Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Swag - reverse proxy en direction d'un réseau tailscale

waazaa

Swag est un reverse proxy au même titre que Pangolin ou bien Nginx Proxy Manager.
Je vais vous parler de lui car il existe une version de linuxserver contrairement aux autres cités et de ce fait il est possible de lui faire rejoindre un réseau tailscale.

Tailscale: https://tailscale.com
Swag de linuxserver: https://docs.linuxserver.io/general/swag/

On va voir dans ce topic comment faire en sorte que Swag devienne le reverse proxy uniquement pour les membres de votre réseau tailscale.

waazaa

Création de votre compte tailscale

Si vous n'avez pas encore de compte chez tailscale allez donc en créer un, c'est gratuit jusqu'à 100 machines.
Aprés cela on va faire en sorte que Swag se connecte dans votre compte tailscale et deviendra donc une machine dans celui ci.

https://tailscale.com

Une fois votre compté créé allez récupérer une clef API.
Sur la page: https://login.tailscale.com/admin/settings/keys

Faites en générer une et copiez la on s'en servira tout à l'heure dans la configuration du container Swag pour qu'il puisse rejoindre ce réseau.

Une clef API commence par : tskey-auth-

waazaa

Création de votre container Swag

On va se servir du docker compose proposé par linuxserver sur la page: https://docs.linuxserver.io/general/swag/#docker-compose

Mais avant cela on doit faire quelques préparatifs.

Custom network

On va se créer un custom network docker. Ce réseau custom servira à Swag ainsi qu'à tout vos futurs containers pour qu'ils puissent discuter par leurs petits noms et vous permettre de ne plus rendre disponible les ports rendant l'accés possible uniquement via Swag ce qui est le but escompté.

Je choisis de nommer le custom network: proxy

Il faut donc en console créer ce custom network:

docker network create proxy

Avoir son domaine chez un fournisseur compatible

Swag peut discuter avec le fournisseur de votre domaine ou bien le gestionnaire de votre zone DNS si il fait partie des fournisseurs compatibles.
La liste des compatibles se trouve ici:
https://github.com/linuxserver/docker-swag/tree/master/root/defaults/dns-conf

Un fichier par fournisseur compatible.
Pour démarrer notre container Swag et lui faire discuter avec le fournisseur il faut donc que votre fournisseur fasse partie de cette liste et il faudra donc aller éditer le fichier de configuration de ce fournisseur aprés le démarrage de Swag. Dans ce fichier de configuration la plupart du temps ce sera pour s'authentifier chez le fournisseur.

Si je prends l'exemple du fournisseur hetzner les informations demandées dans son fichier de config sont:

dns_hetzner_api_token = nohnah4zoo9Kiejee9aGh0thoopee2sa

Pour cet exemple les informations demandées sont évidentes.

Donc sur cette étape vous devez avoir comme fournisseur un de ceux compatibles.

La discussion entre Swag et votre fournisseur va permettre la génération automatique des certificats SSL pour naviguer en https.

waazaa

Lancement du container swag

Maintenant que le custom network docker est créé et que vous vous êtes assurés que votre fournisseur de domaine est compatible avec Swag on va pouvoir démarrer notre container Swag.
On va donc utiliser l'image de linuxserver comme cela on y inclura le client tailscale.

Les informations pertinentes seront:

URL: votredomaine.tld : ce sera votre nom de domaine sans sous-domaine, juste le nom de domaine
DNSPLUGIN: mettez le nom du fournisseur compatible par exemple hetzner
EMAIL: votre email pour letsencrypt vous@example.com
TAILSCALE_AUTHKEY: votre clef API tskey-auth-xxxxxxxxx
TAILSCALE_HOSTNAME: le nom de machine coté tailscale par exemple mon-swag

services:
  swag:
    image: lscr.io/linuxserver/swag
    container_name: swag
    cap_add:
      - NET_ADMIN
    environment:
      - PUID=1000 # modifiez si besoin
      - PGID=1000 # modifiez si besoin
      - TZ=Europe/Paris
      - URL=votredomaine.tld
      - SUBDOMAINS=wildcard
      - VALIDATION=dns
      - DNSPLUGIN=hetzner
      - EMAIL=vous@example.com
      - ONLY_SUBDOMAINS=true
      - DOCKER_MODS=ghcr.io/tailscale-dev/docker-mod:main
      - TAILSCALE_STATE_DIR=/var/lib/tailscale
      - TAILSCALE_AUTHKEY=tskey-auth-xxxxxxxxx
      - TAILSCALE_HOSTNAME=mon-swag
    volumes:
      - </path/to/appdata/config>:/config
      - </path/to/appdata/config/tailscale>:/var/lib/tailscale
    ports:
      - 443:443
      - 80:80
    restart: unless-stopped

networks:
  default:
    name: proxy
    external: true

waazaa

Regarder les logs de votre container Swag

Pour son premier démarrage Swag va donc créer les dossiers et fichiers persistants dans les dossiers que vous avez mappés.

Voici à quoi ressemble son contenu:

Dans le sous dossier dns-conf vous devez donc aller donner vos identifiants pour le fournisseur de services DNS compatible que vous avez choisis.

Dans le sous dossier nginx/proxy-confs/ vous trouverez une grande liste de configurations pré-remplies pour les containers docker les plus courants. Ils sont trop nombreux pour que je vous montre en capture l'intégralité.
Sachez que vous avez 2 types de configuration dans ce sous dossier potentiellement pour un même container cible.

Prenons l'exemple de radarr:

On a 2 fichiers:

radarr.subdomain.conf.sample
radarr.subfolder.conf.sample

Le premier fichier est celui que l'on va utiliser. Il permet d'avoir un proxy-host sous forme de sous-domaine par exemple: radarr.votredomaine.tld

Le second fichier servirait pour avoir un sous dossier donc: votredomaine.tld/radarr

Pour activer un de ces fichiers de configuration il faut renommer le fichier souhaité en lui retirant le suffixe .sample.

Donc pour cet exemple je renomme le fichier
radarr.subdomain.conf.sample
en
radarr.subdomain.conf

Si on regarde à l'intérieur on trouve ceci:

server {
    listen 443 ssl;
    listen [::]:443 ssl;

    server_name radarr.*; #### ici on défini que l'on aura un sous domaine du type: radarr.quelque.chose

    include /config/nginx/ssl.conf;

    client_max_body_size 0;

    # enable for ldap auth (requires ldap-location.conf in the location block)
    #include /config/nginx/ldap-server.conf;

    # enable for Authelia (requires authelia-location.conf in the location block)
    #include /config/nginx/authelia-server.conf;

    # enable for Authentik (requires authentik-location.conf in the location block)
    #include /config/nginx/authentik-server.conf;

    location / {
        # enable the next two lines for http auth
        #auth_basic "Restricted";
        #auth_basic_user_file /config/nginx/.htpasswd;

        # enable for ldap auth (requires ldap-server.conf in the server block)
        #include /config/nginx/ldap-location.conf;

        # enable for Authelia (requires authelia-server.conf in the server block)
        #include /config/nginx/authelia-location.conf;

        # enable for Authentik (requires authentik-server.conf in the server block)
        #include /config/nginx/authentik-location.conf;

        include /config/nginx/proxy.conf;
        include /config/nginx/resolver.conf;
        set $upstream_app radarr; #### le nom du container cible doit être précisèment 'radarr'
        set $upstream_port 7878; #### et ce container en interne écoute le port 7878
        set $upstream_proto http;
        proxy_pass $upstream_proto://$upstream_app:$upstream_port;

    }

    location ~ (/radarr)?/api {
        include /config/nginx/proxy.conf;
        include /config/nginx/resolver.conf;
        set $upstream_app radarr;
        set $upstream_port 7878;
        set $upstream_proto http;
        proxy_pass $upstream_proto://$upstream_app:$upstream_port;

    }
}

J'ai préfixé les quelques lignes utiles avec ####.

Donc si votre container porte bien le nom définis dans le fichier de .conf ce qu'il vous reste à faire est de simplement redémarrer le container Swag pour qu'il prenne en compte votre nouvelle configuration.

On pourrait éviter de devoir redémarrer manuellement le container Swag aprés modification pour cela il faudrait ajouter les variables dans le docker compose adéquates.

waazaa

Sur votre compte tailscale

Si vous avez donné une clef API valide vous devriez voir apparaître votre machine "mon-swag" sur votre compte tailscale.

Je vous conseille d'allez cliquer sur les ... pour indiquer que vous ne voulez pas que son autorisation expire:

Ensuite notez donc l'ip locale à votre réseau que tailscale lui a attribué, par exemple:

Créer vos entrées DNS adéquates

Il vous reste maintenant à devoir créer les entrées DNS adéquates pour que les visites arrivent bien à l'ip attribuée par tailscale.