FreeNAS 11.2 und NextCloud

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Erst mal hallo John,
ich weiß das immer ein Risiko besteht. Wer das Können hat kommt überall rein. Ich habe deshalb extra freeNAS gewählt und einige ander Vorkehrungen getroffen. Hatte auch einige male das Gefühl das da etwas nicht stimmt. Es kam immer wieder mal vor das die Kiste von selbst herunter fuhr , ne längere Zeit down war und dann wieder startete. Mit der Sicherheitsmail konnte ich bei meinem Wissen nichts anfangen.
Inzwischen habe ich gelernt das ich die nginx.conf editieren muss. Doch wenn ich die Beispiele nehme und anpasse startet nicht mal http :-(
Komischerweise hab ich das bei der 11.1 auch hinbekommen. Die läuft aber noch mit appache wenn ich mich nicht täusche.
Was mich wundert ist die Tatsache, dass die Jungs von freeNAS auf dem Gerät selber die Möglichkeit bieten eine CA zu kreieren und Keys zu generieren. Wer dann in die Kiste rein kommt hat doch Vollzugriff....
Ich kämpfe weiter!
Danke erst mal für die Hilfe.
Gruß
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Danke FJep,
ich werde mir das in Ruhe ansehen.
Obwohl mir beim Überfliegen schon die Schweißperlen auf der Stirn standen.
Gruß und danke
 

Hiasts

Dabbler
Joined
Dec 29, 2018
Messages
45
Hallo

Ich habe mich auch mal mit Nextcloud auseinander gesetzt. Ich habe es installiert und wenn ich es abschließen will bekomme ich folgende fehler Meldung beim ersten mal öffnen.
Fehler
Error while trying to create admin user: Failed to connect to the database: An exception occured in driver: SQLSTATE[HY000] [1045] Access denied for user 'dbadmin'@'localhost' (using password: YES)

Was mache ich falsch oder wo liegt das Problem?

ich kann nur über die neue UI alles einstellen und nicht uber legacy.

wäre um jede hilfe dankbar weil ich es für die Arbeit bräuchte.
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Hallo John,
ich habe bei youtube eine Anleitung gefunden wie man auf der 11.2 im funktionierenden nextcloud eine CA einrichtet, einen key kreiert und dann in der nginx.conf und der nextcloud.conf die entsprechenden Eintragungen vor nimmt:
/usr/local/etc/nginx nginx.conf
"server {

listen 80;

listen [::]:80;

server_name IPvonNextcloud;

return 301 https://$server_name$request_uri;

}"

und in
/usr/local/etc/nginx/conf.d/ nextcloud.conf
"server {

listen 443 ssl http2;

listen [::]:443 ssl http2;

server_name IPvonNextcloud;

ssl_certificate /usr/local/etc/ssl/nginx/mein.crt;

ssl_certificate_key /usr/local/etc/ssl/nginx/mein.key;

add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
"
Bevor ich diese Eintragungen mache erreiche ich die Cloud über: http://IPvonNextcloud

Schon wenn ich die Eintragung in der nginx.conf mache erreiche ich die Cloud nicht mehr über: http://IPvonNextcloud
Auch mit beiden Eintragungen zusammen funktioniert nix.
Natürlich wird das Jail und das Plugin jedes mal neu gestartet, die Semikolon sind in der Realität auch nicht eingetragen und an Stelle von IPvonNextcloud steht natürlich eine richtige IP. Auch haben die mein.crt und mein.key richtige Namen.

Kannst Du an den Einträgen einen Fehler finden? Bei dem Typen im Netzt funktioniert das einwandfrei.
danke und Gruß
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Jetzt habe ich die oben erwähnte scriptet Installation durchgeführt.
Dies läuft einwandfrei durch, einen neues Jail "nextcloudX" ist vorhanden, lässt sich starten, stoppen, updaten, jedoch nicht über die konfigurierte und angezeigte IP erreichen, weder über http noch https. Dazu kommt, das hier apache installiert wird und nicht nginx.
Mehr ist im Internett auch nicht zu finden.
Gibt es denn niemanden der helfen kann?
HILFE.........
 

John Doe

Guru
Joined
Aug 16, 2011
Messages
635
ich würde empfehlen einen schritt nach dem nächsten zu machen. setze Nextcloud erstmal auf, dass es läuft und kümmere dich danach um die zertifikate.

ob zertifikate im lokalen LAN sinn machen, wäre dann ein weitere punkt. Per VPN würdest du dich ja in dein LAN einwählen. Solltest du dennoch deine Kiste direkt ans WWW hängen wollen, brauchst du eh eine zertifizierungsstelle a la Lets encrypt + den bot um die certs immer wieder neu zu bekommen.
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Hallo John,
danke, dass Du überhaupt noch einmal geantwortet hast.
Wie Du oben lesen kannst habe ich inzwischen 2 Stück Nextcloud-Installationen am laufen.
Die eine die ich in der 11.2 über das Plugin installiert habe und die ich über http erreiche und in der selbstverständlich ein Certifikat und ein key existiert und die 2. die ich über die scriptet Installation eingerichtet habe, die ich aber weder über http noch über https erreiche. Sicher werden bei letzterer die http-Anfragen an https umgeleitet und das funktioniert eben noch nicht.
Frage:
Du hast weiter oben sinngemäß schon geschrieben, dass Du einen Zugang aus dem Internet über https ablehnst. Warum eigentlich?
Das Internet läuft entweter über VPN oder https. Nach meinem bescheidenen Wissen ist doch https auch soetwas wie ein Tunnel.?
Warum ein Certifikat über z.B. Lets encrypt beschaffen wenn ich das Certifikat selbst erstellen kann?
Der Zugang ist ja nicht wie in Firmen für die Öffentlichkeit gedacht sondern nur für meine 4 Maschinen. Worin besteht also die Gefahr?
Noch eine letzte Frage: Ich finde keine Kontaktangaben zu dem Ersteller des Nextcloudplugin für die 11.2. Kannst Du mir eventuell Auskunft geben an wen man sich da wenden kann?
herzliche Grüße und Dank
fanifeey
 

John Doe

Guru
Joined
Aug 16, 2011
Messages
635
wenn du an deinem router den https port freigibst, kann jeder aus dem WWW sich daran probieren. Nutzt du einen VPN, brauchen die laute aus dem WWW erstmal zugangsdaten, um überhaupt etwas dahinter sehen zu können.
openvpn ist recht gut gewartet in bezug zu cyber security, ganz anders als freenas, die oft mehrere versionen hinter freebsd hinterher sind.
Freenas hat nicht die sicherheit im fokus, sondern die nutzbarkeit/verfügbarkeit.

das bedeutet, wenn du ein jail nimmst, hat es einen stand zwischen dem neuesten freebsd und dem aktuell installierten freenas.

der unterschied zwischen vpn und einem https zertifikat ist, dass das zertifikat lediglich eine legitimierung einer bestimmten seite darstellt und danach verschlüsselt wird. Zertifikataussteller genießt mein vertrauen, dass er mir sagt, welche seite ich da eigentlich ansurfe. selbstsignierte zertifikate werden immer ein problem bei nutzern erzeugen, die das zertifikat nicht importiert haben.

Begründung dazu:
du bist ein kleiner hacker und hast ein wlan hotspot erstellt, bei dem das internet ganz normal funktioniert, nur dass der DNS server eintrag der sparkasse.de nicht auf die eigentliche IP adresse leitet, sondern auf eine andere. Da wartet dann eine gefälschte webseite, die du erstellt hast. wenn du jetzt selber einfach ein zertifikat erstellen könntest, würde man keinen unterschied erkennen.

darum gibt es zertifizierungsstellen, die mir als user die identität einer seite bestätigen.
Wenn seite xy die ist, die ich ansurfe und das zertifikat stimmt, wird via TLS verschlüsselt.

Die gefahr, die konkret besteht, wenn du dein Nextcloud jail ans www hängst, liegt darin, dass jeder sehen kann, dass du da etwas geöffnet hast. selbst, wenn du ein super gutes passwort gewählt hast, wie sicher bist du dir, dass der ersteller des jails bzw. Nextcloud oder MariaDB/apache/ngix keine fehler hat?

Wie sicher bist du, dass der offene port an deinem internet router auch wirklich nur an das jail geleitet wird und nicht evtl. auch an freenas oder eine andere IP? Die router die man von seinem ISP bekommt sind in der regel unter aller sau. Ich habe hier eine eigenentwicklung von einem kleinen ISP stehen, die hälfte der "features" funktioniert nicht so, wie es sein soll. Dem teil traue ich kein bisschen.
Pfsense/ ddwrt/ openwrt da schon eher.


best praktise ist daher ein VPN.

keine ahnung wer das jail erstellt hat.
 

fanifeey

Explorer
Joined
Oct 31, 2016
Messages
57
Hallo John,
danke erst mal für Deine ausführlichen Erleuterungen. Ich lasse mir das erst mal auf der Zunge zergehen.
Es gibt Neuigkeiten. Die Nextcloudinstanz die ich mit der scriptet Installation eingerichtet habe, habe ich wieder gelöscht.
Mit der Nextcloud , eingerichtet über das Plugin habe ich weiter gemacht.
Ich habe mich heute mehrere Stunden mit nginx beschäftigt.
Jetzt habe ich in /etc/nginx/conf.d/nextcloud.conf ähnlich wie oben schon beschrieben nur folgendes eingetragen:
Die Originalzeilen in der conf "
"server {
listen 80;
server_name _;
}" habe ich unverändert gelassen.
Und:
"server {
listen 443 ssl http2;
server_name _;
ssl_certificate /usr/local/etc/ssl/nginx/mei.crt;
ssl_certificate_key /usr/local/etc/ssl/nginx/mei.key;
add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
"
habe ich eingefügt.
Sofort konnte ich die nextcloud über https erreichen. Natürlich kam die Abfrage wegen dem selbstsignierten Certifikat.
Zu meiner Verwunderung geht das jetz nicht mehr mit http da ich die Weiterleitung auf https noch gar nicht eingetragen hatte.
Wenn ich dann noch "return 301 https://$server_name$request_uri;" eintrage ruft er nicht die Adresse unter https auf sondern es erscheint nur der Hinweis, dass er unter https://_ nichts erreichen kann.

Wenn ich mir übrlege das sich das Leute ausgedacht und entwickelt haben, stehen mir immer die Schweißperlen auf der Stirn.
danke und
Gruß
 

555NASE

Patron
Joined
Mar 3, 2017
Messages
202

Ben13

Cadet
Joined
Jan 27, 2015
Messages
7
Hallo John,
danke erst mal für Deine ausführlichen Erleuterungen. Ich lasse mir das erst mal auf der Zunge zergehen.
Es gibt Neuigkeiten. Die Nextcloudinstanz die ich mit der scriptet Installation eingerichtet habe, habe ich wieder gelöscht.
Mit der Nextcloud , eingerichtet über das Plugin habe ich weiter gemacht.
Ich habe mich heute mehrere Stunden mit nginx beschäftigt.
Jetzt habe ich in /etc/nginx/conf.d/nextcloud.conf ähnlich wie oben schon beschrieben nur folgendes eingetragen:
Die Originalzeilen in der conf "
"server {
listen 80;
server_name _;
}" habe ich unverändert gelassen.
Und:
"server {
listen 443 ssl http2;
server_name _;
ssl_certificate /usr/local/etc/ssl/nginx/mei.crt;
ssl_certificate_key /usr/local/etc/ssl/nginx/mei.key;
add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
"
habe ich eingefügt.
Sofort konnte ich die nextcloud über https erreichen. Natürlich kam die Abfrage wegen dem selbstsignierten Certifikat.
Zu meiner Verwunderung geht das jetz nicht mehr mit http da ich die Weiterleitung auf https noch gar nicht eingetragen hatte.
Wenn ich dann noch "return 301 https://$server_name$request_uri;" eintrage ruft er nicht die Adresse unter https auf sondern es erscheint nur der Hinweis, dass er unter https://_ nichts erreichen kann.

Wenn ich mir übrlege das sich das Leute ausgedacht und entwickelt haben, stehen mir immer die Schweißperlen auf der Stirn.
danke und
Gruß

Hallo fanifeey,
schön das du an den Punkt gekommen bist wo nextcloud über https erreichbar ist. Ich habe glaube ich genau das gleiche Problem wie du, Allerdings habe ich jetzt schon einige Versionen durchprobiert wie ich die conf schreiben könnte und es funktioniert nicht.
Könntest du deine beiden conf Dateien /etc/nginx/conf.d/nextcloud.conf und /usr/local/etc/nginx/nginx.conf bitte beide mal komplett hier hochladen, damit ich schauen kann was konkret der Unterschied ist?
Mir ist vor allem nicht klar wie die Hierarchie der Server{} Objekte sein muss.

Viele Dank!
 
Top