Letzte Woche habe ich mich endlich darum gekümmert, dass meine auf dem Rasperry Pi gehosteten Anwendungen (Docker Container) durch SSL geschützt werden. Bisher war sämtliche Kommunikation unverschlüsselt und auch wenn sich die Kommunikation nur zu Hause im kleinen Netzwerk abspielt, war es mir doch ein Dorn im Auge, gerade für mich als Mitarbeiter bei IT-Security.
Mein geschätzter Kollege brachte mich auf die Idee, anstelle eines SSL-Zertifikates innerhalb jeder Anwendung zu konfigurieren, einfach einen NginX Proxy Manager (NPM) vorzuschalten, des dann pauschal die Verbindungen mit SSL absichert und auch die Zertifikate über Let’s encrypt erzeugt.
Bei der Umstellung von Paperless NGX, Homeassistent gibt es aber ein paar Dinge zu beachten bzw. in der Anwendung umzustellen, da es sonst zu Timeouts bei der Homeassistent Anmeldung oder zu CRF Fehlern bei Paperless NGX kommt. Auch die Fritz.Box kann einem mit ihrem DNS Rebind-Schutz für mächtig viel Schweiß auf der Stirn sorgen.
Kurz zu meinem Setup
Für die Dienste zu Hause benötigte ich eine Subdomain z.B. home.mathias-jaekel.de. Die Idee, ein Wildcard Zertifikat zu erzeugen und alle Dienste mit nur einem Zertifikat abzufrühstücken. Da mein Provider leider nicht in der Auswahl der DNS-Challenge Liste (vom NginX Proxy Manager) zur Auswahl stand, habe ich die DNS-Server kurzerhand zur Cloudflare umgezogen. Der Kostenlose Plan von Cloudflare reicht dafür aus.
Einstellungen bei Cloudflare
Die Subdomain *.home.mathias-jaekel.de zeigt auf die lokale IP des Rasperry Pi’s (192.168.178.44). Man könnte natürlich auch für jeden Host oder Dienst den du verfügbar machen möchtest einen A oder AAAA Record anlegen, macht aber unnötig Arbeit.

Einstellungen im Nginx Proxy Manager

Einstellungen für Paperless NGX im Nginx Proxy Manager
– Anpassung der ENV

Anschließend müsst ihr noch in der docker-compose.env die neue Url setzen „PAPERLESS_URL“. Macht ihr das nicht, gibt es nach dem Login in Paperless NGX einen CRF Fehler.
cat docker-compose-data/paperless-ngx/docker-compose.env
#### docker-compose-data/paperless-ngx/docker-compose.env
PAPERLESS_URL=https://paperless.home.mathias-jaekel.de
Einstellungen für Homeassistent im Nginx Proxy Manager





Bei HomeAssistent muss für die erfolgreiche Umstellung auf Nginx Proxy Manager noch zwei zusätzliche Einstellungen („use_x_forwarded_for“ und „trusted_proxies:“) vorgenommen werden. Datei: configuration.yml
Ohne diese wäre nach der Anmeldung schluss… Timeout bei der Anmeldung.
cat docker-compose-data/homeassist/config/configuration.yaml
##### docker-compose-data/homeassist/config/configuration.yaml
# Loads default set of integrations. Do not remove.
default_config:
# Load frontend themes from the themes folder
frontend:
themes: !include_dir_merge_named themes
automation: !include automations.yaml
script: !include scripts.yaml
scene: !include scenes.yaml
http:
use_x_forwarded_for: true
trusted_proxies:
- 172.27.0.2
- 192.168.178.44
Einstellungen für Portainer im NginX Proxy Manager

– Websocket
Fritz Box DNS Rebind Schutz
Der DNS Rebind Schutz verhindert, dass die Fritz interne IP-Adresse für Internet Domains auflöst. Des Weiteren ist mir während des Troubleshootings aufgefallen, dass die Fritz.Box sich selbst für DNSv6 bei den Clients über DHCP konfiguriert. Das sorgte dafür, dass die interne DNS-Auflösung nicht komplett über PiHole lief und alle paar Minuten die Auflösung von Host in *.home.mathias-jaekel.de funktionierte und dann wieder nicht. Erst nach Abschalten von DNSv6 und dem Konfigurieren der Ausnahmen im „DNS Rebind Schutz“ der Fritz Box behob die wackelige DNS-Auflösung. Bis ich darüber gestolpert war, verstrichen zwei Abende.
Bei der Fritz Box anmelden => Heimnetz => Netzwerk => Netzwerkeinstellungen => weitere Einstellungen => DNS-Rebind-Schutz
P.S. ich hatte keine Lust mehr es im Detail rauszukonfigurieren… es kann sein das die Wildcard Subdomain schon oder IP des Nginx Proxy Manager’s schon ausreichen.

Folgen (Überraschung) des DNS-Umzugs zu Cloudflare
WordPress \wp-admin Aufruf erzeugt „to many Redirects“ nach der Cloudflare Umstellung
Super, nebenbei stellte ich dann noch fest, dass selbst WordPress herumspinnt und keine Lust mehr den internen Bereich aufzurufen.
Nach etwas Recherche und Troubleshooting, fand ich dann die richtige Information. Standardmäßig steht der DNS Mode für die Domains bei Cloudlfare auf Flex-DNS.
Artikel: WordPress Admin – to many redirects nach DNS-Umzug zu Cloudflare
weitere Beiträge rund um Docker, Paperless NGX und Co.
- Die Docker Compose (YML) Dateien die ich nutze
- Nginx Proxy Manager – richtige Einstellungen für Paperless NGX, Homeassistent, Pihole und co.
- die richtigen Netzwerkeinstellungen für PiAlert im Docker
- Webseiten automatisch via FTP auf den Rasperry PI sichern (Backup)
- Welcher Rasperry PI ist der richtige für mich? 4er, 5,er mit 2GB, 4Gb,8GB Ram?
- Tipps beim Digitalisieren der Aktenordner mit Paperless-NGX (Papierloses Büro)
- Rasperry pi beim ersten Boot mit WLAN verbinden (headless / unattended firstboot)