Aller au contenu

[TUTO] Certificat SSL & reverse proxy via Docker


.Shad.

Messages recommandés

Le 30/10/2023 à 3:44 PM, Dino Rayn a dit :

En faisant pointer 80/443 directement sur l'ip de swag, tous mes anciens services ne sont plus accessibles.

Généralement on n'utilise qu'un seul proxy inversé à la fois. Ce que DSM fait, SWAG peut le faire. Acme gère ton domaine principal c'est ça ? Qu'est-ce qui t'empêche de le basculer sur SWAG ? Si tu as un cas concret à présenter pour voir ce qui pose problème.

Si le but est de laisser le proxy inversé sur le NAS, SWAG n'a aucun intérêt. Acme est plus indiqué.

Concernant l'erreur du script, après plusieurs essais on avait remarqué que si tu écris .210/29 tu tronques certaines IP. Si tu vas sur le calculateur de jodies, tu dois indiquer ce qui est noté dans "network" : https://jodies.de/ipcalc?host=192.168.0.210&mask1=29&mask2=

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Il y a 21 heures, .Shad. a dit :

Généralement on n'utilise qu'un seul proxy inversé à la fois. Ce que DSM fait, SWAG peut le faire. Acme gère ton domaine principal c'est ça ? Qu'est-ce qui t'empêche de le basculer sur SWAG ? Si tu as un cas concret à présenter pour voir ce qui pose problème.

Si le but est de laisser le proxy inversé sur le NAS, SWAG n'a aucun intérêt. Acme est plus indiqué.

Concernant l'erreur du script, après plusieurs essais on avait remarqué que si tu écris .210/29 tu tronques certaines IP. Si tu vas sur le calculateur de jodies, tu dois indiquer ce qui est noté dans "network" : https://jodies.de/ipcalc?host=192.168.0.210&mask1=29&mask2=

Merci beaucoup pour ton retour, je vais donc désactiver acme.sh qui ne me sert plus. 

A part ça, tout fonctionne correctement avec notamment Authelia, fail2ban, crowdsec etc... C'est vraiment le top merci pour tes tutoriels.

Est-il possible de désactiver l'accès aux services par le biais de l'ip de mon NAS ? Étant donné que j'ai SWAG qui fait office de revers proxy avec l'ip 192.168.50.200. Il n'y a pas de grand intérêt à faire cela, mais c'est plus pour ma culture.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Hello 👋🏻 

Dîtes, avez vous des soucis avec le bouncer de Crowdsec qui ne veut pas être télécharger dans l’image swag ?!

chez moi ça me fait une erreur (je n’ai plus le terme exact et je suis sûr mobile…) « … mismatch … », et nginx redémarre sans avoir fini son démarrage.

Dès lors que j’enlève le mod Crowdsec du docker compose , nginx fini son démarrage.

je posterais plus de précision quand j’aurais le pc sous la main.

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

@MilesTEG1 Désolé oublié de te répondre. Oui ça m'arrive parfois.
Pour finir je n'utilise plus Crowdsec, beaucoup de faux positifs via les logs nginx, ça va mieux quand il y a des collections adaptées (emby par exemple). Mais même comme ça, j'ai voulu mettre en place le deban par recaptcha, j'ai tout configuré comme il fallait, mais il y a des bugs, que j'ai remontés sur Github mais rien n'évolue.

Donc exit pour ma part, retour à fail2ban.

Lien vers le commentaire
Partager sur d’autres sites

@.Shad.F2B et Crowdsec ne sont pas exclusifs ^^

J'ai les 2 en fonctionnement.

Mais oui, j'ai parfois l'impression qu'il y a des faux positifs via les logs nginx pour Crowdsec.
Il faut préférer passer les logs des applications directement avec une collection dédiée pour être à peu près tranquille.

Mais ce n'est pas toujours possible : par exemple, j'ai un serveur Home Assistant dans une VM, et je ne peux pas partager comme ça ses logs dans SWAG (pour F2B ou Crowdsec).

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1 L'autre solution, plus propre selon moi, c'est d'utiliser une instance déportée de Crowdsec dans ta VM HA, soit via docker, soit via une installation native (https://www.crowdsec.net/blog/multi-server-setup)

Ca a l'avantage que les logs restent analysés localement par Crowdsec (mais ça implique d'avoir une collection spécifique pour l'application que tu souhaites surveiller) et lorsqu'il y a blocage c'est renvoyé à l'instance maître, qui bloque au niveau de Nginx.

C'est la solution que j'utilise pour Emby qui est sur une machine déportée, je dis "utilise" car il y a apparemment du nouveau sur le bug du recaptcha, suffisait d'en discuter 😅 -> https://github.com/crowdsecurity/lua-cs-bouncer/issues/44#issue-1879105885

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

 

@.Shad. Salut 👋

Le 12/01/2024 à 11:05 PM, .Shad. a dit :

@MilesTEG1 L'autre solution, plus propre selon moi, c'est d'utiliser une instance déportée de Crowdsec dans ta VM HA, soit via docker, soit via une installation native (https://www.crowdsec.net/blog/multi-server-setup)

Ca a l'avantage que les logs restent analysés localement par Crowdsec (mais ça implique d'avoir une collection spécifique pour l'application que tu souhaites surveiller) et lorsqu'il y a blocage c'est renvoyé à l'instance maître, qui bloque au niveau de Nginx.

C'est la solution que j'utilise pour Emby qui est sur une machine déportée, je dis "utilise" car il y a apparemment du nouveau sur le bug du recaptcha, suffisait d'en discuter 😅 -> https://github.com/crowdsecurity/lua-cs-bouncer/issues/44#issue-1879105885

 

Je pense que je vais repartir sur cette idée, placer dans le Home Assistant une instance de Crowdsec.

 

 

Sinon, j'ai un petit souci avec Fail2Ban intégré de SWAG...
Impossible de lancer la commande habituelle

sudo docker exec -it swag fail2ban-client status

 

ALors que la même commande pour Crowdsec fonctionne bien

sudo docker exec -t crowdsec cscli

 

 

Je ne comprends pas, car quand je vais dans le conteneur avec :

sudo docker exec -t swag /bin/bash

je peux lancer la commande fail2ban-client sans soucis...

As-tu une idée ?

bon en fait ça chie aussi dans le conteneur :

root@Swag--DS920Plus:/# fail2ban-client restart
2024-01-24 08:36:23,444 fail2ban                [3615]: ERROR   Failed to access socket path: /var/run/fail2ban/fail2ban.sock. Is fail2ban running?
2024-01-24 08:36:23,543 fail2ban                [3615]: ERROR   Fail2ban seems to be in unexpected state (not running but the socket exists)
root@Swag--DS920Plus:/#

 

root@Swag--DS920Plus:/# fail2ban-client reload
2024-01-24 08:38:25,419 fail2ban                [3891]: ERROR   Could not find server

 

La commande fail2ban-client fonctionne, mais pas quand je mets un argument derrière.

Je vais relancer le conteneur, mais je n'y crois pas, j'ai déjà fait ça tout à l'heure...

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.