Reverse Proxy => Zertifikat?

[StefanW]

Ich habe meine FileStation auf Port 7001 gelegt und mit einem Zertifikat (Let´s Encrypt) versehen, das funktioniert auch gut.




Jetzt wollte ich das die FileStation von extern über Port 80 erreichbar wird, da in vielen Umgebungen andere gesperrt sind.
Deshalb habe ich es mit dieser Regel versucht:




da bekomme ich dann



ich vermute das hier das Zertifikat umgangen wird und keine SSL Verbindung aufgebaut wird obwohl ich auf Portt 7001 verweise.

Wenn ich es bei der Quelle mit HTTPS versuche, erhalte ich folgende Meldung:






Geht das gar nicht so wie ich es mir denke, vielleicht hat jemand einen Tip für mich.
Danke schon mal
Stefan

 

[Fusion]

Es findet keine automatische Umleitung auf https statt.
Es kommt also eine Klartext http Anfrage auf Port 80 an den SSL Port 7001 > Fehler

Also entweder Reverse Proxy als https, 443 > https localhost 7001

Oder gleich im Anwendungsportal > Anwendungen unter File Station die benutzerdefinierte Domain file.domain.de eintragen. Der lauscht dann auch direkt auf 80/443, ohne extra Umleitung.

 

[StefanW]

Hallo,
da habe ich es eingetragen, wenn du das meinst





Eigentlich kommt ja auch keine Fehler, ich interpretiere es so das es einfach unverschlüsselt durchgereicht wird was aber eigentlich nicht sein kann.
Wenn das Zertifikat nicht passen würde käme doch hier eine Zertifikatswarnung, es heißt aber nur das es nicht sicher ist.?

 

[Fusion]

Die Verbindung von extern kommt unverschlüsselt auf Port 80 am Reverse proxy. HIER endet die Verbindung. Deshalb unsicher, weil Chrome alle http Seiten so markiert.
Die Verbindung vom Proxy zum Ziel auf Port 7001 ist dann SSL verschlüsselt, allerdings halt nur auf dem Weg DS nach DS, geräte-intern. Eventuelle SSL Warnungen auf dieser Verbindung bekommst du eh nicht angezeigt, weil es nicht die Verbindung zwischen dir und dem Proxy ist.

 

[StefanW]

Danke für die Erklärung, jetzt habe ich es verstanden.
Dann muss ich mir wohl eine andere Lösung einfallen lassen, weil in der Umgebung noch ein Exchange Server steht und der 443 für OWA nutzt.

Stefan

 

[Matis]

Du solltest Dir ganze Logik nochmals überlegen, ich glaube Du hast das noch nicht ganz verstanden.
Wenn Du über domain.de:443 auf deine Syno kommst, dann kannst dort über reverse proxy mit subdomain Namen so viele verachiedene Dienste einrichten wie du willst. Z.B. owa.domain.de:443 per reverse proxy auf den OL Server umleiten und file.domain.de:443 auf die filestation. Ds.domain.de:443 auf DSM(7001) und domain.de:443 auf deinen Web-Server wenn du einen betreibst. Viel Erfolg.

 

[Frogman]

Jetzt wollte ich das die FileStation von extern über Port 80 erreichbar wird, da in vielen Umgebungen andere gesperrt sind.

Kleine Anmerkung hierzu: was für Ports auch immer gesperrt werden, neben dem (unverschlüsselten) Port 80 für's normale Surfen ist eigentlich immer auch der verschlüsselte Port 443 offen, schon allein deshalb, weil viele Webseiten inzwischen auch nur noch https anbieten.
Daher sollte man tunlichst Port 80 extern nicht nutzen, um sich an seiner DS anzumelden.

 

[StefanW]

OK, habe es mir nochmals angeschaut und probiert, jetzt funktioniert es (sogar mit Zertifikat)
Hier die Einstellungen falls jemand mal eine ähnliche Konfiguration hat.



Ziel-Hostname ist IP Adresse bzw. den Namen vom Exchange Server.

Vielen Dank, gutes neues Jahr noch
Stefan

 

[yes-technik]

Wie sieht es mit der umleitung von http auf https aus? Ich finde nicht die möglichkeit.
Ich habe soweit alles korrekt eingestellt. Wenn ich manuell die subdomain über https aufrufe dann funktinoiert das auch super.
öffne ich von einem andern Client die subdomain ohne eingabe von http oder https vor der domain, so bekomme ich eine 403 fehlereldung von der Diskstation. Das beduetet für mich dass der Port 80 (http) nicht umgleeitet wird auf den Port 443 (https). Hat hier jemand auch eine Lösung dafür?

 

[EDvonSchleck]

Wie sieht es mit der umleitung von http auf https aus? Ich finde nicht die möglichkeit.

wird umgeleitet wenn du auch eine Umleitung von http eingerichtet hast

Ich habe soweit alles korrekt eingestellt. Wenn ich manuell die subdomain über https aufrufe dann funktinoiert das auch super.

manuell aufrufen?

öffne ich von einem andern Client die subdomain ohne eingabe von http oder https vor der domain, so bekomme ich eine 403 fehlereldung von der Diskstation. Das beduetet für mich dass der Port 80 (http) nicht umgleeitet wird auf den Port 443 (https). Hat hier jemand auch eine Lösung dafür?

internes Netzwerk?

 

[yes-technik]

wird umgeleitet wenn du auch eine Umleitung von http eingerichtet hast

Ich habe es wie im bild oben eingestellt. Hier ist nur etwas von HTTPS zu sehen.

manuell aufrufen?

Mit manuell meine ich dass ich in der Broserzeile die URL im HTTPS format anwähle (https://sub.domain.de) Wenn ich aber wie üblich nur: "sub.domain.de" eingebe dann wird ie Website nicht wie etwartet geöffnet da der Port 80 nicht durchgestellt wird. Ich habe bei dem Reverse Proxy (Siehe Bild )

keine möglichekeit gefunden Port 80 und 443 weiterzuleiten. Wie mache ich das hier geschickt damit HTTP zu HTTPS geleitet wird?

internes Netzwerk?

ne das hat nichts mit dem Internen Netzwerk zu tun.

 

[stulpinger]

Port 80 (http) auf 443 (https) weiterleiten:

Quelle:

Protokoll: http
Hostname: deinesubdomain
Port: 80

Ziel:

Protokoll: https
hostname: deinesubdomain
Port: 443

Sollte so funktionieren ...

 

[EDvonSchleck]

Ich versteh dein Problem nicht wirklich. Wenn eine Verbindung via SSL (443) funktioniert warum willst du noch eine unverschlüsselte Verbindung? Du kannst eine weitere Weiterleitung von http zu https einrichten. Dann wirst du ein ähnliches Problem wie der Threadersteller bekommen. @Fusion hat das Thema in seinem Beitrag schon richtig beschrieben.

Was nützt dir eine verschlüsselte Verbindung zwischen dem Proxy und der Anwendung? Dabei ist die Verbindung vom Client zum Proxy denn ungeschützt. Und einen weiteren Port offen zu deiner Diskstation. Jede Öffnung eines Ports stellt immer eine Bedrohung bzw. ausnutzen von Sicherheitslücken dar.

Alle aktuellen Webbrowser haben https als Standard und es wird sogar bei einer unverschlüsselten Verbindung gewarnt und muss das Weiterleiten erst einmal zulassen. Also ist http im Internet kein Standard mehr und technisch gesehen nur im internen Netz zu nutzen.

Bei vielen aktuellen Webbrowsern brauchst du also heute „normal“ kein https mehr davor eintragen. Bei anderen Apps oder nicht gängigen Browsern kann es vorkommen, dass der Eintrag für das „Schema“, welches auch ein Protokoll ausweisen kann in der URL nötig ist. Es gibt ja weitere Protokolle wie z.B. ftp die unter Umständen auch erreichbar im Webbrowser sein können. Auch ein Blick in den Browsereinstellungen kann da helfen.

Leider schreibst du auch nur von einem Client. Du gehst nicht auf die Art und verwendete Software ein. Wenn du also mehr Hilfe haben möchtest, solltest du ein paar eigene Screenshots anheften und mehr Daten für Software und Client angeben.

Ich sehe aber kein Bedarf und würde es bei SSL(433) belassen und den Port 80 im Router schliessen.

Wenn du doch lieber über Port 80 erreichbar sein willst, denn lege die gleiche Portweiterleitung noch einmal für http:80 > httport an. Auf die Verschlüsselung zwischen Reverse-Proxy und Anwendung kannst du dann verzichten. Da die Daten einfach ab dem Client abgegriffen werden können – da schützt das Zertifikat auch nicht mehr!