Unifi CloudKey hinter Apache Reverse Proxy

Es gibt 21 Antworten in diesem Thema, welches 3.056 mal aufgerufen wurde. Der letzte Beitrag () ist von Thomae.

    Hallo Forumsgemeinde,
    viele Grüße in die Runde!


    Ich tüftle jetzt schon einige Versuche lang an einer Lösung für oben genanntes Problem.
    Ich betreibe einen UCK Gen2 und möchte die Web-GUI über einen Apache Reverse-Proxy aufrufen.
    Bis zur Anmeldemaske habe ich es bereits geschafft, danach geht nichts mehr.
    Ich sehe nur noch den Kopf der Website, den animierten blauen Strich und kann mich auch problemlos wieder abmelden.


    Hat irgendwer vielleicht hierzu eigene Erfahrungen oder noch einen Tipp dazu?

    Im Web sind leider nur verschieden Konfigurationsbeispiele für die lokale Serverinstallation zu finden, nicht aber mit einem eigenständigen Controller.
    Für Anregungen bedanke ich mich bereits schon mal und verspreche auch eine Antwort, falls ich selbst zu einer Lösung komme.


    Bye bis hoffentlich demnächst

    Mich würde als erstes Interessieren warum du das möchtest? VPN oder Remote Access gibt es doch schon. Warum die Seite ins Netz stellen?

    Wie jkasten schon anmerkt, solltest du es dir 10x überlegen Geräte ins öffentliche Netz zu hängen.

    Eine übersehene Sicherheitslücke und das Gerät ist gekapert und mit diesem durchaus auch dein ganzes Netzwerk.

    Wenn du Glück hast, ist was kaputt und du merkst es. Mit Pech wird dein Equipment für DDoS/Spammaschinen etc. missbraucht und das merkt du nicht.


    VPN ist die beste Option, ob bequem auf interne Geräte zugreifen zu können.

    Mit Wireguard sogar ganz angenehm: Aktiviert sich, sobald du aus deinem Heimnetz bist und kannst die Verbindung auch auf deine Wunschgeräte begrenzen.

    Also nochmal hallo und danke für die schnelle Reaktion.
    Der UCK soll nicht ins öffentliche Netz! Gott bewahre...
    Ich möchte den hinter dem Proxy "verstecken" und nur noch den Proxyserver sozusagen zum Managen meiner anderen Geräte mit Web-Gui verwenden.
    Bei den meisten anderen Teilen funktioniert das ja auch ganz gut.

    Mich interessiert in dem Fall einfach die Lösung. So etwas kann man doch auch verwenden, um zu managende Geräte in einem separaten Netzwerksegment unterzubringen, auf das nur der Proxyserver Zugriff hätte.

    Der Reverseproxy ist auch nur ein Relay, dass man benötigt um zwingend notwendige öffentliche Seiten anzubieten, wie einen Webserver oder sowas wie Exchange.

    Aber auch das hilft nichts bei unbekannten Schwachstellen wie beispielsweise den Json Angriff auf den Autodiscover vom Exchange.

    Man kann na- und vorträglich einiges filtern, aber kritische Panels wie der Unifikram oder beispielsweise Proxmox VE Gui gehören versteckt.


    Anders herum gefragt: Wie willst du die Box denn über den Proxy härten?

    Na gut, das geht jetzt irgendwie am Thema vorbei.
    Wie ich bereits sagte: der Cloudkey soll nicht ins öffentliche Netz, ich wollte lediglich meine Managementportale unter einer Adresse in meinem Netz erreichen.


    Danke trotzdem für die Bemühungen

    Ah! Bei ReverseProxy ging ich default von WAN aus.


    Hast du mal den Header durchschleifen lassen?

    Also konkret sowas wie:


    Code
    server {
 listen 443 ssl;
 server_name subdomain.example.com;
location / {
 proxy_pass https://IP:PORT;
 proxy_set_header Host $host;
 }
}
    Zitat von Thomae

    ich wollte lediglich meine Managementportale unter einer Adresse in meinem Netz erreichen.

    Die Idee ist so gut, dass sie mir noch nie gekommen ist :smiling_face: Ich könnte so etwas nämlich auch gebrauchen, wie weit bist Du denn damit gekommen -vom Cloudkey einmal abgesehen?

    Ich nutze für sowas heimdall. Aber das ist letztendlich nur eine webseite auf der alle Links zu meinen Maschinen drauf ist, kein Proxy.

    Der Reverseproxy ist keine Hexerei und mit "normalen" Websites funktioniert das auch Super.

    Aktuell erfolgreich mit Mikrotiks, Synologys und diversen Druckern am Laufen.
    Einzig dieser UCK lässt mich nicht richtig durch

    Ich habe das mal schnell nachgebaut in meiner Welt, habe das identische Problem.


    Gelöst mit:



    Das solltest du äquivalent bei dir dann übersetzen.

    Hey, geht ja fix hier.
    Leider sollte das aber wieder ein NGINX Script sein wenn ich nicht irre. Da hab ich schon gefühlt 1000 Stück durchforstet.
    Das geht so leider nicht 1:1 im Apache.
    Wenn ich weiter nix finde, dann muss ich halt tatsächlich noch meinen Webserver wechseln.


    Trotzdem vielen Dank für Deine Mühe und viele Grüße

    Zitat von Thomae

    Hey, geht ja fix hier.
    Leider sollte das aber wieder ein NGINX Script sein wenn ich nicht irre. Da hab ich schon gefühlt 1000 Stück durchforstet.
    Das geht so leider nicht 1:1 im Apache.
    Wenn ich weiter nix finde, dann muss ich halt tatsächlich noch meinen Webserver wechseln.


    Trotzdem vielen Dank für Deine Mühe und viele Grüße

    Darum ja zum Schluss "musst du übersetzen", über die Jahre hat es sich (bei mir) aber sowieso gezeigt, dass Nginx sich mehr für Proxy und Loadbalancer eignet.

    Zitat von Thomae

    Hey, geht ja fix hier.
    Leider sollte das aber wieder ein NGINX Script sein wenn ich nicht irre. Da hab ich schon gefühlt 1000 Stück durchforstet.
    Das geht so leider nicht 1:1 im Apache.
    Wenn ich weiter nix finde, dann muss ich halt tatsächlich noch meinen Webserver wechseln.


    Trotzdem vielen Dank für Deine Mühe und viele Grüße

    ich hatte mal Apache zu Anfangszeiten im Einsatz :thinking_face: . Lang ist es her. :face_with_tongue: Versuchs mal hiermit:


    Folgende Module müssen geladen sein:


    a2enmod proxy

    a2enmod proxy_http

    a2enmod proxy_ajp

    a2enmod rewrite

    a2enmod deflate

    a2enmod headers

    a2enmod proxy_balancer

    a2enmod proxy_connect

    a2enmod proxy_html

    Nicht vergessen, den Indianer neu starten, damit die Konfiguration übernommen wird. IP/Port sowie http/s:\\ muss logischer Weise angepasst werden.


    LG

    Ben

    ⢀⣴⠾⠻⢶⣦⠀ Debian - The universal operating system user
    ⣾⠁⢠⠒⠀⣿⡁ https://www.debian.org
    ⢿⡄⠘⠷⠚⠋⠀
    ⠈⠳⣄⠀

    :right_arrow: Dumme Gedanken hat jeder, nur der Weise verschweigt sie. (Wilhelm Busch) :left_arrow:

    Hallo und vielen Dank,


    ich werde das morgen ausprobieren, heute habe ich keinen Nerven mehr dafür :grinning_squinting_face:

    Ich hatte schon den Verdacht, dass es irgendein Modul noch fehlt.

    Ich sag Bescheid ob's funktioniert.


    Danke nochmals und schönen Feierabend

    Denk drann, UCK G2+ nutzt https

    ⢀⣴⠾⠻⢶⣦⠀ Debian - The universal operating system user
    ⣾⠁⢠⠒⠀⣿⡁ https://www.debian.org
    ⢿⡄⠘⠷⠚⠋⠀
    ⠈⠳⣄⠀

    :right_arrow: Dumme Gedanken hat jeder, nur der Weise verschweigt sie. (Wilhelm Busch) :left_arrow:

    Danke für den Hinweis, das ist aber nicht das Problem, denn bis zur Loginseite komme ich (da ist https schon im Spiel), nach der Anmeldung läuft die Seite in den oben beschriebenen Loop - Abmelden kann ich mich allerdings wieder.

    Zitat von Thomae

    Danke für den Hinweis, das ist aber nicht das Problem, denn bis zur Loginseite komme ich (da ist https schon im Spiel), nach der Anmeldung läuft die Seite in den oben beschriebenen Loop - Abmelden kann ich mich allerdings wieder.

    War auch bezogen auf den Apache Reverse Proxy. In der Beispiel Konfig. ist http angegeben!

    ⢀⣴⠾⠻⢶⣦⠀ Debian - The universal operating system user
    ⣾⠁⢠⠒⠀⣿⡁ https://www.debian.org
    ⢿⡄⠘⠷⠚⠋⠀
    ⠈⠳⣄⠀

    :right_arrow: Dumme Gedanken hat jeder, nur der Weise verschweigt sie. (Wilhelm Busch) :left_arrow: