Hi,
ich versuche hier gerade auf meinem Raspi5 NextCloud AIO zu installieren bzw. zu konfigurieren (habe den guide genutzt How to install the Nextcloud All-in-One on Linux - Nextcloud ). Habe Docker und AIO installiert und jetzt hänge ich beim Wizzard. Würde das ganze gerne von außen über meinen VPN erreichbar machen, nur wie? Verlangt wird ja jetzt eine Domain, damit das Ganze weiter geht.
Das ist so, weil NC AIO so ausgelegt ist, dass da während der Installation ein Let’s Encrypt Zertifikat erstellt wird. Dafür ist ein FQDN und eine Portweiterleitung zu TCP 80 / 443 zu deinem RPi5 erforderlich.
Ob man das bei AIO umgehen kann entzieht sich meiner Kenntnis.
Generell kann man wohl auch selbst signierte Zertifikate erstellen. Siehe z.B. How To Create a Self-Signed SSL Certificate for Apache in Ubuntu 20.04. Zudem könnte dir auch Initial Setup requires External domain address weiterhelfen.
Die sind aber explizit nicht supported und können mit einigen Komponenten und Client Apps Probleme verursachen: docker-compose examples for reverse proxies and other guides · nextcloud/all-in-one · Discussion #588 · GitHub
Auch wenn Nextcloud AIO nicht aus dem Internet erreichbar sein soll, würde ich trotzdem empfehlen eine öffentliche Domain zu registrieren, einen lokalen Reverse Proxy aufzusetzten, und dann gültige Zertifikate via der ACME DNS Challenge zu beziehen. Danach dieser Anleitung folgen um Nextcloud AIO zu installieren: all-in-one/reverse-proxy.md at main · nextcloud/all-in-one · GitHub
@bb77, was die Sinnhaftigkeit (besser Sinnlosigkeit) des Verzichts auf gültige Zertifikate angeht, bin ich ganz bei dir.
Mal eine Verständnisfrage, sichern die Zertifikate nochmal extra, auch wenn man per VPN verbunden ist?
Die dienen der Verschlüsselung des Datentransfers via https.
Da Nextcloud in der Grundkonfiguration auf https-Verbindungen ausgelegt ist und vor allem die Smartphone-Apps ohne https immer wieder Probleme bereiten, sollte zumindest ein selbst-signiertes Zertifikat installiert sein, in den Einstellungen der Apps die SSL-Validierung aber deaktiviert sein.
Ich hab keine AIO oder Snap-Installation, sondern eine eigene auf Basis Debia-Server, nginx und postgresql.
Aber im Grunde ist es doch so: für die Nextcloud muss eigentlich nur https also TCP 443 offen sein. Die Let’s Encryt-Zertifikate werden über http (TCP 80) erzeugt und aktualisiert. Da die Zertifikate maximal 90Tage gültig sind muss du TCP 80 nur alle 90 Tage mal öffnen um diese zu erneuern.
Du kannst also dauerhaft die Port dicht halten, dann kommst du eben nur per VPN auf den NC-Server. Dein lokaler Name-Server muss den FQDN dann natürlich intern korrekt auflösen. Also auf die lokale IP des RPi5 und die per VPN angebundenen Clients müssen für die Dauer der Verbindung auch den lokalen DNS verwenden.
Da weiß ich nicht was du das hast. Meist macht der Router ja auch den lokalen DNS. FritzBoxen können das vermutlich nicht. Aber meine pfsense kann das.
Beginnend ab Mai 2026 reduziert Letsencrypt schrittweise die Zertifikat-Laufzeit auf 45 Tage:
Um Letsencrypt nutzen zu können, benötigt man eine eigene Domain und einen entsprechenden DynDNS-Eintrag.
Auf den Port 80 kann man verzichten, wenn man einen entsprechenden TXT-Eintrag im DNS zur eigenen Domain erzeugt.
Den Heise-Artikel kannte ich noch nicht. Danke für die Info. Die eigene Domain kann aber auch eine Sub-Domain bei einem DynDNS-Anbieter sein.