
Abbildung 3: Auf ein selbst ausgestelltes Zertifikat reagieren Webbrowser, wie hier Microsofts Internet Explorer, leicht allergisch.
Listing 9
# nginx-04.conf
[...]
http {
[...]
server {
listen 80 default_server;
return 301 https://$host;
}
[...]
}
Listing 10
$ curl -I http://raspi HTTP/1.1 301 Moved Permanently [...] Location: https://raspi
Virtuelle Server
Momentan arbeitet Nginx noch als reiner Webserver, der eine statische HTML-Seite ausliefert. Um Client-Anfragen via Reverse Proxy an die richtige Stelle weiterzuleiten, definieren Sie nun mithilfe der Anweisung server_name verschiedene virtuelle Server und mittels der Direktive proxy_pass deren Zieladressen. Das Beispiel aus Listing 11 ermöglicht den Zugriff auf eine Fritzbox mit der lokalen IP-Adresse 192.168.0.10 und der URL http://http(s)://fritzbox.raspi.
Listing 11
# nginx-05.conf
[...]
http {
[...]
server {
listen 443 ssl;
server_name fritzbox.*;
location / {
proxy_pass http://192.168.0.10;
}
}
}
Um diese Konfiguration im lokalen Netzwerk testen zu können, müssen Sie den Hostnamen fritzbox.raspi der IP-Adresse des Raspberry Pi zuordnen, zum Beispiel über einen weiteren Eintrag in der Hosts-Datei. Dabei handelt es sich quasi um die “lokale Wildcard-Unterstützung”, die Sie später für den Fernzugriff über das Internet ebenfalls benötigen und die, wie bereits eingangs erwähnt, der genutzte DynDNS-Service unterstützen muss.
Nach demselben Schema lassen sich nun auch alle weiteren Geräte und Dienste in die Konfiguration einbinden, wozu Sie jeweils nur den server_name und die Zieladresse anpassen. Um etwa die webbasierte Terminalanwendung Shell In A Box [9] über die URL http://http(s)://shell.raspi zu erreichen, tragen Sie server_name shell.*; und proxy_pass https://127.0.0.1:4200; in die Konfiguration ein.
Um die Konfigurationsdatei etwas übersichtlicher zu gestalten, erstellen Sie ein Verzeichnis /usr/local/nginx/conf/sites-available/ und lagern die einzelnen server-Blöcke jeweils in dort gelagerte separate Dateien aus. Für diese vergeben Sie zur leichteren Orientierung dann sprechende Namen wie etwa fritzbox.conf oder shellinabox.conf. In einem weiteren Ordner /usr/local/nginx/conf/sites-enabled/ erstellen Sie dann Verknüpfungen zu diesen Dateien – ein Beispiel zeigt Listing 12 – und binden diese in der Konfigurationsdatei im http-Kontext mit include sites-enabled/*; ein (Listing 13).
Listing 12
$ sudo ln -s /usr/local/nginx/conf/sites-available/fritzbox.conf /usr/local/nginx/conf/sites-enabled/fritzbox
Listing 13
# nginx-06.conf
worker_processes 1;
events {
worker_connections 1024;
}
http {
# HTTP Basic Authentication
auth_basic "NGINX";
auth_basic_user_file .htpasswd;
# SSL
ssl_certificate ssl/server.crt;
ssl_certificate_key ssl/server.key;
# ausgelagerte server-Blöcke
include sites-enabled/*;
}
Fernzugriff
Damit Sie Ihre Nginx-Installation auch via Internet erreichen können, müssen Sie auf dem Router noch Freigaben für die Ports 80 und 443 einrichten (Abbildung 4). Als Zieladresse geben Sie dabei die IP-Adresse des Raspberry Pi an. Der Zugriff auf das Heimnetzwerk erfolgt über den DynDNS-Anbieter: Der DynDNS-Dienst kennt die aktuelle öffentliche IP-Adresse des Routers und macht diesen über einen eindeutigen Hostnamen erreichbar. Beim Aufruf erkennt Nginx anhand der Subdomain, welcher server-Kontext zum Zug kommen soll.

Abbildung 4: Um den Zugriff aus dem Internet zu ermöglichen, richten Sie auf dem Router noch entsprechende Portfreigaben ein.
Für das Aktualisieren der IP-Adresse stellen viele DynDNS-Anbieter eine Update-URL zur Verfügung, die sich in vielen Routern direkt verwenden lässt. Können Sie diese in Ihrem Fall nicht nutzen, etwa weil Sie den Router hinter einem Kabelmodem betreiben, rufen Sie die Update-URL über einen Cronjob auf. Der Crontab-Eintrag aus Listing 14 führt das Update bei DDNSS alle 30 Minuten aus. Den Update-Key finden Sie auf der Startseite Ihres Admin-Bereichs.
Listing 14
*/30 * * * * wget -O /dev/null "https://www.ddnss.de/upd.php?key=12345&host=all" > /dev/null 2>&1
DDNSS erlaubt 60 Updates täglich, also eine Aktualisierung alle 24 Minuten. Um schneller auf IP-Wechsel zu reagieren, stoßen Sie das Update nur dann gezielt an, wenn sich die Adresse auch tatsächlich geändert hat. Dazu setzen Sie ein Skript wie in Listing 15 ein, das Sie via Cron in beliebiger Frequenz ausführen können.
Listing 15
#!/bin/bash HOSTNAME="mynetwork.ddnss.de" echo -$(date "+%d.%m.%Y, %R")- MYIP=$(curl -s http://icanhazip.com) echo "MYIP: $MYIP" DNSIP=$(dig +short $HOSTNAME) echo "DNSIP: $DNSIP" if [ "$MYIP" != "$DNSIP" ]; then curl -s "https://ddnss.de/upd.php?key=12345&host=all" | sed -n '7p' fi





