Einstieg in Traefik: Installation und Einrichtung eines Reverse Proxys mit Docker Integration auf Raspberry Pi und X86 Servern

[U-Labs YouTube]

Kommentar von @chibiichen:
Kannst du noch ein Tutorial zur statischen Konfiguration machen?

[DMW007]

Sehe ich keinen Mehrwert gegenüber Nginx. Als statischer Reverse Proxy hat der sich seit Jahren etabliert und ist dort noch ein wenig effizienter als Traefik. Ich nutze Traefik nur auf vanilla Docker (Compose) Hosts, außerhalb davon in der Regel Nginx.

[U-Labs YouTube]

Kommentar von @Marc1920x1080p:
Erstmal Danke für deine Arbeit. Komisch bei mir ist, dass der traeffik Fehler: command traefik error: failed to decode configuration from flags: field not found, node: entrypoints auftritt. Habe alles so übernommen, wie du es gezeigt hast :-(

[DMW007]

Gerne
Wahrscheinlich fehlt etwas in deiner Konfigurationsdatei. In bisher allen Fällen war es so, dass entweder etwas unvollständig kopiert, etwas vergessen wurde oder die Leute fehlerhafte Anpassungen vorgenommen haben. Wenn das Problem noch auftritt, poste mal den Inhalt deiner gesamten Konfigurationsdateien bei uns im Forum. Ich habe eine Testinstallation und schaue mir dort an, wo der Fehler liegt.

[U-Labs YouTube]

Kommentar von @gmagholder1:
Nachdem ich meine Konfig mit tausend Dingen aus diesem Internet komplett geschrotet habe hast du das in meinem Kopf wieder auf eine gesunde Basis gezogen. Danke! Sehr klar und ohne Schnörkel.

[U-Labs YouTube]

Kommentar von @teezettsb:
Zu Lets Encrypt ist mir nicht klar, wie Traefik sich authentifiziert, dass ich auch wirklich der Eigentümer der angegebenen Domain bin!?

[DMW007]

Gar nicht. Es ist meistens ein Missverständnis, dass HTTPS-Zertifikate den Eigentümer bestätigen. Zwar gibt es Zertifikate, die das inklusive Identität prüfen. Die sind aber kostenpflichtig und relativ teuer - macht kaum jemand. Außer vielleicht der eine oder andere Konzern, der solche Zertifikate ggf. aus Compliance-Gründen kaufen muss. Let's Encrypt mit ihren kurzlebigen und automatisierten Zertifikaten schon gar nicht. Dort wird nur geprüft, ob man technische Kontrolle über die Domain hat. Das muss nicht zwingend der Eigentümer sein. Letztens haben sich ja erst wieder größere Dienstleister ihre Windows Umgebung hacken lassen. Dort hätte ein Angreifer z.B. die DNS Einträge ändern können, die Seiten ihrer Kunden auf Server der Angreifer umleiten und dann Phishingseiten aufstellen, Schadsoftware verteilen und so weiter. Analog ist das mit jedem Angriff möglich, bei dem der Angreifer Zugang bekommt.

Dass das in dem Fall nicht passiert ist, lag nicht an den technischen Möglichkeiten. Die Angreifer hielten es wohl für lukrativer, per Ransomware den ganzen Anbieter lahm zu legen und zu erpressen, statt vergleichsweise mühsam jeden einzelnen Kunden (wo im Einzelfall wohl oft weniger zu holen ist). Es gibt eine ganze Reiher solcher Fälle, die noch weitaus perfidere und schwer zu erkennende Attacken ermöglichen. Außer staatlichen Angreifern macht sich die Mühe keiner, weil es viel leichtere Ziele gibt. Nach dem Motto: Im Süßigkeitenland muss keiner die Krümel einsammeln, wenn alles tonnenweise im Überfluss da ist.

LE hat mehrere Arten "Challenges" nach ACME, mit denen sie prüfen, ob man die Domain technisch kontrolliert. Am meisten wird HTTP genutzt, weil das überall vollautomatisch erfolgen kann: Der Webserver legt bei dir auf dem System (LE Client) eine Datei mit Token & Fingerabdruck an. Die wird vom LE Server per HTTP abgefragt. Alternativ kann das Token auch per DNS übergeben werden.

[U-Labs YouTube]

Antwort von @teezettsb:
@U-Labs das heist also, ich muss dann für meinen Server einen öffentlichen DNS Eintrag erzeugen oder reicht auch dyndns?

[DMW007]

Nein. DNS ist die Alternative, wenn Port 80 nicht offen ist und/oder man zwingend Wildcard-Zertifikate braucht. Das ist für restriktive Unternehmensnetzwerke und größere Hoster gedacht. Laut der verlinkten Doku muss der den DNS Eintrag anscheinend bei Zertifikatserneuerungen ebenfalls aktualisieren. Ohne API zum Domainanbieter macht das bei der Zertifikatslaufzeit von LE wenig Sinn. Ich habe bisher überall HTTP genutzt und würde mit DNS nur anfangen, wenn es technisch nötig ist.