Reverse Proxy und SSL_ERROR_RX_RECORD_TOO_LONG

[StSch]

Hallo zusammen,

seit ein paar Tagen besitze ich eine DS418.

Ich möchte von außen über das Internet auf verschiedene Geräte in meinem Heimnetzwerk zugreifen, z.B. auf meinen SAT-Receiver (eine Dreambox DM7020HD). Unter => Systemsteuerung => Anwendungsportal => Reverse Proxy habe ich mir eine entsprechende Regel konfiguriert. Quelle: https://dreambox.meinhost.de (Bsp.), Ziel: http://192.168.0.2. Beim Aufruf von https://dreambox.meinhost.de erhalte ich in Firefox die Fehlermeldung "Gesicherte Verbindung fehlgeschlagen. SSL hat einen Eintrag erhalten, der die maximal erlaubte Länge überschritten hat. Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG.

Was läuft hier schief? Und was muss ich tun um das Teil zum Laufen zu bekommen?

Viele Grüße,
Steffen

 

[TeXniXo]

Dieser Fehler besagt, dass dein Browser (FF) sichere Daten via HTTPS erwartet, dein WebStation aber unsichere Daten via HTTP verschickt.
Hast vermutlich Apache in WebStation genommen? Probier mal mit NGINX - natürlich testerweise.
Hast du evtl. auch die Funktion "http zu https zwingen" aktiviert (Systemsteuerung - Netzwerke - DSM Einstellungen)?

Evtl. mal auch testerweise andere Browser verwenden?

 

[StSch]

Im Anhang ein Screenshot meiner DSM-Einstellungen. Das Paket Web Station ist nicht installiert. Mit anderen Browsern erhalte ich ähnliche Fehlermeldungen. Z.B. Chrome: ERR_SSL_PROTOCOL_ERROR .

 

[tproko]

Quelle: https://dreambox.meinhost.de (Bsp.), Ziel: http://192.168.0.2

Deine Quelle rufst du mit https ab, dein Ziel liefert aber http.
Entweder stellst du dein Ziel auf https Antwort um, oder du musst deine Quelle mit http only abrufen. Die Umstellung von 192.168.0.2 auf https ist natürlich definitiv zu bevorzugen (was auch immer da läuft, unter http sollte nichts mehr im Internet verfügbar sein).

 

[Benares]

Ist es nicht auch der Sinn eines Reverse-Proxy, das ganz Zertifikats-Geraffel an einer Stelle zentral abzuwickeln, anstatt auf jedem WEB-Server einzeln?
Außerdem vereinfacht das die Firewalleinstellungen.
Ich mache das auch so, dass ich extern https auf intern http über den Reverse-Proxy weiterleite - und das klappt.
Ich bin mir nicht sicher, aber ich meine, dafür muss einfach nur HSTS bei den Reverse-Proxy-Einstellungen aktiviert sein.

Edit:
Ach nein, jetzt fällt's mir wieder ein. HSTS war's nicht. Man muss unter /usr/local/etc/nginx/sites-enabled noch für jede Umleitung eine Rewrite-Rule einrichten, beispielsweise mit einer Datei dreambox-redirect.conf mit folgendem Inhalt:

server {
  listen 80;
  server_name dreambox.meinhost.de;

  return 301 https://$host$request_uri;
}

 

[tproko]

Ok, wenn der Reverse Proxy das immer einfach machen kann, umso besser. SSL terminiert dann wohl am Reverse Proxy (?), was vielleicht eh okay ist, kommt auf die Anwendung drauf an.

Ich nutze diesen Part der Synology nicht, kenne nur diese Fehlermeldung.
Und die deutet dann darauf hin, dass der Reverse Proxy das in diesem Fall noch nicht macht.

 

[StSch]

Entweder stellst du dein Ziel auf https Antwort um, oder du musst deine Quelle mit http only abrufen.

Ziel auf https umgestellt (https musste explizit aktiviert werden), ich bekomme weiterhin die gleiche Fehlermeldung.

 

[Benares]

Schaut mal mein Edit in #5 an.

 

[Fusion]

Miss Match http/https Verkehr ist meines Wissens PR_END_OF_FILE Fehler oder ähnlich.
SSL_RECORD_TOO_LONG ist eher wenn der Client/Browser und Server keinen übereinstimmende Cipher verwenden können.
Das war glaube unter Sicherheit ganz rechts 'moderne Kompatibilität' oder ähnlich.

 

[tproko]

Schaut mal mein Edit in #5 an.

Ok, wieder was gelernt. Danke!
Dann editiert man irgendwann eh "einfach" nur mehr die Apache oder Nginx Konfigs und dort ist alles möglich, was das Framework bietet (bin davon ausgegangen, dass du das übers DSM GUI noch lösen konntest ).

 

[StSch]

Schaut mal mein Edit in #5 an.

OK, danke, komme aber erst wieder morgen Vormittag dazu.

 

[StSch]

SSL_RECORD_TOO_LONG ist eher wenn der Client/Browser und Server keinen übereinstimmende Cipher verwenden können.
Das war glaube unter Sicherheit ganz rechts 'moderne Kompatibilität' oder ähnlich.

Ja, nennt sich "Moderne Kompatibilität", ändert aber nichts, Fehler tritt weiterhin auf.

 

[Fusion]

Dann hängt es vielleicht eher am Client.
Sehr beliebt sind da Z.B. "Sicherheitsanwendungen" die sich ins System einklinken und die TLS Verbindung aufbrechen (Browser > Security Suite / Anti-virus > Server) und eher für Probleme sorgen als Sicherheit bringen.

 

[TeXniXo]

Erreichst du deine Hauptseite DSM-Oberfläche - da du ja WebStation nicht installiert hast - ohne SSL-Probleme mit deiner Hauptdomain-Adresse?

 

[StSch]

Man muss unter /usr/local/etc/nginx/sites-enabled noch für jede Umleitung eine Rewrite-Rule einrichten, beispielsweise mit einer Datei dreambox-redirect.conf mit folgendem Inhalt:
...

Datei angelegt, Nginx neu gestartet, ich erhalte weiterhin die gleiche Fehlermeldung :-(.

 

[Fusion]

Wie soll das auch was ändern? Die rewrite rule sorgt nur für eine http>https Umleitung/Umsetzung. Das ändert nichts am TLS Protokoll Fehler.

https://support.mozilla.org/en-US/questions/1222739https://support.mozilla.org/en-US/k...ocale=en-US#w_avast-and-avg-security-products
Neben verschiedenen Browsern im Werkszustand und ohne Addons kannst noch die anderen Sicherheitseinstellungen außer 'moderne Kompatibilität' testen. Mindestens Browser neu starten, Extremfall auch DS.
Wenn man dann einen Zustand findet wo es (teils) funktioniert sollte man nochmal genauer hinsehen, dass man sich nicht ne Lücke reißt, weil man nur tls 1 aktiviert.

 

[Benares]

Mmh, bei TLS usw. hört's bei mir auf

@StSch:
Hast du auch schon mit unterschiedlichen Browsern probiert?
Bei Start, "Internetoptionen", Erweitert gibt's auch ein paar Einstellungen zu "TLS". Bei mir sieht's da so aus