Ngxin Proxy Manager / Strato Domain / Ugos zeigt nur Docker IP

    Moin zusammen, ich habe aktuell folgendes Setup mir aufgebaut.

    Eine DXP8800 welche über eine Strato Domain ansprechbar ist. Mein Problem ist jedoch, das ich über den Weg des NGINX Proxy Manager nur die Docker IP sehe wenn clients sich verbinden.

    Wireguard etc ist keine Option. Brauche das ding öffentlich erreichbar.

    Domain Port 443 -> Fritzbox / Freigabe 443 und 80 für extern an nginx proxy manager -> ugreen nas


    Kann mir hier jemand helfen wie ich die echte IP im ugos angezeigt bekomme zwecks Bann Möglichkeit? Sonst würde aktuell wenn ein Client 5x das Passwort falsch eingibt der externe Zugriff gesperrt werden. Da die Nas nur die IP vom virtuellen Docker Netz sieht.

    Wäre cool wenn mir hier jemand helfen kann.

    LG Simon:)

    Thread

    [TUT] Portainer - Installationsanleitung

    Liebe Forengemeinde,
    da diese Frage oftmals auftritt, wie man denn nun Portainer auf dem NAS installieren kann, stelle ich Euch hier eine Schritt-für-Schritt-Anleitung zur Verfügung, mit welcher Ihr das Setup in wenigen Minuten durchführen könnt.

    The content cannot be displayed because you do not have authorisation to view this content.

    Was ist Portainer?
    Portainer ist eine Container Management Software, mit der Container ausgerollt, geändert und überwacht werden können.

    Vorbereitung:
    Portainer
    Willi
    December 14, 2024 at 6:06 PM
    Thread

    [TUT] MacVlan konfigurieren - Schritt für Schritt Anleitung

    Liebe Forengemeinde,
    in diesem Tutorial stelle ich Euch eine detaillierte Schritt-für-Schritt Anleitung inkl. aller Details und wichtiger Besonderheiten zur Verfügung, mit welcher Ihr ein MacVlan für Eure Docker-Container konfigurieren könnt. Voraussetzung für dieses Tutorial ist eine installierte Instanz von Portainer.

    Empfehlung:
    Überlegt Euch im ersten Schritt, wie viele IP-Adressen Ihr benötigt. Erfahrungsgemäß ist es besser, lieber mehr als zu wenig Adressen zu haben, da ein MacVlan im…
    Portainer
    Willi
    January 19, 2025 at 8:46 PM

    Gerne mal meinen Beitrag zu macvlan lesen.

    An der Fritte brauchst du nix ändern, außer du hast AdguardHome laufen. Dann die IP von AH in Netzwerk, erweitert, IPv4, IP von AH.

    Das macvlan+bridge zu verstehen ist essentiell!

    Könnte AH deine Probleme lösen? Fungiert als lokaler DNS-Server und kann IP's filtern...?

    verstehe nicht wie mir das Helfen soll. AH habe ich nicht im Einsatz. Habe es mittlerweile auch mal mit Caddy in einer VM probiert. hier sehe ich jedoch dann immer nur die vm IP

    und falls man uglink nutzt in Ugos steht immer 127.0.0.1. Das kann doch nicht so schwierig sein die echte ip an die NAS übermittelt zu bekommen :O wenn man von Extern drauf zugreifen will.

    Würde auch wenn mir jemand das einrichtet dafür bezahlen. habe schon 8 Tage rumprobiert... Vaultwarden etc sehen alle die echten IP´s nur das Sch*** Ugos bekommt es nicht hin :/

    erledigt zurückgezogen

    UGREEN DXP2800 | UGOS 1.13.1.0105 - 16GB RAM - 2x Lexar NM790 1TB Btrfs RAID1 - 2x Seagate IronWolf 4TB Btrfs RAID1
    Raspberry Pi 4B/4 | DietPi 10.0.2 (Trixie) - AGH - NPM - Unbound
     MacBook Air M4 | macOS 26.3.1 |  mobile devices only | FRITZ!Box 7690 (OS 8.20) | Eaton Ellipse ECO 650 DIN USB USV

    Mit so vielen Infos wird dir wahrscheinlich niemand helfen können. Geb dir doch bisschen Mühe beim beschreiben des Problems, wie du es testest und was wo wann kommt...

    Habe das gleich Problem wie geddow7 . Wenn man von extern mit einer dyndns Adresse über den nginx PM auf das UgreenNAS zugreift, wird nur die interne IP Adresse mit z.B. 172.x.x.x und nicht die externe IP Adresse im ugos angezeigt. Somit ist z.B. auch ein Geoblocking in der Firewall unmöglich, da die Firewall nur die interne IP Adresse sieht. Ich weiß nicht ob das ein ugos oder ein nginx Problem ist.

    • DXP 4800 Plus | | 1 x Crucial RAM 32GB DDR5 5600MHz CT32G56C46S5 + 1 x Original Samsung 8GB DDR5 4800MHz | | 3 x WD Red Pro WD4005FFBX 4 TB RAID5 | | 2 x Lexar SSD MN790 1 TB RAID1 | | Diskstation 218+ mit 8GB + 2 x 4 WD Red plus | | EATON S3 700 USV

    Quote from schlung65

    wird nur die interne IP Adresse mit z.B. 172.x.x.x und nicht die externe IP Adresse im ugos angezeigt.

    Wie kommst Du zur Erkenntnis, daß dies die interne IP ist?

    Meine Hardware

    DXP4800+ 2x8TB WDRedPl Btrfs Raid1 2x 2TB NVME Lexar NM790 Raid1, 64GB RAM Kingst. KVR48S40BD8-32 DDR5/4800MH

    DXP2800 1x 12TB Seag. 1x 12TB WDRedPl, Raid1 Btrfs 16GB RAM Crucial CT16G56C46S5.C8B2, 2x NVME Samsg,

    DS1525+ 2x8TB WD, Btrfs SHR, 2x 2TB NVME Lexar NM790 Raid1. 40GB ECC RAM_Speicher.de

    DS920+ DSM 7.3.2 Btrfs Raid1 2x8TB WD, 2x2TB NVME Samsg. 970 EVOPlus, RAM 20GB DDR4-2666MHZ Speicher.de

    USV UGREEN US3000, EatonEllip.PRO 850DIN, Switch Zyxel GS1200-8 1GB, Zyxel XMG-108 8 x 2,5GB

    eineb überraschende Frage.

    Weil:

    1. der IP-Breich 172.x.x.x ein interner Adressbereich ist, der nur im LAN und nicht im WAN benutzt wird.

    2. Docker genau diesen IP Bereich in der Regel benutzt

    3. ich die IP Adresse kenne, mit der ich mich von extern einlogge, die beginnt nie mit 172.x.x.x

    4. Ngnix bei mir von Docker die IP-Adressebereich 172.18.0.0/16 bekommen hat und ich bei Anmeldung von extern sehe, dass der User XY z.B: unter der IP 172.18.0.2 angemeldet ist

    • DXP 4800 Plus | | 1 x Crucial RAM 32GB DDR5 5600MHz CT32G56C46S5 + 1 x Original Samsung 8GB DDR5 4800MHz | | 3 x WD Red Pro WD4005FFBX 4 TB RAID5 | | 2 x Lexar SSD MN790 1 TB RAID1 | | Diskstation 218+ mit 8GB + 2 x 4 WD Red plus | | EATON S3 700 USV

    Quote from schlung65

    1. der IP-Breich 172.x.x.x ein interner Adressbereich ist, der nur im LAN und nicht im WAN benutzt wird.

    Falsch. Nur 172.16.0.0/12 ist privat. Das heißt 172.16.0.0 bis 172.31.255.255. Alle anderen Bereiche sind öffentliche IP Adressen.

    Quote from schlung65

    2. Docker genau diesen IP Bereich in der Regel benutzt

    Nicht immer.


    Hast du die richtigen Header gesetzt? Hast du es auch mal von extern probiert und da kommt auch die IP? Da ich kein UGreen Gerät habe, weiß ich nicht, ob Ugreen das auswertet oder nicht.

    Moin zusammen, jetzt noch einmal Gründlich :)

    Ziel: Ugreen Nas Hinter einem reverse Proxy betreiben zwecks SSL Zertifikat und mehreren Hosts. Die Ugreen Nas soll hierbei die reale Client IP der Besucher sehen. Dies klappt bei mir aktuell nicht.

    Folgender Aufbau

    Strato Subdomain -> Fritzbox Port 80 und 443 -> NGINX -> DXP8800 / Vaultwarden etc.

    1. Strato Config der Sub Domains welche per DYNDNS auf meine Fritzbox zeigen zwecks erreichbarkeit von außen

    The content cannot be displayed because you do not have authorisation to view this content.

    2. Cname für die Subdomains, damit diese auch auf die Fritzbox zeigen und sich mit aktualisieren

    The content cannot be displayed because you do not have authorisation to view this content.

    3. Config der Fritzbox zur Ugreen Nas wodrauf Docker läuft mit NGINX. (Test Eintrag - ist ein Linux Server auf dem ich das gleiche mit Caddy probiert habe. Später wurde mir dann nicht die Docker ip in Ugreen angezeigt sondern die Caddy IP. Half mir also auch nicht weiter)

    The content cannot be displayed because you do not have authorisation to view this content.

    4. Ugreen Nas Verbindungsanzeige. 1. Eintrag ist der Zugriff über die Subdomain erfolgt. Angezeigt wird mir nur die IP vom Docker Container. Heist wenn ein User 5x das Passwort falsch eingiebt, kommt keiner mehr von ausen drauf, da der Docker Container quasi gebannt wird. 2. UGLINK Zugriff über den Integrierten Dienst der Nas. Hier wird bei jedem User immer die IP 127.0.0.1 angezeigt. Also quasi Local Host... Kann man wieder nicht selektieren und bannen. 3. Genau das selbe mit einem anderen User über UGLINK

    The content cannot be displayed because you do not have authorisation to view this content.

    5. Config Seite NGINX. Meine UGREEN habe ich auf Port 5001 gelegt

    The content cannot be displayed because you do not have authorisation to view this content.

    6. Advanced Config der Subdomain. Die ersten beiden Einträge erlauben über NGINX auf Fiels größer als 1gb. Sonst stürzt es beim Upload ohne Fehlermeldung immer ab. (Hat auch einiges gedauert das herauszufinden)

    Einträge proxy_ habe ich aus einer Vaultwarden Anleitung. Bei meiner Vaultwarden Subdomain hatte ich zuerst das gleiche Problem, das der Vaultwarden Container immer nur die Dockerip angezeigt hat. Als ich jedoch bei Advanced die Einträge hinzugefüht habe, hatte ich auf einmal die reale Client IP in den Vaultwarden Logs. Demzufolge hatte ich gehofft, das dies auch mit der Ugreen klappt. Leider jedoch nicht.

    The content cannot be displayed because you do not have authorisation to view this content.

    proxy_request_buffering off;
    client_max_body_size 0;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Forwarded $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;

    7. Log Auszug NGINX - Also NGINX sieht die Real IP der Clients

    The content cannot be displayed because you do not have authorisation to view this content.

    Hoffe das ich diesmal alles genau beschrieben habe und mir hier einer helfen kann.


    MFG Simon

    Ich kann es leider nicht testen, weil ich kein UGreen Gerät habe. Deine Einstellungen sind soweit auf den schnellen Blick auch alle richtig. Was sein kann, und das ist das was ich nicht testen kann, dass UGOS diese Parameter gar nicht auswertet. Es passiert nicht automatisch. Man müsste im Nginx von UGOS gucken, ob sie das real_ip_module auch aktiviert haben. Wenn nicht, dann hast du deinen Grund.....

    Im Nginx passt ja alles. Da Vaultwarden und Nextcloud ohne extra Anpassung der Dienste, welche auch als Service laufen, die real IPs in den Logs sehen. Nur Ugos schafft es nicht. Kann man die Nginx Ausgabe nicht irgendwie manipulieren, sodass in beiden Feldern die real client IP steht und ugos somit keine Chance hat, die falsche IP zu nehmen?

    Nein das kannst du nicht wissen. Vaultwarden und Nextcloud laufen nicht über den Nginx der in UGOS verwendet wird. Ich rede nicht von deinem Nginx Proxy Manager, sondern von dem Nginx der bei UGOS verwendet wird. Dein NPM verweist ja auch auch Nextcloud und Vaultwarden und das läuft direkt im Container und da hat dann UGOS nichts mit zu tun.

    Haben denn auch andere das Problem? Oder läuft das bei euch mit den externen ips und das diese angezeigt werden

    @GreenHorn86 oder hast du einen Ansatz wie ich im ugos schauen kann ob das Modul aktiv ist. Ggf. Per ssh einen Weg?

    Edited once, last by geddow7: Ein Beitrag von geddow7 mit diesem Beitrag zusammengefügt. (September 5, 2025 at 2:58 AM).

    Moin,


    weiß nicht ob ich das ganz verstehe, aber eigentlich sollte der Proxy auf Basis der im HTTP Request aufgerufen Domain weiterrouten….

    Würde dir aber generell eine andere Lösung empfehlen. Ich benutze einen Cloudflare Tunnel. Dann musst du auch keine Ports aufmachen.


    Liebe Grüße Marco

    Es geht nicht ums Routing. Das funktioniert. Es geht darum, dass die falsche IP angezeigt wird. Und Cloudflare Tunnel oder Ports offen ist von der Sicherheit kein großer Unterschied, wenn man es sichert.

    Ansonsten würde ich sagen, dass das Problem auch mit einem Tunnel bestehen bleibt, wenn UGOS die Header nicht auswertet

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login