OMV 5 & LetsEncrypt - Wie geht das?

  • Ich habe mir OMV 5 auf mein selbstgebautes NAS installiert, alles neu und das erste Mal.


    Jetzt wollte ich LetsEncrypt installieren. Über die OMV-Extras geht es nicht, da finde ich keine Erweiterung dazu.


    Kann ich das nur über Docker/Portainer installieren?


    Oder wäre es besser, wenn ich mich über SSH auf den debian Unterbau einlogge und dort die Installation vornehme?


    Würde mich über hilfreiche Tipps freuen!


    Sollten Infos von mir fehlen, bitte Rückfragen stellen.

  • Hi. @tauchvogel


    Ich hab' da mal was vorbereitet.


    Letsencrypt mittels Docker-Compose: Hier


    Letsencrypt mittels Docker-Compose & Traeffik2 als Reverse-Proxy & Nextcloud & Wordpress: Hier


    Vielleicht ist was passendes für Dich dabei.


    LG Berti


    PS: In den OMV-Extras sollte vorher Docker installiert werden. Die Compose-Sachen werden mit installiert.

    BS: UNRAID
    HW: MSI B350M MORTAR, Ryzen 3200G, 32Gb Ram, 1 TB NVMe Cache, 1TB SSD VM-Cache, 2x 8TB HDD, 1x 4TB HDD
    Docker: calibre-web, db-backup, duckdns, EmbyServer, glances, Grafana, heimdall, InfluxDB, mariadb, nextcloud, nginx, OpenSpeedTest, phpmyadmin, portainer, telegraf, unifi-controller, UniFi-Poller, Wireguard, WordPress
    VM: OMV5, Macinabox, Proxmox, MX, 3x Debian Server, 1x Ubuntu Server
    Website Übersicht: https://knilixblog.wordpress.com
    Website OMV5: https://knilix.home.blog

    Einmal editiert, zuletzt von Berti ()

  • Da ich eine de-Domain habe und diese gerne mit letsencrypt nutzen wollte, habe ich folgendes gemacht.


    Ich habe mich an dieses Tutorial gehalten: https://herrdoering.de/de/wild…sencrypt-mit-dns-abfrage/


    Es hat soweit alles geklappt. Doch der letzte Schritt, die Zertifikate in nginx einzufügen, scheint zu scheitern. Die Einträge zum Server habe ich im nginx Verzeichnis unter "sites-available" gefunden und versucht anzupassen. Es sieht im Moment so aus (Auszug vom Gesamtcode):

    Ich weiss nicht, ob ich im richtigen Verzeichnis und in der richtigen Datei bin. Denn wenn ich meine Domain per https aufrufen möchte, geht dies immer in die Hose.


    Mir ist bewusst, dass dies offtopic ist, aber ich weiss nicht mehr weiter.


    Eine andere Seite (

    Externer Inhalt gist.github.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.
    ) macht dies ähnlich, aber man soll die nginx conf Datei anpassen, daraufhin bekomme ich Fehlermeldungen von nginx, zum Beispeil dass ein reload nicht ausführbar ist.

  • Hi. Ich hab's mal eben auf 'nen Raspi neu aufgesetzt. Ich musste mir das erst mal wieder in Erinnerung bringen. Funktioniert soweit. Wenn es denn unbedingt Letsencrypt sein soll, schau mal die beiden Links durch. Übrigens heißt "Letsencrypt", falls Du das als Dockeranwendung benutzt, jetzt "swag". Mann war die Konfiguration damals umständlich. Nur noch einmal zur Info - mit Traefik als Reverse-Proxy und integriertem Letsencrypt, wo ich Dir den Link weiter oben postete, würde Dein System wahrscheinlich schon laufen :-)


    Hier fängst Du quasi an alles abzuarbeiten. Da Du selbst eine Domain hast, lässt Du das DuckDNS-Gedöns weg.


    https://knilix.home.blog/reverse-proxy-apache2/


    (apache2 ist ein eingeschlichener Fehler in der URL - natürlich wird nginX verwendet)


    Dann geht's hier weiter mit dem SSL.


    https://knilix.home.blog/teil-4-reverse-proxy-mit-ssl/


    Wichtig wäre noch, dass unbedingt Portweiterleitungen im Router zu Deinem Server, auf dem Letsencrypt läuft, gesetzt werden müssen, damit das funktioniert. Verwendest Du eine VM, dann muss die Portweiterleitung zur VM sein. Letsencrypt arbeitet nicht mit anderen Ports als 80 und 443. Jedenfalls liegt mir das noch sehr stark in Erinnerung, dass ich damals Probleme mit anderen Ports hatte.


    LG Berti

    BS: UNRAID
    HW: MSI B350M MORTAR, Ryzen 3200G, 32Gb Ram, 1 TB NVMe Cache, 1TB SSD VM-Cache, 2x 8TB HDD, 1x 4TB HDD
    Docker: calibre-web, db-backup, duckdns, EmbyServer, glances, Grafana, heimdall, InfluxDB, mariadb, nextcloud, nginx, OpenSpeedTest, phpmyadmin, portainer, telegraf, unifi-controller, UniFi-Poller, Wireguard, WordPress
    VM: OMV5, Macinabox, Proxmox, MX, 3x Debian Server, 1x Ubuntu Server
    Website Übersicht: https://knilixblog.wordpress.com
    Website OMV5: https://knilix.home.blog

  • Ich muss das Thema nochmals auffrischen.


    In Deinem Beitrag des zweiten verlinkten Artikels schreibst Du: "Im selben Atemzug habe ich mir aber schon das nächste Projekt herausgepickt und werde die Reverse-Proxy-Geschichte noch einmal neu angehen. Dann aber direkt im OMV5 und mittels Traefik-Docker realisiert. ...."


    Hast Du das schon fertig gemacht? Wenn ja, wo finde ich den Beitrag?


    Alles was Du dort als Installation angibst, kann man auch auf dem ASROCK J4105-ITX durchführen?

  • Hi. Die vorgestellte Sache funktioniert direkt auf dem OMV so nicht. Da würdest Du dir unter Umständen das OMV zerschießen, da nginX dort schon läuft und über OMV vorkonfiguriert ist.


    Zu dem Projekt. Ja, ich habe das realisiert und am Laufen. Aber nicht auf OMV sondern auf Unraid. Aber ich werde den Guide für OMV aufsetzen. Jetzt, nachdem Du es doch versuchen möchtest, habe ich eine Aufgabe :-) . Und ich bin über jeden Einzelnen dankbar, der Traefik verwendet. Wenn alles gut verläuft, ist der Guide morgen, spätestens am Sonntag drin. Ich verlinke Dir dann das Ergebnis. Ich muss nur 1 zu 1 testen, ob auch alles funktioniert. Welche Anwendung willst Du dafür verwenden? Nextcloud oder Wordpress als Selfhosting? Oder etwas Anderes? Wenn Du es mir mitteilst, kann ich daraufhin den Guide anpassen.


    LG Berti

    BS: UNRAID
    HW: MSI B350M MORTAR, Ryzen 3200G, 32Gb Ram, 1 TB NVMe Cache, 1TB SSD VM-Cache, 2x 8TB HDD, 1x 4TB HDD
    Docker: calibre-web, db-backup, duckdns, EmbyServer, glances, Grafana, heimdall, InfluxDB, mariadb, nextcloud, nginx, OpenSpeedTest, phpmyadmin, portainer, telegraf, unifi-controller, UniFi-Poller, Wireguard, WordPress
    VM: OMV5, Macinabox, Proxmox, MX, 3x Debian Server, 1x Ubuntu Server
    Website Übersicht: https://knilixblog.wordpress.com
    Website OMV5: https://knilix.home.blog

  • Ich habe nun Fertig :-)


    2x getestet und funktionstüchtig. DuckDNS, Traefik, Nextcloud inkl. MariaDB und Redis-Cache inkl. Updates der Docker mittels Script, welches man in OMV5 unter "Geplante Aufgaben" verwenden kann. Der Guide ist ziemlich lang geworden.


    https://knilix.home.blog/traef…tcloud-ssl-komplettguide/


    LG Berti

    BS: UNRAID
    HW: MSI B350M MORTAR, Ryzen 3200G, 32Gb Ram, 1 TB NVMe Cache, 1TB SSD VM-Cache, 2x 8TB HDD, 1x 4TB HDD
    Docker: calibre-web, db-backup, duckdns, EmbyServer, glances, Grafana, heimdall, InfluxDB, mariadb, nextcloud, nginx, OpenSpeedTest, phpmyadmin, portainer, telegraf, unifi-controller, UniFi-Poller, Wireguard, WordPress
    VM: OMV5, Macinabox, Proxmox, MX, 3x Debian Server, 1x Ubuntu Server
    Website Übersicht: https://knilixblog.wordpress.com
    Website OMV5: https://knilix.home.blog

  • Hallo,


    also das ist bisher der beste Guide den ich zu dem Thema bisher gesehen habe. Ich bin zur Zeit noch auf OMV 4, weil der wechsel zu 5 mir doch Sorgen bereitet. Aber durch Guides wie von Berti update ich nun doch zu OMV 5.


    Vielen vielen Dank Berti


    Beste Grüße

    T

    Hardware: Ryzen 3 2200G * ASRock A320M-HDV * Ballistic Sport LT 8GB DDR4 * 3 WD Red 4 Gig im SnapRaid / Aufs * Boot von M2 *
    Software: OMV 4 + Media Server Daten Grab Bilder

  • Vielen Dank. Ihr habt momentan noch den "Corona Bonus" :-) . Wenn man es kaum glauben sollte, aber solche Guides und das Testen parallel dazu, sind für mich ein Ausgleich. Da kann ich mittlerweile wunderbar "herunterfahren". Vor einigen Jahren war das noch nicht so :rofl: . Das sieht man an den grauen Haaren ^^.


    LG Berti

    BS: UNRAID
    HW: MSI B350M MORTAR, Ryzen 3200G, 32Gb Ram, 1 TB NVMe Cache, 1TB SSD VM-Cache, 2x 8TB HDD, 1x 4TB HDD
    Docker: calibre-web, db-backup, duckdns, EmbyServer, glances, Grafana, heimdall, InfluxDB, mariadb, nextcloud, nginx, OpenSpeedTest, phpmyadmin, portainer, telegraf, unifi-controller, UniFi-Poller, Wireguard, WordPress
    VM: OMV5, Macinabox, Proxmox, MX, 3x Debian Server, 1x Ubuntu Server
    Website Übersicht: https://knilixblog.wordpress.com
    Website OMV5: https://knilix.home.blog

  • Vielen Dank für Dein ausführliches Tutorial. Bei goneuland hatte ich auch schon einmal nachgeschaut.


    Ich habe folgende Frage. Was müsste ich wo in Traefik eingeben, wenn ich schon ein letsencrypt Zertifikat habe und dies weiterhin nutzen möchte?

  • Hi. Da in Traefik das Letsencrypt quasi mit installiert ist und das Zertifikat gezogen wird, sobald man Traeffik startet, habe ich mir noch mir noch nie einen Kopf darüber gemacht, evtl. ein schon vorhandenes Zertifikat zu verwenden. Selbst wenn die acme.json geleert wird, füllt Traefik nach einem Neustart diese wieder mit Zertifikaten.


    Also würde ich mal denken, in der acme.json, welche sich im Traefik-Verzeichnis (home/dockervolumes/traefik/acme.json) befindet, dort, wo die Zertifikate für Traefik und alle Docker, die mit Traefik angebunden werden, reingelegt werden. Die Einträge dort sind auf jeden Fall sehr übersichtlich. Vielleicht bringt es Dich weiter.


    LG Berti

    BS: UNRAID
    HW: MSI B350M MORTAR, Ryzen 3200G, 32Gb Ram, 1 TB NVMe Cache, 1TB SSD VM-Cache, 2x 8TB HDD, 1x 4TB HDD
    Docker: calibre-web, db-backup, duckdns, EmbyServer, glances, Grafana, heimdall, InfluxDB, mariadb, nextcloud, nginx, OpenSpeedTest, phpmyadmin, portainer, telegraf, unifi-controller, UniFi-Poller, Wireguard, WordPress
    VM: OMV5, Macinabox, Proxmox, MX, 3x Debian Server, 1x Ubuntu Server
    Website Übersicht: https://knilixblog.wordpress.com
    Website OMV5: https://knilix.home.blog

  • Ich habe nochmals zwei Verständnisfragen:


    Ist es (fast) egal, wo die Dateien und Verzeichnisse von traefik und co hinterlegt werden?


    In Deinem Tutorial hast Du dies im "home" Verzeichnis abgelegt. Bei goneuland ist dies im "opt" Verzeichnis.


    Wie mache ich das mit der Domain? Ich habe eine eigene Domain, die ich dafür nutzen möchte. Ist es besser die eigene Subdomain(s) auf DynDNS Domains umzuleiten?

  • Ist es (fast) egal, wo die Dateien und Verzeichnisse von traefik und co hinterlegt werden?

    Das ist wohl egal. Ich arbeite halt schon seit Ewigkeiten mit dem Home-Verzeichnis.


    Wenn Du bei goneuland Infos beziehst, bedenke, dass dort die Traefik-Einstellungen anders sind, als das bei mir der Fall ist. Ich habe einiges, für mich verständlicher, angepasst bzw. geändert. Ein "Mischen" der Infos von goneuland und den von mir getätigten Änderungen erfordert Grundwissen, wie Traefik aufgebaut ist und wie es funktioniert.


    Wie mache ich das mit der Domain? Ich habe eine eigene Domain, die ich dafür nutzen möchte. Ist es besser die eigene Subdomain(s) auf DynDNS Domains umzuleiten?

    Wenn Du eine eigene Domain verwenden möchtest, kannst Du theoretisch das DuckDNS-Gedöns weglassen und in Traefik und den angebunden Dockern, unter Labels, direkt mit Deiner Domain arbeiten. Aber nicht alle eigenen Domains unterstützen meines Wissens nach, Subdomains oder/bzw. Wildcard-Zertifikate. Da musst Du Dich vorher informieren.


    LG Berti

    BS: UNRAID
    HW: MSI B350M MORTAR, Ryzen 3200G, 32Gb Ram, 1 TB NVMe Cache, 1TB SSD VM-Cache, 2x 8TB HDD, 1x 4TB HDD
    Docker: calibre-web, db-backup, duckdns, EmbyServer, glances, Grafana, heimdall, InfluxDB, mariadb, nextcloud, nginx, OpenSpeedTest, phpmyadmin, portainer, telegraf, unifi-controller, UniFi-Poller, Wireguard, WordPress
    VM: OMV5, Macinabox, Proxmox, MX, 3x Debian Server, 1x Ubuntu Server
    Website Übersicht: https://knilixblog.wordpress.com
    Website OMV5: https://knilix.home.blog

  • Und noch ne Frage: Bei der Portweiterleitung nutzt Du die Standard Ports 80 und 443. Bei mir ist es so, dass dann mein NAS ständig durch Scanaktivitäten aufgewacht wird und sich nicht "zur Ruhe setzt".


    Was muss ich bei der Portfreigabe in der Fritzbox eingeben, damit dies auch mit Traefik funktioniert?

  • Na 80 und 443. Traefik muss unbedingt 443 haben. Deshalb auch die Standardports von OMV auf 90 und 446. Den Traefik-Port kannst Du nicht umändern, wenn's funktionieren soll. Mir ist jedenfalls bis jetzt nicht bekannt, dass das gefixt wurde.


    Und dass dann ständig gescannt wird ist normal. Das sind meist Bots, die nach Schwachstellen suchen. Da hilft nur meist WoL aus. Und sobald Du die Ports offen machst, ist nun mal ein Angriffspunkt gegeben. Also immer Super-Passwörter mit Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen (mit dem # und dem / Zeichen gibts manchmal Probleme).


    LG Berti

    BS: UNRAID
    HW: MSI B350M MORTAR, Ryzen 3200G, 32Gb Ram, 1 TB NVMe Cache, 1TB SSD VM-Cache, 2x 8TB HDD, 1x 4TB HDD
    Docker: calibre-web, db-backup, duckdns, EmbyServer, glances, Grafana, heimdall, InfluxDB, mariadb, nextcloud, nginx, OpenSpeedTest, phpmyadmin, portainer, telegraf, unifi-controller, UniFi-Poller, Wireguard, WordPress
    VM: OMV5, Macinabox, Proxmox, MX, 3x Debian Server, 1x Ubuntu Server
    Website Übersicht: https://knilixblog.wordpress.com
    Website OMV5: https://knilix.home.blog

  • Traefik wurde also nun installiert mit folgender docker-compose.yml Datei:

    Diese Ausgabe gab es im Terminal:

    Über das interne Netzwerk kann ich Traefik aber nicht aufrufen. MeineIP:8080 gibt mir ne Fehlermeldung des Browsers aus, das man keine Verbindung ausführen könne.


    Was hängt da noch?

  • Was soll ich sagen. Hättest mal nach meinem Guide abgearbeitet. Das von Dir ist zusammengewürfelter Code. Kann funktionieren, aber muss nicht.

    Ich habe Dir alles 1 zu 1 zurechtgebastelt. Hättest nur übernehmen müssen....


    Hier noch einmal der Link:


    https://knilix.home.blog/traef…tcloud-ssl-komplettguide/


    Wenn ich Freitag daheim bin, werde ich Deinen Code checken. Aber das artet langsam in Arbeit aus. Ich meine das nicht böse. Aber da sind Sachen drin, die so noch nie getestet habe und nicht weiß, wofür die stehen. Das geht bei "basicauth user" los und endet bei "netcup". Und auch noch paar andere Sachen. Dafür muss die Traefik.yml komplett anders aufgebaut werden, als ich das getan habe. Ich hoffe, Du hast das bedacht, speziell wegen der Zertifikate.


    Wenigstens wurde der Docker ohne Probleme gestartet. Aber ob Zertifikate gezogen werden, weiß ich nicht.


    Keine Verbindung oder keine gesicherte Verbindung? :8080 musst Du mit http starten.

    BS: UNRAID
    HW: MSI B350M MORTAR, Ryzen 3200G, 32Gb Ram, 1 TB NVMe Cache, 1TB SSD VM-Cache, 2x 8TB HDD, 1x 4TB HDD
    Docker: calibre-web, db-backup, duckdns, EmbyServer, glances, Grafana, heimdall, InfluxDB, mariadb, nextcloud, nginx, OpenSpeedTest, phpmyadmin, portainer, telegraf, unifi-controller, UniFi-Poller, Wireguard, WordPress
    VM: OMV5, Macinabox, Proxmox, MX, 3x Debian Server, 1x Ubuntu Server
    Website Übersicht: https://knilixblog.wordpress.com
    Website OMV5: https://knilix.home.blog

  • Berti Deine Methode per mit Traefik hat auf Anhieb geklappt. Muss mich die Tage nir noch mit der nextcloud Installation beschäftigen.


    Was mich weiterhin stört, ist, dass der Port 443 in meinem Router offen bleiben muss. Dadurch wird das NAS, wie schon einmal erwähnt, ständig geweckt.


    Wenn ich im Router den internen Port 443 vergebe und den externen auf 27518 (oder ähnliches) komme ich ja über die DuckDNS Domein nicht mehr zu Traefik. Was kann ich tun?

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!