Kein Zugriff auf dienst.example.com "ERR_CONNECTION_TIMED_OUT"

[uschumac]

Hallo,
nachdem ich die Foren nun schon durchforstet habe und keine Lösung für mein Problem entdecken konnte, mache ich mal einen neuen Thread auf.
Ich habe eine DS718+ hinter einer Fritzbox 7590 hängen. Ich habe eine eigene Domain bei selfhost gehostet. Der Zugriff darauf funktioniert auch prima mit https://www.example.de. Dann lande ich auf meiner DSM-Oberfläche. Seit über einem Jahr habe ich für die Anwendungen im Anmeldeportal Domänen definiert z.B. mit photo.example.de und für meinen Bitwarden-Host bitwarden.example.de. Seit einigen Wochen kann ich diese aber nicht mehr darüber aufrufen. Das führt dazu, dass ich z.B. beim Speichern von Änderungen im Bitwarden eine "Failed to Fetch" Meldung bekomme oder beim Aufruf von bitwarden.example.de eine "ERR_CONNECTION_TIMED_OUT". Erst dachte ich es liegt an der bitwarden Installation, aber ich bekomme die gleiche Meldung auch bei photo.example.de.
Was vielleicht im zeitlichen Zusammenhang stehen könnte ist mein Versuch eine VPN-Verbindung zu konfigurieren, damit ich aus dem Ausland auf deutsche Inhalte zugreifen kann. Da bin ich mir nicht sicher, ob ich das alles richtig konfiguriert habe. Ich bekomme zwar eine VPN Verbindung, aber ich werde immer nach dem Zertifikat gefragt, welches ich über Let's Encrypt erstellt und unter Systemsteuerung-Sicherheit-Zertifikat-Einstellungen zugeordnet habe. Außerdem habe ich, wenn ich mich mit meinem Rechner (MacBook) über VPN anmelde, keine Verbindung zum Internet. Das ist aber ein anderes Thema und nicht so wichtig. Wichtig ist mir, wieder die Einträge im bitwarden sichern und ändern zu können.

Wahrscheinlich habe ich die Hälfte der benötigten Informationen vergessen. Gerne liefere ich diese nach.

Über Unterstützung würde ich mich freuen.

 

[plang.pl]

Da hapert es vielleicht an der Auflösung der Subdomains.
Also mal DNS-Auflösung mit nslookup prüfen.

 

[uschumac]

Danke für die schnelle Reaktion. Wenn ich nslookup eingebe mit bitwarden.example.de bekomme ich die aktuelle öffentliche IP-Adresse meiner Domäne. Ist das korrekt?

 

[alexhell]

Ist das die selbe IP wie sie dir bei https://www.wieistmeineip.de angezeigt wird?

 

[uschumac]

Ja, das ist die selbe. Und Sie stimmt auch mit der IPv4 überein, die mir meine Fritzbox ausgibt.

 

[alexhell]

Hast du eine Firewall aktiv?

 

[uschumac]

alexhell, danke für deine schnelle Reaktion.
Auf der Synology nicht, in der Fritzbox habe ich den Stealth Modus mal ein, mal ausgeschaltet. Das macht aber keinen Unterschied. Ansonsten habe ich keine Ahnung, wie ich die Firewall in der Fritzbox ein/ausschalte. Ich mache dort aber die benötigten Portweiterleitungen.

 

[alexhell]

Welche Ports hast du denn weitergeleitet? Und du greifst auch mit dem richtigen Protokoll zu? Also HTTPS? Oder HTTP... Je nachdem was du konfiguriert hast und welche Ports freigegeben sind.

 

[uschumac]

Habe meine Freigabeliste unten angehängt. Hoffe das hilft.

 

[alexhell]

Nee tut es nicht. Was tippst du in den Browser ein? Was hast du in der Fritzbox freigegeben?

 

[uschumac]

In den Browser tippe ich "bitwarden.example.de"
In der Fritzbox habe ich für bitwarden folgendes eingegeben:
Bezeichnung Bitwarden
Protokoll UDP
Port an Gerät 5152 bist Port 5152
Port extern 5152
Nur IPV4
Freigabe aktivieren gesetzt

und zusätzlich

Bezeichnung Bitwarden
Protokoll TCP
Port an Gerät 5152 bist Port 5152
Port extern 5152
Nur IPV4
Freigabe aktivieren gesetzt

Für Synology Photos:

Bezeichnung https-DS Manager/Photos
Protokoll TCP
Port an Gerät 5001 bist Port 5001
Port extern 5001
Nur IPV4
Freigabe aktivieren gesetzt

Für OpenVPN
Bezeichnung OpenVPN
Protokoll UDP
Port an Gerät 1194 bist Port 1194
Port extern 1194
Nur IPV4
Freigabe aktivieren gesetzt

Weiters sind auf Ports 80, 5006 (DS File Server), 6690 (Cloud Station) 8443(CardDav), 5000(Synology Photos), 9000 (portainer) und noch mal 5000 als IPv6 (warum, weiß ich nicht mehr :-()

Ach ja. Ich nutze nur HTTPS wenn möglich.

 

[alexhell]

Ok.... Das erklärt das Problem.
bitwarden.example.de entspricht bitwarden.example.de:80. Du müsstest bitwarden.example.de:5152 eintippen. Aber das ist nur HTTP. Vaultwarden läuft aber nur mit HTTPS. Ich würde an deiner Stelle alle Ports wieder schließen und nur 443 öffnen und auf die DS leiten. Dies dann mit dem Reverse Proxy auf der NAS verteilen.

 

[uschumac]

Ok... Und wie verteile ich das dann mit dem Revers Proxy auf der NAS?
Quelle: https?
Hostname: bitwarden.example.de?
Port: 443?
Check bei HSTHS aktivieren?

Ziel:
Protokoll: HTTPS?
Hostname: localhost?
Port: ?

 

[alexhell]

Quelle: https
Hostname: bitwarden.example.de
Port: 443
Check bei HSTHS aktivieren ja

Ziel:
Protokoll: HTTP?
Hostname: localhost
Port: deinen Port von vaultwarden, den du gemappt hast

 

[uschumac]

Das probiere ich mal aus. Und in der Fritzbox mache ich nur eine Portfreigabe für die Anwendung HTTPS mit Port 430 an 430 für IPv4, korrekt?

 

[alexhell]

Nein, 443.

 

[uschumac]

Ja stimmt. Vor lauter Aufregung vertippt.

 

[uschumac]

Liebe(r) alexhell,

vielen, vielen, vielen , VIELEN DANK!!!!! Das ist die Lösung! Ich habe in der FritzBox den Port 443 weitergeleitet als HTTPS und nun funktionieren bitwarden, photo, kontakte wieder.
Das Thema hat mir in den letzten Monaten (!!!) oft den Kopf zerbrochen. Ich kann gar nicht genug Danken.
Kann es noch gar nicht fassen, dass es jetzt wieder funktioniert. Ich verneige mich vor deiner Expertise.

 

[alexhell]

Sehr gerne. Freut mich, dass es jetzt so funktioniert wie du es wolltest.
Ich würde die empfehlen, falls du es noch nicht gemacht hast, den Port 5001 zu schließen. Das ist ein bekannter standard Port. Die bösen Jungs/Mädels/Bots wissen, dass in der Regel sich eine Synology dahinter verbrigt. Daher am Besten nicht freigeben. Wirklich alle Ports schließen, bis auf 443 und alles darüber laufen lassen.

 

[uschumac]

Danke! Das werde ich machen.
Kennst du dich auch mit Zertifikaten aus?
Wenn ich photo.example.de eingebe, bekomme ich die Info, dass das nicht vertrauenswürdig ist, bitwarden.example.de aber schon. Liegt es daran, dass ich für bitwarden.example.de eine eigenes Zertifikat habe, photo.example.de aber dem Standard-Zertifikat für example.de zugeordnet habe? Muss ich für jede sub-Domain ein eigenes Zertifikat haben?

Vielleicht passt das hier aber auch nicht hin und ich muss dafür noch eien neuen Thread aufmachen, oder mal danach suchen