NGINX (kein Docker) - mehrere Subdomains, davon eine ausschließlich lokal erreichbar machen. Wo ist mein Denkfehler?

Hallo,

vielleicht kann mich jemand in die richtige Suchrichtung "stupsen"?

Ich habe 1 Domain (via Ionos) sowie (bisher) 2 Subdomains, die über die dazugehörigen Einträge bei Ionos sowie einen DynDNS-Service auf meinen Raspberry Pi verweisen. Das läuft über NGINX, welches sich über jeweilige Config-Dateien um den Aufruf der zu den jeweiligen Subdomains gehörenden Seiten (alles abgeleitet von https://decatec.de/home-server/we…-server-hosten/

und da ab der Überschrift "Ein virtueller Host pro Webanwendung (unterschiedliche Domains") kümmert.

Das funktioniert für meine Hauptdomain sowie die 2 Subdomains sehr schön. Sie sind sowohl lokal als auch über WAN bzw. Internet erreichbar (abgesichert via SSL mit LetsEncrypt).

Jetzt wollte ich eigentlich noch eine weitere Subdomain anlegen, die allerdings ausschließlich lokal (also aus dem WLAN) erreichbar sein soll.

Eigentlich hatte ich gedacht, es reicht, wenn ich einer der schon vorhandenen Config-Dateien für eine der Subdomains kopiere, die Namen anpasse und natürlich die SSL-Konfiguration ebenfalls anpasse.

Beim Aufruf im Browser erhalte ich aber nur "Seite nicht gefunden".

Muss ich dann doch auch diese Subdomain bei meinem Provider anlegen und einbinden? Dann ist sie aber wieder auch per WAN erreichbar - und das möchte ich ja nicht. Oder kann ich da in der NGINX-Konfiguration etwas dazu eintragen? Wenn Ja, was? Mir gehen nämlich langsam die Suchbegriffe bei Google aus (Docker zu verwenden würde bedeuten, dass ich alles neu aufsetzen muss, außerdem löst es ja das Grundproblem nicht, ReverseProxy scheint mir auch nicht das richtige zu sein).

Ich würde mich freuen, wenn ich den richtigen "Stupser" bekomme.

Vielen Dank

Gruss

GUMeyer

Quote from Der_Imperator

Du musst diese Subdomain auf deinem lokalen DNS Server anlegen.
Wenn du keinen hast dann nenn die Subdomain wie dein PI im Netzwerk zu sehen ist, also z.B. meinpi.fritz.box

Alternativ die Subdomain beim Provider anlegen und die Nginx Config für die Subdomain anpassen und nur deine lokale Adressen erlauben.

Code

location / { 
  # allow anyone in 192.168.1.0/24 
  allow 192.168.1.0/24; 
  # drop rest of the world 
  deny all;
}

Hallo,

das liest sich nach der Antwort die ich gesucht habe. Ich probiere es hoffentlich heute Abend aus, tagsüber geht nicht wegen fehlendem Zugriff auf Pi und Netzwerk (Arbeit). Rückmeldung gibt es auf jeden Fall.

Dankeschön

Gruß

GUMeyer

Hallo,

wie schon geschrieben, geht das in die Richtung, die ich vermutet habe.

Quote from Der_Imperator

Alternativ die Subdomain beim Provider anlegen

Das habe ich gemacht, mit dem Nebeneffekt, dass ich jetzt doch noch eine SIcherheitsmaßnahme aktivieren konnte.

Quote from Der_Imperator

Code

location / { 
  # allow anyone in 192.168.1.0/24 
  allow 192.168.1.0/24; 
  # drop rest of the world 
  deny all;
}

Da hab ich noch Veständnisprobleme. Ich habe, so denke ich, mehrere IPs, die Zugriff haben sollen. So wie ich das verstehe, muss ich hier also am einfachsten eine geeignete IP-Range angeben? Nun liegen alle relevanten Adressen im Bereich 192.168.1. 2 bis 192.168.1.50. Wenn ich nun auf https://www.ipaddressguide.com/cidr diesen Bereich berechnen lasse, erhalte ich

192.168.1.2/31
192.168.1.4/30
192.168.1.8/29
192.168.1.16/28
192.168.1.32/28
192.168.1.48/31
192.168.1.50/32

Dies dann in meine /etc/nginx/sites-available/nurlokal.conf eingetragen, sollte ja dann den Zugriff erlauben, oder? Aber ich erhalte beim Aufruf vom Notebook aus (liegt in dem bereichneten Bereich) trotzdem 403 - Forbidden.

Hab ich was falsch verstanden?

EDIT: Nach Analyse von /var/log/nginx/error.log glaube ich auch, warum: Als IP-Adresse, von der der Aufruf kommt, steht keine lokale Adresse, sondern die externe der Fritzbox im Log. Und 1. ändert sich die ja alle ca 24 Stunden und 2. wäre eine Freigabe gleichbedeutend mit "keine Blockade von Adressen, die nicht aus dem lokalen Netzwerk kommen". Ich sehe momentan 2 Möglichkeiten:

• Auf die Trennung von lokalen und globalen Sites verzichten (wäre schade)
• In der Fritzbox den DNS-Rebind-Schutz ausschalten (dann gibts gleich den nächsten Thread von mir wegen einer für einen headless-betriebenen RPi geeigneten Firewall).

Was mache ich jetzt?

Gruss

GUMeyer

Hallo,

Quote from Der_Imperator

Bei mir haben interne Seiten auch einen Internen DNS Eintrag, wäre bei dir z.B. "raspberrypi.fritz.box"
Läuft bei mir etwas anders da ich einen eigenen DNS Server verwende und nicht die Fritzbox. Aber vom Prinzip her geht es.

Und wahrscheinlich wäre das auch die einfachste Lösung - allerdings bei mir nicht so einfach zu realisieren.

Quote from Der_Imperator

Der DNS Server ist ein DNSMASQ und läuft auf einem Raspberry.
Macht DHCP und DNS. Die Fritzbox ist bei mir nur noch ein Router.

Also bräuchte ich einen zweiten Raspberry PI.

Da das nicht ad hoc geht, werde ich das Projekt erst nochmal zurückstellen.

Vielen Dank auf jeden Fall fürs Beheben der Denkfehler - dafür war die Frage gedacht.

Danke und Gruss

GUMeyer

Quote from WaldiBVB

Welche Geräte sollen den auf die Interne Seite zugreifen können. Je nachdem was es ist, kann man das ganze in die Host Datei eintragen.

Abgesehen von meinem Notebook noch ggf ein weiteres. An die Host Datei habe ich natürlich noch nicht gedacht. Aber

Quote from WaldiBVB

Bei Smartphones natürlich leider nicht möglich.

und die sollten das eigentlich auch können dürfen.

Also nicht so einfach.

Für mich bleibt die Frage ob es funktioniert wenn ich in meiner Fritzbox den DNS-Rebind-Schutz entsprechend eingeschränkt aufhebe. Aber dann, denke ich, brauche ich für den Raspberry unbedingt eine geeignete Firewall. Welche? Gibt es Empfehlungen?

Gruß

GUMeyer

Quote from rpi444

Dann ist der Client bzw. die Client-Software, m. E. nicht richtig konfiguriert.

Wie ist es wenn Du nc (zum Portscan) auf dem Client benutzt und tcpdump auf dem Server benutzt?

Von welchem Client schreibst/redest du? Fritzbox, Chrome auf den Windows Notebook oder was? Auf dem Raspberry läuft als Webserver ein Nginx, welches zum ersten Test erstmal nur eine statische Seite liefern soll (später dann wahrscheinlich eine per Cgi-Script(in welcher Sprache weiß ich noch nicht) erzeugte Seite). Die Fritzbox erhält alle 24 Stunden eine neue IP-Adresse und der Raspberry Pi holt sich diese Info per Script ("domain-connect-dyndns", welches ein Script vom Domain-Provider Ionos (ionos.de) für dynamisches DNS ist).

Wenn ich auf dem Notebook die Adresse der Seite (in meinem Fall eine Subdomain der registrierten Domain) aufrufe und mir per tcpdump auf dem Raspberry zuschaue, sehe ich, dass es einen Aufruf für den Domain-Namen gibt, der auch völlig korrekt an den Raspberry geht, aber eben mit der externen Adresse der Fritzbox. Deshalb meine Idee mit dem Aufheben des DNS-Rebind-Schutzes innerhalb der Fritzbox.

Oder habe ich da immer noch einen Denkfehler oder sogar ein Verständnisproblem?

Danke und Gruß

GUMeyer

Quote from rpi444

Mit Z. B. nsupdate kannst Du auf deiner FritzBox ein a-record (für die Benutzung im W/LAN) registrieren:

Display Spoiler

Code

:~$ host namexyz 192.168.178.1
Using domain server:
Name: 192.168.178.1
Address: 192.168.178.1#53
Aliases: 

Host namexyz not found: 3(NXDOMAIN)

Code

:~$ cat nsupdate33.txt
server 192.168.178.1
zone fritz.box
ttl 864000
add namexyz.fritz.box 86400 A 192.168.178.156
send

Code

:~$ nsupdate -d -v ./nsupdate33.txt
Sending update to 192.168.178.1#53
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:  30011
;; flags:; ZONE: 1, PREREQ: 0, UPDATE: 1, ADDITIONAL: 0
;; ZONE SECTION:
;fritz.box.            IN    SOA

;; UPDATE SECTION:
namexyz.fritz.box.    86400    IN    A    192.168.178.156

Reply from update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:  30011
;; flags: qr; ZONE: 1, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; ZONE SECTION:
;fritz.box.            IN    SOA

Display More

Code

:~$ host namexyz 192.168.178.1
Using domain server:
Name: 192.168.178.1
Address: 192.168.178.1#53
Aliases: 

namexyz has address 192.168.178.156

Das muß ich mir zuhause in Ruhe anschauen (dafür ist ein Smartphone-Display nicht geeignet).

Heute Abend weiß ich mehr

Gruß

GUMeyer

Quote from Der_Imperator

Warum nicht ?

Dafür reicht der WAF (Wife-Attractor-Factor) eines Raspberry nicht aus. Ein weiteres "Spielzeug" zu kaufen um eines das ja schon hinreichend funktioniert, nur um es um ein Feature zu erweitern dass nicht unbedingt erforderlich ist, ist nicht vermittelbar.

Quote from rpi444

Keine Ahnung, ... ich habe nicht nur Client sondern auch Client-Software geschrieben ... hast Du das schon mitgeteilt? Was benutzt Du auf dem Notebook um "die Adresse der Seite"

aufzurufen?Notebook mit Windows 11 und Chrome (wahrscheinlich die aktuelle Version).

Es gibt eine Domain "artspace-meyer.de". Diese verweist auf meinen Raspberry Pi. Dazu diverse Subdomains, ebenfalls auf dem Raspberry Pi liegend. Diese sind öffentlich.

Nun wollte ich eine Subdomain einrichten, die ausschließlich lokal erreichbar ist. Erreichbar heißt, sie kann mit Windows Notebooks aufgerufen werden und außerdem auch mit (weil nur verfügbar) Android Smartphones.

Quote from rpi444

Eine Subdomain die auf die externe/öffentliche IPv4-Adresse vom "border device" (in deinem Fall die FritzBox) auflöst.

Das geht wenn der dns-rebind-Schutz aufgehoben ist und weil die FritzBox i. d. R. NAT-Loopback (Hairpinning) kann/macht.

Wenn die FritzBox aber im RIP-Modus konfiguriert ist (... z. b. wenn Du zusätzliche statische externe/öffentliche IPv4-Adressen hast, geht das NAT-Loopback der FB, nicht).

Alternativ kannst Du Hostnamen in der lokalen domain (fritz.box) der FB, registrieren und benutzen.

Also geht es wenn ich wirklich den DNS-Rebind-Schutz der FB aufhebe. Damit habe ich grundsätzlich kein Problem. Allerdings werde ich dann relativ bald einen neuen Thread aufmachen mit der Frage nach einer guten Firewall für meinen Raspberry (Vorgabe: muss sich im Headless Betrieb konfigurieren lassen) - zumindest wenn ich der Hilfe von Avm zum Thema DNS-Rebind-Schutz folge.

Auf jeden Fall vielen Dank für das ausführliche Erläutern und Mithelfen.

Gruß

GUMeyer

Quote from rpi444

In Linux kannst Du netfilter-persistent benutzen.

Z. B.:

Display Spoiler

Code

:~ $ systemctl status netfilter-persistent
● netfilter-persistent.service - netfilter persistent configuration
     Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled; vendor preset: enabled)
    Drop-In: /etc/systemd/system/netfilter-persistent.service.d
             └─iptables.conf, not_run.conf
     Active: active (exited) since Thu 2023-06-15 23:57:55 CEST; 4 days ago
       Docs: man:netfilter-persistent(8)
   Main PID: 306 (code=exited, status=0/SUCCESS)
      Tasks: 0 (limit: 3873)
     Memory: 0B
        CPU: 0
     CGroup: /system.slice/netfilter-persistent.service

Display More

Damit muss ich mich erstmal ausführlich beschäftigen. Aber die Beschreibungen, die ich gefunden habe, sehen so aus, als ob sogar ich mit meinen rudimentären Kenntnissen das vernünftig konfiguriert bekomme.

Quote from rpi444

EDIT:

BTW: Wenn diese Subdomain _nur_ lokal benutzt werden soll, warum benutzt Du dann nicht eine Subdomain die nur auf die lokale/interne IPv4-Adresse vom Server auflöst? Dann brauchst Du evtl. keine Firewall.

Eigentlich würde mir ein _nur_ lokal reichen. Aber wie ich sowas einrichte, weiß ich noch dir. Kannst du mir da mal Lektüre empfehlen oder mir kurz erkären, wie ich sowas mache?

Danke für deine Geduld

GUMeyer