Dem Pi@Home ein echtes Zertifikat verpassen und mit 2FA auf den Webserver zu Hause zugreifen.
— SSH-Remote-Port-Forwarding, Docker, traefik, authelia
Talk
09:30h – 10:15h, Hörsaal 2 EG (UKW-Tagung)
Den eigenen PI ins Web zu bekommen ist heutzutage nur noch ein Dreizeiler.
Spannend wird es dann, wenn dieser nicht über einen DynDNS-Dienst, sondern über die eigene Domain und einem echten Zertifikat im Internet eingebunden werden soll, -die IP zuhause wechselt ja meistens dann, wenn man es nicht braucht.
Möchte man dann vielleicht noch ein SSO mit 2FA verwenden -mit der man sich an den anderen Webservern (man hat ja nicht nur einen PI) authentifiziert, wird es so richtig interessant.
In meinem Beitrag nutze ich einen Server im Internet. Darauf läuft Docker mit traefik, portainer und authelia. Ein kleines Alpine-Image, auf dem openssh installiert ist, dient als Bridge zum PI.
Der Pi baut mit autossh lediglich dorthin eine SSH-Verbindung auf und stellt einen Remote-Tunnel bereit, der dann am lokal betriebenen (Web-)Server endet.
Das eigentliche Routing, die Zertifikatsbereitstellung, die Zwei-Faktoren-Authentifizierung, usw. geschieht unter Docker.
Und wenn man dann den Pi tauscht, wird aus dem ursprünglichen Dreizeiler nur noch ein autossh -M 9999 -R 80:127.0.0.1:80 <Username>@<Meine-PI-Domain> -p2222
By Rainer Wieland (Karl Kübel Schule Bensheim)