Hilfe: Zugriff über Virtual Hosts zerschossen!

[LORDNIKON1]

Hallo zusammen,

ich mache den Post einmal separat auf in der Hoffnung von irgendwem Input zu bekommen.

Problem ist: Ich habe wegen Zertifikatsthemen für eine Wordpress Installation mein gesamtes Setup für Virtual Machine verändert/ gelöscht und nun funzt gar nichts mehr. Ich zerbreche mir den Kopf ob irgend etwas anders ist als vorher. Aber ich komme nicht dahinter.

Eingerichtet war:

1. ds.tld.de über CNAME zu DDNS, bei Eingabe kam ich auf die Benutzeroberfläche zur DS
2. nextcloud.tld.de über CNAME zu DDNS, über Virtual Host auf Installationsort, damit Zugriff auf Nextcloud.
3. wordpress-blog.tld.de über CNAME zu DDNS, über Virtual Host auf Installationsort, damit Zugriff auf Blog.

Weil ich ein Zertifikatsthema hatte, habe ich rumgefrikkelt am Setup und versucht die Wordpress Installation über Reverse Proxy aufzurufen, weil ich gehofft habe dadurch das Zertifikatsthema zu umgehen (siehe Beitrag von b00n zum Thema hier im Webserver Forum

https://www.synology-forum.de/threads/wie-eine-zweite-domain-zertifizieren.113064/
Nachdem das nicht funktionierte, habe ich einfach alles zurückdrehen wollen, um anschließend Wordpress nativ zu installieren (also nicht über das Paketzentrum, so hatte b00n das bei sich wohl gelöst). Doch das lief ziemlich schief. Erst ließ sich der Virtual Host nicht wieder einrichten (Meldung war: die Domain sei schon vergeben). Nach einigen Neustarts des Webservers und der DS insgesamt ging das zumindest wieder aber ein Zugriff auf die vorgenannten Installationen ist nicht möglich.

Die CNAME Einträge sind alle funktional. NS Lookup zeigt, dass sie auch richtig verweisen. Die vHosts sind in der DS auf "grün". Ports sind freigegeben - sowohl im Router als auch auf der DS. Auch die Firewall ist entsprechend konfiguriert (an all diesen Themen hatte ich sowieso nichts geändert).
Im eigenen Netz komme ich über die interne IP zumindest auf die DS aber das war es auch schon. Die Ausgabe im Browser lautet:

DS hat die Verbindung abgelehnt.
Versuchen Sie Folgendes:

• Verbindung prüfen
• Proxy und Firewall prüfen

ERR_CONNECTION_REFUSED


Ich bin alles im Kopf durchgegangen aber finde den Fehler nicht. Kann irgendwer helfen?


Herzlichen Dank
LN1

P.S. : eigentlich trifft es die Überschrift ja nicht richtig. Denn der DS Zugriff läuft ja nicht über vHost. Aber irgend etwas muss in dem Zusammenhang ordentlich schief gelaufen sein, ich vermute da die Wurzel des Übels!

P.P.S. : Komme weder über https noch über http drauf, das noch als Ergänzung.

 

[LORDNIKON1]

UPDATE: Ich komme nun über http bei der ds.tld.de wieder auf die DS, allerdings nicht über https.
Bei der Subdomain für NC passiert bei https weiterhin gar nichts, bei http wird interessanterweise auf die DS umgeleitet (???), also auf Port 5000, obwohl ich den vHost aktiv habe und er eigentlich auf 80 auflösen sollte.

Ich bin völlig lost.

 

[LORDNIKON1]

Hat echt keiner eine Idee? Ich komme leider überhaupt nicht vorwärts..

 

[LORDNIKON1]

Selbst wenn das erst das Folgethema ist: Für die NC.tld.de kann ich aus mir unerfindlichen Gründen kein LE Zertifikat ausstellen lassen. Die Meldung lautet:
"Verbindung zu Let's Encrypt konnte nicht hergestellt werden. Achten Sie darauf, dass der Domainname gültig ist".

Ich habe verstanden, dass es Volumenbeschränkungen für die Zertifikate gibt. Allerdings würde ich dann als Fehlermeldung doch erwarten, dass darauf hingewiesen wird und nicht die Verbindung zu Let's Encrypt scheitert.

 

[b00n]

Sehe ich richtig, dass die ganze tld.de dir selbst gehört? Wenn ja, ist es gar nicht nötig für alle Subdomains ein eigenes Zertifikat auszustellen. Du kannst die Subdomains einfach im SAN Feld aufführen. Aber in den anderen Fällen, versuch mal aus den Logs schlau zu werden. Dazu verbindest du dich mit SSH und schaust dir die /var/log/messages an, direkt nachdem du die Fehlermeldung kriegst. Ein Beispiel findest du hier. Was ich dir auch noch empfehlen kann ist diese Website:

check-your-website.server-daten.de

Sie gibt dir sehr aufschlussreiche Infos, mit denen du arbeiten kannst. Natürlich sind das alle sehr private Infos, du solltest also selbst entscheiden ob du die Anfrage machen willst und welche Infos davon du hier posten möchtest. Viel Erfolg!

 

[LORDNIKON1]

Ja, die gehört mir. Mir schwant dass das Thema mit der Portweiterleitung zusammenhängt. Kann mir dazu denn niemand helfen?

Ich weiß nicht wie es zu der Portweiterleitung kommt, die auf 5000 zeigt. Das müsste doch eigentlich der Ausgangspunkt sein.

Mir ist nicht ganz klar wie der Webseiten Check mir weiterhelfen könnte. Was meinst Du da im Detail? Infos meine ich in meinem initialen Post recht umfangreich mitgeteilt zu haben. Oder fehlt etwas?

 

[LORDNIKON1]

Eine Ergänzung noch: Ich habe in der DS einen Bond eingerichtet (LAN 1 und 2), kann es dadurch zu Problemen kommen? Erschließt sich mir aber auch nicht recht, weil das ja vorher alles lief!

 

[LORDNIKON1]

Die Portweiterleitung auf 5000 würde nach meinem Verständnis ja darauf hindeuten, dass keine index.html/index php im web Ordner bzw. Unterordner vorhanden ist. Die ist aber da/ die sind da (sind ja zwei Unterordner)!

 

[LORDNIKON1]

Ich habe in der DS einen Bond eingerichtet (LAN 1 und 2)

Noch eine Ergänzung: In den Fritz!Box Einstellungen taucht die DS als "2 Geräte" auf - gleiche IP Adresse aber unterschiedliche MAC Adresse (am Ende 4d und 4e). Wenn ich für die "4d" die Portfreigaben erteile, kann ich diese für die "4e" nicht mehr erteilen (Fehlermeldung: Ist bereits vorhanden) - so allerdings hatte ich das nach meinem Verständnis vorher (alle Freigaben für "beide LANs").

 

[LORDNIKON1]

Also es wird immer skurriler: Noch nicht einmal aus dem internen Netz kann ich mit Eingabe der Ports mehr auf die Installationen zugreifen, weder über die :443 noch über die :80.

Bei der 443 bekomme ich ein "Browser konnte keine Verbindung zum Server herstellen", bei der 80 wird automatisch zur DS umgeleitet (also 5000). Wie kann das sein???

 

[Benares]

bei der 80 wird automatisch zur DS umgeleitet (also 5000). Wie kann das sein???

Wenn keine Webstation installiert ist, ist das so.

Ein Bond hat nur eine IP/MAC (die MAC von LAN1). Wenn da nun 2 Geräte in der Fritzbox auftauchen, ist das wohl ein Relikt aus der Zeit vor dem Bond. Lösch das Gerät mit der falschen MAC in der Fritzbox.

 

[LORDNIKON1]

Danke Dir, Benares. Aber es ist doch eine Diskstation installiert.
Wie bekomme ich denn raus welches welche ist?

 

[LORDNIKON1]

So, habe ich gemacht und die Portweiterleitungen für die LAN1 (DS) eingerichtet. Läuft immer noch so, dass wenn ich Port 80 anspreche weitergeleitet wird zu Port 5000.
Und wenn ich von außerhalb über die Domain komme, die eigentlich der NC Installation zugewiesen ist über vHost, lande ich trotzdem auf der DS (also 5000)!

 

[Benares]

Gib "arp -a" am PC ein. Die MAC, die bei der IP der DS steht, ist die richtige.
Bring erst mal intern wieder alles in Ordnung.

 

[LORDNIKON1]

Das habe ich schon geschafft, es gibt nur noch die "eine" DS, die in der Fritz!Box angezeigt wird.

 

[b00n]

Mir ist nicht ganz klar wie der Webseiten Check mir weiterhelfen könnte. Was meinst Du da im Detail?

Die Applikation checkt die üblichen Ports, macht DNS Abfragen, und vieles mehr. Es macht dann eine Zusammenfassung am Schluss mit Kommentaren. War echt hilfreich in meinem Fall. Z.B. hat es mir folgenden Hinweise gegeben:

Info: Html-Content with meta and/or script, may be a problem creating a Letsencrypt certificate using http-01 validation

Zu deinen anderen Punkten kann ich dir leider nicht weiterhelfen, da bin ich mit meinem Latein schon am Ende.

 

[LORDNIKON1]

Bring erst mal intern wieder alles in Ordnung.

Das versuche ich ja, komme aber keinen einzigen Schritt weiter. Hast Du eine Idee?

Also der Reihe nach: Ich bin in meinem Netzwerk und versuche auf die IP von der DS zuzugreifen, ergänzt um die Ports zu den Applikationen - wie kann es sein, dass es da zu der Weiterleitung an 5000 kommt? Jetzt mal abgeschichtet "von intern" vs. "von extern".

Wenn ich es richtig verstehe, dann passiert die Weiterleitung nur dann, wenn im Ordner web keine index.html oder php liegt.

Bei mir liegt im Ordner web eine solche index.html Datei, zudem gibt es die Unterordner "nextcloud" und "wordpress". Ich verstehe es so, dass wenn ich die DS (intern, also aus dem eigenen Netz) über die IP:80 anspreche, dass dann in dem web Ordner geschaut wird. Die "Verzweigung" sollte eigentlich über den vHost passieren, der dann erledigt: Anfragen an 80 (bzw. 443 für https) für den einen Dienst bitte an diesen weitergeben (bsp. web/nextcloud), die für den anderen an jenen (web/wordpress). Dann sollte doch intern eigentlich der Dienst aufgerufen werden - passiert aber nicht. Anstatt dessen lande ich auf der DS (also Port 5000)!

Kommt schon Leute, ich bin langsam wirklich verzweifelt und teile doch alles an Details mit, was ich kann. Gibt es denn so gar keine Ideen?

 

[Benares]

Frage: Läuft die "Web Station"? Wenn ja solltest du mit http://<IPderDS>" auf der index.html unter /volume1/web landen und nicht im DSM. Es sei denn, du hast im Anwendungsportal unter Reverse Proxy oder in der Web Station unter Virtueller Host etwas hinterlegt, was da nicht passt.
Sorry - ich les mir jetzt nicht alles hier durch

 

[LORDNIKON1]

Also die Webstation läuft dem Status nach normal, also Standard Server Status normal und auch der des virtuellen Hosts.
Verstehe Dich, ist ja zu einem Besinnungsaufsatz geworden.

Sogar wenn ich die Einträge im vHost komplett lösche, passiert dasselbe: Ich gebe die interne IP mit :80 ein und lande: Richtig, auf der DS (5000).

 

[b00n]

So dumm es klingt, hast du mal versucht einen anderen Browser oder gar Rechner zu verwenden? Ich hatte schon unzählige Netzwerkprobleme, wo sich am Ende herausgestellt hat, dass es nicht an der Konfiguration lag sondern einfach daran, dass sich mein Browser einfach alles merkte und auf den Cache zurückgriff ohne wenn und aber...