Reverse Proxy über GUI funktioniert nicht

[zeichensatz]

Ich habe Probleme einen funktionierenden Eintrag unter Systemsteuerung | Anwendungsportal | Reverse Proxy hinzubekommen.
Ich möchte den Aufruf z.B. von test.meinedomain.de:8080 auf einen lokalen Webserver (nicht auf der DS!!) umleiten.
Also gebe ich ein:

Quelle:
Protokoll: http
Hostname: test.meinedomain.de
Port: 8080

Ziel:
Protokoll: http
Hostname: 192.168.1.30
Port: 80

Wenn ich danach die Quellseite aufrufe, dann erhalte ich die Ausgabe der Webstation für eine nicht eingerichtete Website.

Was mache ich falsch?
Wo kann ich prüfen, was falsch läuft?

Vielen Dank schon mal für jede Hilfe!

Wolle


DS214play
DSM 6.1.1-15101 Update 2

 

[Fusion]

Und 192.168.1.30 ist nicht die IP der DS sondern eine andere Maschine?
Wo kommst du raus, wenn du DS-IP:8080 anwählst?

 

[zeichensatz]

Und 192.168.1.30 ist nicht die IP der DS sondern eine andere Maschine?

Ja, das ist ein anderer Webserver/eine andere Maschine.

Wo kommst du raus, wenn du DS-IP:8080 anwählst?

Ah, das hatte ich gar nicht ausprobiert! Da komm ich tatsächlich auf den Webserver 192.168.1.30.

Hmmh, aber wie bekomme ich das hin, dass auch der externe Aufruf dahin umgeleitet wird?

 

[Fusion]

Wenn die IP funktioniert und anders nicht liegt es wohl an der Namensauflösung.

Von wo aus wird der Aufruf getestet? intern, extern, ....
Was liefert ein nslookup test.domain.de auf der Konsole/Terminal/Eingabeaufforderung auf diesem Gerät?

Von extern z.B.
- zeigt test.domain.de auf die öffentliche IP des Routers?
- ist im Router Port 8080 an Port 8080, oder 80 an 8080 weitergeleitet?
- sind im Reverse Proxy oder in den Netzwerk > DSM Einstellungen HSTS Optionen oder https Umleitungen aktiv?

 

[zeichensatz]

Wenn die IP funktioniert und anders nicht liegt es wohl an der Namensauflösung.

Welcher Eintrag müsste in meinem Beispiel im DNS-Server erfolgen?

Von wo aus wird der Aufruf getestet? intern, extern, ....

Bisher habe ich nur von intern getestet.

Was liefert ein nslookup test.domain.de auf der Konsole/Terminal/Eingabeaufforderung auf diesem Gerät?

Das gibt die korrekte öffentliche IP meines Routers aus.

Von extern z.B.
- zeigt test.domain.de auf die öffentliche IP des Routers?

Ich habe gerade mal den Browser des Mobiltelefons von extern die test.domain.de:8080 aufrufen lassen und das führt ebenfalls zur Ausgabe der Webstation-Seite für nicht eingerichtete Sites.

- ist im Router Port 8080 an Port 8080, oder 80 an 8080 weitergeleitet?

Im Router ist Port 8080 auf Port 80 der DS weitergeleitet.
Port 80 auf dem Router ist an den Port 80 des Webservers 192.168.1.30 weitergeleitet.

- sind im Reverse Proxy oder in den Netzwerk > DSM Einstellungen HSTS Optionen oder https Umleitungen aktiv?

Nein.

Danke für die Unterstützung!

 

[Fusion]

Wofür brauchst du überhaupt den Reverse Proxy, wenn test.domain.de (port 80) eh schon auf das richtige Ziel geschickt wird?

Und der eigentliche Fehler: Port 8080 an Port 80 auf die DS. Der Reverse proxy lauscht aber auf 8080. Auf port 8080 kommt aber in dieser Konstellation überhaupt kein Verkehr auf der DS an.
Deshalb geht es auch nur via DS-LAN-IP:8080 gerade. Also die Portweiterleitung von 8080>80 auf 8080>8080 ändern, dann geht es auch mit dem Reverse proxy.
Und wie gesagt, mal überlegen, ob du den überhaupt brauchst.

 

[zeichensatz]

Und der eigentliche Fehler: Port 8080 an Port 80 auf die DS. Der Reverse proxy lauscht aber auf 8080. Auf port 8080 kommt aber in dieser Konstellation überhaupt kein Verkehr auf der DS an.
Deshalb geht es auch nur via DS-LAN-IP:8080 gerade. Also die Portweiterleitung von 8080>80 auf 8080>8080 ändern, dann geht es auch mit dem Reverse proxy.
Und wie gesagt, mal überlegen, ob du den überhaupt brauchst.

Danke für die Erklärung! Genau das war der Fehler, der recht merkwürdige/verwirrende Ergebnisse gebracht hat.
Ich habe gestern noch mit https bzw. Port 443 rumprobiert und diese Anfragen über den Reverse proxy umgeleitet und das funktionierte, weil der Router-IP:443 bereits korrekt auf die DS-IP:443 eingestellt war.

Zur Erklärung: Ich wollte zunächst über den Port 8080 rumprobieren, wie der Reverse proxy überhaupt funktioniert.

Wofür brauchst du überhaupt den Reverse Proxy, wenn test.domain.de (port 80) eh schon auf das richtige Ziel geschickt wird?

Richtig. Ich will eigentlich was anderes:
Die DS soll künftig alle über die Ports 80 und 443 eingehenden Anfragen verwalten.
Auf der DS ist auch ein SSL-Zertifikat von Encrypt installiert.
Im lokalen Netz laufen noch zwei weitere unterschiedlich konfigurierte (PHP5/PHP7) Webserver (virtuelle Rechner unter VMware) mit diversen vhosts. Mit dem Reverse proxy kann ich nun die Anfragen auf diese Webserver verteilen.
Auf der DS selbst sind keine vhosts eingerichtet, nur die Photostation u.ä. sowie natürlich die Verwaltung der DS.

Interessant finde ich, dass bei den https-Aufrufen, die auf einen internen Webserver (ebenfalls über https) umgeleitet werden, nicht dessen selbstausgestelltes Zertifikat verwendet wird, sondern das Zertifikat der DS (sofern die aufgerufene Domain darin enthalten ist). Das ist recht praktisch.

Nochmals herzlichen Dank für die Unterstützung. Ich glaube, jetzt habe ich die Konfiguration des Reverse proxy verstanden.

 

[Fusion]

ok, dann macht das auch Sinn, die DS als zentralen Endpunkt für 80/443 und internen Verteilung.

Und das mit dem Zertifikat ist auch einfach gesagt.
Der Proxy sitzt ja zwischen dem Client und dem Server. Der Client redet nur mit dem Reverse Proxy. Damit ist für den SSL verschlüsselten Verkehr zwische Proxy und Client nur das Zertifikat auf der DS sichtbar.
Wie der Verkehr hinter dem Proxy läuft ist da ja außen vor. Du könntest dort also per https oder nur per http etc zum eigentlichen Ziel gehen. Der Client bekommt davon nix mit. Die DS ist sozusagen man-in-the-middle.

 

[zeichensatz]

Ja, so hab ich mir das mit dem Proxy und dem Zertifikat auch gedacht.
Hat nur den Nachteil, dass in den Webserver-Logs nur noch die DS-IP als Anfrager gelistet wird, was allerdings für mich kein Problem darstellt.

Mit dem Reverse Proxy kann ich auch die automatische Umleitung von http auf https für bestimmte Domains erzwingen. Damit spart man sich die zusätzliche vhost-Konfiguration.