Hallo zusammen,
ich habe einige Verständnisfragen zu Reverse Proxies und HTTP/HTTPS, die ich gerne klären würde.
Vorab die Rahmenbedingungen:
1. Ich habe sowohl für das DSM als auch einige Applikationen (Filestation, Notestation und mehrere Docker Applikationen) Reverse Proxies konfiguriert um über das Internet die entsprechenden Applikationen per HTTPS mit dem oben genannten Lets Encrypt Zertifikat zu nutzen. Das funktioniert auch einwandfrei. Ich habe in einigen Tutorials und auch hier im Forum öfter aber gesehen, dass die Zielkonfiguration für den Localhost auch per HTTPS konfiguriert wurde.
Meine Konfiguration sieht aber so aus:
Vielleicht habe ich irgendwo einen Denkfehler, aber wenn ich mein eigenes LAN als "sicher" betrachte, welchen Sinn macht es dann lokal HTTPS zu nutzen? Übersehe ich hier etwas?
2. Entsprechend habe ich auch unter den DSM-Einstellungen die Option "HTTP-Verbindungen automatisch zu HTTPS umleiten" ausgeschaltet. Siehe Screenshot:
Auch hier die Frage: Habe ich irgendeinen Vorteil das einzuschalten, wenn ich (meines Erachtens) lokal nur HTTP brauche und alle externen Verbindungen über die oben genannten Reverse Proxies nur über HTTPS zulasse?
3. Wie oben geschrieben, habe ich die Portfreigabe für Port 443 (auf die NAS IP) aktiviert. Temporär hatte ich aber auch Port 80 freigegeben. In Kombination mit meinen Einstellungen oben war ich mir aber unsicher ob das "sicher" ist. Mein Verständnis ist: Wenn ich Port 80 freigebe (auf die NAS IP), muss ich auch die Option "HTTP-Verbindungen automatisch zu HTTPS umleiten" aktivieren. Ist das korrekt? So ist zumindest mein Verständnis dieses Links https://letsencrypt.org/docs/allow-port-80/
Port 80 hatte ich aber nur wegen dem Let's Encrypt Zertifikat Renewal offen, wobei ich da auch im Netz unterschiedliche "Meinungen" dazu lese ob Port 80 oder 443 offen sein muss für ein Renewal. Ich würde den Port aber im Zweifel für das Renewal manuell kurz freigeben und danach wieder schliessen.
4. Wenn ich für eine reverse proxied Docker Applikation noch zusätzlich eine Authentifizierung nutzen möchte (weil die Applikation keine hat oder ich ihr nicht "traue"), dann muss ich den Reverse Proxy manuell (und NICHT über die GUI) auf Basis von nginx konfigurieren, oder?
ich habe einige Verständnisfragen zu Reverse Proxies und HTTP/HTTPS, die ich gerne klären würde.
Vorab die Rahmenbedingungen:
- DS918+ die in den eigenen vier Wänden steht. Außer meiner Frau und mir keine Anwender.
- Fritz!Box 7490 mit Portfreigabe 443 auf die NAS IP
- DynDNS über eigene (Sub)domain bei Strato in der Fritz!Box eingerichtet
- Lets Encrypt Zertifikat über DSM für die obige Subdomain und eine Reihe alternativer Subdomains eingerichtet
1. Ich habe sowohl für das DSM als auch einige Applikationen (Filestation, Notestation und mehrere Docker Applikationen) Reverse Proxies konfiguriert um über das Internet die entsprechenden Applikationen per HTTPS mit dem oben genannten Lets Encrypt Zertifikat zu nutzen. Das funktioniert auch einwandfrei. Ich habe in einigen Tutorials und auch hier im Forum öfter aber gesehen, dass die Zielkonfiguration für den Localhost auch per HTTPS konfiguriert wurde.
Meine Konfiguration sieht aber so aus:
Vielleicht habe ich irgendwo einen Denkfehler, aber wenn ich mein eigenes LAN als "sicher" betrachte, welchen Sinn macht es dann lokal HTTPS zu nutzen? Übersehe ich hier etwas?
2. Entsprechend habe ich auch unter den DSM-Einstellungen die Option "HTTP-Verbindungen automatisch zu HTTPS umleiten" ausgeschaltet. Siehe Screenshot:
Auch hier die Frage: Habe ich irgendeinen Vorteil das einzuschalten, wenn ich (meines Erachtens) lokal nur HTTP brauche und alle externen Verbindungen über die oben genannten Reverse Proxies nur über HTTPS zulasse?
3. Wie oben geschrieben, habe ich die Portfreigabe für Port 443 (auf die NAS IP) aktiviert. Temporär hatte ich aber auch Port 80 freigegeben. In Kombination mit meinen Einstellungen oben war ich mir aber unsicher ob das "sicher" ist. Mein Verständnis ist: Wenn ich Port 80 freigebe (auf die NAS IP), muss ich auch die Option "HTTP-Verbindungen automatisch zu HTTPS umleiten" aktivieren. Ist das korrekt? So ist zumindest mein Verständnis dieses Links https://letsencrypt.org/docs/allow-port-80/
Port 80 hatte ich aber nur wegen dem Let's Encrypt Zertifikat Renewal offen, wobei ich da auch im Netz unterschiedliche "Meinungen" dazu lese ob Port 80 oder 443 offen sein muss für ein Renewal. Ich würde den Port aber im Zweifel für das Renewal manuell kurz freigeben und danach wieder schliessen.
4. Wenn ich für eine reverse proxied Docker Applikation noch zusätzlich eine Authentifizierung nutzen möchte (weil die Applikation keine hat oder ich ihr nicht "traue"), dann muss ich den Reverse Proxy manuell (und NICHT über die GUI) auf Basis von nginx konfigurieren, oder?
