NGINX reverse proxy

[Ernie]

Ik gebruikte tot hiertoe de wachtwoordmanager van FF en links en rechts wat bestandjes met account info's.
Nu wilde ik de lat toch wat hoger leggen en MFA (2fauth, functioneert, lokaal) en vaultwarden opzetten.
Vaultwarden moet over HTTPS gaan dus daar zit ik wat vast.

Verleden jaar heb ik hier ook al een vraag gesteld ivm WAN access voor HA en een paar weken geleden heb ik NGINX met webUI al eens geïnstalleerd maar kreeg niks aan de praat.
Paar dagen geleden opnieuw handen uit de mouwen gestoken en heb nu NGINX (nooit iets mee gedaan) draaien in een container en het lukt me voor sommige services een een simpele, non-secure, redirect te doen.

Dit is wat ik nu in de conf file heb staan (is maar basic om er vertrouwd mee te raken):

Code: Selecteer alles

server {
  listen 80;

#  server_name 172.16.0.4;

  location / {
    proxy_pass http://172.16.0.4:8123;
  }

}

Is het normaal dat sommige services niet werken, bv HA en 2fauth niet.
Bij HA krijg ik het aanmeldingsscherm maar als mijn credentials invul, krijg ik 'Unable to connect.. , retrying in 60s'
Als ik het 2fauth IP in de plaats zet dan lijkt de pagina te openen (2fauth in tabblad titel) maar de pagina blijft blanco, na browser refresh idem.
Is dit een gevolg van geen TLS te gebruiken?

Ik heb al verschillende howto's en videos bekeken maar noppes.

[silentkiller]

Je huidige confige stuurt alles wat binnen komt op HTTP poort 80, door naar de backend.

Voor home assistant werkt dat (je krijgt de pagina) maar de login mislukt. Dit komt omdat je HTTP connectie moet geupgrade worden naar een Websocket connectie en dat mag standaard niet. (meer info).

Het is altijd belangrijk om te weten hoe de applicatie achter je reverse proxy net werkt, naargelang moet je waarschijnlijk meer dingen configureren in de reverse proxy.
Voor HA kan je hier een tutorial vinden.
(Let op, ze maken ook gebruik van de "X-Forwarded-For" header, hiermee ziet HA de echte client en niet de proxy. Hiervoor dient ook configuratie in HA te gebeuren om dit toe te laten)

2fauth ken ik niet, maar mogelijks is er daar ook extra configuratie nodig op de proxy.

Als je met containers werkt, kijk dan ook eens naar traefik als alternatief voor nginx. Deze is meer container geörienteerd (maar dezelfde regels blijven gelden!)

[snarie]

Voor HA, is aanpassing configuration.yaml nodig:
add ->

Code: Selecteer alles

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 192.168.x.x

met 192.168.x.x. IP nr van reverse proxy server. (kijk 'ns in je HA log file als je nummer niet kent. Wordt daar als warning of error getoond.

[Ernie]

Voor HA, is aanpassing configuration.yaml nodig

Dit was het!

@silentkiller: Bedankt voor de links!
HA draait in een LXC (niet in docker) en vermoedelijk zal ik meer over nginx dan over traefik vinden, niet?

Voor 2FAuth moeten er idd instellingen worden gedaan mbt proxy configs.
Heb dat gevonden maar nog niet aan de praat gekregen.
Ik ben er nu een beetje mee aan het experimenteren om een beter inzicht te krijgen in reverse proxies.

[silentkiller]

Over traefik ga je ook voldoende vinden, up to you.

Voor 2fauth lijkt het precies simpeler, lijkt me niet dat ze veel speciale dingen nodig hebben in de reverse proxy maar dat de APP_URL juist moet staan.

Even OOTB gedacht: je struggelt met het opzetten van de reverse proxy maar de reden van gebruik is om deze uiteindelijk publiek op het internet te hangen zodat je bij je applicaties kan. Je moet de applicaties ontsluiten aan de achterkant van je proxy maar je gaat ook aan de voorkant (op zijn minst) een SSL certificaat installeren als je de proxy publiek op het internet hangt. Wil je dit wel naar veiligheid toe?
Ik denk dat je in jouw use case meer hebt aan een VPN server. Enkel deze dien je dan publiek aan het internet te hangen en dan kan je overal bij over de VPN.