Настройка Nextcloud в связке с KeenDNS

[Gvadik]

Имею статический IP адрес, зарегистрировал доменное имя в KeenDNS (server.keenetic.pro), режим работы выбрал "Прямой доступ".

Для Nextcloud создал доменное имя 4го уровня (web.server.keenetic.pro), в конфиге nextcloud добавил соответствующий доверенный домен. Не могу достучаться до web.server.keenetic.pro. Видимо не правильно выставляю порт в KeenDNS (TCP 80/443) и не верная настройка NGINX. Помогите пожалуйста разобраться.

Настройки NGINX начинаются так:

upstream php-handler {
    #server 127.0.0.1:9000;
    server unix:/var/run/php/php8.0-fpm.sock;
}

# Set the `immutable` cache control options only for assets with a cache busting `v` argument
map $arg_v $asset_immutable {
    "" "";
    default "immutable";
}

server {
    listen 80;
    listen [::]:80;
    server_name web.server.keenetic.pro;

    # Prevent nginx HTTP Server Detection
    server_tokens off;

    # Enforce HTTPS
    return 301 https://$server_name$request_uri;
}

server {
    listen 443      ssl http2;
   listen [::]:443 ssl http2;
    server_name web.server.keenetic.pro;

    # Path to the root of your installation
    root /var/www/nextcloud;

    # Use Mozilla's guidelines for SSL/TLS settings
    # https://mozilla.github.io/server-side-tls/ssl-config-generator/
    ssl_trusted_certificate /etc/webmin/letsencrypt-ca.pem;
    ssl_certificate     /etc/webmin/letsencrypt-cert.pem;
    ssl_certificate_key /etc/webmin/letsencrypt-key.pem;

    # Prevent nginx HTTP Server Detection
    server_tokens off;

[MDP]

9 часов назад, Gvadik сказал:

Не ждать сегодня?

Ну вот так пока...возможно что-то лишнее.

Апач вообще не трогал после установки

В кинетике зарегистрировал домен 4 уровня xxxx.yyyy.keenetic.pro  и  ---> 443----> 192.168.1.253:80

nextcloud на 80 порту 192.168.1.253 

Edited July 12, 2022 by MDP

[Pop70]

ip http proxy {domain} x-real-ip

Edited March 28, 2023 by Pop70

[Pop70]

27 минут назад, Gvadik сказал:

Имею статический IP адрес, зарегистрировал доменное имя в KeenDNS (server.keenetic.pro), режим работы выбрал "Прямой доступ".

Для Nextcloud создал доменное имя 4го уровня (web.server.keenetic.pro), в конфиге nextcloud добавил соответствующий доверенный домен. Не могу достучаться до web.server.keenetic.pro. Видимо не правильно выставляю порт в KeenDNS (TCP 80/443) и не верная настройка NGINX. Помогите пожалуйста разобраться.

Настройки NGINX начинаются так:

upstream php-handler {
    #server 127.0.0.1:9000;
    server unix:/var/run/php/php8.0-fpm.sock;
}

# Set the `immutable` cache control options only for assets with a cache busting `v` argument
map $arg_v $asset_immutable {
    "" "";
    default "immutable";
}

server {
    listen 80;
    listen [::]:80;
    server_name web.server.keenetic.pro;

    # Prevent nginx HTTP Server Detection
    server_tokens off;

    # Enforce HTTPS
    return 301 https://$server_name$request_uri;
}

server {
    listen 443      ssl http2;
   listen [::]:443 ssl http2;
    server_name web.server.keenetic.pro;

    # Path to the root of your installation
    root /var/www/nextcloud;

    # Use Mozilla's guidelines for SSL/TLS settings
    # https://mozilla.github.io/server-side-tls/ssl-config-generator/
    ssl_trusted_certificate /etc/webmin/letsencrypt-ca.pem;
    ssl_certificate     /etc/webmin/letsencrypt-cert.pem;
    ssl_certificate_key /etc/webmin/letsencrypt-key.pem;

    # Prevent nginx HTTP Server Detection
    server_tokens off;

Зачем заморочки с ssl в nginx, который для nextcloud?

Настройте nextcloud так, чтобы он работал из локалки по http, на каком-нибудь порту.

И в настройках keendns укажите апстримом локальный ip и порт.

Кинетик сам будет получать и обновлять сертификаты, оборачивать в ssl, и редиректить http запросы на https.

 

[Gvadik]

1 минуту назад, Pop70 сказал:

Зачем заморочки с ssl в nginx, который для nextcloud?

Настройте nextcloud так, чтобы он работал из локалки по http, на каком-нибудь порту.

И в настройках keendns укажите апстримом локальный ip и порт.

Кинетик сам будет получать и обновлять сертификаты, оборачивать в ssl, и редиректить http запросы на https.

 

Тогда помогите пожалуйста привести конфиг NGINX в соответствие с вашим вариантом, то что я удалял раздел SSL в конфиге - результата не принесло...

[Pop70]

А где у Вас крутится nginx c nextcloud?

[Gvadik]

на отдельном компе с внутренним адресом 192.168.1.2

[Pop70]

1 минуту назад, Gvadik сказал:

на отдельном компе с внутренним адресом 192.168.1.2

По http://192.168.1.2 доступен из локальной сети?

Нужно сделать так, чтобы был доступен.

Что-то вроде:

server {
    listen 80;

root /var/www/nextcloud;

}

[Gvadik]

Спасибо, я проверю позже, о результатах отпишусь.

[Gvadik]

По http://192.168.1.2 вывод (см.вложение). Хотя узлы явно указал в config.php

'trusted_domains' => 
  array (
    0 => '192.168.1.2:20000',
    1 => 'web.server.keenetic.pro:20000',
  ),

[Pop70]

1 час назад, Gvadik сказал:

0 => '192.168.1.2:20000',

Нафига в домене указывать порт?

0 => '192.168.1.2'

1 => 'web.server.keennetic.pro'

На каком порту слушает сервер?

[Pop70]

Вторая строчка нафиг не нужна.

В кинетике апстримом укажете http://192.168.2.1 Если сервер на 80 порту, то больше ничего не надо.

 

[Gvadik]

Судя по конфигу nginx на 80 порту

[Gvadik]

Сделал как советовали, всё равно ругается на недоверенный домен

[Pop70]

1 час назад, Gvadik сказал:

Сделал как советовали, всё равно ругается на недоверенный домен

Заставьте работать по http://192.168.1.2 из локальной сети. Как? Я не знаю - это скорее на форум по nextcloud.

[MDP]

В 08.07.2022 в 16:05, Gvadik сказал:

Сделал как советовали, всё равно ругается на недоверенный домен

Надо указать обратный прокси.

в config.php

'overwritehost' => 'web.server.keennetic.pro',

'overwriteprotocol' => 'https',

'trusted_proxies' =>

array (

0 => 'IP Keenetic',

),

 

Edited July 10, 2022 by MDP

[MDP]

У меня попутно другой вопрос....я находил здесь на форуме команду в кинетике, но сейчас найти не могу.

Суть: 

Я из интернета спокойно подключаюсь к nextcloud, но как только я подключаюсь к роутеру, то nextcloud становится недоступен по https://xxx.yyy.keenetic.pro/nextcloud

по http://IP-address-local/nextcloud естественно доступен, но каждый раз руками переключать как-то бездуховно...

Подскажите, что в роутере прописать надо?

У меня зарегин домен 4 уровня  xxx.yyy.keenetic.pro сертификат сформирован, запросы по https перенаправляются на http

 

разобрался

Edited July 10, 2022 by MDP

[Gvadik]

Сейчас у меня 504 Gateway Time-out nginx/1.18.0 (Ubuntu)...
Если не сложно, скиньте пожалуйста Ваши настройки nginx + config.php

[MDP]

1 час назад, Gvadik сказал:

Сейчас у меня 504 Gateway Time-out nginx/1.18.0 (Ubuntu)...
Если не сложно, скиньте пожалуйста Ваши настройки nginx + config.php

У меня Апач ... конфиг скину вечером

[Pop70]

15 часов назад, MDP сказал:

overwritehost' => 'web.server.keennetic.pro',

'overwriteprotocol' => 'https',

Это лишнее.

А вот 

15 часов назад, MDP сказал:

trusted_proxies

Скорее всего ага.

 

[Gvadik]

10 часов назад, MDP сказал:

У меня Апач ... конфиг скину вечером

Не ждать сегодня?

[Gvadik]

Спасибо большое! Получилось! Если выставить в настройках кинетика как вы написали, то у меня 504 time-out, а если выставить xxxx.yyyy.keenetic.pro  и  --->80 HTTP---> 192.168.1.2, то всё работает замечательно. И ещё. В общих настройках nextcloud присутствуют замечания:

Предупреждения о текущей конфигурации.
Заголовки обратного прокси настроены неправильно, либо подключение к серверу Nextcloud осуществляется через доверенный прокси. Если Nextcloud открыт не через доверенный прокси, то это проблема безопасности, которая может позволить атакующему подделать IP-адрес, определяемый сервером Nextcloud. Дополнительная информация представлена в документации ↗.

Заголовок HTTP «Strict-Transport-Security» должен быть настроен как минимум на «15552000» секунд. Для улучшения безопасности рекомендуется включить HSTS согласно нашим подсказкам по безопасности ↗.

Веб-сервер не настроен должным образом для разрешения «/.well-known/webfinger». Дополнительная информация представлена в документации ↗.

Веб-сервер не настроен должным образом для разрешения «/.well-known/nodeinfo». Дополнительная информация представлена в документации ↗.

Заголовок HTTP «Referrer-Policy» не содержит значения «no-referrer», «no-referrer-when-downgrade», «strict-origin» или «strict-origin-when-cross-origin», что может привести к утечке информации об адресе источника перехода по ссылке. Для получения более подробной информации обратитесь к рекомендациии W3C ↗.

 

Было ли у вас такое и как исправляли?

[MDP]

1 минуту назад, Gvadik сказал:

 И ещё. В общих настройках nextcloud присутствуют замечания:

Предупреждения о текущей конфигурации.
Заголовки обратного прокси настроены неправильно, либо подключение к серверу Nextcloud осуществляется через доверенный прокси. Если Nextcloud открыт не через доверенный прокси, то это проблема безопасности, которая может позволить атакующему подделать IP-адрес, определяемый сервером Nextcloud. Дополнительная информация представлена в документации ↗.

Заголовок HTTP «Strict-Transport-Security» должен быть настроен как минимум на «15552000» секунд. Для улучшения безопасности рекомендуется включить HSTS согласно нашим подсказкам по безопасности ↗.

Веб-сервер не настроен должным образом для разрешения «/.well-known/webfinger». Дополнительная информация представлена в документации ↗.

Веб-сервер не настроен должным образом для разрешения «/.well-known/nodeinfo». Дополнительная информация представлена в документации ↗.

Заголовок HTTP «Referrer-Policy» не содержит значения «no-referrer», «no-referrer-when-downgrade», «strict-origin» или «strict-origin-when-cross-origin», что может привести к утечке информации об адресе источника перехода по ссылке. Для получения более подробной информации обратитесь к рекомендациии W3C ↗.

 

Было ли у вас такое и как исправляли?

Эти ошибки гуглением исправлять ))))  Тут заругают за непрофильный топик. 

[maxsmeller]

В 12.07.2022 в 14:07, Gvadik сказал:

если выставить xxxx.yyyy.keenetic.pro  и  --->80 HTTP---> 192.168.1.2,

А как это сделать? Толком не пойму

[obezyanoid]

В 12.07.2022 в 07:09, MDP сказал:

Ну вот так пока...возможно что-то лишнее.

Апач вообще не трогал после установки

В кинетике зарегистрировал домен 4 уровня xxxx.yyyy.keenetic.pro  и  ---> 443----> 192.168.1.253:80

nextcloud на 80 порту 192.168.1.253 

Не могли бы вы продублировать настройки. Картинка больше не доступна.

[MDP]

2 часа назад, obezyanoid сказал:

Не могли бы вы продублировать настройки. Картинка больше не доступна.

Эх... я некстлаудом поигрался и удалил... играюсь с другим уже.

[krass]

2 минуты назад, MDP сказал:

с другим уже.

А с каким? 

[panivan]

В 08.07.2022 в 15:47, Pop70 сказал:

0 => '192.168.1.2'

Скажите пожалуйста, а как Вы настраиваете безопасность?

В Вашем кинетике пробрасываются HTTP-заголовки?

 

У меня на kn-1810 не пробрасываются заголовки:

HTTP_CLIENT_IP =
HTTP_X_REAL_IP =
HTTP_X_FORWARDED_FOR =
REMOTE_ADDR =192.168.8.1

Соответственно прописывая в trusted_domains IP роутера сразу отключаешь защиту от брутфорса для всех.

Ну и в логах Nextcloud также везде IP роутера и не понять кто откуда пришел.

[Pop70]

В 27.03.2023 в 14:38, panivan сказал:

Скажите пожалуйста, а как Вы настраиваете безопасность?

В Вашем кинетике пробрасываются HTTP-заголовки?

 

У меня на kn-1810 не пробрасываются заголовки:

HTTP_CLIENT_IP =
HTTP_X_REAL_IP =
HTTP_X_FORWARDED_FOR =
REMOTE_ADDR =192.168.8.1

Соответственно прописывая в trusted_domains IP роутера сразу отключаешь защиту от брутфорса для всех.

Ну и в логах Nextcloud также везде IP роутера и не понять кто откуда пришел.

Через CLI в кинетике настраивается проброс заголовков.

[OlegOs]

Друзья, кому удалось настроить внешний доступ к nextcloud через keendns, скажите как удалось это сделать и покажите свой config.php

Edited May 5, 2023 by Олег Осипов

[Alexx Amoralles]

В 08.07.2022 в 15:49, Pop70 сказал:

http://192.168.2.1