Lokales selbst signiertes SSL Zertifikat

itsy · 26. Juni 2023 um 20:31

Hallo zusammen,

ich würde gerne die neue Sprachsteuerung testen, wofür ich eine Verbindung zum HA über https benötige. Leider finde ich nur Anleitungen über einen externen Zugriff, beispielsweise über den NGINX Proxy Manager. Allerdings möchte ich mein Netzwerk nicht von außer erreichbar machen - auch keine einzelnen Ports (ich arbeite von extern mit einer WireGuard-Verbindung und greife dann lokal auf den Server zu).

Gibt es eine Möglichkeit bei der ich beispielsweise über den NGINX Proxy Manager und einem lokalen, selbst signierten Zertifikaten arbeiten kann - ohne Ports nach außen öffnen zu müssen?

Vielen Dank
itsy

d0neria · 26. Juni 2023 um 20:40

Ja, funktioniert, habe das hier mit dem nginx Proxy Manager und ner Top level Domain gelöst, deren DNS auf eine lokale IP zeigt (z.b. 192.168.0.2). Hier ein Video welches das mit duckdns macht: (84) Quick and Easy SSL Certificates for Your Homelab! - YouTube

Durch den DNS Eintrag der auf die lokale IP zeigt, ist der Server von außen nicht erreichbar. In deinem Netz wird er aber sehr wohl erreichbar, ohne offene Ports, ohne Cloudflare Tunnel ohne alles.

itsy · 26. Juni 2023 um 20:47

Vielen Dank, das klingt ja richtig gut! Werde ich morgen dann gleich mal testen!

itsy · 27. Juni 2023 um 20:33

Jetzt habe ich mit duckdns testweise eine Subdomain eingerichtet, mit lokaler IP-Adresse verknüpft und die Subdomain dann über den Proxy-Manager verlinkt. Ohne SSL klappt die Umleitung ohne Probleme, mit SSL wird im Browser nichts angezeigt und es gibt laut googhle auch kein Zertfikat. Muss im HA noch etwas eingerichtet werden?

Vielen Dank!

d0neria · 27. Juni 2023 um 20:43

Ja, erklärt er sogar im Video:

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 192.168.0.0/24

Das muss in die configuration.yaml und die Netzadresse halt durch deine Netzadresse ersetzen.

itsy · 27. Juni 2023 um 20:47

Das habe ich schon drin stehen - sonst würde ich ja auch nicht ohne SSL-Einstellungen weiterleiten …

d0neria · 27. Juni 2023 um 20:52

Ah, ok, got it. Ich hab im Proxy Manager nur http und bei Port den 8123. Zwischen dem Proxy und HA juckt mich SSL nicht
Und für alles von außen ist ja egal, da bis nginx ja ssl ist.

Lindtbaer · 27. Juni 2023 um 21:01

Du kannst nicht auf port 8123 mit verschlüsselung. Du musst den port forwarden.

itsy · 27. Juni 2023 um 21:07

Wie d0neria geschrieben hat, muss die Verschlüsselung doch nur bis zum Proxy-Manager bestehen - aber auch das scheint nicht zu funktionieren.

Egal welche Container ich über den Proxy mit aktiviertem Zertifikat aufrufe, nichts geht. Schalte ich einfach das Zertifikat wieder ab, funktioniert es. Müss ggf. der Proxy noch anders eingestellt werden?

d0neria · 27. Juni 2023 um 21:24

Hast du ma screens? gern auch nur pm

itsy · 2. Juli 2023 um 21:08

Auch wenn wir keine Lösung gefunden haben, möchte ich mich für Deinen Einsatz per Chat bedanken.
Da ein M910Q Tiny i5-6500T unterwegs ist, werde ich nachund nach ohnehin alles neu aufsetzen.