Reverse Proxy auf dem Raspberry Pi mit Nginx

© khwi, 123RF

Fernzugriff

Mit dem Duo RasPi und Nginx setzen Sie mit wenig Aufwand eine kostengünstige Lösung für den Fernzugriff auf Geräte im lokalen Netzwerk um.

Internet-Router, NAS, DVB-Receiver, Smart-Home-Zentrale, ja sogar die Heizungsanlage: Immer mehr Endgeräte und Dienste verrichten in den eigenen vier Wänden ihre Arbeit, auf die man auch aus der Ferne zugreifen möchte. Die Voraussetzung dafür: Der Router muss via Internet erreichbar sein und die Netzwerkgeräte innerhalb des lokalen Netzwerks benötigen eine feste IP-Adresse. Über Portfreigaben leitet der Router dann die Anfragen an die jeweiligen Endgeräte weiter. Die Erreichbarkeit des Routers trotz wechselnder IP-Adresse des Internetanschlusses gewährleisten DynDNS-Anbieter wie DynDNS Service (DDNSS [1]). Die Einzelheiten einer solchen Konfiguration hat bereits ein Artikel in RPG 05/2015 beschrieben [2].

Dabei benötigen Sie allerdings für jedes Endgerät eine Portfreigabe. Allein mit den Ports 80 (HTTP) und 443 (HTTPS), die sich in der Regel aus jedem Netz erreichen lassen, kommen Sie hier nicht mehr aus. Zudem stellt der Zugriff via HTTP aufgrund der unverschlüsselt erfolgenden Datenübertragung ein potenzielles Sicherheitsrisiko dar: Ein Angreifer könnte vertrauliche Informationen wie Benutzername und Passwort auslesen. Obendrein unterstützen nicht alle Geräte auch HTTPS. Eine VPN-Verbindung würde diese Probleme lösen, setzt jedoch clientseitig eine bestimmte Konfiguration oder das Einrichten eines VPN-Clients voraus. Zusätzlich müssten Sie vor jedem Zugriff auf das Heimnetz die VPN-Verbindung manuell herstellen und danach wieder beenden.

Die in diesem Artikel vorgestellte Lösung umgeht diese Probleme mithilfe eines Reverse Proxys, der die Client-Anfragen entgegennimmt und an die jeweiligen Endgeräte und Dienste im privaten Netzwerk weiterleitet (Abbildung 1). Dafür muss der DynDNS-Anbieter Wildcards unterstützen, sodass Sie den eigenen Router nicht nur über den registrierten Hostnamen erreichen, zum Beispiel mynetwork.ddnss.de, sondern auch über beliebige Subdomains wie ftp.mynetwork.ddnss.de oder nas.mynetwork.ddnss.de. DDNSS leistet das erfreulicherweise kostenlos.

Abbildung 1: Der Reverse Proxy nimmt Client-Anfragen entgegen und leitet sie an die jeweiligen Endgeräte und Dienste im lokalen Netz weiter.

SSL-Verschlüsselung und das Authentifizieren mit Benutzername und Passwort gewährleisten dabei die Sicherheit der Datenübertragung und des Zugriffs auf den Reverse Proxy. Die folgenden Beispiele gehen davon aus, dass sich der Raspberry Pi in Ihrem Netz nicht nur via IP-Adresse erreichen lässt, sondern auch über einen Hostnamen. Das gelingt am einfachsten durch einen entsprechenden Eintrag in der Hosts-Datei [3] auf dem entfernten Client. Unter Linux editieren Sie dazu die /etc/hosts, unter Windows C:\system32\drivers\etc\hosts.

Nginx einrichten

Der modular aufgebaute Webserver Nginx ("Engine X" [4]) zählt zu den weltweit beliebtesten Vertretern seiner Gattung. Er lässt sich auch als Reverse Proxy, Load Balancer, HTTP-Cache oder Mailserver konfigurieren und steht als quelloffene Software unter der BSD-Lizenz. Nginx zeichnet sich durch einen geringen Ressourcenverbrauch aus, sodass er auch auf dem Raspberry Pi eine sehr gute Performance erreicht.

Zwar findet sich der schlanke Webserver auch in den Raspbian-Repositories, allerdings lediglich in der veralteten Version 1.2.1. Besser kompilieren Sie die aktuellste Nginx-Version direkt aus den Quellen. Dazu richten Sie zunächst über das Raspbian-Paketmanagement alle benötigten Abhängigkeiten ein (Listing 1, Zeile 1 und 2). Anschließend laden Sie den Nginx-Quelltext von der Projektseite herunter, entpacken ihn und wechseln in das dabei neu entstandene Verzeichnis (Zeile 3 bis 5). Von dort aus starten Sie nun das Übersetzen und Einrichten des Servers (Zeile 6 bis 8). Nginx und die zugehörigen Dateien landen unter /usr/local/nginx/. Zu guter Letzt richten Sie noch eine Verknüpfung ein, um Nginx ohne Pfadangabe bedienen zu können (Zeile 9).

Listing 1

 

$ sudo apt-get update
$ sudo apt-get -y install build-essential libpcre3 libpcre3-dev openssl libssl-dev zlib1g zlib1g-dev
$ wget http://nginx.org/download/nginx-1.8.0.tar.gz
$ tar -xzf nginx-1.8.0.tar.gz
$ cd nginx-1.8.0
$ ./configure --with-http_ssl_module
$ make
$ sudo make install
$ sudo ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/nginx

Sie starten den Webserver nun mit dem Befehl sudo nginx und halten ihn bei Bedarf mit sudo nginx -s stop wieder an. Läuft Nginx, zeigt der Befehl ps -fC nginx die zugehörigen Prozesse an (Listing 2). Ein Master-Prozess lädt die Konfiguration und verwaltet einen oder mehrere Worker-Prozesse, die die eigentlichen Anfragen verarbeiten. Die genaue Anzahl der Worker-Prozesse legen Sie in der Nginx-Konfigurationsdatei fest. Für einen ersten Funktionstest nutzen Sie den Befehl curl 127.0.0.1, der den Quellcode der Nginx-Willkommensseite zurückliefert.

Listing 2

 

$ sudo nginx
$ ps -fC nginx
UID       PID   PPID  CMD
root      2292     1  nginx: master process /usr/local/sbin/nginx
nobody    2297  2292  nginx: worker process
$ sudo nginx -s stop

Um Nginx nicht nach jedem Reboot manuell neu aufrufen zu müssen, richten Sie noch ein entsprechendes Skript ein (Listing 3), das Nginx automatisch bei jedem Systemstart mit hochfährt. Sie können den Server darüber hinaus nun mit dem Service-Befehl steuern, also ihn beispielsweise mit sudo service nginx stop anhalten und mit sudo service nginx start wieder aktivieren.

Listing 3

 

$ git clone https://github.com/Fleshgrinder/nginx-sysvinit-script.git
$ cd nginx-sysvinit-script
$ sudo make

Konfiguration

Nginx besteht aus verschiedenen Modulen. Die Konfigurationsdatei enthält Anweisungen, in der Nginx-Terminologie "Direktiven" genannt, die diese Module steuern. Eine Direktive besteht aus dem Namen und einem oder mehreren durch Leerzeichen getrennten Parametern; ein Semikolon schließt die Direktive ab. Ein sogenannter Kontext fasst eine oder mehrere Direktiven in geschweiften Klammern zu einem Block zusammen. Die Minimalkonfiguration aus Listing 4 definiert einen HTTP-Server an Port 80, der statische Webseiten aus /usr/local/nginx/html/ an den Client überträgt.

Listing 4

 

# nginx-01.conf
worker_processes 1;
events {
  worker_connections 1024;
}
http {
  server {
    listen 80 default_server;
    location / {
      root html;
      index index.html index.htm;
    }
  }
}

Innerhalb eines Kontexts dürfen nur ganz bestimmte Anweisungen und weitere Kontexte auftauchen. Details hierzu finden Sie in der Nginx-Dokumentation [5]. So darf die Anweisung worker_connections nur im Kontext events und der Kontext server nur im übergeordneten Kontext http vorkommen. Da jeder Kontext weitere Kontexte enthalten darf, entsteht letztendlich eine hierarchische Struktur, die das Vererben von Anweisungen erlaubt.

Eine im Kontext http definierte Direktive, wie etwa root, gilt beispielsweise auch in den Kontexten server oder location, falls diese sie nicht explizit überschreiben. Anweisungen und Kontexte auf der obersten Ebene der Konfigurationsdatei, wie etwa worker_processes oder http, rechnet man dem impliziten Kontext main zu.

TIPP

Um Konfigurationen zu testen, starten Sie Nginx mit dem Parameter -c, gefolgt vom Dateinamen der fraglichen Konfiguration.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Raspberry Pi Geek kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Aktuelle Ausgabe

04/2017
64-Bit-Modus

Diese Ausgabe als PDF kaufen

Preis € 7,99
(inkl. 19% MwSt.)

Neuigkeiten

  • Neues auf der Heft-DVD

    Nur mit dem optimalen System und der richtigen Software nutzen Sie das volle Potenzial Ihres Mini-PCs. Mit der Heft-DVD erhalten Sie nicht nur die neuesten Distributionen für den Raspberry Pi, sondern auch die passenden Programme zu den Artikeln.

  • Double Action

    Auf dem Raspberry Pi 3 läuft normalerweise ein 32-Bit-Linux – und das, obwohl er eine waschechte 64-Bit-CPU besitzt. Mit etwas Mühe lässt sich die angezogene Handbremse aber durchaus lösen.

  • Touch me

    Mit dem Controller-Baustein MPR121 steuern Sie kapazitive Näherungssensoren. Damit lassen sich berührungslos über die Veränderung eines elektrischen Felds Schaltvorgänge auslösen.

  • Geschickt erweitert

    Um den minimal ausgestatteten RasPi Zero auszubauen, benötigen Sie neben einem OTG-Adapter auch einen USB-Hub. Makerspot hat dafür eine interessante Lösung.

  • Aufgestellt

    Viele RasPi-Projekte erfordern einen Bildschirm samt Eingabemöglichkeit, etwa einen kleinen Touchscreen und eine entsprechend optimierte GUI. Die Display T. Box 7 vereint den offiziellen RasPi-Touchscreen mit einem praktischen Gehäuse.

  • Abgespielt

    Mit Volumio und einem Raspberry Pi rüsten Sie jede Stereoanlage mit "smarten" Funktionen auf. Ob es ums Abspielen von MP3s geht, um das Streaming von Spotify oder die Steuerung per Smartphone: In Kombination mit dem RasPi-Touchscreen toppt Volumio viele kommerzielle Lösungen.

  • Sammelstelle

    Ein IMAP-Server auf einem Raspberry Pi sammelt Mails an einer zentralen Stelle, damit alle Geräte aus dem LAN Zugriff darauf haben.

  • Ausgesiebt

    Adblocker filtern Anzeigen direkt aus dem HTML-Code einer Webseite heraus. Einen anderen Ansatz verfolgt Pi-hole: Auf einem Raspberry Pi installiert und als DNS-Server eingerichtet, biegt der Adblocker Anfragen an Werbe-Domains ins Leere um.

  • Du bleibst der Boss

    Mit Ubos ist es ein Leichtes, verschiedene Webdienste unter eigener Kontrolle zu hosten. Die auf Arch Linux basierende Server-Distribution funktioniert auch auf dem Raspberry Pi.

  • Gut getunnelt

    Mit ein wenig Know-how verwandeln Sie im Handumdrehen einen Raspberry Pi in ein abgesichertes System mit integriertem VPN-Gateway für die Geräte in Ihrem heimischen Netz.