mein frisch aufgesetzter NC tut nicht so wie er soll.
Infos zu mir:
37 Jahre IT Erfahrung. Netzwerk-, Linux-, Router-, Firewalladmin, Ausbilder.
Noch keine Kalkspur hinter mir, also lernfähig.
Infos zur Maschine:
VMWare
Ubuntu 24.04 Server
NC 30.0.5.1
Installiert beim Aufsetzen der Maschine (somit snap).
IP: 192.168.2.116
DNS: Nicht verfügbar (DMZ)
Status:
Alles läuft sahneweich wenn ich NC per IP anspreche mit https://192.168.2.116
Problem:
NC soll hinter einem reverse proxy (Ubuntu 22, Apache 2.4) ansprechbar sein und müßte somit auf https://192.168.2.116/nextcloud reagieren.
FYI:
Hinter dem Proxy laufen bereits mehrere Maschinen. An dem kanns nicht liegen. Das Durchheben funktioniert auch. Nur kommt halt nichts brauchbares raus, weil die Antwort vom Proxy nach aussen dann lautet https://<ip.proxy>/index.php/login.
Wie also bringe ich NC dazu in einem Unterverzeichnis zu arbeiten?
soweit ich weiß, wird /nextcloud nicht wirklich empfohlen sondern eher als subdomain.
Ich habe jedoch hier etwas gefunden, was dir weiterhelfen könnte:
da hat @amateurkicker vollkommen recht… /nextcloud wird nicht empfohlen! du bist definitiv besser dran die Nextcloud über eine Subdomain erreichbar zu machen.
kannste mal ausführen was du genau machen möchtest? ich vermute du willst so’ne lokale NASmäßige NC einrichten? dafür ist die NC nicht konzipiert und du wirst garantiert nicht glücklich.
Ok vlt. bin ich schon im Wochenende, aber DMZ ohne DNS, wie kommen denn die Geräte ins Internet und Co? Eine DMZ ist doch eig. genau dafür ausgelegt, dass hier Internet bzw. DNS usw. funktioniert.
Das würde zu weit führen.
Ich hab schon 2 Meetings hinter mir in denen wir (IT-Abt. mehrerer Standorte) NC ausgewählt haben als Topkandidaten.
Die Struktur hier ist mehr als BSI-Grundschutz.
Ein Beispiel: NAC wurde von mir aufs nächste Level gehoben. Es gibt keinen DHCP im Produktiv-LAN. Wenn sich einer an eine Netzwerkbuchse ansteckt, der hier nichts zu suchen hat, greift ihn ein PXE-Server und formatiert die Maschine.
Die Maschinen haben alle stat. IPs und dort ist als GW und DNS eine der Firewalls drin. Da liegen die Regeln wer wohin darf. Namen gibts hier nicht. Fully IP-Base. Grund: Menschen merken sich Namen besser als Nummern. Das gilt auch für Angreifer. Jede Maschine ist nur mit der IP ansprechbar.
das ist der Punkt weshalb die Snap nicht gehen wird… jedenfalls nicht wie angedacht und gleich gar nicht wie konzipiert.
du wirst ziemlich basteln müssen.
die snap ist nicht bastelfreundlich, daher ist wohl eine bare metal installation unumgäglich.
wobei die snap schon einige vorteile bietet dadurch das sie streng vom OS abgegrenzt ist, automatisch aktualisiert und quasi “install and forget” läuft.
aber sobald du vom vergesehenen auf non-default abweichst, wirst du nicht mehr glücklich.
Deswegen ja der Post hier. Wenns auf dem Weg nicht geht oder ne shice-Idee war, mach ich die Möhre halt wieder platt und machs auf nem anderen Weg. Erst Ubuntu aufsetzen, dann NC nachziehen. Frage ist, obs dann geht.
Wenn VM nix ist, dann halt Proxmox, oder Docker oder…
Kann alles werden aber an der subfolder führt kein Weg vorbei.
also ich bin ja ein snap-man deshalb kann ichs nicht 100%ig sagen, aber grundsätzlich sind die voraussetzungen ähnlich… daher würde ich sagen “nope geht nicht”. jedenfalls kenne ich keinen klammeraffengriff🦈
Docker kann das ganze auch noch einmal komplizierter machen.
Schau dir mal den Link oben an, da scheint ja ein weg beschrieben zu sein.
Ich denke das wird es auch für andere webserver geben, falls ngnix nicht das richtige ist.
@blinsendiegl
Also ich verstehe nicht, wie der Verzicht auf einen (sogar lokalen) DNS die Sicherheit erhöhen soll. Das ist natürlich vollkommender Quatsch. Aber auf TLS/SSL verzichten. Schon klar. Bei Angriffen formatiert ein PXE-Server den Client? Also ich nutze für Angriffe nur Linux-Live-CDs wie grml, Tails oder Kali und das hinter MAC-Clone-Hardware z. B. auf Basis von WISP. Da wird gar nichts formatiert. Geht auch nicht, der Rechner hat gar keine Festplatte. Natürlich alles ein Witz. Ich hacke gar nicht.
Wahrscheinlich liegt es an Snap. Am besten du installierst ganz normal einen LAMP-Stack. Schau z. B. hier (Debian) oder dort (Ubuntu, etwas veraltet, musst du anpassen).
Von Reverse Proxy habe ich wenig Ahnung. Aber ich denke wenn die IP-Adressen identisch sind, dann wird das auch nicht funktionieren. Vielleicht mit NAT usw. Aber dann hast du neue Probleme.
Am besten du malst mal ein Bild von deinem Netzwerk und postet es hier.
Würde mich auch intressieren wie das gehen soll, wenn mein Rechner PXE Boot gar nicht aktiviert hat im BIOS, aber ja…
@blinsendiegl Installiere es manuell, wie andere schon vorgeschlagen haben, und dann wirst du ein wenig mit der Konfiguration des Webservers und des Reverse Proxy experimentieren müssen.
Eine fertige Lösung für deine Umgebung wird dir hier wahrscheinlich niemand liefern können, da die meisten Leute hier “Best Practices” von hier und heute anwenden und noch nicht in der “next level” Zukunft (oder Parallelwelt) angekommen sind, wo man Hackerangriffe mit “Security by Obscurity” effektiv abwehren kann
Weisst du wie schnell NMAP den RFC1918 Adresspace gescannt hat, das findet die IP mit dem offenen Port warscheinlich schneller, als deine User <IP-ADDRESSE>/nextcloud im Browser eintippen können.
Natürlich alles ein Witz. Ich hacke gar nicht.