OR. Tus Aplicaciones en Internet de forma Segura. Capitulo 2. Nginx Proxy y Certificados SSL

Capitulo 1
ruclips.net/video/kfUnTEOx7m8/видео.html
Capitulo 2
ruclips.net/video/OPa9IzT5nnM/видео.html
Capitulo 3
ruclips.net/video/qlKZGYHOFMg/видео.html
Capitulo 4
ruclips.net/video/x7WDSeIBEtc/видео.html

Muy agradecido por éstos videos que me ayudan muchísimo. Excelente como explicas y llegas.

Muchísimas gracias, tu explicación es EXCELENTE y me ha sido MUY útil 👍🏻👍🏻👍🏻👍🏻👍🏻👍🏻👍🏻👍🏻

El segundo vídeo digerido y funcionando. Tal como lo explicas, es difícil perderse. Tus vídeos “enganchan” mas que Neflix!! 😁 A ver si esta tarde, me veo los 2 capítulos siguientes. Gracias!!

La seguridad es muy importante 👏👏. Gracias por el aporte

Muy buen aporte. Lo que mas me gusta de tus videos son las explicaciones de porque se deben realizar ciertas configuraciones. Entender el porque de las cosas que haces es importante para mi, y relamente en eso eres un fenomeno!!

Brutal! Así da gusto gestionar servicios! Gracias por los videos. Me pasaré por tu tienda!

Luis, muchas gracias por compartir con todos este tema tan poco publicado en la red. No servirá a muchos. Más ahora que la energía solar se está imponiendo.

Creo que este es uno de los videos mas importantes que he visto en el ultimo tiempo. Uno no le presta la debida atención al tema de la seguridad porque cree que nada le va a pasar pero ocurre. Muy buen tutorial Luis.
Tengo consultas pero las haré en los videos correspondientes para no desviar la idea de este. Gracias por compartir.

Una pregunta: la casilla DNS Callenge -creo que era ese el nombre-, para qué sirve, cuándo se debe utilizar? Suscrito con el primero de esta serie tan interesante... Otra pregunta: si tienes una IP pública estático, puedes configurarlo igual que si fuera dinámica? Y si te das de baja del servicio de pago de esa IP pública fija, funcionaría igual, verdad? Y al tener un dominio propio, qué deberíamos hacer? Gracias por compartir!

Buenos días Luis!
Excelente la saga de videos de seguridad.
Estoy montando todo nuevo y me gustaría tu opinión.
El router va a ser ubitiqui que soporta ponerle servicios ddns ¿es mejor poner el servicio como explicas con portainer o directamente configurarlo en el router?
Muchas gracias por tu gran trabajo.

¡Excelente video! ¿Podrías hacer uno sobre Proxmox, Nginx y Cloudflare? Creo que sería muy útil dada la escalabilidad y alta disponibilidad de Proxmox. ¡Gracias!

Buenas tardes, ante todo felicitarte por tus videos, son de lo más instructivo que he podido encontrar. El problema que tengo es que, tras seguir al pie de la letra tu tutorial, me aparece un error 502 bad gateway, y no hay manera de solucionarlo. Llevo horas y horas perdidas buscando alguna solución pero no hay manera.
Gracias

Cuanto se aprende.. gracias.

Muchisimas gracias. Ya lo tengo securizado. Si no es por tus vídeos, como un pulpo en un garaje... ;-D

Excelente! Tengo muchas ganas de ver los siguientes vídeos! Sobre qué temas vas a hablar?

Muy interesante, no conocía nginx. Yo utilizo home assistant con los addons de grafana, Node Red, Influxdb.... y lo que tengo es el servicio de nabucasa contratado ¿este servicio es seguro? o a parte tendría que instalar nginx también. Gracias

Excelente trabajo y una explicación fantástica. Interesante poder proteger otras aplicaciones con ngix. Entiendo que para evitar el engorro de los certificados con mqtt. Se podría entonces crear el certificado y administrarlo con ngix para mqtt para no tener que utilizarlo en el bromee porque es mucho más complicado ?

Hola!!
Tengo una duda, a ver si soy capaz de explicarme bien.
Tengo duckdns funcionando y con 5 dominios.... pero necesito más.
Podría asociar otra cuenta de duckdns para poder tener mas direcciones?? Es decir, asociar otro mail para tener otras 5 y agregar otro token en algún sitio.
Un saludo!!

Si señor! Mucho más intuitivo que Traefik!
Lo he probado con mi servidor de Traccar y he tenido que activar la opción de Websockets Support en Ngnix Proxy manager. Pero muy rápido fácil e intuitivo.
Por qué no utilizas docker- compose? creo que crear los contenedores vía docker-compose es más rápido que vía portainer.
Muchas gracias por compartir y con ganas de saber que nos contarás en sucesivos videos.
Sigue así!
P.D.: por qué no editaste la parte del minuto 23 al 26 aprox? En el min 27 también de cuela un ruido de fondo... (Crítica constructiva: No es molesto pero ese par de cortes creo que eran necesarios)

Buenas tardes, recomendarias alguno alternativo? al instalar Nginx en docker, me sale Failure error code 500. Y no soy capaz de instalarlo. gracias un saludo.

Muy buen vídeo como siempre. Ya tenía ganas de probar esto de nginx, en un rato lo pongo en práctica.
Para ciertos servicios supongo que una buena opción es usar VPN para que nadie más tenga acceso a las páginas de login y así no dar la oportunidad de que adivinen nuestras credenciales, no?
Y bueno tenía ganas de hacer esto porque además imaginaba que es la mejor forma de generar certificados y está genial no tener que andar a poner el puerto :))
Mil gracias.

Gracias por tus vídeos. Me son muy útiles. Chrome a veces me da una alerta de PHISHING cuando intento entrar al Grafana a través de la dirección de duckdns. Sabes a que puede ser debido y como solucionarlo? Tengo el nginx funcionando según este tutorial

Hola Luis, Felices fiestas, puedes explicar para los que tenemos los puertos 80 y 443 ocupados, como cambiar el puerto 443 que escucha nginx por otro.
Creo que hay que editar un fichero de configuración.
Gracias

Buenas,
Tengo contratado con mi operadora una IP publica fija. Solo utilizo en mi domótica Home Assistant, ¿No sería seguro reenviar el puerto desde mi router? Debería hacer algo más en este caso (no uso nodered, mi ip no cambia...)

Excelente video te quiero preguntar si existe algun proxy para home asistant que no requiera abrir puertos en nuestro router ya que mi isp no me lo permite y ademas que sea https
Agradeceria tu respuesta

Muy buen video!! Una pregunta, en mi caso el router de vodafone no permite abrir el puerto 443, seria posible utilizar otro puerto para ssl

Buenas noches Luis, una vez configurado Nginx con dominio y certificado y con WebSocket activado al abrir la página del homeassistant me devuelve "400: Bad Request" . En local si me deja entrar. Con grafana, portainer, etc no tengo ningun problema con dominio y certificado. Estoy desespearo...

De nuevo sumarme a los agradecimientos de los demás. Deberías estar en la docencia ;). Mi pregunta es la siguiente, yo accedo a mi red local a través de una vpn. Tengo contratada una ip fija. La pregunta es, existe alguna manera de no utilizar duckdns y a través de mi ip fija redireccionar a mi home assistant de una manera segura para instalar el hacs de alexa?

Hola Luis, ante todo gracias por tu trabajo. Siguiendo tus pasos me ha funcionado todo perfectamente, ahora me pasa que se me ha caducado el certificado, lo he intentado renovar por interfaz gráfica y me da un error "internal error". Ahora no puedo acceder a HA desde afuera. ¿Sabes como podría solucionarlo?

Muchas gracias por tu videos, son super prácticos y nos ayudan muchísimo.
Te querría hacer una consulta a ver si me puedes ayudar,
Tengo una raspberry en una casa de campo en la que tengo un router que va mediante tarjeta sim y el router me genera un wifi, el caso es que llamando a la ip que me da el router (que es una proporcionada por la red movil) no consigo acceder a la raspberry, tan solo ya solo se me ocurre el acceso remoto con Nabucasa y no estoy seguro si funcionaria.
Sabrias de alguna solución para mi problema?
Un saludo y muchas gracias.

Hola Luis, funciona bien para grafana qero no para home assistant. He visto el video unas cuantas veces pero no se que puede fallar me sale esto:
Congratulations!
You've successfully started the Nginx Proxy Manager.
If you're seeing this site then you're trying to access a host that isn't set up yet.
Log in to the Admin panel to get started.
¿Puedes ayudarme?

buenas tardes con el dominio me funciona local y publico .con el proxy host del grafana me funciona local y publico .con el proxy host del homeassistat no funciona ni local ni publico gracias

Luis!!! Tocayo!!! Estaba intentando buscar la forma de escribirte y decirte que me estás ayudando UN MONTÓN con tus vídeos! No he tenido ningún problema hasta ahora, pero ... he tenido que hacer alguna cosilla en configuration.yaml para hacerlo funcionar bien por el puerto 80 (a lo básico lo primero) para tener acceso al forwardeo tipo:
http:
use_x_forwarded_for: true
trusted_proxies:
- 172.18.0.0/24
- 192.168.1.0/24
ip_ban_enabled: true
login_attempts_threshold: 5
Pero ahora, en el momento que le activo justo como tú haces el SSL, creando con Let's Encript el certificado, no me lo abre ni desde dentro ni desde el móvil con datos (por probar fuera de la LAN). La petición se queda tostada hasta que devuelve un timeout (ERR_CONNECTION_TIMED_OUT). He creado incluso otro dominio en duckdns para probar y configurarlo en el NGINX y exactamente el mismo problema... 🤷‍♂️ Y en logs no veo mucho la verdad (/docker/ngnix/logs/*.*).
Fallback_access.log:
[30/Mar/2022:09:44:46 +0000] 200 - GET http www.xxxxxxxxx.duckdns.org "/" [Client XX.28.88.130] [Length 568] [Gzip 1.86] "Mozilla/5.0 (iPhone; CPU iPhone OS 15_3_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.3 Mobile/15E148 Safari/604.1" "-"
Sí puedo decir que cuando en el GUI de NGINX vas a "SSL Certificates" y en cualquiera de los dos que he creado, lo intento probar a través de la opción "Test Reachability", me responde con un error:
XXXXXXXX.duckdns.org: There is no server available at this domain. Please make sure your domain exists and points to the IP where your NPM instance is running and if necessary port 80 is forwarded in your router.
Y puedo asegurar que 80 y 443 están redirigidos correctamente, ya que sin SSL por el puerto 80 funciona correctamente...
Llevo horas echadas a esto y leyendo... y nada!
Si alguien quiere echar una mano será más que bienvenid@!!!!!
Y Luis, de nuevo, millones de gracias por todo esto que estás haciendo!!!

que diferencia hay con jwilder

Hola, ¿alguna idea para que funcione nginx con la nueva versión de HomeAssistant? no consigo hacerlo funcionar desde WAN

Gracias Luis, en mi caso accedo por duckdns tmb, pero tengo hassOs. Todo dentro, accedo por https:8123, sería recomendable poner el ngix también en este caso?
Gracias por el vídeo

Buenas tardes he puesto la IP pública más el puerto y me funciona el Home asisten y he puesto la IP privada más el puerto y me funciona el Homa System

Hola, al publicar un subdominio de duckdns google indexa el contenido de esa url? hay manera de agregarle noindex, nofollow, nosnippet, noarchive desde nginx para que no liste los resultados en la búsqueda?

Buenas tardes grafana perfecto pero en home assistant me da error 400 bad request me podeis tirar una mano gracias

Bbuenisimo

Hola, muchas gracias por los vídeos y enhorabuena son muy claros. Quería consultarte a ver si tienes alguna sugerencia. Consigo conectar sin certificado pero cuando le pongo certificado me de timeout al intentarlo. Puede ser que la máquina donde ejecuto sea lenta, es un Linux cubietruck 5.10.21-sunxi #21.02.3 SMP Mon Mar 8 00:28:04 UTC 2021 armv7l armv7l armv7l GNU/Linux

Con grafana perfecto. Con home assistant imposible. Me sale 502 Bad Gateway. Entiendo que es tema de puertos, pero tengo abiertos el 80, 443 y de momento el 8123 para poder funcionar desde fuera de mi red.

He seguido los pasos pero a pesar de que marco la opción de websocket para entrar en Homeassistant no me valida, me sale la pantalla de retry. ¿Se te ocurre alguna cosa? Muchas gracias por toda la serie de videos, son magníficos.

He montado un sistema de vigilancia, para montarlo en mi casa del campo, con cámaras wifi, un router asus y una raspberry con homeassistant, node red y servidor ftp para que las camaras guarden lo que graben, le estoy dando internet al router compartiendo el internet desde un movil conectado al router por usb (en mi campo solo puedo tener internet por datos moviles) , he seguido los pasos del video pero no me funciona, puesto que aunque configure los puertos en el router, no se abren los puertos, al ser el internet por datos moviles. Sin poder acceder desde fuera solo puedo hacer que me envié una captura y un video de x segundos a telegram, pero no puedo ver las camaras en tiempo real. ¿Sabes alguna otra forma de poder acceder desde internet, para poder ver las camaras en home assistant en tiempo real?

hola buenas. Al crear el certificado SSL hago exactamente lo que haces en el video, pero no lo crea y me da "Internal Error". Al final del log me indica los siguientes errores:
To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain contain(s) the right IP address. Additionally, please check that your computer has a publicly routable IP address and that no firewalls are preventing the server from communicating with the client. If you're using the webroot plugin, you should also verify that you are serving files from the webroot path you provided.
2021-04-01 04:05:28,152:DEBUG:certbot._internal.error_handler:Encountered exception:
Traceback (most recent call last):
File "/usr/lib/python3.8/site-packages/certbot/_internal/auth_handler.py", line 91, in handle_authorizations
self._poll_authorizations(authzrs, max_retries, best_effort)
File "/usr/lib/python3.8/site-packages/certbot/_internal/auth_handler.py", line 180, in _poll_authorizations
raise errors.AuthorizationError('Some challenges have failed.')
certbot.errors.AuthorizationError: Some challenges have failed.
2021-04-01 04:05:28,153:DEBUG:certbot._internal.error_handler:Calling registered functions
2021-04-01 04:05:28,154:INFO:certbot._internal.auth_handler:Cleaning up challenges
2021-04-01 04:05:28,155:DEBUG:certbot._internal.plugins.webroot:Removing /data/letsencrypt-acme-challenge/.well-known/acme-challenge/ui4Y_0eOAsKR9DJvpAG4FPfnO_Yh8NuDCaOyEQeCCkA
2021-04-01 04:05:28,157:DEBUG:certbot._internal.plugins.webroot:All challenges cleaned up
2021-04-01 04:05:28,158:DEBUG:certbot._internal.log:Exiting abnormally:
Traceback (most recent call last):
File "/usr/bin/certbot", line 11, in
load_entry_point('certbot==1.4.0', 'console_scripts', 'certbot')()
File "/usr/lib/python3.8/site-packages/certbot/main.py", line 15, in main
return internal_main.main(cli_args)
File "/usr/lib/python3.8/site-packages/certbot/_internal/main.py", line 1347, in main
return config.func(config, plugins)
File "/usr/lib/python3.8/site-packages/certbot/_internal/main.py", line 1233, in certonly
lineage = _get_and_save_cert(le_client, config, domains, certname, lineage)
File "/usr/lib/python3.8/site-packages/certbot/_internal/main.py", line 121, in _get_and_save_cert
lineage = le_client.obtain_and_enroll_certificate(domains, certname)
File "/usr/lib/python3.8/site-packages/certbot/_internal/client.py", line 409, in obtain_and_enroll_certificate
cert, chain, key, _ = self.obtain_certificate(domains)
File "/usr/lib/python3.8/site-packages/certbot/_internal/client.py", line 343, in obtain_certificate
orderr = self._get_order_and_authorizations(csr.data, self.config.allow_subset_of_names)
File "/usr/lib/python3.8/site-packages/certbot/_internal/client.py", line 390, in _get_order_and_authorizations
authzr = self.auth_handler.handle_authorizations(orderr, best_effort)
File "/usr/lib/python3.8/site-packages/certbot/_internal/auth_handler.py", line 91, in handle_authorizations
self._poll_authorizations(authzrs, max_retries, best_effort)
File "/usr/lib/python3.8/site-packages/certbot/_internal/auth_handler.py", line 180, in _poll_authorizations
raise errors.AuthorizationError('Some challenges have failed.')
certbot.errors.AuthorizationError: Some challenges have failed.

Ya no funciona... da este error: Failure starting container with non-empty request body was deprecated since API v1.22 and removed in v1.24

Hola cuando voy a hacer el despliegue, el contenedor entra en error Bind for 0.0.0.0:443 falló: el puerto ya está asignado. Me puedes ayudar

Muy buenas. Gracias por los videos, cada día que tengo un rato me los veo como si fuese una seria de HBO :). Al intentar redirigir el 80 me aparece el siguiente mensaje: "You are about to add rule with special ports that it is in conflict with internal device services and it will redirect to 8080. Are you sure you want to proceed ?". Para el 443 me aparece el siguiente también:"You are about to add rule with special ports that it is in conflict with internal device services and it will redirect to 60443. Are you sure you want to proceed ?" Mi router es de Pepephone

Buenas. Gracias por tus videos. Tengo un problema a la hora de redirigir los puertos. Cuando redirijo el puerto 80 me da error "conflicto del puerto" y también cuando redirijo el 443, veo en internet que ese puerto sigue cerrado. Con el 8123 no tengo problemas. Gracias. Creo que por eso es por lo que me da error a la hora de crear los certificados.

Estoy montando nginx el contenedor en portainer , con la imagen j21/nginx-proxy-manager.lastet
Pero me aparece este mensaje cuando lo quiero desplegar "no sush imagen...... Que puede hacer 🙏

Hola.
He intentado hacer todo como indicas en tus vídeos, pero tengo un problema; cuando trato de acceder a través del dominio que he creado en duckdns.org no lo puedo hacer.
He configurado duckdns en portainer con distintos dominios y comprobado en la consola de comandos con nslookup que devuelven mi IP pública. He configurado Nginx Proxy Manager para que según el dominio desde el que trate de acceder me envíe a un puerto u otro de mi Raspberry Pi, y he abierto los puertos en el router.
Si desde el móvil escribo en el navegador mi IP pública y el puerto de la aplicación a la que quiero acceder (por ejemplo Nextcloud), accedo perfectamente, pero utilizando el dominio de duckdns que he asociado a ese puerto no consigo nada.
Espero haberme explicado bien. Agradecería me dijeses si tienes una idea de cuál puede ser el problema y cómo solucionarlo. Gracias.

no consigo montar un proxy en concreto, ip:puerto/carpeta/

Una vez configurado Nginx con dominio y certificado y con WebSocket activado al abrir la página me devuelve "400: Bad Request" ami me pesa lo miemo y si le cambio el puerto al 3000 si q me devuelve al grafana

Hola, cuando le doy a crear certificado no lo hace y sale "Internal error" ...¿alguna sugerencia?

Una vez configurado Nginx con dominio y certificado y con WebSocket activado al abrir la página me devuelve "400: Bad Request"

hola, muchas gracias por el video es muy interesante todo lo que hablas pero tengo un problema. He seguido los pasos tal y como tu lo has echo a la hora de crear los host en Nginx lo que pasa es que en vez de grafana lo hice con portainer y funciona a la perfección, el problema lo tengo en home assistant que a la hora de poner la dirección del duckdns en vez de salirme el home assistant me sale este mensaje de error: "502 puerta de enlace no valida" también me sale a veces una página que me pone "Felicidades estas intentando acceder a un host no configurado" que viene de Nginx. Me podrías ayudar? gracias de antemano, saludos.

Buenas!, no se porque pero hice una nueva instalacion de home assistant y la hora de ponerle a nginx todos los parametros (websockets y ssl) me devuelve un retry. Si lo deshabilito en nginx puedo entrar por la ip interna (192.xxx). Me da la sensacion que es por algo de duckdns, pero no encuentro el que. Me funcionaba en debian 10, ahora lo meto en raspbian y no tira. Tengo montando un plex a traves de nginx y funciona bien. ¿Alguien tiene alguna idea?. Lo explicas todo muy bien en tus videos, sigue asi!

Gracias por el video, muy bien explicado ,pero lo he intentado dos veces y recibo este error en el contenedor "sqlite does not support inserting default values. Set the `useNullAsDefault` flag to hide this warning. (see docs knexjs.org/#Builder-insert)." El contenedor me arranca pero al generar los certificados me da error y no los genera, será por ese error?. Un saludo.

Muchas gracias por tus magníficos vídeos.
Mi rabia es que sigo todos los pasos, y siempre hay algo que no sale bien, en este caso cuando intento entrar en el dominio creado me indica "400 Bad Request", y hasta ahí puedo llegar, ya no consigo saber qué hago mal.
Hombre!, si alguien pudiese darme una pista de por dónde buscar el fallo, le estaría muy agradecido.
Por cierto, no sé si influirá el que yo tenga mi ip estática (la pública) y la del NUC también la tengo fija dentro de la LAN.

Estoy descubriendo cosas min 5:00 que volvían loco

Hola buenas noches .
Estoy siguiendo tus vídeos y son muy pedagógicos por la manera que los explicas.
Todo bien solo que he instalado nextcloud al abrir un dominio por http y duckdns me dice el navegador ,acceso a través de un dominio del que no se confía ,y no me deja entrar en la página ,si no es molestar te agradecería me ayudarás pues no encuentro el error ,
Le instalado el certificado todo correcto pero sigue dándome el mismo error.
Gracias