Portainer mit sicherem Zertifikat erreichen

[root23]

Hallo Forum,
ich würde gerne meinen Docker Container in dem Portainer läuft mit einem gültigen Zertifikat erreichen.
Meine Vorgehensweise:
Ich habe bei selfhost eine Subdomain z.B. portainer.domain.de angelegt.
Docker Container mit Port 9443 erstellt (Synology), Port im Router freigegeben.
Nun kann ich mit https://portainer.domain.de:9443 auf Portainer zugreifen, allerdings ohne sicheres Zertifikat.

Ich wollte nun, auf der Synology, einen Reverse Proxy einrichten und ein Zertifikat von Lets Encrypt vergeben.
Leider sagt mir das Programm das der Port 9443 schon für eine andere Applikation vergeben ist.

Habe ich hier einen Denkfehler und mache alles falsch?
Wenn ja, hat jemand von euch eine Lösung für mich.

Vielen Dank im Voraus!

 

[blurrrr]

Habe ich hier einen Denkfehler und mache alles falsch?

Ja und nein und "Hi!"

Wenn Du über den Syno-Reverse-Proxy gehst, brauchst Du den Port 9443 am Router nicht freigeben. Zudem sprichst man den Reverse-Proxy im besten Fall einfach direkt via Port 443 an (ganz normal https). Der Reverse-Proxy entscheidet dann wohin die Reise geht (anhand des angesprochenen FQDN, z.B. "portainer.domain.tld"). Da der Client eh nicht "direkt" mit Portainer spricht, sondern nur mit dem Reverse-Proxy, welcher wiederum mit Portainer spricht, musst Du dich bzgl. "extern" auch nur um den Reverse-Proxy kümmern (sofern nicht sowieso schon geschehen). Das ganze sieht dann wie folgt aus:

Client -> (443/TCP) -> Router -> (443/TCP) -> Reverse-Proxy -> 9443/TCP -> Portainer

Heisst also (von links nach rechts)...:

1) Domain -> CNAME-Record auf DynDNS -> Router
2) Portweiterleitung 80+443/TCP auf Synology (Reverse-Proxy)
3) Reverse-Proxy-Ziel (vHost/FQDN) auf der Syno anlegen ( -> Portainer)
4) Lets-Encrypt-Zertifikate auf der Syno (erstellen und zuweisen)

Falls das dann nicht schon funktioniert, musst Du eventuell nochmal hier nachschauen: Deploying Portainer behind nginx reverse proxy, eventuell braucht es da noch einen kleinen Schubs in Form von...

    environment:
      - VIRTUAL_HOST=portainer.domain.tld

... ich würde es aber erstmal ohne probieren

 

[root23]

Hallo blurrrr,
danke für deine schnelle Rückmeldung. Leider bekomme ich es noch nicht so ganz geregelt.

Was habe ich gemacht:

1. Domain (portainer.doman.de) CNAME-Record auf Dyndns (domain.de) diese liegt aber direkt auf der Synology
2. Portweiterleitung 80/443 im Router auf Synology gestellt.
3. Reverse Proxy in der Synology erstellt: https://portainer.domain.de, Port 443 auf http localhost 9443
4 Lets-Encrypt zugewiesen

Wenn ich im Browser nun https://portainer.domain.de aufrufen, bekomme ich diesen Fehler

 

[blurrrr]

Port 443 auf http localhost 9443

Das sollte wohl eher "https" statt "http" sein?