sperren.

Kann mir einer sagen, ob das eine gute Lösung ist oder gibt es eine bessere?

Ich würde gerne einen Mailserver mit Mailcow installieren, aber aktuell kann ich mir das nicht vorstellen, da ich nicht die komplette Kontrolle habe.

Für Tipps und Tricks bin ich gerne offen.

Falls es Fragen zu meinem Problem gibt, bitte sofort raus damit.

Danke im Voraus,

Robert

Ja, wäre eine Möglichkeit, müsste ich mal schauen.

Aber danke erstmal für die Tipps.

OK, also bei Dogado kann ich auch den eigentlichen A-Record für Domain in meiner Fritzbox aktualisieren.

Diese Funktion würde ich weiterhin gerne haben. Die Subdomains verwalte ich über einen nginx Proxy Manager hinter der Fritzbox.

Bei diesen genannten DDNS Client benötige ich einen WebServer mit PHP. (https://github.com/stecklars/dynamic-dns-netcup-api)

Ich könnte den auf dem Server als Docker Container installieren. Das sind dann aber wieder Ressourcen die ich nicht vergeuden würde.

Ich wollte das unkompliziert halten. Ich schaue mich trotzdem im Hintergrund immernoch ein bisschen um.

Ok, Nagut, dann hat sich das ja erledigt.

Ich will bloß den a-record der Domain automatisch updaten lassen. Im Hintergrund läuft ein npm um die subdomains zu verwalten.

Guten Tag,

ich benutze aktuell eine Domain bei einen anderen Anbieter und wollte diese zu Netcup transferieren.
Aber bevor ich dies mache, habe ich ein paar Fragen.

1. Kann ich den A-Record der Domain über die Funktionalität einer Fritzbox immer wieder aktualisieren? Hintergrund: Ich habe ein paar Dienste hinter meinem Provider laufen, der gelegentlich die IP ändert.

2. Wenn 1. nicht funktionert, kann ich das über ddclient lösen? Wird das von Netcup akzeptiert?

3. Geht das nicht, habe ich von diesem Script gehört: https://github.com/fernwerker/ownDynDNs . Wie muss ich mir die Ausführung vorstellen? Kann ich das automatisiert machen?

Danke.

Robert

Ok, verstanden. Danke
Ich habe vor einen Mailserver zu betreiben. Dann schaue ich mir das nochmal genauer an.

Hallo,

ich habe einen Server bei netcup bestellt und den rDNS-Eintrag geändert.

Dies habe ich vor einigen Tagen gemacht, aber irgendwie wieder der Eintrag nicht aktualisiert und ich kann den Server nicht darüber erreichen.

Kann mir einer sagen, was ich da tun kann?

Der ursprüngliche Eintrag v*************.nicesrv.de funktioniert immernoch.

Danke,

Robert