Eigen (owncloud) server draaien

rubenvb · 17 feb 2013, 18:54

Dag userbasers!

Ik heb hier thuis een Raspberry Pi met Arch Linux ARM geinstalleerd. Hij steekt fysiek in m'n Sagem Fast 3464 (den BBox2 maar via Edpnet). Ik heb het IP address van m'n Pi in de DMZ gezet, zodat deze afgeschermd is van de rest van de LAN.

Ik heb tot nu toe al werkend gekregen:

freedns redirection en update
firewall (ufw) en gelimiteerde ssh toegang
lighttpd+php
owncloud half werkend (sync macheert nog niet)

Er zijn nog enkele dingen die niet werken, waarmee ik jullie hulp zou kunnen gebruiken:

Als ik mijn freedns URL intik vanop mijn LAN, kom ik op de webpagina van de Sagem. Van buitenaf (bvb m'n smartphone over 3G) krijg ik wel netjes m'n owncloud op de Pi te zien. Ik zou graag hebben dat die URL ook binnen m'n LAN werkt.
SSL: Ik krijg lighttpd niet ingesteld om bvb "192.168.1.2" te redirecten naar "https://192.168.1.2" (en dus ook niet m'n freedns URL van buitenaf). Ik heb in m'n lighttpd.conf staan:
Code: Selecteer alles
```
server.modules += ( "mod_redirect" )
$HTTP["scheme"] == "http" {
    $HTTP["host"] =~ ".*" {
        url.redirect = (".*" => "https://%0$0")
    }
}
```
wat volgens het eerste voorbeeldje hier zou moeten werken. Ik heb zowel port 80 als 443 open staan in de firewall (direct verbinding maken met "https://192.168.1.2" lukt dus wel)
M'n SSL certificate word niet zomaar aanvaard in Firefox. Ik heb over ca-certificated enzo gelezen, maar vermoed dat ik niet zomaar m'n cert kan laten signen zonder meer...

Alle hulp is zeer welkom!

rubenvb · 17 feb 2013, 20:48

OK, ik heb de meeste dingen opgelost:

HTTP->HTTPS redirect werkt als volgt in lighttpd:

Code: Selecteer alles

$SERVER["socket"] == ":80" {
  url.redirect = ( "^/(.*)$" => "https://%0$0:443" )
}

Owncloud sync werkt als je SSL certificaat een "common name" bevat.
SSL certificaten kunnen worden aangevraagd bij bvb http://www.cacert.org/

Nadat ik upnp heb uitgezet via telnet op m'n Sagem, en HTTP en HTTPS trafiek forward naar m'n Pi, lijkt alles goed te werken.

Enkel heb ik nog 1 kleinigheidje: vanop m'n LAN naar m'n domeinnaam surfen leidt me altijd naar de router, ipv de Pi. Is er een instelling dat ik mis in de Sagem/BBox?

17 feb 2013, 21:14

Dit is een gekend fenomeen, en heet "NAT Loopback"

De 'NAT Loopback' functie maakt het mogelijk om interne servers ook vanaf interne machines op het publieke IP-adres bereikbaar te maken. Dit staat standaard "uit".
bron: http://www.ihavetheknowledge.nl/eng/FAQ ... nschakelen

Bij sommige routers kan je dit inschakelen (zie bovengenoemde link).

tomw · 17 feb 2013, 21:15

Rubenvh, mooi dat je het nu min of meer werkend hebt. Ikzelf heb ook grote interesse om owncloud op m'n raspi te instaleren.
Is er ergens een tutorial ofzo dat ik daarvoor kan volgen, of zou je het eventueel zelf zien zitten om in grote lijnen te schrijven welke stappen je moet volgen?

17 feb 2013, 22:40

Ik heb owncloud nog altijd niet aan de praat gekregen op een W2K8 R2-machine... Ben nu aan't zien of ik ajaxplorer + synchro client aan de praat krijg (maar al die tools zijn niet Windows ACL/users-aware, best spijtig).

ubremoved_539 · 17 feb 2013, 22:51

rubenvb schreef:[*] SSL certificaten kunnen worden aangevraagd bij bvb http://www.cacert.org/

cacert.org is niet trusted in IE 9... dan kan je evengoed (beter zelfs) self-signen lijkt me.

Via http://www.startcom.org/ kan je trouwens wel SSL certificaten gratis krijgen (welke trusted zijn in de meeste browsers).

rubenvb · 18 feb 2013, 10:40

r2504 schreef:
rubenvb schreef:[*] SSL certificaten kunnen worden aangevraagd bij bvb http://www.cacert.org/
cacert.org is niet trusted in IE 9... dan kan je evengoed (beter zelfs) self-signen lijkt me.

Via http://www.startcom.org/ kan je trouwens wel SSL certificaten gratis krijgen (welke trusted zijn in de meeste browsers).

Dat is goed om te weten. Ik zal dan beter hier m'n SSL stuff gaan halen.

tomw schreef:Rubenvh, mooi dat je het nu min of meer werkend hebt. Ikzelf heb ook grote interesse om owncloud op m'n raspi te instaleren.
Is er ergens een tutorial ofzo dat ik daarvoor kan volgen, of zou je het eventueel zelf zien zitten om in grote lijnen te schrijven welke stappen je moet volgen?

De grote lijnen (met links naar de Arch wiki):

wijs een statisch IP aan je Pi toe
installeer lighttpd en php, vergewis jezelf ervan dat de simpele testpagina's werken door op een ander toestel op je LAN naar het IP adres dat je hebt ingesteld te surfen.

Als je vanop het internet (buiten LAN) aan je server wil:

stel een firewall in, bvb UFW. Let erop dat je ofwel alles ofwel toch tenminste SSH toelaat of alles vanop je LAN (SSH toegang van buitenaf kan ook, maar "men" zegt dat je dan beter een andere poort toewijst om script kiddies buiten te houden)
registreer een domeinnaam bij bvb. freedns.afraid.org als je van je ISP geen statisch IP krijgt. Stel een cronjob in op je Pi om het IP up to date te houden. Deze Dynamic DNS kan je testen door buiten je LAN naar je URL te surfen.
installeer owncloud, en let erop dat je PHP (open_basedir) én lighttpd (server.doc-root) instelt zodat alles werkt. Je kan fouten vinden door de output van
Code: Selecteer alles
```
journalctl -u lighttpd | cat 
```
te bekijken. En natuurlijk /var/log/lighttpd/*.log. Let er ook op dat een symlink naar /usr/share/webapps/owncloud vereist dat /usr/share/webapps in je open_basedir staat.
TODO: zet lighttpd in een chroot jail, en misschien PHP in een chroot jail in de lighttpd chroot jail (ik weet niet of dit veel zal uitmaken, maar de optie is er

Nadat owncloud is geinstalleerd krijg je normaal een web interface. Let erop dat je waarschijnlijk SSL moet gaan instellen.
Als je een error krijgt "Input File not found" of iets dergelijks, kijk dan na of je php.ini open_basedir juist staat ingesteld.

philippe_d schreef:Dit is een gekend fenomeen, en heet "NAT Loopback"
De 'NAT Loopback' functie maakt het mogelijk om interne servers ook vanaf interne machines op het publieke IP-adres bereikbaar te maken. Dit staat standaard "uit".
bron: http://www.ihavetheknowledge.nl/eng/FAQ ... nschakelen
Bij sommige routers kan je dit inschakelen (zie bovengenoemde link).

Tja, de BBox2/Sagem is wat geavanceerder dan een simpel vinkje. Ik denk dat ik het wel werkend krijg door een LAN server voor HTTP(S) in te stellen die een domeinnaam doorstuurt naar m'n webserver, zoals in post 3 hier.

Bedankt allemaal voor julllie hulp!

rubenvb · 25 feb 2013, 20:28

OK, NAT Loopback is onmogelijk op m'n fancy bbox2/Sagem ding.

Nu heb ik een ideetje: stel ik sluit een wifi N router aan op de sagem, en laat die de PPPoE verbinding verzorgen:

kan ik dan NAT Loopback in die router laten werken?
kan ik dan blijven EDPnet VOIP'en via de Sagem?

Als iemand een ander voorstel heeft, hoor ik het graag. Het zou wat rot zijn dat m'n owncloud sync niet werkt vanop m'n LAN...

ubremoved_539 · 25 feb 2013, 22:37

Zet gewoon de hostname in je hosts tabel met je interne IP-adres.

Er is geen reden om je externe adres trachten aan te spreken (behalve dat je daarmee die host entry kan vermijden).