Reverse Proxy ohne Funktion

Fifi · 29. Jan 2020

Hallo,

über eine im Internet über Portfreigabe an der Fritzbox befindliche DS214 möchte ich gerne über Reverse Proxy eine 415+ ansprechen. Für die 415+ habe ich eine DDNS bei selfhost eingerichtet, die auf der 415+ auch als "connected" angezeigt wird. An der Fritzbox ist unter anderem Port 5000 freigeschaltet. In den RP-Regeln der 214 steht als Quelle Protokoll: HTTP, Hostname: xxxxx.selfhost.co, Port: 5000. Im Ziel steht Protokoll: HTTP, Hostname: 192.168.178.x. Port: 5000. Ein Zertifikat habe ich derzeit für die 415+ noch nicht eingerichtet (muß das überhaupt?). Die DS214 hat ein Lets Encrypt Zertifikat. Firewall in der 214 ist aktiviert, 415+ ist nicht aktiviert. Irgenwas übersehe ich, denn über "xxxxx.selfhost.co" kann ich meine 415+ über RP nicht erreichen.
LG Fiffi

Anzeige · 29. Jan 2020

Hallo Fifi,

Bücher und Hardware zum Thema gibt es bei Amazon: Reverse Proxy ohne Funktion

mrsandman · 29. Jan 2020

Kannst du auf den DSM der 415+ im lokalen Netz via 192.168.178.x zugreifen? Was heisst "an der Fritzbox ist Port 5000 freigeschaltet", port forwarding? Was heisst "über xxxxx.selfhost.co kann ich meine 415+ nicht erreichen"? Kommt da gar nichts, oder etwas anderes als erwartet?

Bin mir aus deiner Beschreibung nicht sicher ob du das bereits machst, aber du müsstest den Port beim Aufruf explizit angeben, also http://xxxxx.selfhost.co:5000/
Port 5000 muss via port forwarding auf der Fritzbox an deine DS214 weitergeleitet werden, nur den Port in der Firewall der FB öffnen würde nicht reichen.
Das grösste Problem sehe ich allerdings im Portkonflikt um Port 5000. Ist dein DSM der DS214 auch auf Port 5000 erreichbar? Falls ja, dürfte es ziemlich aufwändig sein, beide DSMs auf Port 5000 zu konfigurieren. Ich würde dir deshalb vorschlagen, einen anderen Port an der DS214 für die Weiterleitung an die DS415+ zu wählen. Die Ports beim port forwarding, sowie die beim Reverse Proxy müssen nicht zwingend identisch sein, du kannst dort jeweils auf einen beliebigen anderen (freien) Port weiterleiten.

Zertifikate sind erst relevant, wenn du HTTPS benutzen möchtest.

Fifi · 29. Jan 2020

Über das lokale Netz ist die 415 über 192.168.178.xxx erreichbar. Port 5000 an der Fritzbox ist für die DS214 freigegeben (bräuchte ich eigentlich nicht, da HTTPS eingerichtet ist). In der FW Syno DS214 ebenfalls freigeschaltet. In der Anlage ein Bild des Status (mehrere Browser an versch. Rechnern an versch. Orten wurden getestet). Wie gesagt, DS214 ist über 5001 erreichbar.Ich glaube ich schmeiße hier ggf. etwas durcheinander...

mrsandman · 29. Jan 2020

Kannst du via https://xxxxx.selfhost.co:5001/ also deine DS214 erreichen?

blurrrr · 29. Jan 2020

Und... mal von "aussen" getestet? (via Handy ohne WLAN z.B.)

Fifi · 29. Jan 2020

mrsandman schrieb:
Kannst du via https://xxxxx.selfhost.co:5001/ also deine DS214 erreichen?

"Kein Zugriff auf Seite" müsste ich dazu nicht ein Zertifikat in der 415 eingerichtet haben?

Fifi · 29. Jan 2020

blurrrr schrieb:
Und... mal von "aussen" getestet? (via Handy ohne WLAN z.B.)

Ja: "Die Webseite ist nicht erreichbar" ERR_ADDRESS_UNREACHABLE

mrsandman · 29. Jan 2020

Ok, ich denke wir sollten hier schrittweise vorgehen:

Schritt 1: Deine DS415+ direkt vom Internet aus erreichbar machen
Schritt 2: Deine DS415+ indirekt via Reverse Proxy auf deiner DS214 vom Internet aus erreichbar machen

Konfiguriere also auf deiner FB ein Port Forwarding für Port 5000 direkt an die lokale IP deiner DS415+ und teste danach ob du via http://xxxxx.selfhost.co:5000/ darauf zugreifen kannst. Solange dies nicht funktioniert, hat es keinen Sinn bereits den Reverse Proxy zu benutzen.

Fifi · 29. Jan 2020

OK.. Teste ich heute Abend und berichte darüber! Danke!

Fifi · 29. Jan 2020

mrsandman schrieb:
Ok, ich denke wir sollten hier schrittweise vorgehen:

Schritt 1: Deine DS415+ direkt vom Internet aus erreichbar machen
Schritt 2: Deine DS415+ indirekt via Reverse Proxy auf deiner DS214 vom Internet aus erreichbar machen

Konfiguriere also auf deiner FB ein Port Forwarding für Port 5000 direkt an die lokale IP deiner DS415+ und teste danach ob du via http://xxxxx.selfhost.co:5000/ darauf zugreifen kannst. Solange dies nicht funktioniert, hat es keinen Sinn bereits den Reverse Proxy zu benutzen.

Ein Zugriff aus dem Internet ist an die DS415+ über die selfhost-Adresse nicht möglich! In der FB ist Port 5000 freigeschaltet (TCP). mmmhhh..?

Fifi · 29. Jan 2020

OK...Es war wohl ein Problem von Selfhost! Ich habe jetzt eine weitere DDNS von Synology erstellt...und komme über das Internet auf xxx.synology.me:5000

mrsandman · 29. Jan 2020

Ok, super! Als nächstes würde ich nun den Reverse Proxy auf deiner DS412 einrichten. Ich denke du hast auf der DS412 auch den Port 5000 für den DSM konfiguriert? Falls ja, würde ich dir empfehlen, einen anderen Quellport als die 5000 für den Reverse Proxy zu wählen. Zielport muss natürlich die 5000 sein. Wenn du das hast, kannst du den Reverse Proxy erst mal lokal via http://IP:PORT/ ausprobieren, wobei IP die lokale IP der DS412 und Port der von dir gewählten Quellport ist.

Fifi · 30. Jan 2020

Verständnisfrage: Im Internet hängt meine DS214, welche den RP haben soll, um auf die DS415+ zu kommen. Bitte noch mal genauer formulieren, damit ich es richtig verstehe.. Danke!

Edit: In der Fritzbox habe ich für die DS214 einen Port3000 geöffnet. Im RP Quelle: HTTP, xxxx.synology.me, Port 3000, Ziel:HTTP, 192.168.178.x, Port 5000 hinterlegt. Zugang über Internet funktioniert, aber nicht HTTPS. DS415+ hat ein HTTPS-Zertifikat, welches jetzt aber nicht in Funktion ist!

mrsandman · 30. Jan 2020

Um HTTPS zu nutzen, musst du nun einfach im Reverse Proxy das Quell- und Zielprotokoll auf HTTPS umstellen und den Zielport auf den HTTPS-Port setzen (vermutlich 5001). Dann sollte es klappen.

Fifi · 30. Jan 2020

So einfach ist es leider nicht...

Quelle und Ziel auf HTTPS umgestellt. Quellport 3000 und Zielport 5001 eingestellt. FB unverändert (3000 auf DS214 geöffnet), Auf der DS415+ HTTP auf HTTP erzwungen eingestellt (Haken raus geht auch nicht. 192.168.178.x:5001 führt zu einer Fehlermeldung. MMhh..??

mrsandman · 30. Jan 2020

Was kriegst du fuer eine Fehlermeldung?

Fifi · 30. Jan 2020

Sorry: 192.168.178.x:5001 lokal geht ("nicht sicher" bleibt stehen); https://xxx.synology.me:3000 bingt "Bad Request The plain HTTP request was sent to HTTPS port nginx"

mrsandman · 30. Jan 2020

Ah sorry, das ist jetzt mein Fehler. Du musst nur das Quellprotokoll auf HTTPS umstellen. Die HTTPS Verschluesselung muss nur bis zum Reverse Proxy gehen. Vom Reverse Proxy zur DS415+ kannst du HTTP benutzen. Ausserdem muss die DS214 das Zertifikat für xxx.synology.me liefern, weshalb das Zertifikat also in die DS214 importiert und für die Domain aktiviert werden muss.

Fifi · 30. Jan 2020

DS214 Zertifikat: Standard ist natürlich für die DS214 eingerichtet. Wo richte ich das Zertifikat für DS415+ ein? bzw. wie verknüpfe ich auf DS214 für DS415+?

mrsandman · 30. Jan 2020

Du kannst es unter Systemsteuerung -> Sicherheit -> Zertifikate hochladen und danach im selben Dialog unter „Konfigurieren“ der Domain xxx.synology.me zuweisen.

Reverse Proxy ohne Funktion

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Kaffeautomat