Reverse Proxy und ioBroker
-
Hallo Leute!
Ich habe einen Reverse Proxy (Nginx) mit einer eigenen Domain und Let's Encrypt laufen. So rufe ich alle Services mittels passender Sub-Domain auf. Auch den ioBroker.
Nun habe ich das Problem, dass die Seiten einiger Adapter (z.B. VIS, node-red oder roborock) sich nicht öffnen lassen ("Dieser Inhalt kann nicht geladen werden, da er ein unsicheres HTTP-Protokoll verwendet."). Eh klar, wenn der Adapter per http und nicht mit https aufgerufen wird. Oder es wird automatisch ein Port angehängt was natürlich auch nicht funktioniert.
Jetzt habe ich mir gedacht, dass man das im Admin bei 'Reverse-Proxy' irgendwie konfigurieren kann damit das klappt. Aber ich habe keine Ahnung was ich dort oder in Nginx einstellen muss. Entweder bleibt der Fehler oder ioBroker ist gar nicht mehr erreichbar.
Wie löse ich das?
-
Hallo Leute!
Ich habe einen Reverse Proxy (Nginx) mit einer eigenen Domain und Let's Encrypt laufen. So rufe ich alle Services mittels passender Sub-Domain auf. Auch den ioBroker.
Nun habe ich das Problem, dass die Seiten einiger Adapter (z.B. VIS, node-red oder roborock) sich nicht öffnen lassen ("Dieser Inhalt kann nicht geladen werden, da er ein unsicheres HTTP-Protokoll verwendet."). Eh klar, wenn der Adapter per http und nicht mit https aufgerufen wird. Oder es wird automatisch ein Port angehängt was natürlich auch nicht funktioniert.
Jetzt habe ich mir gedacht, dass man das im Admin bei 'Reverse-Proxy' irgendwie konfigurieren kann damit das klappt. Aber ich habe keine Ahnung was ich dort oder in Nginx einstellen muss. Entweder bleibt der Fehler oder ioBroker ist gar nicht mehr erreichbar.
Wie löse ich das?
puh,
du weißt das das nicht empfehlenswert ist.
lieber einen vpn einsetzen.
so sicher ist der iobroker nicht, das man ihn (auch über reverse proxy) frontal ins internet stellen kann.insbesondere auch weil du nach diesem thema fragen musst.
ich fürchte das du sonst in der konfiguration auch noch was verbaselst, was dein komplette LAN am Ende gefährdet.Aber wenn du unbedingt weitersuchen willst.
Das stichwort nennt sich URL rewriting. Der nginx schreibt in deinen html seiten die links um und ändert das protokoll.
das funktioniert solange, wie normale seiten auch ausgeliefert werden.
html inhalte in json requests findet das nur bedingt -
puh,
du weißt das das nicht empfehlenswert ist.
lieber einen vpn einsetzen.
so sicher ist der iobroker nicht, das man ihn (auch über reverse proxy) frontal ins internet stellen kann.insbesondere auch weil du nach diesem thema fragen musst.
ich fürchte das du sonst in der konfiguration auch noch was verbaselst, was dein komplette LAN am Ende gefährdet.Aber wenn du unbedingt weitersuchen willst.
Das stichwort nennt sich URL rewriting. Der nginx schreibt in deinen html seiten die links um und ändert das protokoll.
das funktioniert solange, wie normale seiten auch ausgeliefert werden.
html inhalte in json requests findet das nur bedingt@OliverIO Danke für deine Antwort!
Es geht mir nicht darum den ioBroker von extern zu erreichen (das mache ich per VPN), sondern um ihn auch intern mit der Domain erreichen zu können. Ich hätte gerne alles einheitlich. Also extern erreichbare Dienste und interne.
Ich habe den Proxy schon länger laufen und alles funktioniert wie es soll. Bis auf eben die Links innerhalb von ioBroker.
Ich hatte mich schon mal vor längerer Zeit damit beschäftigt und aufgegeben. Jetzt wollte ich einen neuen Versuch starten und komme einfach nicht ans Ziel.
-
@OliverIO Danke für deine Antwort!
Es geht mir nicht darum den ioBroker von extern zu erreichen (das mache ich per VPN), sondern um ihn auch intern mit der Domain erreichen zu können. Ich hätte gerne alles einheitlich. Also extern erreichbare Dienste und interne.
Ich habe den Proxy schon länger laufen und alles funktioniert wie es soll. Bis auf eben die Links innerhalb von ioBroker.
Ich hatte mich schon mal vor längerer Zeit damit beschäftigt und aufgegeben. Jetzt wollte ich einen neuen Versuch starten und komme einfach nicht ans Ziel.
Ich mache das mit tailscale.
Da muss ich nix komplexes aufsetzen und ich erreiche meine Kisten immer und von überall über deren hostname. -
@OliverIO Danke für deine Antwort!
Es geht mir nicht darum den ioBroker von extern zu erreichen (das mache ich per VPN), sondern um ihn auch intern mit der Domain erreichen zu können. Ich hätte gerne alles einheitlich. Also extern erreichbare Dienste und interne.
Ich habe den Proxy schon länger laufen und alles funktioniert wie es soll. Bis auf eben die Links innerhalb von ioBroker.
Ich hatte mich schon mal vor längerer Zeit damit beschäftigt und aufgegeben. Jetzt wollte ich einen neuen Versuch starten und komme einfach nicht ans Ziel.
@Dr.-Bakterius sagte in Reverse Proxy und ioBroker:
@OliverIO Danke für deine Antwort!
Es geht mir nicht darum den ioBroker von extern zu erreichen (das mache ich per VPN), sondern um ihn auch intern mit der Domain erreichen zu können. Ich hätte gerne alles einheitlich. Also extern erreichbare Dienste und interne.
Ich habe den Proxy schon länger laufen und alles funktioniert wie es soll. Bis auf eben die Links innerhalb von ioBroker.
Ich hatte mich schon mal vor längerer Zeit damit beschäftigt und aufgegeben. Jetzt wollte ich einen neuen Versuch starten und komme einfach nicht ans Ziel.
ich erinnere mich (oder es jemand anderes mit ähnlichem ansinnen.)
hab dann immer noch die gleiche meinung.
https im eigenen lan macht kein sinn.
und ich glaube das hab ich schon mal geschrieben.
das ssl zertikat gilt nur für die extern erreichbare domainfalls du nur für intern haben willst musst du dir eine CA aufbauen und allen Geräten diese bekannt machen (weil selbst ausgestellt) oder dir gegen geld eine zertifkat ausstellen lassen die du in deine CA verwenden kannst, die die Geräte dann im upstream anerkennen ohne es nochmal einzeln bekannt zu machen.
https://wiki.ubuntuusers.de/CA/
hier mal ein beispiel so eines zertifikats das über mehrere ebenen gültig ist
.
mit einem lets encrypt zertifikat kannst du das nicht machenaber ich wäre dann aus dem thema raus.
evtl kann jemand hier wirklich helfen.
ich empfehle dir aber stark den CA link detailliert durchzulesen, da steht das alles genau drin. -
@Dr.-Bakterius sagte in Reverse Proxy und ioBroker:
@OliverIO Danke für deine Antwort!
Es geht mir nicht darum den ioBroker von extern zu erreichen (das mache ich per VPN), sondern um ihn auch intern mit der Domain erreichen zu können. Ich hätte gerne alles einheitlich. Also extern erreichbare Dienste und interne.
Ich habe den Proxy schon länger laufen und alles funktioniert wie es soll. Bis auf eben die Links innerhalb von ioBroker.
Ich hatte mich schon mal vor längerer Zeit damit beschäftigt und aufgegeben. Jetzt wollte ich einen neuen Versuch starten und komme einfach nicht ans Ziel.
ich erinnere mich (oder es jemand anderes mit ähnlichem ansinnen.)
hab dann immer noch die gleiche meinung.
https im eigenen lan macht kein sinn.
und ich glaube das hab ich schon mal geschrieben.
das ssl zertikat gilt nur für die extern erreichbare domainfalls du nur für intern haben willst musst du dir eine CA aufbauen und allen Geräten diese bekannt machen (weil selbst ausgestellt) oder dir gegen geld eine zertifkat ausstellen lassen die du in deine CA verwenden kannst, die die Geräte dann im upstream anerkennen ohne es nochmal einzeln bekannt zu machen.
https://wiki.ubuntuusers.de/CA/
hier mal ein beispiel so eines zertifikats das über mehrere ebenen gültig ist
.
mit einem lets encrypt zertifikat kannst du das nicht machenaber ich wäre dann aus dem thema raus.
evtl kann jemand hier wirklich helfen.
ich empfehle dir aber stark den CA link detailliert durchzulesen, da steht das alles genau drin.Ich mache das mit tailscale.
Du verbindest alle Server mit Tailscale? Ich habe dafür einen CT nur dafür eingerichtet damit ich in mein Netz komme aber nicht jeden extra ins Tailscale gestellt.
@OliverIO sagte in Reverse Proxy und ioBroker:
falls du nur für intern haben willst musst du dir eine CA aufbauen und allen Geräten diese bekannt machen (weil selbst ausgestellt)
Ja, das habe ich schon alles. Und das war auch nicht meine Frage.
Es muss doch möglich sein ioBroker auch hinter einem reverse Proxy korrekt zu verwenden. Oder weshalb gibt es die Einstellungsseite? Und wenn man den ioBroker so einrichten kann, dass er über SSL erreichbar ist, sollten dann die Adapter das nicht mit berücksichtigen und deren Weboberfläche auch entsprechend erreichbar sein?
Ja, ich kann für jeden Dienst eine Subdomain in Nginx anlegen und im Browser die Favoriten wenn ich das möchte. Schöner und einfacher wäre es aber, wenn das direkt im ioBroker funktioniert.
-
Ich mache das mit tailscale.
Du verbindest alle Server mit Tailscale? Ich habe dafür einen CT nur dafür eingerichtet damit ich in mein Netz komme aber nicht jeden extra ins Tailscale gestellt.
@OliverIO sagte in Reverse Proxy und ioBroker:
falls du nur für intern haben willst musst du dir eine CA aufbauen und allen Geräten diese bekannt machen (weil selbst ausgestellt)
Ja, das habe ich schon alles. Und das war auch nicht meine Frage.
Es muss doch möglich sein ioBroker auch hinter einem reverse Proxy korrekt zu verwenden. Oder weshalb gibt es die Einstellungsseite? Und wenn man den ioBroker so einrichten kann, dass er über SSL erreichbar ist, sollten dann die Adapter das nicht mit berücksichtigen und deren Weboberfläche auch entsprechend erreichbar sein?
Ja, ich kann für jeden Dienst eine Subdomain in Nginx anlegen und im Browser die Favoriten wenn ich das möchte. Schöner und einfacher wäre es aber, wenn das direkt im ioBroker funktioniert.
@Dr.-Bakterius sagte in Reverse Proxy und ioBroker:
Du verbindest alle Server mit Tailscale?
Jein. Ein Raspberry verteilt Subnet Routes. Im Tailnet direkt sind nur 4 Kisten:
1 Mobiltelefon
1 Raspberry
1 Notebook
1 Mini-PCAlles andere (wie z. B. eine FritzBox) erreiche ich über die Subnets.
568
Online32.7k
Benutzer82.5k
Themen1.3m
Beiträge