Probleme mit NGINX

[bimbar]

Hallo zusammen,

ich habe heute auf meiner Synology im Docker einen Vaultwarden aufgesetzt. Nun wollte ich aber nicht den Reserve Proxy und die SSL Abhandlung von der Synology nutzen, sondern das meiner Firewall und nginx überlassen. Also habe ich heute selbiges frisch installiert auf der Opnsense und wollte es einrichten.

Aber nach einem gesamten Tag konfigurieren und wirklich so gar keinem Erfolg (ausser beim Synology mit SSL Zertifikat von meiner Domain und Reverse Proxy inklusive NAT und Outbound NAT auf Opnsense vollkommen funktional) fiel mir auf, dass im Dashboard ständig im Live Log "WARNING: failed to setup nginx" auftaucht. Eine Reinstallation half nichts und zu dem Fehler finde ich auch nicht vernünftiges.

Hat dazu jemand eine Idee?

Normalerweise würde der nicht starten, weil die Konfiguration ein Problem hat.

[Seelenschnitter]

Hallo zusammen,

ich habe heute auf meiner Synology im Docker einen Vaultwarden aufgesetzt. Nun wollte ich aber nicht den Reserve Proxy und die SSL Abhandlung von der Synology nutzen, sondern das meiner Firewall und nginx überlassen. Also habe ich heute selbiges frisch installiert auf der Opnsense und wollte es einrichten.

Aber nach einem gesamten Tag konfigurieren und wirklich so gar keinem Erfolg (ausser beim Synology mit SSL Zertifikat von meiner Domain und Reverse Proxy inklusive NAT und Outbound NAT auf Opnsense vollkommen funktional) fiel mir auf, dass im Dashboard ständig im Live Log "WARNING: failed to setup nginx" auftaucht. Eine Reinstallation half nichts und zu dem Fehler finde ich auch nicht vernünftiges.

Hat dazu jemand eine Idee?

Normalerweise würde der nicht starten, weil die Konfiguration ein Problem hat.

Gestartet war er aber es interessierten ihn scheinbar keinerlei Einstellungen. Mit Caddy klappte es rucki zucki.

[Seelenschnitter]

Wenn man in der Lage ist, Wildcards zu verwenden, sollte man auf gar keinen Fall mehr FQDNs verwenden, insbesondere nicht so etwas wie "vaultwarden.meinedomain.de" oder "opnsense.meinedomain.de". Das ist nämlich unnötig, da bereits durch "*.meinedomain.de" abgedeckt.

Wenn man die bereits einmal hat ausstellen lassen, sind diese Namen aufgrund certificate transparency bereits "in the open" und sollten ggf. gewechselt werden, siehe: https://crt.sh/

Zur Erklärung: https://forum.opnsense.org/index.php?msg=189393

Ich hab mir jetzt irgendwie das Hirn verknotet. Wie soll das denn ohne Subdomains funktionieren, also woher soll mein Netzwerk wissen, welche Anfrage wohin geht?
Bsp:
2 Dienste Web
Eins ist eine Webseite, das Andere Vaultwarden.

Ich muss doch irgendwie sagen, wann ich was abrufen möchte. Wenn ich jetzt immer nur meinedomain.de anspreche, dann geht 443 doch immer nur an einen Dienst, ohne einen weiteren Zeiger oder hab ich was in der aussage falsch verstanden? Also wenn ich nicht noch Ports eingeben möchte.

[Patrick M. Hausen]

Es ist nur gemeint, du sollst keine Zertifikate auf meindienst.meinedomain.de ausstellen, nicht, dass du keine solche URL/domain verwenden sollst.

[Seelenschnitter]

Es ist nur gemeint, du sollst keine Zertifikate auf meindienst.meinedomain.de ausstellen, nicht, dass du keine solche URL/domain verwenden sollst.

Achso ok. Dann hatte ich da wirklich was missverstanden in der Aussage. Verzeihung.

[Seelenschnitter]

Frage: Sollte Caddy nicht bei entsprechenden Firewall Regeln

Code Select Expand

Firewall -> Rules -> LAN
Protocol:     IPV4 TCP
Source:       Any
Port:         Any
Destination:  This Firewall
Port:         443 (und eine extra Regel für Port 80)
Gateway:      default


nicht auch den internen Traffic auflösen können, wenn ich eine Webseite anspreche, die ich als reverse Proxy eingetragen habe?

[Monviech (Cedrik)]

Doch sollte es und zwar ohne weitere tricks.

Keine DNS overrides nötig, intern muss nur die gleiche externe IP der Firewall für die selben Namen aufgelöst werden können.

Wenn es nicht geht das hier abarbeiten:
https://docs.opnsense.org/manual/how-tos/caddy.html#caddy-troubleshooting

[Seelenschnitter]

Doch sollte es und zwar ohne weitere tricks.

Keine DNS overrides nötig, intern muss nur die gleiche externe IP der Firewall für die selben Namen aufgelöst werden können.

Wenn es nicht geht das hier abarbeiten:
https://docs.opnsense.org/manual/how-tos/caddy.html#caddy-troubleshooting

Ich hoffte auf etwas, dass ich vergessen habe. Das habe ich leider bereits abgearbeitet. Ich machs aber nochmal. Vielleicht habe ich da ja doch was übersehen.

EDIT: Ja....ab und zu tut ein PowerCycle auch einfach mal gut (Klassiker). Es klappt nun ^^

[Seelenschnitter]

Nächste Frage: Ist es möglich mit meinem Zertifikat vom Hoster (Cert, Intermediate) die Kette auf der Opnsense abzubilden? Irgendwie sehe ich nicht, wie ich die Kette erstellen kann und man findet immer nur Let's Encrypt.

Danke schonmal

Edit: Das scheint nicht zu gehen, da man die Kette nicht abbilden kann ohne das gegenzuzeichnen an der CA, dessen private Key man nicht hat.