Aber keine Sorge, ein Reverse-Proxy ist wie ein kluger Concierge, der vor der T\u00fcr steht, spezielle Anfragen entgegennimmt und sie an die richtigen R\u00e4ume weiterleitet.<\/p>\n\n\n\n
Was ist denn bitte ein Reverse-Proxy?<\/h2>\n\n\n\n
Hast du schon mal von Reverse-Proxies geh\u00f6rt? Es w\u00e4re doch super, wenn du sicher und effizient auf deine lokalen Netzwerkressourcen zugreifen, deine Webanwendungen vor Angriffen sch\u00fctzen und die Geschwindigkeit deiner Websites verbessern k\u00f6nntest \u2013 all das dank eines cleveren Helfers. Wenn du dich jetzt fragst, ob ein Reverse-Proxy das alles kann, ist die Antwort schlicht und ergreifend: Ja! Kann er!<\/p>\n\n\n\n
Mit einem Reverse-Proxy kannst du die Kontrolle \u00fcber deinen Datenverkehr \u00fcbernehmen, Lastenausgleich betreiben und sogar SSL\/TLS-Verschl\u00fcsselung handhaben. Klingt spannend, oder? Aber das ist noch nicht alles! Er erm\u00f6glicht dir, auf deine internen Ressourcen zuzugreifen, ohne von Firewalls geblockt zu werden oder zu viele T\u00fcren in dein Netzwerk zu \u00f6ffnen und bietet dir die M\u00f6glichkeit, deine Webanwendungen mit einem zus\u00e4tzlichen Sicherheitspuffer zu umgeben.<\/p>\n\n\n\n
Mein Szenario<\/h2>\n\n\n\n![\"\"](\"https:\/\/www.richard-becker.net\/blog\/wp-content\/uploads\/2024\/01\/nginx-1024x724.png\")
<\/figure>\n\n\n\nVoraussetzungen f\u00fcr die Durchf\u00fchrung<\/h2>\n\n\n\n\n- VPS-Server mit eigener IPv4-IP (z.B. einer wie dieser<\/a>)<\/li>\n\n\n\n
- Domain-Name (z.B. einer wie dieser hier<\/a>)<\/li>\n\n\n\n
- Internet-Zugang zuhause (versteht sich von selbst, oder?!)<\/li>\n\n\n\n
- Home-Server, der Docker-Container ausf\u00fchren kann (mehr dazu hier<\/a>)<\/li>\n\n\n\n
- Web-Dienste im eigenen Netzwerk, die freigegeben werden sollen (mehr dazu hier<\/a>)<\/li>\n<\/ul>\n\n\n\n
Die folgende Anleitung bezieht sich auf ein Szenario, in dem auf beiden Servern (VPS und Home-Server die Linux-Distribution „Ubuntu<\/a>“ (genauer: Ubuntu Server) l\u00e4uft. Auf anderen Systemen ist eventuell eine andere Vorgehensweise n\u00f6tig.<\/p>\n\n\n\nWireguard-Tunnel einrichten<\/h2>\n\n\n\n
Du hast vielleicht schon von VPNs geh\u00f6rt: Um zwei Server sicher miteinander zu verbinden, kannst du ein solches nutzen. Und genau hier kommt WireGuard ins Spiel, ein modernes VPN-Protokoll, das nicht nur leistungsstark, sondern auch einfach zu konfigurieren ist. Auf deinem VPS und Home-Server* musst du dazu in der Kommandozeile einige Befehle eingeben. Das Prozedere lehnt sich an die Vorgehensweise von Andre Jansen<\/a> an, unterscheidet sich an einigen Stellen (vor allem den iptables<\/code>) aber davon.<\/p>\n\n\n\n*mein Home-Server f\u00fcr Wireguard und den NGINX Proxy Manager l\u00e4uft \u00fcbrigens nicht „bare metal“, sondern selbst in einem Container unter Proxmox<\/a><\/em><\/p>\n\n\n\nAuf dem VPS und dem Home-Server<\/strong> f\u00fchrst du zun\u00e4chst folgende Befehle aus, mit denen beide Server erst upgedatet und neugestartet werden und dann diverse n\u00f6tige Software installiert wird:<\/p>\n\n\n\nsudo apt update -y && sudo apt upgrade -y && sudo shutdown -r now\nsudo apt install software-properties-common unzip -y\nsudo apt install netfilter-persistent -y\nsudo apt install ufw -y\nsudo apt install wireguard -y<\/code><\/pre>\n\n\n\nMit den folgenden befehlen erstellst du nun auf der VPS und dem Home-Server<\/strong> private Schl\u00fcssel f\u00fcr den Wireguard-Tunnel (VPN-Tunnel), die jeweils in der Konfigurations-Datei \/etc\/wireguard\/wg0.conf<\/code> abgespeichert werden. Zus\u00e4tzlich wird je System ein \u00f6ffentlicher Schl\u00fcssel erstellt, den du dir notieren oder per Copy&Paste abspeichern musst<\/mark>:<\/p>\n\n\n\n(umask 077 && printf \"[Interface]\\nPrivateKey= \" | sudo tee \/etc\/wireguard\/wg0.conf > \/dev\/null)\n\nwg genkey | sudo tee -a \/etc\/wireguard\/wg0.conf | wg pubkey | sudo tee \/etc\/wireguard\/publickey<\/code><\/pre>\n\n\n\nAuf dem VPS<\/strong> editierst du nun die oben genannte Konfigurationsdatei \/etc\/wireguard\/wg0.conf<\/code>:<\/p>\n\n\n\nsudo nano \/etc\/wireguard\/wg0.conf<\/code><\/pre>\n\n\n\nDie Datei musst du mit den korrekten Parametern f\u00fcllen, die auf dein Netzwerk und deine Konfiguration zutreffen:<\/p>\n\n\n\n
[Interface]\nPrivateKey = <Privaten Schl\u00fcssel des VPS hier eingeben>\nListenPort = 55107\nAddress = 192.168.4.1\/32\n[Peer]\nPublicKey = <\u00d6ffentlichen Schl\u00fcssel vom Home-Server hier>\nAllowedIPs = 192.168.4.2\/32<\/code><\/pre>\n\n\n\nAuf dem Home-Server<\/strong> editierst du auch mit folgendem Befehl die Konfigurationsdatei:<\/p>\n\n\n\nsudo nano \/etc\/wireguard\/wg0.conf<\/code><\/pre>\n\n\n\nDie Datei musst du ebenfalls mit den korrekten Parametern f\u00fcllen:<\/p>\n\n\n\n
[Interface]\nPrivateKey = <Privater Schl\u00fcssel des Home-Servers hier eingeben>\nAddress = 192.168.4.2\/32\n[Peer]\nPublicKey = <\u00d6ffentlichen Schl\u00fcssel des VPS hier eingeben>\nAllowedIPs = 192.168.4.1\/32\nEndpoint = <\u00f6ffentliche IPv4 Adresse des VPS hier eingeben>:55107\nPersistentKeepalive = 25<\/code><\/pre>\n\n\n\nAuf dem VPS<\/strong> musst du nun noch IPv4-Forwarding aktivieren, dazu editierst du folgende Konfigurations-Datei:<\/p>\n\n\n\nsudo nano \/etc\/sysctl.conf<\/code><\/pre>\n\n\n\nIn diese Datei f\u00fcgst du unten folgende Zeilen an:<\/p>\n\n\n\n
net.ipv4.ip_forward=1\n<\/code><\/pre>\n\n\n\nDie so durchgef\u00fchrten \u00c4nderungen aktivierst du nun noch mit folgendem Befehl:<\/p>\n\n\n\n
sudo sysctl -p<\/code><\/pre>\n\n\n\nAuf dem VPS und dem Home-Server<\/strong> kannst du den Wireguard-Tunnel nun starten:<\/p>\n\n\n\nsudo systemctl start wg-quick@wg0\nsudo systemctl enable wg-quick@wg0<\/code><\/pre>\n\n\n\nNun musst du auf dem VPS<\/strong> noch die korrekten iptables <\/code>setzen, damit der Netzwerkverkehr auch immer das korrekte Ziel erreicht. Ansonsten flie\u00dfen Anfragen an den VPS nicht automatisch durch den Wireguard-Tunnel an deinen NGINX Proxy Manager. Achtung, du musst die Befehle auf deine Konfiguration anpassen!<\/mark><\/p>\n\n\n\nsudo iptables -P FORWARD DROP\nsudo iptables -A FORWARD -i ens6 -o wg0 -p tcp --syn --dport 80 -m conntrack --ctstate NEW -j ACCEPT\nsudo iptables -A FORWARD -i ens6 -o wg0 -p tcp --syn --dport 443 -m conntrack --ctstate NEW -j ACCEPT\nsudo iptables -A FORWARD -i ens6 -o wg0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT\nsudo iptables -A FORWARD -i wg0 -o ens6 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT\nsudo iptables -t nat -A PREROUTING -i ens6 -p tcp --dport 80 -j DNAT --to-destination 192.168.4.2\nsudo iptables -t nat -A PREROUTING -i ens6 -p tcp --dport 443 -j DNAT --to-destination 192.168.4.2\nsudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.4.2:80\nsudo iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 192.168.4.2:443\nsudo iptables -t nat -A POSTROUTING -o wg0 -p tcp --dport 80 -d 192.168.4.2 -j SNAT --to-source 192.168.4.1\nsudo iptables -t nat -A POSTROUTING -o wg0 -p tcp --dport 443 -d 192.168.4.2 -j SNAT --to-source 192.168.4.1<\/code><\/pre>\n\n\n\nDein Wireguard-Interface sollte wg0<\/code> hei\u00dfen. Deine Netzwerkkarte der VPS k\u00f6nnte einen anderen Namen als ens6 <\/code>haben. Diesen kannst du mit ip -c a<\/code> herausfinden.<\/p>\n\n\n\nDamit die iptables <\/code>einen Neustart \u00fcberleben, musst du sie noch sichern:<\/p>\n\n\n\nsudo apt install netfilter-persistent -y\nsudo netfilter-persistent save\nsudo systemctl enable netfilter-persistent\nsudo apt install iptables-persistent<\/code><\/pre>\n\n\n\nDen letzten Befehl musst du mit der Eingabetaste zweimal best\u00e4tigen.<\/p>\n\n\n\n
Falls gew\u00fcnscht, schalte an deiner VPS<\/strong> noch die Firewall ein. Achte dabei darauf, dass du alle Ports \u00f6ffnest, die du ben\u00f6tigst, damit du dich nicht aussperrst – darunter z.B. Port 22, falls du ihn f\u00fcr SSH nutzt.<\/mark><\/p>\n\n\n\nsudo ufw allow 22 \nsudo ufw allow 55107\nsudo ufw enable\nsudo ufw status<\/code><\/pre>\n\n\n\nEinrichtung des Reverse-Proxys<\/h2>\n\n\n\n
NGINX Proxy Manager<\/a> ist eine Software, die dir die Einrichtung von Reverse-Proxies erleichtert und dir dabei eine einfach zu bedienende Web-Oberfl\u00e4che bietet. Du kannst damit auch SSL-Zertifikate f\u00fcr sichere Verbindungen verwalten. Der Manager \u00fcberwacht den Datenverkehr, protokolliert Ereignisse und erleichtert die Verwaltung von Benutzern und Teams. Praktisch f\u00fcr Anf\u00e4nger, da du die Konfigurationsdateien von NGINX<\/a> nicht direkt bearbeiten musst. Und genau diese Software kommt bei dir nun zum Einsatz.<\/p>\n\n\n\nDas Ganze l\u00e4uft als Docker-Container<\/a>, sodass die Einrichtung an sich auch wirklich einfach ist. Da ich meinen Docker-Container auf einem Home-Server einrichten will, der selbst schon ein Container ist, verwende ich f\u00fcr beide das gleiche Netzwerk, \u00fcber network_mode: host<\/code>.<\/p>\n\n\n\nZur Installation muss auf deinem Home-Server Docker installiert sein. Dies kannst du \u00fcber folgende Befehle erreichen:<\/p>\n\n\n\n
sudo apt update && apt upgrade -y\nsudo apt install docker.io -y\nsudo apt install docker-compose -y<\/code><\/pre>\n\n\n\nDann legst du auf deinem Home-Server eine Docker-Konfigurationsdatei an:<\/p>\n\n\n\n
cd ~\nmkdir npm\ncd npm\nnano docker-compose.yml<\/code><\/pre>\n\n\n\nIn diese Datei kommt dann folgender Inhalt:<\/p>\n\n\n\n
version: '3.8'\nservices:\n app:\n image: 'jc21\/nginx-proxy-manager:latest'\n restart: unless-stopped\n network_mode: host\n\n environment:\n DISABLE_IPV6: 'true'\n\n volumes:\n - .\/data:\/data\n - .\/letsencrypt:\/etc\/letsencrypt\n<\/code><\/pre>\n\n\n\nLetztlich musst du deine Konfiguration nur noch starten. Dazu kannst du folgenden Befehl verwenden, der beim ersten Starten m\u00f6glicherweise etwas Zeit zur Ausf\u00fchrung ben\u00f6tigt:<\/p>\n\n\n\n
docker-compose up -d<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/www.richard-becker.net\/blog\/wp-content\/uploads\/2024\/01\/npm-1024x575.png\")
<\/figure>\n\n\n\n\u00dcber die IP-Adresse deines Home-Servers kannst du unter Port 81<\/code> nun die Web-Oberfl\u00e4che vom NGINX Proxy Manager in einem Browser erreichen:<\/p>\n\n\n\nhttp:\/\/<IP DEINES HOME-SERVERS>:81<\/code><\/pre>\n\n\n\nDie Standard-Zugangsdaten lauten:<\/p>\n\n\n\n
E-Mail Adresse: admin@example.com\nPasswort: changeme<\/code><\/pre>\n\n\n\nUnd jetzt: Ab mit deinen Diensten ins WWW!<\/h2>\n\n\n\n
Die Kombination beider Tools erm\u00f6glicht es dir, deine selbst gehosteten Anwendungen sicher und effizient ins Netz zu \u00f6ffnen. Nun bist du also bereit, mit Leichtigkeit Web-Dienste zu erstellen und mithilfe des NGINX Proxy Managers den Datenverkehr aus dem \u00f6ffentlichen Internet zu deinen Servern zu steuern.<\/p>\n\n\n\n
Weiterlesen & Anmerkungen zur Sicherheit<\/h2>\n\n\n\n
In jedem Fall solltest du dir aber nocheinmal Gedanken zur Sicherheit deiner Web-Dienste machen, wenn du sie permanent ins Netz stellst.<\/mark> Was deinen VPS <\/strong>betrifft, so kannst du unter diesem Link in englischer Sprache<\/a> noch einmal nachlesen, welche Sicherheitsma\u00dfnahmen du ergreifen kannst. Dein Home-Server sollte dann hinter dem VPS und NGINX Proxy Manager recht sicher sein, getunnelt werden ja nur die HTTP-Ports. Was dann aber deine letztlich selbst gehosteten Web-Dienste<\/strong> betrifft, gibt es keine wirkliche Anleitung zur Absicherung: Am besten, du schaust, wie die Community und die Entwickler zum \u00f6ffentlichen Hosting stehen. Manche empfehlen, dies gar nicht erst zu tun, andere wiederum sch\u00e4tzen ihre Dienste als deutlich sicherer ein.<\/p>\n\n\n\nSicher ist es gut, immer auch wieder vom Access List Feature Gebrauch zu machen. Mehr dazu erf\u00e4hrst du in diesem (englischsprachigen) YouTube-Video:<\/p>\n\n\n\n
<\/figure>\n\n\n\nVoraussetzungen f\u00fcr die Durchf\u00fchrung<\/h2>\n\n\n\n\n- VPS-Server mit eigener IPv4-IP (z.B. einer wie dieser<\/a>)<\/li>\n\n\n\n
- Domain-Name (z.B. einer wie dieser hier<\/a>)<\/li>\n\n\n\n
- Internet-Zugang zuhause (versteht sich von selbst, oder?!)<\/li>\n\n\n\n
- Home-Server, der Docker-Container ausf\u00fchren kann (mehr dazu hier<\/a>)<\/li>\n\n\n\n
- Web-Dienste im eigenen Netzwerk, die freigegeben werden sollen (mehr dazu hier<\/a>)<\/li>\n<\/ul>\n\n\n\n
Die folgende Anleitung bezieht sich auf ein Szenario, in dem auf beiden Servern (VPS und Home-Server die Linux-Distribution „Ubuntu<\/a>“ (genauer: Ubuntu Server) l\u00e4uft. Auf anderen Systemen ist eventuell eine andere Vorgehensweise n\u00f6tig.<\/p>\n\n\n\nWireguard-Tunnel einrichten<\/h2>\n\n\n\n
Du hast vielleicht schon von VPNs geh\u00f6rt: Um zwei Server sicher miteinander zu verbinden, kannst du ein solches nutzen. Und genau hier kommt WireGuard ins Spiel, ein modernes VPN-Protokoll, das nicht nur leistungsstark, sondern auch einfach zu konfigurieren ist. Auf deinem VPS und Home-Server* musst du dazu in der Kommandozeile einige Befehle eingeben. Das Prozedere lehnt sich an die Vorgehensweise von Andre Jansen<\/a> an, unterscheidet sich an einigen Stellen (vor allem den iptables<\/code>) aber davon.<\/p>\n\n\n\n*mein Home-Server f\u00fcr Wireguard und den NGINX Proxy Manager l\u00e4uft \u00fcbrigens nicht „bare metal“, sondern selbst in einem Container unter Proxmox<\/a><\/em><\/p>\n\n\n\nAuf dem VPS und dem Home-Server<\/strong> f\u00fchrst du zun\u00e4chst folgende Befehle aus, mit denen beide Server erst upgedatet und neugestartet werden und dann diverse n\u00f6tige Software installiert wird:<\/p>\n\n\n\nsudo apt update -y && sudo apt upgrade -y && sudo shutdown -r now\nsudo apt install software-properties-common unzip -y\nsudo apt install netfilter-persistent -y\nsudo apt install ufw -y\nsudo apt install wireguard -y<\/code><\/pre>\n\n\n\nMit den folgenden befehlen erstellst du nun auf der VPS und dem Home-Server<\/strong> private Schl\u00fcssel f\u00fcr den Wireguard-Tunnel (VPN-Tunnel), die jeweils in der Konfigurations-Datei \/etc\/wireguard\/wg0.conf<\/code> abgespeichert werden. Zus\u00e4tzlich wird je System ein \u00f6ffentlicher Schl\u00fcssel erstellt, den du dir notieren oder per Copy&Paste abspeichern musst<\/mark>:<\/p>\n\n\n\n(umask 077 && printf \"[Interface]\\nPrivateKey= \" | sudo tee \/etc\/wireguard\/wg0.conf > \/dev\/null)\n\nwg genkey | sudo tee -a \/etc\/wireguard\/wg0.conf | wg pubkey | sudo tee \/etc\/wireguard\/publickey<\/code><\/pre>\n\n\n\nAuf dem VPS<\/strong> editierst du nun die oben genannte Konfigurationsdatei \/etc\/wireguard\/wg0.conf<\/code>:<\/p>\n\n\n\nsudo nano \/etc\/wireguard\/wg0.conf<\/code><\/pre>\n\n\n\nDie Datei musst du mit den korrekten Parametern f\u00fcllen, die auf dein Netzwerk und deine Konfiguration zutreffen:<\/p>\n\n\n\n
[Interface]\nPrivateKey = <Privaten Schl\u00fcssel des VPS hier eingeben>\nListenPort = 55107\nAddress = 192.168.4.1\/32\n[Peer]\nPublicKey = <\u00d6ffentlichen Schl\u00fcssel vom Home-Server hier>\nAllowedIPs = 192.168.4.2\/32<\/code><\/pre>\n\n\n\nAuf dem Home-Server<\/strong> editierst du auch mit folgendem Befehl die Konfigurationsdatei:<\/p>\n\n\n\nsudo nano \/etc\/wireguard\/wg0.conf<\/code><\/pre>\n\n\n\nDie Datei musst du ebenfalls mit den korrekten Parametern f\u00fcllen:<\/p>\n\n\n\n
[Interface]\nPrivateKey = <Privater Schl\u00fcssel des Home-Servers hier eingeben>\nAddress = 192.168.4.2\/32\n[Peer]\nPublicKey = <\u00d6ffentlichen Schl\u00fcssel des VPS hier eingeben>\nAllowedIPs = 192.168.4.1\/32\nEndpoint = <\u00f6ffentliche IPv4 Adresse des VPS hier eingeben>:55107\nPersistentKeepalive = 25<\/code><\/pre>\n\n\n\nAuf dem VPS<\/strong> musst du nun noch IPv4-Forwarding aktivieren, dazu editierst du folgende Konfigurations-Datei:<\/p>\n\n\n\nsudo nano \/etc\/sysctl.conf<\/code><\/pre>\n\n\n\nIn diese Datei f\u00fcgst du unten folgende Zeilen an:<\/p>\n\n\n\n
net.ipv4.ip_forward=1\n<\/code><\/pre>\n\n\n\nDie so durchgef\u00fchrten \u00c4nderungen aktivierst du nun noch mit folgendem Befehl:<\/p>\n\n\n\n
sudo sysctl -p<\/code><\/pre>\n\n\n\nAuf dem VPS und dem Home-Server<\/strong> kannst du den Wireguard-Tunnel nun starten:<\/p>\n\n\n\nsudo systemctl start wg-quick@wg0\nsudo systemctl enable wg-quick@wg0<\/code><\/pre>\n\n\n\nNun musst du auf dem VPS<\/strong> noch die korrekten iptables <\/code>setzen, damit der Netzwerkverkehr auch immer das korrekte Ziel erreicht. Ansonsten flie\u00dfen Anfragen an den VPS nicht automatisch durch den Wireguard-Tunnel an deinen NGINX Proxy Manager. Achtung, du musst die Befehle auf deine Konfiguration anpassen!<\/mark><\/p>\n\n\n\nsudo iptables -P FORWARD DROP\nsudo iptables -A FORWARD -i ens6 -o wg0 -p tcp --syn --dport 80 -m conntrack --ctstate NEW -j ACCEPT\nsudo iptables -A FORWARD -i ens6 -o wg0 -p tcp --syn --dport 443 -m conntrack --ctstate NEW -j ACCEPT\nsudo iptables -A FORWARD -i ens6 -o wg0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT\nsudo iptables -A FORWARD -i wg0 -o ens6 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT\nsudo iptables -t nat -A PREROUTING -i ens6 -p tcp --dport 80 -j DNAT --to-destination 192.168.4.2\nsudo iptables -t nat -A PREROUTING -i ens6 -p tcp --dport 443 -j DNAT --to-destination 192.168.4.2\nsudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.4.2:80\nsudo iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 192.168.4.2:443\nsudo iptables -t nat -A POSTROUTING -o wg0 -p tcp --dport 80 -d 192.168.4.2 -j SNAT --to-source 192.168.4.1\nsudo iptables -t nat -A POSTROUTING -o wg0 -p tcp --dport 443 -d 192.168.4.2 -j SNAT --to-source 192.168.4.1<\/code><\/pre>\n\n\n\nDein Wireguard-Interface sollte wg0<\/code> hei\u00dfen. Deine Netzwerkkarte der VPS k\u00f6nnte einen anderen Namen als ens6 <\/code>haben. Diesen kannst du mit ip -c a<\/code> herausfinden.<\/p>\n\n\n\nDamit die iptables <\/code>einen Neustart \u00fcberleben, musst du sie noch sichern:<\/p>\n\n\n\nsudo apt install netfilter-persistent -y\nsudo netfilter-persistent save\nsudo systemctl enable netfilter-persistent\nsudo apt install iptables-persistent<\/code><\/pre>\n\n\n\nDen letzten Befehl musst du mit der Eingabetaste zweimal best\u00e4tigen.<\/p>\n\n\n\n
Falls gew\u00fcnscht, schalte an deiner VPS<\/strong> noch die Firewall ein. Achte dabei darauf, dass du alle Ports \u00f6ffnest, die du ben\u00f6tigst, damit du dich nicht aussperrst – darunter z.B. Port 22, falls du ihn f\u00fcr SSH nutzt.<\/mark><\/p>\n\n\n\nsudo ufw allow 22 \nsudo ufw allow 55107\nsudo ufw enable\nsudo ufw status<\/code><\/pre>\n\n\n\nEinrichtung des Reverse-Proxys<\/h2>\n\n\n\n
NGINX Proxy Manager<\/a> ist eine Software, die dir die Einrichtung von Reverse-Proxies erleichtert und dir dabei eine einfach zu bedienende Web-Oberfl\u00e4che bietet. Du kannst damit auch SSL-Zertifikate f\u00fcr sichere Verbindungen verwalten. Der Manager \u00fcberwacht den Datenverkehr, protokolliert Ereignisse und erleichtert die Verwaltung von Benutzern und Teams. Praktisch f\u00fcr Anf\u00e4nger, da du die Konfigurationsdateien von NGINX<\/a> nicht direkt bearbeiten musst. Und genau diese Software kommt bei dir nun zum Einsatz.<\/p>\n\n\n\nDas Ganze l\u00e4uft als Docker-Container<\/a>, sodass die Einrichtung an sich auch wirklich einfach ist. Da ich meinen Docker-Container auf einem Home-Server einrichten will, der selbst schon ein Container ist, verwende ich f\u00fcr beide das gleiche Netzwerk, \u00fcber network_mode: host<\/code>.<\/p>\n\n\n\nZur Installation muss auf deinem Home-Server Docker installiert sein. Dies kannst du \u00fcber folgende Befehle erreichen:<\/p>\n\n\n\n
sudo apt update && apt upgrade -y\nsudo apt install docker.io -y\nsudo apt install docker-compose -y<\/code><\/pre>\n\n\n\nDann legst du auf deinem Home-Server eine Docker-Konfigurationsdatei an:<\/p>\n\n\n\n
cd ~\nmkdir npm\ncd npm\nnano docker-compose.yml<\/code><\/pre>\n\n\n\nIn diese Datei kommt dann folgender Inhalt:<\/p>\n\n\n\n
version: '3.8'\nservices:\n app:\n image: 'jc21\/nginx-proxy-manager:latest'\n restart: unless-stopped\n network_mode: host\n\n environment:\n DISABLE_IPV6: 'true'\n\n volumes:\n - .\/data:\/data\n - .\/letsencrypt:\/etc\/letsencrypt\n<\/code><\/pre>\n\n\n\nLetztlich musst du deine Konfiguration nur noch starten. Dazu kannst du folgenden Befehl verwenden, der beim ersten Starten m\u00f6glicherweise etwas Zeit zur Ausf\u00fchrung ben\u00f6tigt:<\/p>\n\n\n\n
docker-compose up -d<\/code><\/pre>\n\n\n\n<\/figure>\n\n\n\n\u00dcber die IP-Adresse deines Home-Servers kannst du unter Port 81<\/code> nun die Web-Oberfl\u00e4che vom NGINX Proxy Manager in einem Browser erreichen:<\/p>\n\n\n\nhttp:\/\/<IP DEINES HOME-SERVERS>:81<\/code><\/pre>\n\n\n\nDie Standard-Zugangsdaten lauten:<\/p>\n\n\n\n
E-Mail Adresse: admin@example.com\nPasswort: changeme<\/code><\/pre>\n\n\n\nUnd jetzt: Ab mit deinen Diensten ins WWW!<\/h2>\n\n\n\n
Die Kombination beider Tools erm\u00f6glicht es dir, deine selbst gehosteten Anwendungen sicher und effizient ins Netz zu \u00f6ffnen. Nun bist du also bereit, mit Leichtigkeit Web-Dienste zu erstellen und mithilfe des NGINX Proxy Managers den Datenverkehr aus dem \u00f6ffentlichen Internet zu deinen Servern zu steuern.<\/p>\n\n\n\n
Weiterlesen & Anmerkungen zur Sicherheit<\/h2>\n\n\n\n
In jedem Fall solltest du dir aber nocheinmal Gedanken zur Sicherheit deiner Web-Dienste machen, wenn du sie permanent ins Netz stellst.<\/mark> Was deinen VPS <\/strong>betrifft, so kannst du unter diesem Link in englischer Sprache<\/a> noch einmal nachlesen, welche Sicherheitsma\u00dfnahmen du ergreifen kannst. Dein Home-Server sollte dann hinter dem VPS und NGINX Proxy Manager recht sicher sein, getunnelt werden ja nur die HTTP-Ports. Was dann aber deine letztlich selbst gehosteten Web-Dienste<\/strong> betrifft, gibt es keine wirkliche Anleitung zur Absicherung: Am besten, du schaust, wie die Community und die Entwickler zum \u00f6ffentlichen Hosting stehen. Manche empfehlen, dies gar nicht erst zu tun, andere wiederum sch\u00e4tzen ihre Dienste als deutlich sicherer ein.<\/p>\n\n\n\nSicher ist es gut, immer auch wieder vom Access List Feature Gebrauch zu machen. Mehr dazu erf\u00e4hrst du in diesem (englischsprachigen) YouTube-Video:<\/p>\n\n\n\n
Die folgende Anleitung bezieht sich auf ein Szenario, in dem auf beiden Servern (VPS und Home-Server die Linux-Distribution „Ubuntu<\/a>“ (genauer: Ubuntu Server) l\u00e4uft. Auf anderen Systemen ist eventuell eine andere Vorgehensweise n\u00f6tig.<\/p>\n\n\n\n Du hast vielleicht schon von VPNs geh\u00f6rt: Um zwei Server sicher miteinander zu verbinden, kannst du ein solches nutzen. Und genau hier kommt WireGuard ins Spiel, ein modernes VPN-Protokoll, das nicht nur leistungsstark, sondern auch einfach zu konfigurieren ist. Auf deinem VPS und Home-Server* musst du dazu in der Kommandozeile einige Befehle eingeben. Das Prozedere lehnt sich an die Vorgehensweise von Andre Jansen<\/a> an, unterscheidet sich an einigen Stellen (vor allem den *mein Home-Server f\u00fcr Wireguard und den NGINX Proxy Manager l\u00e4uft \u00fcbrigens nicht „bare metal“, sondern selbst in einem Container unter Proxmox<\/a><\/em><\/p>\n\n\n\n Auf dem VPS und dem Home-Server<\/strong> f\u00fchrst du zun\u00e4chst folgende Befehle aus, mit denen beide Server erst upgedatet und neugestartet werden und dann diverse n\u00f6tige Software installiert wird:<\/p>\n\n\n\n Mit den folgenden befehlen erstellst du nun auf der VPS und dem Home-Server<\/strong> private Schl\u00fcssel f\u00fcr den Wireguard-Tunnel (VPN-Tunnel), die jeweils in der Konfigurations-Datei Auf dem VPS<\/strong> editierst du nun die oben genannte Konfigurationsdatei Die Datei musst du mit den korrekten Parametern f\u00fcllen, die auf dein Netzwerk und deine Konfiguration zutreffen:<\/p>\n\n\n\n Auf dem Home-Server<\/strong> editierst du auch mit folgendem Befehl die Konfigurationsdatei:<\/p>\n\n\n\n Die Datei musst du ebenfalls mit den korrekten Parametern f\u00fcllen:<\/p>\n\n\n\n Auf dem VPS<\/strong> musst du nun noch IPv4-Forwarding aktivieren, dazu editierst du folgende Konfigurations-Datei:<\/p>\n\n\n\n In diese Datei f\u00fcgst du unten folgende Zeilen an:<\/p>\n\n\n\n Die so durchgef\u00fchrten \u00c4nderungen aktivierst du nun noch mit folgendem Befehl:<\/p>\n\n\n\n Auf dem VPS und dem Home-Server<\/strong> kannst du den Wireguard-Tunnel nun starten:<\/p>\n\n\n\n Nun musst du auf dem VPS<\/strong> noch die korrekten Dein Wireguard-Interface sollte Damit die Den letzten Befehl musst du mit der Eingabetaste zweimal best\u00e4tigen.<\/p>\n\n\n\n Falls gew\u00fcnscht, schalte an deiner VPS<\/strong> noch die Firewall ein. Achte dabei darauf, dass du alle Ports \u00f6ffnest, die du ben\u00f6tigst, damit du dich nicht aussperrst – darunter z.B. Port 22, falls du ihn f\u00fcr SSH nutzt.<\/mark><\/p>\n\n\n\n NGINX Proxy Manager<\/a> ist eine Software, die dir die Einrichtung von Reverse-Proxies erleichtert und dir dabei eine einfach zu bedienende Web-Oberfl\u00e4che bietet. Du kannst damit auch SSL-Zertifikate f\u00fcr sichere Verbindungen verwalten. Der Manager \u00fcberwacht den Datenverkehr, protokolliert Ereignisse und erleichtert die Verwaltung von Benutzern und Teams. Praktisch f\u00fcr Anf\u00e4nger, da du die Konfigurationsdateien von NGINX<\/a> nicht direkt bearbeiten musst. Und genau diese Software kommt bei dir nun zum Einsatz.<\/p>\n\n\n\n Das Ganze l\u00e4uft als Docker-Container<\/a>, sodass die Einrichtung an sich auch wirklich einfach ist. Da ich meinen Docker-Container auf einem Home-Server einrichten will, der selbst schon ein Container ist, verwende ich f\u00fcr beide das gleiche Netzwerk, \u00fcber Zur Installation muss auf deinem Home-Server Docker installiert sein. Dies kannst du \u00fcber folgende Befehle erreichen:<\/p>\n\n\n\n Dann legst du auf deinem Home-Server eine Docker-Konfigurationsdatei an:<\/p>\n\n\n\n In diese Datei kommt dann folgender Inhalt:<\/p>\n\n\n\n Letztlich musst du deine Konfiguration nur noch starten. Dazu kannst du folgenden Befehl verwenden, der beim ersten Starten m\u00f6glicherweise etwas Zeit zur Ausf\u00fchrung ben\u00f6tigt:<\/p>\n\n\n\n \u00dcber die IP-Adresse deines Home-Servers kannst du unter Die Standard-Zugangsdaten lauten:<\/p>\n\n\n\n Die Kombination beider Tools erm\u00f6glicht es dir, deine selbst gehosteten Anwendungen sicher und effizient ins Netz zu \u00f6ffnen. Nun bist du also bereit, mit Leichtigkeit Web-Dienste zu erstellen und mithilfe des NGINX Proxy Managers den Datenverkehr aus dem \u00f6ffentlichen Internet zu deinen Servern zu steuern.<\/p>\n\n\n\n In jedem Fall solltest du dir aber nocheinmal Gedanken zur Sicherheit deiner Web-Dienste machen, wenn du sie permanent ins Netz stellst.<\/mark> Was deinen VPS <\/strong>betrifft, so kannst du unter diesem Link in englischer Sprache<\/a> noch einmal nachlesen, welche Sicherheitsma\u00dfnahmen du ergreifen kannst. Dein Home-Server sollte dann hinter dem VPS und NGINX Proxy Manager recht sicher sein, getunnelt werden ja nur die HTTP-Ports. Was dann aber deine letztlich selbst gehosteten Web-Dienste<\/strong> betrifft, gibt es keine wirkliche Anleitung zur Absicherung: Am besten, du schaust, wie die Community und die Entwickler zum \u00f6ffentlichen Hosting stehen. Manche empfehlen, dies gar nicht erst zu tun, andere wiederum sch\u00e4tzen ihre Dienste als deutlich sicherer ein.<\/p>\n\n\n\n Sicher ist es gut, immer auch wieder vom Access List Feature Gebrauch zu machen. Mehr dazu erf\u00e4hrst du in diesem (englischsprachigen) YouTube-Video:<\/p>\n\n\n\nWireguard-Tunnel einrichten<\/h2>\n\n\n\n
iptables<\/code>) aber davon.<\/p>\n\n\n\nsudo apt update -y && sudo apt upgrade -y && sudo shutdown -r now\nsudo apt install software-properties-common unzip -y\nsudo apt install netfilter-persistent -y\nsudo apt install ufw -y\nsudo apt install wireguard -y<\/code><\/pre>\n\n\n\n\/etc\/wireguard\/wg0.conf<\/code> abgespeichert werden. Zus\u00e4tzlich wird je System ein \u00f6ffentlicher Schl\u00fcssel erstellt, den du dir notieren oder per Copy&Paste abspeichern musst<\/mark>:<\/p>\n\n\n\n(umask 077 && printf \"[Interface]\\nPrivateKey= \" | sudo tee \/etc\/wireguard\/wg0.conf > \/dev\/null)\n\nwg genkey | sudo tee -a \/etc\/wireguard\/wg0.conf | wg pubkey | sudo tee \/etc\/wireguard\/publickey<\/code><\/pre>\n\n\n\n\/etc\/wireguard\/wg0.conf<\/code>:<\/p>\n\n\n\nsudo nano \/etc\/wireguard\/wg0.conf<\/code><\/pre>\n\n\n\n[Interface]\nPrivateKey = <Privaten Schl\u00fcssel des VPS hier eingeben>\nListenPort = 55107\nAddress = 192.168.4.1\/32\n[Peer]\nPublicKey = <\u00d6ffentlichen Schl\u00fcssel vom Home-Server hier>\nAllowedIPs = 192.168.4.2\/32<\/code><\/pre>\n\n\n\nsudo nano \/etc\/wireguard\/wg0.conf<\/code><\/pre>\n\n\n\n[Interface]\nPrivateKey = <Privater Schl\u00fcssel des Home-Servers hier eingeben>\nAddress = 192.168.4.2\/32\n[Peer]\nPublicKey = <\u00d6ffentlichen Schl\u00fcssel des VPS hier eingeben>\nAllowedIPs = 192.168.4.1\/32\nEndpoint = <\u00f6ffentliche IPv4 Adresse des VPS hier eingeben>:55107\nPersistentKeepalive = 25<\/code><\/pre>\n\n\n\nsudo nano \/etc\/sysctl.conf<\/code><\/pre>\n\n\n\nnet.ipv4.ip_forward=1\n<\/code><\/pre>\n\n\n\nsudo sysctl -p<\/code><\/pre>\n\n\n\nsudo systemctl start wg-quick@wg0\nsudo systemctl enable wg-quick@wg0<\/code><\/pre>\n\n\n\niptables <\/code>setzen, damit der Netzwerkverkehr auch immer das korrekte Ziel erreicht. Ansonsten flie\u00dfen Anfragen an den VPS nicht automatisch durch den Wireguard-Tunnel an deinen NGINX Proxy Manager. Achtung, du musst die Befehle auf deine Konfiguration anpassen!<\/mark><\/p>\n\n\n\nsudo iptables -P FORWARD DROP\nsudo iptables -A FORWARD -i ens6 -o wg0 -p tcp --syn --dport 80 -m conntrack --ctstate NEW -j ACCEPT\nsudo iptables -A FORWARD -i ens6 -o wg0 -p tcp --syn --dport 443 -m conntrack --ctstate NEW -j ACCEPT\nsudo iptables -A FORWARD -i ens6 -o wg0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT\nsudo iptables -A FORWARD -i wg0 -o ens6 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT\nsudo iptables -t nat -A PREROUTING -i ens6 -p tcp --dport 80 -j DNAT --to-destination 192.168.4.2\nsudo iptables -t nat -A PREROUTING -i ens6 -p tcp --dport 443 -j DNAT --to-destination 192.168.4.2\nsudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.4.2:80\nsudo iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 192.168.4.2:443\nsudo iptables -t nat -A POSTROUTING -o wg0 -p tcp --dport 80 -d 192.168.4.2 -j SNAT --to-source 192.168.4.1\nsudo iptables -t nat -A POSTROUTING -o wg0 -p tcp --dport 443 -d 192.168.4.2 -j SNAT --to-source 192.168.4.1<\/code><\/pre>\n\n\n\nwg0<\/code> hei\u00dfen. Deine Netzwerkkarte der VPS k\u00f6nnte einen anderen Namen als ens6 <\/code>haben. Diesen kannst du mit ip -c a<\/code> herausfinden.<\/p>\n\n\n\niptables <\/code>einen Neustart \u00fcberleben, musst du sie noch sichern:<\/p>\n\n\n\nsudo apt install netfilter-persistent -y\nsudo netfilter-persistent save\nsudo systemctl enable netfilter-persistent\nsudo apt install iptables-persistent<\/code><\/pre>\n\n\n\nsudo ufw allow 22 \nsudo ufw allow 55107\nsudo ufw enable\nsudo ufw status<\/code><\/pre>\n\n\n\nEinrichtung des Reverse-Proxys<\/h2>\n\n\n\n
network_mode: host<\/code>.<\/p>\n\n\n\nsudo apt update && apt upgrade -y\nsudo apt install docker.io -y\nsudo apt install docker-compose -y<\/code><\/pre>\n\n\n\ncd ~\nmkdir npm\ncd npm\nnano docker-compose.yml<\/code><\/pre>\n\n\n\nversion: '3.8'\nservices:\n app:\n image: 'jc21\/nginx-proxy-manager:latest'\n restart: unless-stopped\n network_mode: host\n\n environment:\n DISABLE_IPV6: 'true'\n\n volumes:\n - .\/data:\/data\n - .\/letsencrypt:\/etc\/letsencrypt\n<\/code><\/pre>\n\n\n\ndocker-compose up -d<\/code><\/pre>\n\n\n\n<\/figure>\n\n\n\nPort 81<\/code> nun die Web-Oberfl\u00e4che vom NGINX Proxy Manager in einem Browser erreichen:<\/p>\n\n\n\nhttp:\/\/<IP DEINES HOME-SERVERS>:81<\/code><\/pre>\n\n\n\nE-Mail Adresse: admin@example.com\nPasswort: changeme<\/code><\/pre>\n\n\n\nUnd jetzt: Ab mit deinen Diensten ins WWW!<\/h2>\n\n\n\n
Weiterlesen & Anmerkungen zur Sicherheit<\/h2>\n\n\n\n