PhpMyAdmin und Webseiten via Https?

[User061115]

Hallo Zusammen!

Es gibt etwas, dass ich noch nie richtig verstanden habe...
Ich habe inn der Vergangenheit schon einmal phpMyAdmin verwendet, es aber längere Zeit nicht mehr genutzt. Nachem ich es jetzt wieder aktiviert habe, kann ich über den "Programm-Link" im DSM Menü nicht mehr darauf zugreifen (ich kann mich eigentlich nicht erinnern, dass ich beim letzten Mal Probleme hatte) Ich komme nur auf eine Seite mit der Melung: "Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden.". Um trotzdem phpMyAdmin nutzen zu können, muss ich in der URL das https durch http ersetzen. An sich erstmal nicht tragisch, da ich außerhalb meines Netzwerkes kein phpMyAdmin verwenden muss aber da ich vorhabe z.B. die Mail-App Rainloop zu installieren ist mir eine verschlüsselte Verbindung schon wichtig.
Meine Frage bzw. mein Problem ist also, dass ich per https ausschließlich auf die DSM Oberfläche und offizielle Apps wie VideoStation zugreifen kann und alles andere und das was im web-Verzeichnis liegt nur unverschlüsselt errichbar ist.
Das muss doch auch anders gehen?! Ich habe bereits eine ziemlich identscihe Frage hier im Forum gefunden (Link) aber das sieht mir irgendwie nach "rumgebastel" aus. Gibt es da keinen aderen Weg? Sowas wie eine offizielle Einstellung, die festlegt, was per http und was per https erreichbar sein soll.

Schon mal Danke im Vorraus für Antworten!


NAS: Synology DS214+
DSM-Version: 6.0.1

 

[TheGardner]

Also eigentlich müsste das automatisch funktionieren! Damit meine ich: ist eine Webseite per https erreichbar, dann sollte auch phpmyadmin so zu erreichen sein! Ich habe bei mir noch fogende Punkte in der DSM Systemsteuerung ausgefüllt:

Externer Zugriff - Erweitert
Netzwerk - DSM Einstellungen

Dort stehen bei mir nochmal expliziert die Ports drinnen, die für die Verwendung von http und/oder https zu verwenden sind. Außerdem müssen die entsprechenden Ports auch am Router / wie in der DS Firewall freigeschalten sein, wenn Du von außen auf die beiden Services zugreifen willst!

 

[Fusion]

Ist halt manchmal nicht ganz einfach mit den zwei Webservern und den diversesten Konfigurationen.
Zudem gehen manche Sachen z.B. Video Station Streaming glaube ich nicht per https (einloggen schon).
Wenn du HSTS einschaltest wird der Browser gebeten immer auf https zu wechseln, auch wenn er per http anfragt.

Systemsteuerung > Netzwerk > DSM bezieht sich auf den System-Webserver und dahinter liegende Dienste
Systemsteuerung > Anwendungsportal ebenfalls (inkl Reverse Proxy ab DSM 6), Webdienste/Web Station Paket auf den User-Webserver

 

[User061115]

Um für nachfolgende Interessierte die Frage zu beantworten, hier die Lösung die ich mittlerweile gefunden habe:

Es ist mir fast schon zu peinlich, denn es war ausschließlich mein eigener Fehler... Ich hatte vor längerer Zeit in meinem Router eine Portumleitung eingerichtet, die mir den Port 443 auf 5001 umgeleitet hat. Das bedeuet alles was per SSL kam wurde auf 5001, also der DSM Oberfläche umgeleitet und das Web-Verzeichnis was damit nicht zu erreichen (https://meinDomain.de/Webseite:5001 geht nun mal nicht). Der Grund dafür war um von außerhalb auf die DSM Oberfläche zugreifen zu können, auch wenn z.B. ein Proxy im anderen Netzwerk den 5001 Port blockiert hat. Mittlerweile habe ich das geändert und es funktioniert!

 

[Fusion]

Alles klar. Danke für die Rückmeldung.

 

[Reto B]

Guten Abend

Ich habe auch so ein Problem das meine webseite von http auf https nicht umleitet, habe ein ssl von Let’s Encrypt gemacht und das geht auch über mein server der ist gesichert und ich habe ein ds918+.
Ich weiss jetzt nicht ob ich da mit dem server backend was falsch mache, ich habe der nginx und auch hsts aktiviert und natürlich auch http zu https umleiten da im dsm einstellung.
Bitte um hilfe und ich möchte mich schon im voraus bei euch bedanken fürdie hilfe oder das feedback
Gruss

 

[Fusion]

Systemsteuerung - Netzwerk - DSM Einstellungen ist für den DSM alleine, nicht für die Web Station (steht dort auch direkt schwarz auf weiß)
Die Umleitung für eine we-site kann via .htaccess (apache) oder Änderungen in der config (nginx) erfolgen. Für letzteres ist root access auf der Konsole notwendig.

 

[Reto B]

Hallo Fusion

Danke für deine schnelle Antwort!.. also das mit dem .htaccess weis ich nicht wie das geht oder was mann da machen muss und in der nginx die änderung da habe ich mal was gefunden aber ich denke das es für die synology selber war und zwar ich musste in der /etc/nginx/conf.d/ eine datei erstellen mit dem namen /http.hsts.conf/ und dor musste ( add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;"; ) das stehen einfach ohne die () aber das ging nicht für die web. und der phpmyadmin ging auch nicht mehr und der ts3webint ging auch nicht mehr

 

[Fusion]

Für nginx habe ich unter /usr/syno/share/nginx/WWWService.mustache ein

return 301 https://$host$request_uri;

in den Server Listen 80 Block gesetzt. Update/Upgrades/Neustart-Überleben noch nicht getestet bzw. nicht darauf geachtet (bilde mir zumindest ein, dass es inzwischen mal ein Neustart und DSM Update gab).

Für den Apache habe ich direkt unter /web eine .htaccess mit

RewriteEngine On

# only ssl
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R,L]

angelegt.

Egal, welches Backend ich nehme es wird immer umgeleitet.
Allerdings ist diese Umleitung immer auf Port 443.
Wenn man also Dienste per https auf anderen Ports laufen hat, muss man diese auch weiterhin mit dem Port direkt aufrufen.

 

[Reto B]

super Danke dir Fusio ich probiere es gleich mal aus und gebe dir ein feedback

 

[Reto B]

ich weiss nicht was ich falsch mache aber es geht nicht?? ist das so richtig

 

[Fusion]

Pack das mal unter die Zeile mit {{.....WWW_MAIN}}

Und um dann beurteilen zu können, ob du was falsch machst, oder was sonst ist braucht man dann Details zu Hosts / Tests / Fehlermeldungen.

Edit:
Erster Test den ich machen würde ist die DS mit der internen oder externen IP per http aufzurufen.

 

[Reto B]

okay danke ich bin schon langsam am verzweifeln

 

[Reto B]

Diese Website ist nicht sicher.

Dieses Problem deutet eventuell auf den Versuch hin, Sie zu täuschen bzw. Daten, die Sie an den Server gesendet haben, abzufangen. Die Website sollte sofort geschlossen werden.

?
Zur Startseite wechseln
Details
Der Hostname im Sicherheitszertifikat der Website stimmt nicht mit dem Namen der Website überein, die Sie besuchen möchten.
Fehlercode: DLG_FLAGS_SEC_CERT_CN_INVALID
Webseite trotzdem laden (Nicht empfohlen)

77.58.205.50 verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat gilt nur für jero65.synology.me. Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN

 

[Fusion]

Dann funktioniert doch alles wie gewünscht.
Da du die Seite per IP aufrufst kann jedwedes Zertifikat nicht übereinstimmen und produziert eine Warnung.
Dass diese Warnung kommt sagt dir aber, dass du erfolgreich von http auf https umgeleitet wurdest, sonst würde ja keine SSL Warnung kommen beim Aufruf einer http Seite.

Deine dynDNS Adresse kannst ja noch teil-anonymisieren.
Ebenfalls deine öffentliche IP, auch wenn sich diese ab und an eventuell ändert.

Jedenfalls sollte die Umleitung damit jetzt auch gehen, wenn du deine http://xxx.synology.me aufrufst.
Andere Host abhängig von weiteren Einstellungen / Konfguration.

 

[Reto B]

also wenn ich jetzt die webseite aufrufe von meiner schwester praxis kommt es aber nicht auf https ausser du kannst das testen www.luna-cornelia.ch oder ich habe langsam eins am kopf hmm...

 

[Fusion]

Ist denn deine DS per Port 80 erreichbar?
Ich denke nicht.
Wenn der Port 80 aber nicht offen ist, kann es auch keine Umleitung 80 > 443 (http > https) geben

 

[Reto B]

der sollte offen sein !... hmm

 

[Fusion]

Kann nur sagen, dass er von hier aus (deutsche IP) zu ist.
Offen ist nur 21 (ftp), 24 (ssh), 443 (https), 5000 (DSM http), 5001 (DSM https)

21 und 5000 lieber schließen. Zur Not sftp öffnen. Da du für den DSM eh immer den Port mit angeben musst, kann man sich die Umleitung http > https von 5000 > 5001 auch gleich sparen.
24, ssh lieber auf einen anderen Port >1024 legen, oder ganz zu machen.
5001 auch eher zu als offen. Diverse Syno Anwendungen kann man auch via 80/443 zugänglich machen.
Im Idealfall würde man das nur per VPN nutzen, aber das ist nicht immer für jeden die Beste Lösung.

 

[Reto B]

okay also jetzt stehe ich an jetzt schmeisse ich dann der ganze misst weg ...