Reverse Proxy und anderes

[MisterY]

Hi,

Ich habe einen Proxmox-Server, wo unterschiedliche Sachen darauf laufen. U.a. eine Wordpress-Installation und eine Nextcloud.

Ich habe auch zwei Domains Beispielhaft genannt "abd.de" und "xyz.de".

Aktuell ist es so gelöst, dass Wordpress per Portweiterleitung auf Port 80 und 443 läuft, Nextcloud auf Port 8080 und 9090.


Was ich gerne haben möchte:
Eine kleine eigene LXC-Installation mit Nginx oder Apache2:
Wenn jemand für Wordpress "www.abd.de" eintippt, dann gelangt er sofort auf den Wordpross-LXC mit "https://abd.de". Das gleiche dann, wenn man "www.xyz.de" eintippt, soll man auf "https://xyz.de" des Nextcloud-LXC weitergeleitet werden.
Das bedeutet, dass man über "xyz.de" nicht auf Wordpress kommt und andersherum.

Die Zertifikate sollen im Reverse-Proxy LXC mittels certbot erstellt werden.
Ob das mit Nginx oder Apache2 läuft, ist mir recht egal. Hat da jemand eine gute Anleitung, was ich wo wie machen muss? Was muss ich in der Reverse-Proxy LXC machen, was muss in der Nextcloud-LXC eingestellt werden und was in Wordpress?
Ich bin im Bereich von Webservern noch ein absoluter Neuling, lerne aber gerne dazu.


Des Weiteren habe ich noch Fragen zu Subdomains.
Meine sind bei Strato registriert. Ich würde jedoch auch gerne Subdomains verwenden (z.B. "https://plex.xyz.de"). Wie funktioniert das? Muss ich da bei Strato etwas hinzubuchen oder reicht das, wenn ich das "Serverintern" mache?


Grüße

 

[deveth0]

Idealerweise musst du in den einzelnen Vms nichts ändern, wichtig ist nur, dass du beim reverse proxy die richtigen header weiter gibst.

Die Anleitung hier ist ein guter Anfang: How To Configure Nginx as a Web Server and Reverse Proxy for Apache on One Ubuntu 14.04 Droplet | DigitalOcean

Was du aber ja auch machen willst ist die SSL Terminierung, d.h. du musst mal noch schauen, dass du die zertifikate in den Proxy configs noch einträgt.

Aus der Erfahrung fand ich nginx immer etwas angenehmer zu konfigurieren, ist aber wohl Geschmackssache.

Was aber wichtig ist: du brauchst dafür 2 IPs, eine, die dein proxmox hat und eine, die du der vm gibst.

 

[MisterY]

Hi,
danke für den Link, ich lese mich mal ein.

Bei Proxmox hat jeder Container eine eigene IP. d.h. Nextcloud hat IP 192.168.2.10 und Wordpress hat 192.168.2.20. Der Reverse-proxy Container soll 192.168.2.5 haben. Diese drei sollen demnächst zwar in ein eigenes VLAN gehen, aber das dürfte ja egal sein.

 

[deveth0]

Ja, dass du da private ips hast ist klar, aber die müssen ja auch über das Internet erreichbar sein, oder? Dafür brauchst du dann zwei 'normale' ips die du bei strato einträgst.

Ansonsten hatte ich deine zweite Frage noch übersehen: die subdomains musst du bei strato eintragen, ich weiß nicht, ob da subdomains mit inklusive sind.

 

[MisterY]

Ich habe eine Internet-IP aber zwei Domains. Beide Domains zeigen auf die selbe IP.

 

[deveth0]

Das klappt dann nicht mehr weil du die IP ja der vm geben musst damit diese direkt erreichbar ist.

 

[MisterY]

Ist das nicht gerade der Sinn von reverse proxys, dass man mehrere domains über eine IP laufen lassen kann?

 

[oachkatzlschwoaf94]

funktioniert schon, ist aber ein bisschen Bastelarbeit. Ich habs schon mehrfach mit dem Apachen implementiert unter Debian, hab die Config gerade nicht zur Hand.
Eine Korrektur kann ich mir nicht verkneifen, es ist nicht DER Sinn eines ReverseProxies, aber eine der möglichen Funktionen. Normalerweise verwendet man einen Reverseproxy dafür, einen Server in einer geschützten Umgebung = isoliertes VLAN zu betreiben, aber dennoch für die Welt zugänglich zu machen, Reverseproxy steht dann in der DMZ.
@deveth0 Ein Webseitenaufruf basiert schon lange nicht mehr nur mehr auf der IP-Adresse, hier gibt es im HTTP1.1 - Protokoll den "Host: " Header. ;-)
Was ich noch weiß ist, dass das mod-proxy geladen werden muss. https://httpd.apache.org/docs/2.4/mod/mod_proxy.html
HTTPS mit den richtigen Redirects ist dann noch die Krönung. Hier kannst du dir aber mit einem Zertifikat mit mehreren SAN (Subject alternative Name) abhelfen.

 

[deveth0]

Ich glaube, wir reden hier aneinander vorbei.
Nehmen wir an, du hast die IP 1.2.3.4 bekommen. Die weißt du jetzt deiner Proxy-Vm zu und deinem Host irgendwas privates.
Dann bekommst du allen eingehenden Traffic in die vm und packst entsprechende Regel in den Proxy.
Jetzt hast du aber das Problem, dass du nicht mehr an deinen Proxmox host kommst. Klar kannst du dessen Webui auch über den Proxy erreichen, aber was ist zb mit ssh?

Deswegen mein Einwurf, dass du dir noch eine zweite IP besorgen müsstest.
@oachkatzlschwoaf94: ja naja der Aufruf geht immer noch über die IP, wie auch sonst. Aber ja, es sind noch nen paar Sachen, die man zusätzlich konfigurieren kann, der verlinkte Nginx Teil (nicht der Apache!) sollte aber erstmal ausreichen.

 

[MisterY]

Hä? Versteh ich nicht. Meine IP zeigt auf meinen Router, der leitet die Portanfragen an Interne Geräte bzw vlans weiter. Natürlich kann ich noch auf proxmox zugreifen und alles andere. Warum soll das denn so viel anders sein, als es jetzt läuft? Nur ich möchte nicht unterschiedliche Ports angeben müssen um auf die nextcloud oder Wordpress zuzugreifen. Der Reverse Proxy soll ja nicht mein Router oder Firewall werden..
Ich wüsste nicht, warum ich da eine zweite IP brauchen sollte. Ich habe mich schon bei vielen anderen, ähnlichen Setups angesehen, und da hatte keiner eine zweite IP. Warum auch, dafür gibt es ja NAT.

 

[deveth0]

OK, du hast also eine(dynamische?) IP und der proxmox steht bei dir daheim?
Das wäre noch eine wichtige Info

Ich bin davon ausgegangen, dass der irgendwo im rz steht und du nur über eine öffentliche IP drauf kommst.

Dann hast du nur das Problem, dass du strato beibringen musst, dass deine IP daheim sich ggf ändern kann.

 

[MisterY]

Achso :-D ja der steht @home
Ddclient läuft auf nem NanoPi neo

Also es geht nur um die Weiterleitung von Domain a auf WordPress und Domain b auf nextcloud.
Der Server läuft bereits seit 2 Jahren mit NAT