Forumdelen sponsras av

Peka domän till raspberry pi för att skaffa SSL-certifikat?

Trädvy Permalänk
Medlem
Registrerad
Jul 2004

Peka domän till raspberry pi för att skaffa SSL-certifikat?

Hej!

Har under de senaste dagar dragit igång projekt med att skaffa https://pi-hole.net/ till min raspberry pi tillhörande vpn+dnscrypt.
Som ett sista skede vill jag lägga till ett SSL-certifikat från https://letsencrypt.org/ genom att följa denna guide: https://pimylifeup.com/raspberry-pi-ssl-lets-encrypt/.
Så jag har införskaffat en domän på loopia som jag nu vill att den ska peka till min raspberry. Men det är här jag har fastnat.
På loopia-portalen har jag endast lagt till ett A-record innehållande mitt externa ip-adress.
I min router (TP-LINK DECO) har jag öppnat port 80 till den interna ip-adress.

Det som jag inte har gjort men tror ha förstått att man måste göra är att sätta upp en Apache server på raspberryn som fungerar som en server dit loopia-domänen ska peka? Är det det som fattas för att jag ska få domänen att peka och funka rätt?

Vänliga hälsningar,
Munib

Desktop: Case: Loque - Ghost S1 MK2 + L-Top Hat | MB: ASRock Z390 Phantom Gaming-ITX/ac | GK: Gigabyte GeForce RTX 2070 8GB GAMING OC | CPU: Intel Core i7 9700K @ Stock | PSU: Corsair SF600 v2 | RAM: Corsair Vengeance LPX DDR4 3200MHz 2x8GB | SSD: Samsung 970 EVO 500GB | Watercooling: NZXT Kraken X52 (2xNoctua NF-A12x25 PWM)| [Win 10 x64].

Trädvy Permalänk
Medlem
Plats
twitch.tv/zidichy
Registrerad
Jun 2002

@Munib
Stämmer du behöver ha antingen apache eller nån annan webserver igång, jag rekommenderar nginx eftersom jag själv använder den

Sen bör du peeka om dina nameservers till cloudflare, och låta dom ta hand om säkerheten istället för loopia.

Säg till om du undrar något mer eller behöver hjälp

Guide för att få gratis domän, ssl, cdn, rp, http auth, via windows, med nginx!
Säkrare nginx guide för windows lär du inte hitta på nätet 😋😊

Trädvy Permalänk
Medlem
Plats
SweClockers forum
Registrerad
Aug 2012
Skrivet av Zidichy:

@Munib
Stämmer du behöver ha antingen apache eller nån annan webserver igång, jag rekommenderar nginx eftersom jag själv använder den

Sen bör du peeka om dina nameservers till cloudflare, och låta dom ta hand om säkerheten istället för loopia.

Säg till om du undrar något mer eller behöver hjälp

Nej, man måste inte ha en separat webbserver igång. Det finns redan i certbot. Se 5a i guiden TS länkade.

Guide: Roota din HTC - BB-Kod-knappar på Prisjakt

              Min burk - Kvävekyld till 80%
8700K@stock
1070 Ti@stock

Ibland har jag fel, men då är det någon annans fel.

Trädvy Permalänk
Medlem
Plats
twitch.tv/zidichy
Registrerad
Jun 2002
Skrivet av LemonIllusion:

Nej, man måste inte ha en separat webbserver igång. Det finns redan i certbot. Se 5a i guiden TS länkade.

? jag har inte nämn att det ska vara separat webbserver jag gav bara förslag över vad Munib bör använda.
Jag själv använder och är kunnig i nginx, så därav gav jag förslag för nginx.
Apache p.g.a. TS själv undrade över denna web server + att den anses vara en "slags" standard på linux baserade OS.
Ja jag läste vad som stog i det TS postade och jag såg 5a i TS länk.

Så vad tror du det är om man använder det som är inbyggt?
Inte en web server då eller? p.g.a. den inte heter apache / nginx ?

Kan förklara för dig att om du har nån form av mjukvara i ditt OS som kan vara värd åt nån form av innehåll,
som t.e.x. en hemsida som sen kan skicka ut innehållet utanför ditt lokala nätverk, dvs ute på nätet.
Så är definiering för det en " web server "

Så om jag nu skriver så här,
" Stämmer du behöver ha antingen apache eller nån annan webserver igång "
Så innebär det att jag inkluderar 5a från TS länk då även fast den är inbygg i själva Raspberry Pi
så är det fortfarande en " web server "

Så nu istället för att vara en besserwisser och försöka sätta mig på plats, vilket du misslyckades med btw!
Så kanske du kan vara hjälpsam för trådskaparen? Och komma med förslag eller hjälpa till med frågor som TS kan ha?

Guide för att få gratis domän, ssl, cdn, rp, http auth, via windows, med nginx!
Säkrare nginx guide för windows lär du inte hitta på nätet 😋😊

Trädvy Permalänk
Medlem
Registrerad
Jul 2004
Skrivet av Zidichy:

@Munib
Stämmer du behöver ha antingen apache eller nån annan webserver igång, jag rekommenderar nginx eftersom jag själv använder den

Sen bör du peeka om dina nameservers till cloudflare, och låta dom ta hand om säkerheten istället för loopia.

Säg till om du undrar något mer eller behöver hjälp

Okej! Jag kan inte köra cloudflare enligt den guiden jag följer.

"If you are using Cloudflare as your DNS provider, then make sure you have it set to bypass Cloudflare as it hides your IP address meaning the Let’s Encrypt tool will fail to verify your Raspberry Pi’s IP address and generate it an SSL certificate."

Skrivet av LemonIllusion:

Nej, man måste inte ha en separat webbserver igång. Det finns redan i certbot. Se 5a i guiden TS länkade.

Toppen! Jag har installerat certbot. Problemet verkar vara att jag inte riktigt lyckats peka hemsidan till min ip-adress. Räcker det med att man gör ett A-record till sin externa ip-adress?

/M

Desktop: Case: Loque - Ghost S1 MK2 + L-Top Hat | MB: ASRock Z390 Phantom Gaming-ITX/ac | GK: Gigabyte GeForce RTX 2070 8GB GAMING OC | CPU: Intel Core i7 9700K @ Stock | PSU: Corsair SF600 v2 | RAM: Corsair Vengeance LPX DDR4 3200MHz 2x8GB | SSD: Samsung 970 EVO 500GB | Watercooling: NZXT Kraken X52 (2xNoctua NF-A12x25 PWM)| [Win 10 x64].

Trädvy Permalänk
Medlem
Plats
SweClockers forum
Registrerad
Aug 2012
Skrivet av Munib:

Toppen! Jag har installerat certbot. Problemet verkar vara att jag inte riktigt lyckats peka hemsidan till min ip-adress. Räcker det med att man gör ett A-record till sin externa ip-adress?

/M

Du behöver ett A record och att webbservern som sköter ACME-challengen är nåbar på port 80, så eftersom du är bakom router behövs portvidarebefordran också (vilket du redan verkar ha löst). Om du har några brandväggar kan du behöva se till att dessa inte blockerar anslutningen. Om du inte redan gjort det så bör du också verifiera att du får en publik IP-adress. Enklaste sättet är att jämföra det som står som WAN IP i din router och det som visas här. Är adressena olika behöver du kontakta din ISP och be om en publik IP-adress annars kommer du inte kunna ansluta utifrån öht.

Guide: Roota din HTC - BB-Kod-knappar på Prisjakt

              Min burk - Kvävekyld till 80%
8700K@stock
1070 Ti@stock

Ibland har jag fel, men då är det någon annans fel.

Trädvy Permalänk
Medlem
Plats
twitch.tv/zidichy
Registrerad
Jun 2002
Skrivet av Munib:

Okej! Jag kan inte köra cloudflare enligt den guiden jag följer.

"If you are using Cloudflare as your DNS provider, then make sure you have it set to bypass Cloudflare as it hides your IP address meaning the Let’s Encrypt tool will fail to verify your Raspberry Pi’s IP address and generate it an SSL certificate."

/M

Klart du kan!
Du kan generera ssl först via den guide du använder dig av.
Sen byter du dom NS du har från loopia, till anpassade NS från CF.
Sen sköter du allt via CF kontrollpanel istället för loopias.

Guide för att få gratis domän, ssl, cdn, rp, http auth, via windows, med nginx!
Säkrare nginx guide för windows lär du inte hitta på nätet 😋😊

Trädvy Permalänk
Medlem
Registrerad
Jul 2004
Skrivet av Zidichy:

Klart du kan!
Du kan generera ssl först via den guide du använder dig av.
Sen byter du dom NS du har från loopia, till anpassade NS från CF.
Sen sköter du allt via CF kontrollpanel istället för loopias.

Hej Zidichy! Ledsen för sent svar, jag har stångats med att få igång webserver med cert utan NGINX. Utan framgång på min raspberry pi så har jag nu vänt mig åt att titta på NGINX. Jag är oerhört ny/okunnig på detta men hoppas du kan hjälpa mig med mina frågor

- Jag har en Synology NAS, som jag förstår finns NGINX redan med där? Skulle du rekommendera att jag kör reverse proxy med NGINX på min NAS och få cert genom letsencrypt? Eller ska jag försöka sätta upp det på min raspberry pi som har pihole+dnscrypt? Fördelar/nackdelar?

Desktop: Case: Loque - Ghost S1 MK2 + L-Top Hat | MB: ASRock Z390 Phantom Gaming-ITX/ac | GK: Gigabyte GeForce RTX 2070 8GB GAMING OC | CPU: Intel Core i7 9700K @ Stock | PSU: Corsair SF600 v2 | RAM: Corsair Vengeance LPX DDR4 3200MHz 2x8GB | SSD: Samsung 970 EVO 500GB | Watercooling: NZXT Kraken X52 (2xNoctua NF-A12x25 PWM)| [Win 10 x64].

Trädvy Permalänk
Medlem
Plats
twitch.tv/zidichy
Registrerad
Jun 2002
Skrivet av Munib:

Hej Zidichy! Ledsen för sent svar, jag har stångats med att få igång webserver med cert utan NGINX. Utan framgång på min raspberry pi så har jag nu vänt mig åt att titta på NGINX. Jag är oerhört ny/okunnig på detta men hoppas du kan hjälpa mig med mina frågor

- Jag har en Synology NAS, som jag förstår finns NGINX redan med där? Skulle du rekommendera att jag kör reverse proxy med NGINX på min NAS och få cert genom letsencrypt? Eller ska jag försöka sätta upp det på min raspberry pi som har pihole+dnscrypt? Fördelar/nackdelar?

Du har inget att be om ursäkt för, du svarar när du känner för det.
Klart jag hjälper dig

Så lättaste via synology är att köra docker och containers.
Beror dock på vad du vill att din nginx ska kunna göra, om du helt enkelt vill driva en site via din synology behöver du ingen reverse proxy, men är du ute efter att ha t.ex. tillgång till tautulli, sonarr, radarr osv utanför ditt lan så krävs reverse proxy.

Personligen tycker jag att du ska använda det som du känner dig mest bekväm i, så du väljer synology eller raspi

Fördel med att köra det på raspi är väll att du inte blir tvungen och använda docker & containers för att köra nginx.
Du kan enkelt skriva sudo apt-get update > sudo apt-get install nginx > done
Jag antar du kör headless på din raspi?

Du får gärna berätta lite mer om vad du tänkt göra så jag får en bättre bild

Guide för att få gratis domän, ssl, cdn, rp, http auth, via windows, med nginx!
Säkrare nginx guide för windows lär du inte hitta på nätet 😋😊

Trädvy Permalänk
Medlem
Registrerad
Jul 2004
Skrivet av Zidichy:

Du har inget att be om ursäkt för, du svarar när du känner för det.
Klart jag hjälper dig

Så lättaste via synology är att köra docker och containers.
Beror dock på vad du vill att din nginx ska kunna göra, om du helt enkelt vill driva en site via din synology behöver du ingen reverse proxy, men är du ute efter att ha t.ex. tillgång till tautulli, sonarr, radarr osv utanför ditt lan så krävs reverse proxy.

Personligen tycker jag att du ska använda det som du känner dig mest bekväm i, så du väljer synology eller raspi

Fördel med att köra det på raspi är väll att du inte blir tvungen och använda docker & containers för att köra nginx.
Du kan enkelt skriva sudo apt-get update > sudo apt-get install nginx > done
Jag antar du kör headless på din raspi?

Du får gärna berätta lite mer om vad du tänkt göra så jag får en bättre bild

Tack!

Jo, ursprungligen var tanken att jag ska kunna få till HTTPS på pihole admin webinterface genom att peka ett domännamn till pihole interfacet (i dagsläget har den bara en intern ip-adress)

Jag kör inte headless på raspi, kommer troligen installera om till det senare! Men jag tror det lutar åt att köra nginx i raspin då det var väldigt få rader att mata in

EDIT: wow så mycket smidigare det var att få igång nginx på raspberryn än lighttpd!! Nu har jag bara den sista biten kvar.. att få nginx att peka vidare på pihole

Desktop: Case: Loque - Ghost S1 MK2 + L-Top Hat | MB: ASRock Z390 Phantom Gaming-ITX/ac | GK: Gigabyte GeForce RTX 2070 8GB GAMING OC | CPU: Intel Core i7 9700K @ Stock | PSU: Corsair SF600 v2 | RAM: Corsair Vengeance LPX DDR4 3200MHz 2x8GB | SSD: Samsung 970 EVO 500GB | Watercooling: NZXT Kraken X52 (2xNoctua NF-A12x25 PWM)| [Win 10 x64].

Trädvy Permalänk
Medlem
Plats
twitch.tv/zidichy
Registrerad
Jun 2002
Skrivet av Munib:

Tack!

Jo, ursprungligen var tanken att jag ska kunna få till HTTPS på pihole admin webinterface genom att peka ett domännamn till pihole interfacet (i dagsläget har den bara en intern ip-adress)

Jag kör inte headless på raspi, kommer troligen installera om till det senare! Men jag tror det lutar åt att köra nginx i raspin då det var väldigt få rader att mata in

EDIT: wow så mycket smidigare det var att få igång nginx på raspberryn än lighttpd!! Nu har jag bara den sista biten kvar.. att få nginx att peka vidare på pihole

Okey, innan du går vidare så vill jag varna dig, att när du öppnar upp din pihole publikt och pekar den till ditt domännamn, så kommer den vara sökbar för allt och alla, om du inte skyddar den.
Så ta en titt här innan du gör något.

https://www.shodan.io/search?query=A+black+hole+for+Internet+...
&
https://www.shodan.io/search?query=pi-hole

Finns fler sätt och hitta piholes på nätet och missbruka dom piholes som ligger öppna, men detta är 2 simpla sätt för vem som helst och söka efter piholes, blir ännu enklare om man lägger till landskoder i sitt sökresultat.

Men om du ändå vill peka din pihole till ditt domännamn så gör du det genom att antingen skapa ett A record eller ett CNAME och sen lägger du till din domän / IP nummer där och ser till att porten är öppen för pihole, efter det bör din pihole vara tillgänglig utanför ditt lan, och du får " secure status " för pihole istället för " not secure "

Guide för att få gratis domän, ssl, cdn, rp, http auth, via windows, med nginx!
Säkrare nginx guide för windows lär du inte hitta på nätet 😋😊

Trädvy Permalänk
Medlem
Registrerad
Jul 2004
Skrivet av Zidichy:

Okey, innan du går vidare så vill jag varna dig, att när du öppnar upp din pihole publikt och pekar den till ditt domännamn, så kommer den vara sökbar för allt och alla, om du inte skyddar den.
Så ta en titt här innan du gör något.

https://www.shodan.io/search?query=A+black+hole+for+Internet+...
&
https://www.shodan.io/search?query=pi-hole

Finns fler sätt och hitta piholes på nätet och missbruka dom piholes som ligger öppna, men detta är 2 simpla sätt för vem som helst och söka efter piholes, blir ännu enklare om man lägger till landskoder i sitt sökresultat.

Men om du ändå vill peka din pihole till ditt domännamn så gör du det genom att antingen skapa ett A record eller ett CNAME och sen lägger du till din domän / IP nummer där och ser till att porten är öppen för pihole, efter det bör din pihole vara tillgänglig utanför ditt lan, och du får " secure status " för pihole istället för " not secure "

Oj tack för varningen! Men menar du att man inte bör peka om det eller finns det åtgärder för att säkra upp så att man ändå kan ha den öppet på det sättet? blir det inte något säkrare när man har HTTPS på sidan?

Desktop: Case: Loque - Ghost S1 MK2 + L-Top Hat | MB: ASRock Z390 Phantom Gaming-ITX/ac | GK: Gigabyte GeForce RTX 2070 8GB GAMING OC | CPU: Intel Core i7 9700K @ Stock | PSU: Corsair SF600 v2 | RAM: Corsair Vengeance LPX DDR4 3200MHz 2x8GB | SSD: Samsung 970 EVO 500GB | Watercooling: NZXT Kraken X52 (2xNoctua NF-A12x25 PWM)| [Win 10 x64].

Trädvy Permalänk
Medlem
Plats
twitch.tv/zidichy
Registrerad
Jun 2002

@Munib
Du kan peka pihole till domänen, men innan du gör det så bör du se till så inte obehöriga kan komma åt din pihole.

Du kan du säkra din pihole så ingen kommer åt den och då kan ha den via din domän.
Jag kör, Cloudflare CDN Http Proxy, Fail2Ban, Http Authentication, 2FA / MFA
och lite till

https används bl.a. för att kryptera din trafik mellan din webbläsare och webbserveren, så att den inte går att avslyssna,
så online har det stor betydelse, men i ett privat nätverk t.ex. ett hemmanätverk där du och familjen bor har det mindre betydelse.

Guide för att få gratis domän, ssl, cdn, rp, http auth, via windows, med nginx!
Säkrare nginx guide för windows lär du inte hitta på nätet 😋😊

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

Om du ska köra flera saker från samma webbserver men bara vissa sidor ska vara tillgängliga externt och några internt så ska kan du köra med accesslistor i nginx-konfigurationen

Trädvy Permalänk
Medlem
Registrerad
Jul 2004
Skrivet av Zidichy:

@Munib
Du kan peka pihole till domänen, men innan du gör det så bör du se till så inte obehöriga kan komma åt din pihole.

Du kan du säkra din pihole så ingen kommer åt den och då kan ha den via din domän.
Jag kör, Cloudflare CDN Http Proxy, Fail2Ban, Http Authentication, 2FA / MFA
och lite till

https används bl.a. för att kryptera din trafik mellan din webbläsare och webbserveren, så att den inte går att avslyssna,
så online har det stor betydelse, men i ett privat nätverk t.ex. ett hemmanätverk där du och familjen bor har det mindre betydelse.

Okej! Har du några schysst länkar på guides till hur man sätter upp bl.a. fail2ban? Har försökt ett tag nu men får det inte att hoppa igång... bla är det nginx-noproxy filtret jag inte får igång.

Skrivet av jocke92:

Om du ska köra flera saker från samma webbserver men bara vissa sidor ska vara tillgängliga externt och några internt så ska kan du köra med accesslistor i nginx-konfigurationen

Tack för svar, ska kika på hur man fixar det!

Desktop: Case: Loque - Ghost S1 MK2 + L-Top Hat | MB: ASRock Z390 Phantom Gaming-ITX/ac | GK: Gigabyte GeForce RTX 2070 8GB GAMING OC | CPU: Intel Core i7 9700K @ Stock | PSU: Corsair SF600 v2 | RAM: Corsair Vengeance LPX DDR4 3200MHz 2x8GB | SSD: Samsung 970 EVO 500GB | Watercooling: NZXT Kraken X52 (2xNoctua NF-A12x25 PWM)| [Win 10 x64].

Trädvy Permalänk
Medlem
Plats
twitch.tv/zidichy
Registrerad
Jun 2002
Skrivet av Munib:

Okej! Har du några schysst länkar på guides till hur man sätter upp bl.a. fail2ban? Har försökt ett tag nu men får det inte att hoppa igång... bla är det nginx-noproxy filtret jag inte får igång.

Vad står det i din terminal / console? Kan du visa det error som du får?

Hittade ett par guider. Ej testat nån av dom, men dom borde fungera.
https://pimylifeup.com/raspberry-pi-fail2ban/

https://www.marek.tokyo/2019/02/securing-pi-hole-with-fail2ba...

https://www.youtube.com/watch?v=nSOYd2zSQhg

Guide för att få gratis domän, ssl, cdn, rp, http auth, via windows, med nginx!
Säkrare nginx guide för windows lär du inte hitta på nätet 😋😊

Trädvy Permalänk
Medlem
Registrerad
Jul 2004
Skrivet av Zidichy:

Vad står det i din terminal / console? Kan du visa det error som du får?

Hittade ett par guider. Ej testat nån av dom, men dom borde fungera.
https://pimylifeup.com/raspberry-pi-fail2ban/

https://www.marek.tokyo/2019/02/securing-pi-hole-with-fail2ba...

https://www.youtube.com/watch?v=nSOYd2zSQhg

Så här står det i min console:

sudo service fail2ban start
sudo fail2ban-client status
Failed to access socket path: /var/run/fail2ban/fail2ban.sock. Is fail2ban running?

Ok! Jag ska försöka testa någon av guiderna

Desktop: Case: Loque - Ghost S1 MK2 + L-Top Hat | MB: ASRock Z390 Phantom Gaming-ITX/ac | GK: Gigabyte GeForce RTX 2070 8GB GAMING OC | CPU: Intel Core i7 9700K @ Stock | PSU: Corsair SF600 v2 | RAM: Corsair Vengeance LPX DDR4 3200MHz 2x8GB | SSD: Samsung 970 EVO 500GB | Watercooling: NZXT Kraken X52 (2xNoctua NF-A12x25 PWM)| [Win 10 x64].

Trädvy Permalänk
Medlem
Plats
twitch.tv/zidichy
Registrerad
Jun 2002
Skrivet av Munib:

Så här står det i min console:

sudo service fail2ban start
sudo fail2ban-client status
Failed to access socket path: /var/run/fail2ban/fail2ban.sock. Is fail2ban running?

Ok! Jag ska försöka testa någon av guiderna

Låter som felet sitter i antingen din jail.conf eller fail2ban.conf

Guide för att få gratis domän, ssl, cdn, rp, http auth, via windows, med nginx!
Säkrare nginx guide för windows lär du inte hitta på nätet 😋😊