5. Überblick über die Systeme
Bevor wir in die Konfigurationen eintauchen, ist es wichtig zu verstehen, welche Rolle jedes der eingesetzten Systeme in unserem Stack übernimmt:
5.1. Traefik
Traefik ist ein moderner Reverse-Proxy und Load Balancer, der speziell für dynamische und containerisierte Umgebungen wie Docker entwickelt wurde. In dieser Anleitung setzen wir Traefik als Reverse-Proxy ein, um den HTTP-Traffic zwischen Clients und Anwendungen zu steuern und Anfragen basierend auf Domains weiterzuleiten.
Zusätzlich zu seiner Rolle als Reverse-Proxy bietet Traefik jedoch noch weitere leistungsstarke Funktionen:
- Netzwerk-Routing: Traefik kann auf Basis von Regeln (wie z.B. Headern oder Pfaden) Netzwerk-Routen zu den entsprechenden Diensten dynamisch konfigurieren.
- Automatische SSL-Zertifikate: Durch die Integration von Let’s Encrypt können SSL-Zertifikate automatisch verwaltet und erneuert werden.
- Lastverteilung: Traefik bietet Load Balancing zwischen mehreren Instanzen eines Services und sorgt so für eine optimierte Verteilung der Anfragen.
- Monitoring und Metriken: Traefik lässt sich leicht in Monitoring-Systeme wie Prometheus integrieren, um die Performance der Services zu überwachen.
Durch diese Funktionen ermöglicht Traefik die einfache Verwaltung von Netzwerk-Traffic in verteilten Anwendungen und erhöht gleichzeitig die Sicherheit und Verfügbarkeit der bereitgestellten Services.
5.2. Docker-Socket-Proxy
Der Docker-Socket-Proxy agiert als Schutz für den Docker-Socket. Ohne diesen Schutz könnte der Docker-Socket direkt von anderen Anwendungen genutzt werden, was ein Sicherheitsrisiko darstellt (siehe Docker-Dokumentation). Der Proxy sorgt dafür, dass nur ausgewählter und kontrollierter Zugriff auf Docker-APIs möglich ist, um die Angriffsfläche zu minimieren.
5.3. CrowdSec
CrowdSec ist ein Tool zur Erkennung und Reaktion auf Bedrohungen. Es analysiert das Verhalten von Besuchern und erkennt verdächtige Aktivitäten wie Brute-Force-Angriffe oder Port-Scans. CrowdSec überwacht IP-Adressen und entscheidet darüber, welche als bösartig gelten und blockiert werden sollten – ähnlich einer judikativen Instanz, die über Schuld oder Unschuld entscheidet.
5.4. CrowdSec Bouncer
CrowdSec Bouncer sind Module, die auf erkannte Bedrohungen reagieren, indem sie potenziell gefährliche IP-Adressen blockieren. Sie fungieren wie eine exekutive Instanz, die Maßnahmen ergreift, um den Zugriff auf Dienste zu verhindern. Es gibt verschiedene Bouncer, die für unterschiedliche Umgebungen entwickelt wurden, wie z.B.:
- crowdsec-firewall-bouncer: Für die Blockierung auf der Firewall-Ebene.
- traefik-crowdsec-bouncer: Für die direkte Integration mit Traefik.
Hallo,
irgendwie ist bei mir der Wurm drin. Es hat alles soweit gut funktioniert. Nach einem Server Neustart komme ich allerdings nicht mehr auf meine Website. Es kommt immer der Fehler “404 page not found”
Mein Dyndns Account ipv4 zeigt auf die Fritzbox, danach wird an den Server weitergeleitet.
Ipv6 lasse ich nur den Präfix an den Dyndns-Account routen und der Suffix bleibt fest. Den Suffix habe ich vom Server genommen. ALso Dyndns-ipv6 zeigt direkt auf den Server.
Ich hoffe, das passt so. Falls nicht, lasst es mich bitte wissen.
Ich hab im Moment keinen Plan mehr, wo ich noch schauen soll.
Danke schon mal und mit freundlichen Grüßen,
Stefan
Hallo,
ich habe die anleitung umgesetzt,muß aber leider irgendwo noch einen fehler gemacht haben. Der aufruf des websites führt zu folgender fehlermeldung:
Es scheint, als ob kein certifikat vorhanden ist. Kann jemand helfen?
Danke!
Hallo,
ich habe das Problem, dass alle internen Anfragen an die Fritzbox-Website gehen.
Ich möchte natürlich auch von intern z.B. nextcloud.xxx.de erreichen.
Geht das üerhaupt?
Vielen Dank schon mal,
Stefan
Hallo Zusammen,
der Traefik Stack läuft und stellt dienste aus anderen Docker-Containern bereit.
Ich benötige nun eine Weiterleitung auf einen anderen Server außerhalb vom Dockercontainer.
Könnt Ihr mir mitteilen welche Konfigurationen ich anpassen muss, habt ihr ein Beispiel in euerer Umgebung die mit der Anleitung hier zusammenpassen.
Herzlichen Dank, Heiko
Hat schon jemand versucht diese Anleitung auf Docker Swarm um zubauen ?
klappt diese Anleitung auch noch auf Debian13?
Ich führe alles nach Anleitung durch, jedoch kann ich nicht auf Traefik zugreifen.
Die von mir gewählte Domain in der .env – traefik.domain.de ist nicht erreichbar
Großartige Anleitung, danke dir vielmals!
Docker 29 habe ich als Anlass genommen, endlich von v2 auf v3 zu wechseln. Mit Traefik v3.6.1 ging dann auch alles wieder.
Dank der übersichtlichen, gut geschriebenen Anleitung, konnte ganz entspannt umziehen.
Ein einziger, klitzekleiner Verbesserungsvorschlag: In Abschnitt 7.3.4 wird
angegeben. Gerne im Kapitel 9 oder 10 noch unterbringen, dass das angepasst wird, dann vergisst das auch niemand. 🙂
Ich habe die neue Traefik Version 3.6.1 auf allen meinen Servern eingespielt. Bei einem einzigen habe ich das Problem das der Socket Proxy nicht hochfährt. Medlung: “dependency failed to start: container socket-proxy is unhealthy”. Kann mir jemand sagen welche abhängigkeiten beim Socket Proxy bestehen, das dieser Healthy ist?
Hallo,
Falls jemand unter dem selben Problem leidet.
Docker 29 funktioniert mit der aktuellen Traefik Version (in meinem Fall 3.6.) nicht da die Docker API 1.44 nicht unterstützt wird die zwingend von Docker 29 benötigt wird.
Es gibt auch schon ein Issue
Lösung ist hier dafür das man derweil sobald ein Update von Traefik kommt auf der version 28 bleibt per versionlock bei DNF z.b
Hallo in die Runde 🙂
Die Anleitung hat super funktioniert – ich habe traefik mit einer netcup-Domain ans laufen bekommen. Auch das Einbinden von Portainer hat funktioniert.
Traefik läuft bei mir auf einem Proxmox-Server in einem Debin 12 LXC mit Docker-Installation. Auf dem Server läuft noch ein weiterer LXC für meine pihole-Instanz.
Ich würde gerne pihole ebenfalls über traefik erreichbar machen, um die SSL-Fehler im HomeLab loszuwerden. Dazu habe ich in dem Ordner dynamic_conf eine pihole.yml mit folgendem Inhalt angelegt:
http:
routers:
router-pihole:
rule: “Host(
pihole.meinedomain.de)”service: pihole
tls:
certResolver: letsencrypt
services:
pihole:
loadBalancer:
servers:
– url: http://<localIP>:80
MeineDomain und <localIP> entsprechen selbstverständlich meinen Namen/Adressen.
Leider erhalte ich mit der Konfiguration nur den Fehler 404 über das traefik-Dashboard. Könnte es sein, dass die Syntax falsch ist? Falsche Zeichen?
Was habe ich falsch gemacht? Wie verweise ich richtig auf Dienste, die auf einem anderen Host laufen? Ich freue mich sehr, wenn mir einer von euch helfen könnte!
EDIT: Habs selbst hinbekommen – der Entrypoint darf nicht drin stehen und ich hatte einen Syntaxfehler. Ich habe jetzt zwar noch immer den Dienst nicht erreichbar, scheint aber ein SSL-Fehler zu sein
Ich bin das jetzt 3x durchgegangen und habe 3x einen Server installiert aber am Ende ist CrowdSec immer unhealty und startet immer wieder neu.
Zunächst ein großes Dankeschön an Christian für goNeuland.de und an psycho0verload für die großartige und funktionierende Anleitung. Das war lange geplant bei mir und jetzt endlich verstanden und umgesetzt.
Ein Hinweis zu 11.1 TLS anstatt HTTP:
Hätte ich gerne gemacht. Ich verwende aber Buypass statt Let’s Encrypt (#european-alternatives). Diese bieten (zur Zeit) nur httpChallenge über acme.
Das herauszufinden hat mich ein bisschen Zeit gekostet, da es sich mir aus den Fehlermeldungen in der traefik.log nicht direkt erschlossen hat.
Wer ebenfalls Buypass nutzt/nutzen möchte sollte folgende Änderungen in der Konfiguration vornehmen:
Unter /etc/traefik habe ich die beiden Zertifikatsdateien tls_letsencrypt.json und acme_letsencrypt.json gelöscht und durch eine acme_buypass.json ersetzt.
In der data/traefik/traefik.yml ist nur noch ein Resolver nötig. Ich habe ihn schlicht ‘buypass’ genannt:
Wichtig ist hier das geänderte Storage und der eingefügte caServer von Buypass.
In der compose/traefik.yml ist ebenfalls der neue Resolver zu ändern, sowie die Volumes für httpChallenge anzupassen und für tlsChallenge auszukommentieren (oder zu löschen):
... traefik.http.routers.traefik-dashboard.tls.certresolver: buypass ... - ${ABSOLUTE_PATH}/data/traefik/certs/acme_buypass.json:/etc/traefik/acme_buypass.json # - ${ABSOLUTE_PATH}/data/traefik/certs/tls_letsencrypt.json:/etc/traefik/tls_letsencrypt.json ...Damit hat dann bei mir die Zertifizierung über Buypass funktioniert.
Ich lasse, wie oben beschrieben, über
Crowdsec alle 3 Tage neu starten. Im Anschluss erhalte ich folgenden Hinweis:
Was hat das zu bedeuten und korrigiere ich das?
Wäre es möglich mit dieser Anleitung auch Quick/http3 zu unterstützen was muss dafür alles angepasst werden?
Das aktuelle System läuft bei mir gar nicht. Es kommt immer die Meldung :
ERROR: In file ‘./docker-compose.yml’, services ‘include’ must be a mapping not an array.
Hallo,
grundsätzlich läuft das System bei mir auch. Heute musste ich allerdings Traefik intern in einer “.local” Domain aufsetzen. ACME ist natürlich dann ohne Funktion, da es keine valide TLD ist. Gibts da eine Möglichkeit, dass trotzdem gangbar zu bekommen?
Traefik läuft bei mir mit der aktuellsten Version 3.4.1 ohne Probleme bisher. Hat jemand bereits auch aktualisiert von euch?
Ich bekomme seit ein paar Tagen die Meldung, dass Crowdsec nicht aktuell ist: „A new CrowdSec release is available (v1.6.9). Your version is ‘v1.6.8’. Please update it to use new parsers/scenarios/collections.“ Zum updaten sollte doch, wie beschrieben, ein Neustart des Containers ausreichen? Funktioniert hat es bei mir allerdings nicht. Oder sind die Images einfach nur noch nicht auf dem aktuellen Stand?
Falls jemand Probleme nach einem Update hat und z.B. folgende Fehlermeldungen findet:
Ich habe Kapitel 10.3 wiederholt. Danach bekam ich folgende Fehler:
Das konnte ich beheben indem ich den API-Key “FIREWALL” gelöscht habe und den dann manuell eingetragen habe:
Der Key “XXXXXXX” ist der neue Key der im Schritt 10.3.3 erzeugt wurde.
lg,
Max
Ich würde gerne den Zugriff aus bestimmten Ländern blockieren, bzw. nur aus bestimmten Ländern erlauben. Wie mache ich das am geschicktesten? Wäre für einen Tipp sehr dankbar.
Hallo Zusammen.
Auch ich bin begeistert von dieser Anleitung und dem Aufwand, den sich @psycho0verload hier gemacht hat.
Um die Serverprovisionierung zu automatisieren (basierend auf einem “frischen” Debian 11/12 VPS) habe ich ein Ansible-Projekt geschrieben.
Auf eure Resonanz hierzu würde ich mich freuen:
https://github.com/oberator/ansible_goneuland_traefik_v3
Hi zusammen,
ich habe das Problem, dass ich nach dieser Anleitung alles gemacht habe funktioniert soweit auch alles.
Leider habe ich das Problem wenn ich mit meinem Handy mobil unterwegs bin ich mit der Nextcloud App nicht auf die Daten kommen.
Wenn ich aber mit dem selben Handy über den Browser gehe funktioniert es.
Wenn ich mich mit dem Handy in einem Wlan (nicht dagheim) befinde in dem es nur eine IPV4 gibt geht wieder beides.
Irgendwie habe ich die Vermutung, dass es an IPV6 liegt aber warum dann nur die App?
Ich möchte den Zugriff auf bestimmte Container ausschliessich aus dem LAN (192.168.1.0/24) erlauben hierbei jedoch nicht auf die SSL Verschlüsselung verzichten.
So wie ich das verstanden habe muss man hierfür die Regel des Routers bei dem der Host festgelegt wird um ClientIP erweitern.
Der entspr. Bereich in der docker-compose.yaml sieht bei mir dann folgendermassen aus
labels:
– “traefik.enable=true”
– “traefik.http.routers.spoolman.entrypoints=websecure”
– “traefik.http.routers.spoolman.rule=Host(
spoolman.mydomain.de) && ClientIP(192.168.1.0/24)”– “traefik.http.routers.spoolman.middlewares=default@file”
– “traefik.http.routers.spoolman.tls=true”
– “traefik.http.routers.spoolman.service=spoolman”
– “traefik.http.services.spoolman.loadbalancer.server.port=8000”
– “traefik.docker.network=proxy”
Leider bekomme ich aber egal, ob aus dem LAN oder Internet immer eine 404 Meldung.
Ich habe es jetzt, aus Mangel an Testmöglichkeiten, nicht mit einer reinen Traefik Umgebung getestet. Möglicherweise spielt hier CrowdSec noch mit rein, ich habe es aber nicht geschafft auch noch das 172.0.0.0/8er Netz frei zu geben.
Ohne den ClientIP Block läuft natürlich alles ohne Probleme, aber eben auch mit Zugriff aus dem Internet. BasicAuth ist auch keine Option, da andere Dienste auf die Seite zugreiffen können müssen und die können mit BasicAuth nicht umgehen.
Irgendwelche Ideen?
Hallo,
erstmal vielen Dank für die tolle Anleitung! Funktioniert wirklich hervorragend. 🙂
Einen Hinweis hab ich noch für Nextcloud-Nutzer. Beim Upload von großen Dateien schlägt bei mir nach dem Update auf Traefik3 dieser nach 60s fehl. Das liegt daran dass im Traefik der transport.respondingTimeouts.readTimeout Default-Wert von 0s auf 60s verändert wurde. Siehe https://doc.traefik.io/traefik/v2.0/routing/entrypoints/#respondingtimeouts vs https://doc.traefik.io/traefik/routing/entrypoints/#respondingtimeouts)
Ich hab diesen bei mir erstmal in der data/traefik/traefik.yml unter entryPoints – websecure auf 3601s, also gut ein Stunde angepasst, die eigentlich reichen sollte um den Default 100MB Chunk in die Nextcloud hochzuladen. Habs aber noch nicht endgültig getestet, im Zweifel setzt man den Wert halt wieder auf das alte Default von 0s.
Meine data/traefik/dynamic_conf/nextcloud.yml sieht im Moment wie folgt aus. Eventuell kann man den respondingTimeout auch hier speziell nur für Nextcloud einbauen, hab ich aber bisher nicht weiter geschaut:
Viele Grüße othiman
Kleiner Hinweis zu 7.2 compose-Dateien: Bei der crowdsec.yml soll vermutlich statt SERVICES_TRAEFIK_NETWORKS_SOCKET_PROXY_IPV4 => SERVICES_CROWDSEC_NETWORKS_SOCKET_PROXY_IPV4 stehen. Kann zu einem Fehler führen, wenn man nicht mit mehreren .env Dateien arbeitet, da die gleiche Variable derzeit bei traefik.yml definiert ist und auf eine andere IP zeigen soll.
Bei mir gab es einige Probleme bei ipv6: Der Pi (Debian Bookworm) startete den Docker.Service nicht mehr. Folgende Konfiguration funktioniert bei mir:
{ "default-address-pools": [ { "base": "192.168.12.0/16", "size": 24 } ], "log-driver": "json-file", "log-opts": { "max-size": "29m", "max-file": "10" } }Hat schon jemand versucht unter traefik V3 (installiert gemäß der Anleitung hier) einen onlyoffice/documentserver zu installieren und mit Nextcloud zu verbinden? Bei meinem Versuch läuft der Onlyoffice Server und die Verbindung mit Nextcloud scheint zu klappen, aber bei der Erstellung eines neuen Dokuments oder dem Bearbeiten eines bestehenden Dokuments mit Nextcloud lehnt der Onlyoffice Server die Verbindung ab.
Hat jemand eine Idee?
Moin!
Ich habe gerade gesehen, dass bei meiner Installation das Zertifikat abgelaufen ist – hätte das nicht automatisch erneuert werden sollen?
Hi,
kann ich den ganzen Stack einfach so Updaten, ohne das alles im arsch ist ? 😀
Ich habe die komplette Anleitung gelesen und denke auch, dass ich einiges verstanden habe, aber wenn ich dann bei 8.1.
docker compose up -d mache startet der docker-socket-proxy nicht.
Wo finde ich die logs was da schief läuft? Ich bin nicht der große docker Held 😉
Funktioniert die neue Anleitung auch mit Wildcard-Zertifikaten, wie es bei der alten Anleitung war?
Meine Services sind aktuell alle so aufgebaut und bekommen ein gültiges Zertifikat:
app1.local.meinedomain.com
app2.local.meinedomain.com
etc.
certificatesResolvers:
cloudflare:
acme:
email: “x@y.com”
storage: “acme.json”
dnsChallenge:
provider: cloudflare
resolvers:
– “1.1.1.1:53”
– “1.0.0.1:53”
Rührt der Hinweis zu Debian 12 nicht einfach nur daher, dass es keine Log-Dateien im herkömmlichen Sinne mehr gibt, sondern nur nach Journald-Einträge, die man über journalctl abrufen kann? Wäre es da nicht viel sinnvoller, diese moderneren Varianten zu verwenden anstatt alte Zöpfe nachträglich wieder anzubringen?
Es gibt ja bei CrowdSec auch Möglichkeiten dafür, z. B. hier: https://docs.crowdsec.net/docs/data_sources/journald/
Leider kenne ich mich mit dieser Thematik nicht aus. Das ist mir als erstes in den Sinn gekommen, als ich den Hinweis gelesen habe. Falls ich völlig daneben liegen sollte, bitte ich das zu entschuldigen.
Wenn sich jemand damit auskennen sollte, würde ich mich gerne über Aufklärung freuen 🙂
zur Anleitung auf Seite 8 / Git-Repository
—————————————————–
Nach meinem Verständnis wird in folgender Datei der HOST nicht gesetzt:
/compose/traefik.yml
Ich vermute, dass hier ‘traefik.yourdomain.com’ noch für den eigenen Host umgestellt (d.h. entsprechend ersetzt) werden muss.
Ansonsten funktioniert die Installation damit prima.
Danke dafür!!!
Ich habe Theather mit dem crowdsec container. Ich bin auf meinem Server gebannt und wenn ich mich entbannen möchte, bekomme ich folgende Meldung:
level=error msg=”error while performing request: dial tcp 0.0.0.0:8080: connect: connection refused; 4 retries left”
level=info msg=”retrying in 18 seconds (attempt 2 of 5)”
In den logs finde ich dann folgendes:
Local agent already registered
Check if lapi needs to register an additional agent
/etc/crowdsec was found in a volume
Running hub update
level=warning msg=”Unable to retrieve latest crowdsec version: unable to send request to https://version.crowdsec.net/latest: Get \”https://version.crowdsec.net/latest\”: dial tcp: lookup version.crowdsec.net on 127.0.0.11:53: server misbehaving, using hub branch ‘master'”
level=warning msg=”Failed to check last modified: failed to make HEAD request for https://cdn-hub.crowdsec.net/crowdsecurity/master/.index.json?with_content=true: Head \”https://cdn-hub.crowdsec.net/crowdsecurity/master/.index.json?with_content=true\”: dial tcp: lookup cdn-hub.crowdsec.net on 127.0.0.11:53: server misbehaving” url=”https://cdn-hub.crowdsec.net/crowdsecurity/master/.index.json?with_content=true”
Downloading /etc/crowdsec/hub/.index.json
Error: failed to update hub: failed http request for https://cdn-hub.crowdsec.net/crowdsecurity/master/.index.json?with_content=true: Get “https://cdn-hub.crowdsec.net/crowdsecurity/master/.index.json?with_content=true”: dial tcp: lookup cdn-hub.crowdsec.net on 127.0.0.11:53: server misbehaving
/var/lib/crowdsec/data was found in a volume
Running hub upgrade
level=warning msg=”Unable to retrieve latest crowdsec version: unable to send request to https://version.crowdsec.net/latest: Get \”https://version.crowdsec.net/latest\”: dial tcp: lookup version.crowdsec.net on 127.0.0.11:53: server misbehaving, using hub branch ‘master'”
downloading https://hub-data.crowdsec.net/mmdb_update/GeoLite2-City.mmdb
level=warning msg=”Failed to check last modified: failed to make HEAD request for https://hub-data.crowdsec.net/mmdb_update/GeoLite2-City.mmdb: Head \”https://hub-data.crowdsec.net/mmdb_update/GeoLite2-City.mmdb\”: dial tcp: lookup hub-data.crowdsec.net on 127.0.0.11:53: server misbehaving” url=”https://hub-data.crowdsec.net/mmdb_update/GeoLite2-City.mmdb”
Error: while downloading data for /etc/crowdsec/parsers/s02-enrich/geoip-enrich.yaml: while getting data: failed http request for https://hub-data.crowdsec.net/mmdb_update/GeoLite2-City.mmdb: Get “https://hub-data.crowdsec.net/mmdb_update/GeoLite2-City.mmdb”: dial tcp: lookup hub-data.crowdsec.net on 127.0.0.11:53: server misbehaving
Running: cscli parsers install “crowdsecurity/docker-logs”
Nothing to do.
level=warning msg=”Unable to retrieve latest crowdsec version: unable to send request to https://version.crowdsec.net/latest: Get \”https://version.crowdsec.net/latest\”: dial tcp: lookup version.crowdsec.net on 127.0.0.11:53: server misbehaving, using hub branch ‘master'”
Jemand ein Tipp wie ich das lösen kann?
Vielen Dank für die großartige Anleitung,
psycho0verload! 🙂
Eine kleine Anmerkung: Das obige Setup führt zu folgendem Fehler:
{"level":"error","entryPointName":"websecure","routerName":"traefik-dashboad@docker","error":"middleware \"traefik-bouncer@file\" does not exist","time":"2025-03-21T22:07:51+01:00"}Hintergund ist ein kleiner Tippfehler in der /data/traefik/dynamic_conf/http.middlewares.traefik-bouncer.yml:
Fügt man hier statt forwardauth = forwardAuth ein, funktioniert es. 🙂
Hallo,
ich habe folgende Fehlermeldung nach Aufruf von:
systemctl status crowdsec-firewall-bouncer
Process: 1911999 ExecStartPre=/usr/bin/crowdsec-firewall-bouncer -c /etc/crowdsec/bouncers/crowdsec-firewall-bouncer.yaml -t (code=exited, status=1/FAILURE)
Ein restart wird auch mit einer Fehlermedlung quittiert.
Hat jemand eine Idee. Vielen Dank. Gruß Andreas
Der hier benutzte fbonalair/traefik-crowdsec-bouncer wird seit 3 Jahren nicht mehr geupdated und führt bei mir zu 403 forbidden Problemen in einem Subprojekt.
Eine aktuell gepflegte Alternative wäre maxlerebourg/crowdsec-bouncer-traefik-plugin.
Ein Update wäre cool! 🙂
Hi,
danke für die super Anleitung und das tolle Skipt.
ich habe jetzt nur das Problem, dass ich meinen homeassisten Server über das Handy extern nicht mehr erreiche.
Nextclout welches als Docker läuft aber schon. Daher gehe ich irgendwie davon aus, dass es an der Weiterleitung an eine IP im zusammenhang von IPv4 und IPv6 zu tun haben könnte.
Denn wenn ich wieder außerhalb in einem fremden Wlan mit IPv4 bin komme ich wieder auf den HA Server drauf.
Ich habe in der http.middlewares.default.yml
folgendes eingetragen:
routers:
homeassistent:
entryPoints:
– websecure
rule: “Host(
ha.test.de)”service: “homeassistent”
middlewares:
– default@file
– traefik-bouncer
tls:
certresolver: http_resolver
services:
homeassistent:
loadBalancer:
servers:
– url: “http://192.168.178.79:8123”
passHostHeader: true
damit hatte es unter Traefik 2 super funktioniert und hatte keine Probleme.
Was mache ich flasch?
Gruß
Ich habe festgestellt, dass man bei den Traefik-Labels inzwischen auf fünf Labels reduzieren kann.
traefik.docker.network: proxy: Das Netzwerk wird in der statischen Configproviders.docker.networkschon definiert und ist hier redundant. https://doc.traefik.io/traefik/providers/docker/#networktraefik.http.routers.wordpress.middlewares: default@file: Die Middleware wird auch schon in der statischen Config definiert inentryPoints.websecure.http.middlewares.traefik.http.routers.wordpress.service: wordpress: Ein Service wird automatisch erstellt oder automatisch assigned, wenn die Konfiguration durch Labels geschieht. https://doc.traefik.io/traefik/routing/providers/docker/#service-definitiontraefik.http.routers.wordpress.tls: true: Wenn ein TLS-Konfigurationslabel angegeben ist, also dencertresolver, dann wird TLS implizit auftruegesetzt. https://doc.traefik.io/traefik/routing/routers/#generalDamit bleiben am Ende die Labels fürenable,entrypoint,rule,certresolverundport.Hallo zusammen,
zunächst einmal vielen Dank – dank dieser Anleitung habe ich den Umstieg auf eine selbstgehostete Nextcloud geschafft.
Allerdings habe ich ein Problem – nachdem die Installation fast 3 Wochen lang fehlerfrei lief, konnte ich heute nachmittag nicht mehr zugreifen. Wenn ich traefik aufrufe, kommt “forbidden”. Auch bei der Nextcloud.
Ich habe daraufhin Traefik nach der Anleitung nochmal komplett neu installiert, dann konnte ich wieder mit meiner Nexcloud arbeiten – und nach ca. 5 Minuten flog ich raus und es kam wieder “forbidden”.
Ich habe nach dem unten aufgeführten Post das data/crowdsec/data Verzeichnis gelöscht, danach läuft es auch wieder – für 10 Minuten. Dann tritt das Problem wieder auf.
Bin für jede Hilfe dankbar.
Dietmar
Hallo Zusammen
Ich habe ein Problem mit der Acquisition Metrics. Ich habe Traefik einmal Punkt für Punkt nach der Anleitung Installiert und einmal mit dem Shell Scripte auf einem Debian 12 gehostet von Netcup.
Beides Mal steht nach dem Befehl
docker exec crowdsec cscli metrics
nichts von Traefik.log oder access.log unter Acquisition Metrics.
Das komische ist, ich habe das ganze nur ein paar Stunden vorher auf einem Debian 12 Server eines anderen Hoster installiert und dort wurden mehr Menü Punkte angezeigt.
Folgendes fehlt bei Netcup
—————————————————————————————————————————-+
| Acquisition Metrics |
+———————————-+————+————–+—————-+————————+——————-+
| Source | Lines read | Lines parsed | Lines unparsed | Lines poured to bucket | Lines whitelisted |
+———————————-+————+————–+—————-+————————+——————-+
| file:/var/log/traefik/access.log | 714 | 714 | – | 1.09k | – |
+———————————-+————+————–+—————-+————————+——————-+
+—————————————————-+
| Local API Alerts |
+——————————————–+——-+
| Reason | Count |
+——————————————–+——-+
| crowdsecurity/http-admin-interface-probing | 2 |
| crowdsecurity/http-probing | 9 |
| crowdsecurity/http-sensitive-files | 13 |
| crowdsecurity/http-wordpress-scan | 1 |
| crowdsecurity/netgear_rce | 1 |
+——————————————–+——-+
+——————————————————————————————-+
| Bouncer Metrics (FIREWALL) since 2025-02-22 20:48:06 +0000 UTC |
+—————————-+——————+——————-+———————–+
| Origin | active_decisions | dropped | processed |
| | IPs | bytes | packets | bytes | packets |
+—————————-+——————+———+———+———–+———–+
| CAPI (community blocklist) | 46.98k | 810.46k | 17.35k | – | – |
| crowdsec (security engine) | 0 | 0 | 0 | – | – |
+—————————-+——————+———+———+———–+———–+
| Total | 46.98k | 810.46k | 17.35k | 1.32G | 442.26k |
Kann mir jemand da einen Tipp geben?
Hallo zusammen,
tja, das war wohl etwas voreilig (siehe hier drunter).
Die Container starten und laufen nun alle, doch mehrere Dinge liegen im Argen, weshalb ich sowohl beim Zugriff auf die Traefik-Management-Seite, als auch beim Zugriff auf meinen Immich-Dienst ausschließlich ein ‘Forbidden’ bekommen.
Identifizierte Problemstellen:
Das Zertifikat für meinen Dienst hat Traefik gezogen, doch – wie beschrieben: Ich bekomme ausschließlich ein ‘Forbidden’ in der linken, oberen Ecke, und dasselbe bekomme ich auch schon ohne den Dienst für die Traefik-Management-Seite (also keine HTTP-Authentifizierung).
Kann mir jemand weiterhelfen?
Viele Grüße
Matthias
ps Ach ja: In der docker-compose von Traefik habe ich “3.1” durch “3.3” ersetzt.
Hallo zusammen,
zunächst vielen Dank an psycho0verload für die fantastische Anleitung!👌
Nach bestem Wissen und Gewissen bin ich sie durch und habe auch ein paar Kleinigkeiten aus den Kommentaren ergänzt bzw. korrigiert.
Doch bei mir will der Traefik-Container nicht starten bzw. bleibt im ‘restarting’.
Meine Frage: Wie kann ich herausfinden, woran das liegt? /var/log/traefik bleibt leer.🙄
Wer hat mir einen Tipp? Wo und wie kann ich schauen, was da los ist?
Viele Grüße aus Stuttgart
Matthias
Hallo
psycho0verload in der Versionierung 02.02.2025 schreibst du u.a. “Traefik-Version auf 3.3 angepasst” Ich sehe allerdings noch 3.1 im compose file, hast du dich da vertippt? Hast du die 3.3 getestet? Danke Gruss Marco
In meinem Setup habe ich einige Änderungen vorgenommen, die es einerseits für mich noch weiter vereinfachen und andererseits meinen persönlichen Vorstellungen und meinen anderen Projekten besser passen, was rein Geschmacksache ist.
Die Zeitzone mit der Variable
TZmuss nicht in jeder.env-Subdatei neu definiert werden. Wie man bei derABSOLUTE_PATH-Variable sieht, ist dies nicht notwendig, sondern reicht einmal zentral. Das Gleiche gilt fürBOUNCER_KEY_TRAEFIK. Die muss in der.env-Datei für CrowdSec nicht neudefiniert werden.Beim Einfügen von Werten in Dateien wie bei
BOUNCER_KEY_TRAEFIKin „7.3.6. API Key für den CrowdSec Bouncer für Traefik generieren“ bevorzuge ichsed-Editor stattechomit Umleitung. Es vermeidet Duplikate in der Datei und vermeidet, wenn man dochsudoverwendet, ein “Permission denied”.sed -i -e "/^BOUNCER_KEY_TRAEFIK=/c\BOUNCER_KEY_TRAEFIK=\"$BOUNCER_PASSWORD\"" \
-e "\$aBOUNCER_KEY_TRAEFIK=\"$BOUNCER_PASSWORD\"" \
/opt/containers/traefik-crowdsec-stack/.env
Ich habe auf Debian 12 Probleme mit
PWD-Variable. PWD ist auf dem Host-System vorhanden und in der Bash nutzbar. Jedoch übergibt Docker die Variable nicht an den Container weiter und ist damit dort nicht anwendbar. Eine mögliche Lösung ist, den Pfad fest zu codieren. Eine andere Lösung besteht darin, wieder zu relativen Pfaden zurückzukehren, wie es bei älteren Anleitungen üblich war. Beispielhaft antraefik.yml-Compose-Datei:volumes:
- /etc/localtime:/etc/localtime:ro
- ../data/traefik/traefik.yml:/etc/traefik/traefik.yml
- ../data/traefik/.htpasswd:/etc/traefik/.htpasswd
- ../data/traefik/certs/acme_letsencrypt.json:/etc/traefik/acme_letsencrypt.json
- ../data/traefik/certs/tls_letsencrypt.json:/etc/traefik/tls_letsencrypt.json
- ../data/traefik/dynamic_conf:/etc/traefik/dynamic_conf:ro
- /var/log/traefik/:/var/log/traefik/
Bei der oben genannten Variable
BOUNCER_KEY_TRAEFIKund ggf. unten angegebeneSERVICES_TRAEFIK_CERTIFICATESRESOLVERS_EMAILbevorzuge ich diese in der zentralen.env-Datei zu speichern. Da sie neben den anderen Variablen in dieser Datei in den meisten Fällen die einzigen Variablen sind, die für jeden Host spezifiziert werden müssen. Bei derGIN_MODE-Variable kommt es darauf an, ob man beim allerersten Mal diesen Wert aufdebugsetzen will, oder dass man jedes Mal mit diesem Wert starten möchte. Auch bevorzuge ich, persönlich die.envDateien neben den Compose-Dateien zu legen und sie entsprechend zu benennen, z. B.traefik.env. Natürlich müssen dieenv_file-Pfade infolge angepasst werden.Was ich gerne noch anpassen würde, aber bisher nicht hinbekommen habe, ist die E-Mail-Adresse über die Compose-Datei bereitzustellen. Weder mit Label noch mit Command hat es bisher funktioniert.
services:
traefik:
labels:
traefik.certificatesResolvers.http_resolver.acme.email: ${SERVICES_TRAEFIK_CERTIFICATESRESOLVERS_EMAIL:-user@example.com}
traefik.certificatesResolvers.tls_resolver.acme.email: ${SERVICES_TRAEFIK_CERTIFICATESRESOLVERS_EMAIL:-user@example.com}
# Alternatsyntax
- "traefik.certificatesResolvers.http_resolver.acme.email=${SERVICES_TRAEFIK_CERTIFICATESRESOLVERS_EMAIL:-user@example.com}"
- "traefik.certificatesResolvers.tls_resolver.acme.email=${SERVICES_TRAEFIK_CERTIFICATESRESOLVERS_EMAIL:-user@example.com}"
# oder mit command
command:
- "--certificatesresolvers.http_resolver.acme.email=${SERVICES_TRAEFIK_CERTIFICATESRESOLVERS_EMAIL}"
- "--certificatesresolvers.tls_resolver.acme.email=${SERVICES_TRAEFIK_CERTIFICATESRESOLVERS_EMAIL}"
Danke erstmal für die detaillierte Anleitung, alles läuft super bis auf die Erreichbarkeit von home assistant über das web.
In der Vergangenheit musste man in HA einen trusted_proxy eintragen und Traefik einen extra Host geben
extra_hosts:
– host.docker.internal:172.17.0.1
oder ähnlich, danmit der Zugriff funktioniert hat, da HA im Host-Modus läuft. Allerdings funktioniert das bei mir nicht mehr. Weder meldet HA einen unbefugten Zugriff, wodurch ich dann die IP wüsste, noch klappen andere Ansätze, wie im Standard Network die Traefik domain raus suchen, da Traefik nur in seinen drei Netzwerken (crowdsec, proxy, socket_proxy) vertreten ist.
Eventuell weiß jemand nen guten Ansatz? Danke!
Hey mir ist bei einem Security Test aufgefallen das wir hier noch etwas verbessern sollten um das Sicherheitslevel hoch zu setzten, bei den Headern ist noch einiges zu tun :
Damit gibts ein A+ Rating bei https://securityheaders.com/
/opt/containers/traefik-crowdsec-stack/data/traefik/dynamic_conf/http.middlewares.default.yml
Bei den permissions könnt ihr anpassen wie ihr es braucht (Je nach App)
Blockiert wird mit =() , zugelassen wird es durch bsp.: permissionsPolicy: “camera=*, microphone=*”
Edit: für die meisten Anwendungen reicht auch als Standard:
contentSecurityPolicy: “default-src ‘self’; script-src ‘self’ ‘unsafe-inline’ ‘unsafe-eval’; style-src ‘self’ ‘unsafe-inline’; img-src ‘self’ data: blob: https:; font-src ‘self’ data:; connect-src ‘self’ wss: https:; frame-ancestors ‘self’; base-uri ‘self’; form-action ‘self'”
referrerPolicy: “strict-origin-when-cross-origin”
http:
middlewares:
default:
chain:
middlewares:
– default-security-headers
– gzip
default-security-headers:
headers:
browserXssFilter: true
contentTypeNosniff: true
forceSTSHeader: true
frameDeny: true
stsIncludeSubdomains: true
stsPreload: true
stsSeconds: 31536000
customFrameOptionsValue: “SAMEORIGIN”
# Sichere Content Security Policy ohne unsafe-inline/eval
contentSecurityPolicy: “default-src ‘self’; script-src ‘self’ ‘nonce-{RANDOM}’; style-src ‘self’; img-src ‘self’ data: https:; font-src ‘self’; frame-ancestors ‘self’; base-uri ‘self’; form-action ‘self'”
# Referrer Policy
referrerPolicy: “strict-origin-when-cross-origin”
# Permissions Policy
permissionsPolicy: “accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), payment=(), usb=(), interest-cohort=()”
gzip:
compress: {}
Läuft bei euch eigentlich der Socket Proxy? Bei mir hat er noch nie funktioniert. Ich habe gestern Abend nochmal rum probiert, aber kam nicht weiter. Im Log vom Socket Proxy kommt aktuell alle 10 Sekunden:
Ich werde nicht schlau draus. Habt ihr ne Idee?
Außerdem passt die Zeitzone nicht, aber dafür hätte ich ne Lösungsidee. Für das andere nicht.
Hat jemand bereits raus gefunden wie man es bewerkstelligen kann das wenn crowdsec eine IP Bannen tut das dort eine Custom Error pages angezeigt wird.
der Bouncer gibt normalerweise ein 403 zurück
Bin bis Schritt 8.1 ohne Fehler gekommen. Wenn ich jedoch auf das Dashboard zugreifen möchte, ist die Seite komplett leer bis auf “Account : w011d26a” das in der mitte steht. Hat Jemand eine Idee dazu? Danke