Как исправить эти ошибки nextcloud, NGINX?

Question

[Константин]

Всем привет.
После установки nextcloud 25 и перебрасывание через NGINX PROXY MANAGER и cloudflare ssl. Выдаёт две ошибки не могу понять как их исправить.
Гуглил и пытался сделать с официальной документацией и всё никак.

Сервер создаёт небезопасные ссылки, несмотря на то, что к нему осуществлено безопасное подключение. Скорее всего, причиной являются неверно настроенные параметры обратного прокси и значения переменных перезаписи исходного адреса. Рекомендации по верной настройке приведены в документации ↗.

Заголовок HTTP «Strict-Transport-Security» должен быть настроен как минимум на «15552000» секунд. Для улучшения безопасности рекомендуется включить HSTS согласно нашим подсказкам по безопасности ↗.

*NGINX PROXY MANAGER развёрнут через docker графическая версия

{
  "id": 1,
  "created_on": "2022-12-22 20:57:48",
  "modified_on": "2022-12-22 22:06:18",
  "owner_user_id": 1,
  "domain_names": [
    "домен.ру"
  ],
  "forward_host": "192.168.0.245",
  "forward_port": 80,
  "access_list_id": 0,
  "certificate_id": 4,
  "ssl_forced": true,
  "caching_enabled": false,
  "block_exploits": true,
  "advanced_config": "",
  "meta": {
    "letsencrypt_agree": false,
    "dns_challenge": false
  },
  "allow_websocket_upgrade": true,
  "http2_support": true,
  "forward_scheme": "http",
  "enabled": 1,
  "locations": [],
  "hsts_enabled": true,
  "hsts_subdomains": true
}

/var/www/nextcloud/config/config.php

<?php
$CONFIG = array (
  'instanceid' => 'octzcc6rxgo2',
  'passwordsalt' => 'W4VbUS/nckxHiikMiEFuT3AB8t2ZB+',
  'secret' => 'bOO5Zf3we0pCuz6omi/odhGXF+eoir05OC5HVNUftYww1DEI',
  'trusted_domains' => 
  array (
    0 => '192.168.0.245',
    1 => 'домен.ру',
  ),
  'datadirectory' => '/home/data',
  'dbtype' => 'mysql',
  'version' => '25.0.2.3',
  'overwrite.cli.url' => 'https://домен.ру',
  'dbname' => 'nextcloud',
  'dbhost' => 'localhost',
  'dbport' => '',
  'dbtableprefix' => 'oc_',
  'mysql.utf8mb4' => true,
  'dbuser' => 'nextclouduser',
  'dbpassword' => '123456',
  'installed' => true,
  'mail_domain' => 'gmail.com',
  'mail_from_address' => 'twitster1337',
  'mail_smtpmode' => 'smtp',
  'mail_sendmailmode' => 'smtp',
  'mail_smtpsecure' => 'ssl',
);

Answer 1

[Valentin Barbolin]

Попробуй добавить в /var/www/nextcloud/config/config.php
'overwriteprotocol' => 'https',

NGINX PROXY MANAGER - Advanced - Custom nginx configuration
Strict-Transport-Security "max-age = 31536000; includeSubDomains" always;

Comments

[Константин]

Попробуй добавить в /var/www/nextcloud/config/config.php
'overwriteprotocol' => 'https',

Andrey Barbolin первую проблему решил, спасибо Вам большое.

Насчёт второй ошибки. При добавление этих команд в Proxy Hosts > domen.ru > edit > advanced > Custom Nginx Configuration добавляю

Strict-Transport-Security "max-age = 31536000; includeSubDomains" always;

Proxy Hosts сразу уходит в офлайн и попасть на nextcloud не получается

[Valentin Barbolin]

HSTS включен?

[Константин]

Andrey Barbolin, Галочка в NGINX стоит

[Valentin Barbolin]

Константин, Попробуй сделать как тут.
https://docs.nextcloud.com/server/20/admin_manual/...

[Константин]

Andrey Barbolin, Дело было в настройках самого cloudflare там стояло 3 месяца для HSTS поставил пол года ошибка исправлена

To enable HSTS using the dashboard:
1. Log in to the Cloudflare dashboardOpen external link and select your account.
2. Select your website.
3. Go to **SSL/TLS** > **Edge Certificates**.
4. For **HTTP Strict Transport Security (HSTS)**, click **Enable HSTS**.
5. Read the dialog and click **I understand**.
6. Click **Next**.
7. Configure the HSTS settings.
8. Click **Save**.

Answer 2

[Drno]

https://www.nginx.com/blog/http-strict-transport-s...

Вот мой конфиг Nginx, всё работает. правда у меня нет coudflare

spoiler

#Nextlcoud
server {
        listen 443 ssl http2;
        server_name site.ru;
        keepalive_timeout 70;
        ssl_certificate /etc/letsencrypt/live/site.ru/fullchain.pem; # managed by Certbot
        ssl_certificate_key /etc/letsencrypt/live/site.ru/privkey.pem; # managed by Certbot

# set max upload size and increase upload timeout:
        client_max_body_size 32G;
        client_body_timeout 300s;
        fastcgi_buffers 64 4K;

location / {
    location / {
        proxy_pass http://localhost:8083;
        proxy_set_header   Host $http_host;
    proxy_set_header   X-Real-IP $remote_addr;
    proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header   X-Forwarded-Proto $scheme;
    proxy_cache off;
}
}
# Rule borrowed from `.htaccess` to handle Microsoft DAV clients
    location = / {
        if ( $http_user_agent ~ ^DavClnt ) {
            return 302 /remote.php/webdav/$is_args$args;
        }
}
#    location = /robots.txt {
#        allow all;
#        log_not_found off;
#        access_log off;
#
    location ^~ /.well-known {
        # The rules in this block are an adaptation of the rules
        # in `.htaccess` that concern `/.well-known`.

        location = /.well-known/carddav { return 301 /remote.php/dav/; }
        location = /.well-known/caldav  { return 301 /remote.php/dav/; }

        location /.well-known/acme-challenge    { try_files $uri $uri/ =404; }
        location /.well-known/pki-validation    { try_files $uri $uri/ =404; }

        # Let Nextcloud's API for `/.well-known` URIs handle all other
        # requests by passing them to the front-end controller.
        return 301 /index.php$request_uri;
    }
}