Krautspace/Unkraut
10
2
Issues 32 Projects 6 Activity

Onion-Services von nextcloud und forgejo kommen sich in die Quere #52

New issue
Closed
opened 2024-02-21 10:19:48 +01:00 by qbi · 11 comments
qbi commented 2024-02-21 10:19:48 +01:00
Owner
Copy link

Auf lagerkrautgibt es zwei Onion-Dienste:

  1. http://kqfdxjpzqt345qplxy6yrgkj4rotfokskmxyqz5a4t4yewg6n62ea2ad.onion für https://git.kraut.space
  2. http://jd3vodji36spb6ynznjflpalodxnasjwlgebfwei6sgxlp7fbvowakad.onion für https://cloud.kraut.space

Im Moment kommen sich die beiden in die Quere. Hier muss die Konfiguration angepasst werden. Im Moment funktioniert der Onion-Service für die NextCloud nicht.

Auf `lagerkraut`gibt es zwei Onion-Dienste: 1. http://kqfdxjpzqt345qplxy6yrgkj4rotfokskmxyqz5a4t4yewg6n62ea2ad.onion für https://git.kraut.space 2. http://jd3vodji36spb6ynznjflpalodxnasjwlgebfwei6sgxlp7fbvowakad.onion für https://cloud.kraut.space Im Moment kommen sich die beiden in die Quere. Hier muss die Konfiguration angepasst werden. Im Moment funktioniert der Onion-Service für die NextCloud nicht.
qbi added the
Kind/Bug
Priority
Medium
 labels 2024-02-21 10:19:48 +01:00
qbi self-assigned this 2024-02-21 10:19:48 +01:00
qbi added this to the IT-Infrastruktur project 2024-02-21 10:19:48 +01:00
qbi commented 2024-02-26 15:47:06 +01:00
Author
Owner
Copy link

Ich habe das jetzt so gelöst, dass der Onion-Service und Webserver über Port 9080 für Forgejo verbunden sind. Wenn also jemand https://git.kraut.space aufruft, wird mittels Onion-Location-Header informiert, dass die Seite auf http://kqfdxjpzqt345qplxy6yrgkj4rotfokskmxyqz5a4t4yewg6n62ea2ad.onion:9080/ zu finden ist. Der Tor-Browser springt dann automatisch zu der Adresse.

Die Seite http://jd3vodji36spb6ynznjflpalodxnasjwlgebfwei6sgxlp7fbvowakad.onion/ wird nach wie vor über Port 80 abgewickelt und bedurfte keiner Änderungen.

Ich habe das jetzt so gelöst, dass der Onion-Service und Webserver über Port 9080 für Forgejo verbunden sind. Wenn also jemand https://git.kraut.space aufruft, wird mittels `Onion-Location`-Header informiert, dass die Seite auf http://kqfdxjpzqt345qplxy6yrgkj4rotfokskmxyqz5a4t4yewg6n62ea2ad.onion:9080/ zu finden ist. Der Tor-Browser springt dann automatisch zu der Adresse. Die Seite http://jd3vodji36spb6ynznjflpalodxnasjwlgebfwei6sgxlp7fbvowakad.onion/ wird nach wie vor über Port 80 abgewickelt und bedurfte keiner Änderungen.
qbi closed this issue 2024-02-26 15:47:06 +01:00
l.behm commented 2024-02-26 21:36:07 +01:00
Owner
Copy link

Was kam sich in die quere? Tor oder nginx?

Was kam sich in die quere? Tor oder nginx?
qbi commented 2024-02-26 22:05:51 +01:00
Author
Owner
Copy link

Der Aufruf einer Onion-Domain wird an Tor weitergeleitet. In dem Fall geht http://jd3vodji36spb6ynznjflpalodxnasjwlgebfwei6sgxlp7fbvowakad.onion/ zum lokalen Tor-Daemon auf Port 80. Der nimmt den Request entgegen und ist so eingestellt, dass er den lokal (127.0.0.1 oder ::1) an Port 80 weitergibt. Der Daemon auf Port 80 verwertet nun die Anfrage. Im Falle des Webservers.

Man könnte auch so etwas wie eotk oder onionspray einsetzen. Damit lassen sich die Anfragen geschickter handhaben. Das war mir an der Stelle nur zuviel Einrichtungsaufwand.

Der Aufruf einer Onion-Domain wird an Tor weitergeleitet. In dem Fall geht http://jd3vodji36spb6ynznjflpalodxnasjwlgebfwei6sgxlp7fbvowakad.onion/ zum lokalen Tor-Daemon auf Port 80. Der nimmt den Request entgegen und ist so eingestellt, dass er den lokal (127.0.0.1 oder ::1) an Port 80 weitergibt. Der Daemon auf Port 80 verwertet nun die Anfrage. Im Falle des Webservers. Man könnte auch so etwas wie [`eotk`](https://github.com/alecmuffett/eotk) oder [`onionspray`](https://tpo.pages.torproject.net/onion-services/onionspray/) einsetzen. Damit lassen sich die Anfragen geschickter handhaben. Das war mir an der Stelle nur zuviel Einrichtungsaufwand.
l.behm commented 2024-02-28 09:08:25 +01:00
Owner
Copy link

Verstehe ich das richtig, dass der tor-daemon das Request via [::1]:80 an nginx schiebt, und der nun im Request keinen passenden Host-Header für einen seiner vserver sieht, da das einfach im Request fehlt???

Verstehe ich das richtig, dass der tor-daemon das Request via `[::1]:80` an `nginx` schiebt, und der nun im Request keinen passenden `Host`-Header für einen seiner vserver sieht, da das einfach im Request fehlt???
qbi commented 2024-02-28 10:25:04 +01:00
Author
Owner
Copy link

Die Onion-Services können für unterschiedliche TCP-basierte Dienste verwendet werden und reichen die Daten einfach an den TCP-Port weiter. Das heißt, Tor weiß nichts, vom nginx.

Was ich vermute, dass schon der Tor-Browser bestimmte HTTP-Header strippt und die Anfrage vergleichsweise "clean" durchgereicht wird.

Die Onion-Services können für unterschiedliche TCP-basierte Dienste verwendet werden und reichen die Daten einfach an den TCP-Port weiter. Das heißt, Tor weiß nichts, vom nginx. Was ich vermute, dass schon der Tor-Browser bestimmte HTTP-Header strippt und die Anfrage vergleichsweise "clean" durchgereicht wird.
l.behm commented 2024-02-28 10:29:37 +01:00
Owner
Copy link

Ok, ich nehme an git auf :9080 ist ein non-issue?

Ok, ich nehme an git auf `:9080` ist ein non-issue?
qbi commented 2024-02-28 10:33:06 +01:00
Author
Owner
Copy link

Was meinst du?

Was meinst du?
l.behm commented 2024-02-28 11:06:51 +01:00
Owner
Copy link

Ich meinte dein Ticket-Close-Comment zu der Lösung, dass git.kraut.space auf *.onion:9080 läuft.
Die Frage ist, ob das eine gültige super-good-enough-Lösung ist oder ob das eine unsaubere Notlösung ist, die es zu verbessern gilt.

Ich meinte dein Ticket-Close-Comment zu der Lösung, dass `git.kraut.space` auf `*.onion:9080` läuft. Die Frage ist, ob das eine gültige `super-good-enough`-Lösung ist oder ob das eine unsaubere Notlösung ist, die es zu verbessern gilt.
qbi commented 2024-02-28 11:18:37 +01:00
Author
Owner
Copy link

Das ist eine Ich-hatte-keine-bessere-Idee-Lösung, sofern man auf die mitgelieferten Sachen setzt.

  1. Man könnte den HiddenServicePort auch auf eine Domain zeigen lassen, also (git|cloud).kraut.space. Dann würde der Abruf gegen die Domain laufen. Hier ist das "Problem", dass wir zu HTTPS umleiten und der Onion-Service nur über HTTP daher kommt.
  2. Wenn man eotk oder onionspray verwendet, kann man das besser proxyn und hat allgemein mehr Möglichkeiten. Zum einen ist das aber wieder Software, die neben irgendwelchen Paketmanagern u.ä. läuft. Zum anderen müsste man sich hier auch mehr Gedanken zu HTTPS und Zertifikaten machen. Das heißt, entweder man baut Vertrauen zu den selbst erzeugten Zertifikaten auf oder man nutzt Zertifikate von DigiCert oder HARICA, die dann aber Geld kosten.

Wenn du noch eine gute Idee hast, wie man das besser machen könnte, immer her damit. 😉

Das ist eine Ich-hatte-keine-bessere-Idee-Lösung, sofern man auf die mitgelieferten Sachen setzt. 1. Man könnte den `HiddenServicePort` auch auf eine Domain zeigen lassen, also `(git|cloud).kraut.space`. Dann würde der Abruf gegen die Domain laufen. Hier ist das "Problem", dass wir zu HTTPS umleiten und der Onion-Service nur über HTTP daher kommt. 2. Wenn man `eotk` oder `onionspray` verwendet, kann man das besser proxyn und hat allgemein mehr Möglichkeiten. Zum einen ist das aber wieder Software, die neben irgendwelchen Paketmanagern u.ä. läuft. Zum anderen müsste man sich hier auch mehr Gedanken zu HTTPS und Zertifikaten machen. Das heißt, entweder man baut Vertrauen zu den selbst erzeugten Zertifikaten auf oder man nutzt Zertifikate von DigiCert oder HARICA, die dann aber Geld kosten. Wenn du noch eine gute Idee hast, wie man das besser machen könnte, immer her damit. 😉
l.behm commented 2024-02-28 13:58:59 +01:00
Owner
Copy link

When in doubt about port usage, use sockets instead?

/etc/nginx/sites-available/forgejo-onion:

listen unix:/run/nginx/tor-kqfdxjpzqt345qplxy6yrgkj4rotfokskmxyqz5a4t4yewg6n62ea2ad.onion.sock;

forgejo-tor:

HiddenServicePort 80 unix:/run/nginx/tor-kqfdxjpzqt345qplxy6yrgkj4rotfokskmxyqz5a4t4yewg6n62ea2ad.onion.sock

tor-%i.service braucht something something After=nginx.service

When in doubt about port usage, use sockets instead? --- `/etc/nginx/sites-available/forgejo-onion`: ```nginx listen unix:/run/nginx/tor-kqfdxjpzqt345qplxy6yrgkj4rotfokskmxyqz5a4t4yewg6n62ea2ad.onion.sock; ``` `forgejo-tor`: ```conf HiddenServicePort 80 unix:/run/nginx/tor-kqfdxjpzqt345qplxy6yrgkj4rotfokskmxyqz5a4t4yewg6n62ea2ad.onion.sock ``` `tor-%i.service` braucht something something `After=nginx.service`
👍 1
qbi commented 2024-02-28 14:30:17 +01:00
Author
Owner
Copy link

tor-%i.service braucht something something After=nginx.service

In dem Falle würde ich sagen, dass das nur der tor@forgejo.service braucht. Andere Services bauen evtl. nicht auf nginx auf.

Vielen Dank für den Hint. Ich habe das so umgesetzt.

> `tor-%i.service` braucht something something `After=nginx.service` In dem Falle würde ich sagen, dass das nur der `tor@forgejo.service` braucht. Andere Services bauen evtl. nicht auf `nginx` auf. Vielen Dank für den Hint. Ich habe das so umgesetzt.
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
No results found.
No results found.
Labels
Clear labels   
Kind/Breaking

Breaking change that won't be backward compatible

  
Kind/Bug

Something is not working

  
Kind/Documentation

Documentation changes

  
Kind/Enhancement

Improve existing functionality

  
Kind/Feature

New functionality

  
Kind/Security

This is security issue

  
Kind/Testing

Issue or pull request related to testing

  
Priority
Critical
The priority is critical

  
Priority
High
The priority is high

  
Priority
Low
The priority is low

  
Priority
Medium
The priority is medium

  
Reviewed
Confirmed
Issue has been confirmed

  
Reviewed
Duplicate
This issue or pull request already exists

  
Reviewed
Invalid
Invalid issue

  
Reviewed
Won't Fix
This issue won't be fixed

  
Status
Abandoned
Somebody has started to work on this but abandoned work

  
Status
Blocked
Something is blocking this issue or pull request

  
Status
Need More Info
Feedback is required to reproduce issue or to continue work

  
bug

Something is not working

  
duplicate

This issue or pull request already exists

  
enhancement

New feature

  
help wanted

Need some help

  
invalid

Something is wrong

  
question

More information is needed

  
wontfix

This won't be fixed

No labels
Kind/Breaking
Kind/Bug
Kind/Documentation
Kind/Enhancement
Kind/Feature
Kind/Security
Kind/Testing
Priority
Critical
Priority
High
Priority
Low
Priority
Medium
Reviewed
Confirmed
Reviewed
Duplicate
Reviewed
Invalid
Reviewed
Won't Fix
Status
Abandoned
Status
Blocked
Status
Need More Info
bug
duplicate
enhancement
help wanted
invalid
question
wontfix
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
IT-Infrastruktur
Assignees
Clear assignees
No assignees
qbi
2 participants
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: Krautspace/Unkraut#52
No description provided.
Delete branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?