Toggle sidebar

Reverse Proxy: Source & Destination Ports - egal?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
M

MI-6

Benutzer
Registriert
10. Juli 2012
Beiträge
56
Reaktionspunkte
1
Punkte
8
allo,

ich habe mir erfolgreich sehr viele Sub-Domains mit dem Reverse Proxy eingerichtet. Funktioniert wunderbar (bis auf Logitech Media Server, bei dem Seiten-Updates manchmal nicht funktionieren, bspw. beim Scan-Status).

Grundsätzlich frage ich mich aber, wie die Port- und Protokoll-Übersetzung im Reverse Proxy funktioniert.
  1. Wenn ich als Source Port xx / Protokoll HTTP angebe und als Destination Port 443 / HTTPS angebe, wird mir in Chrome eine sichere Verbindung angezeigt (Tabellenzeilen 1 und 3)
    1. Wird die sichere Verbindung über den Destination Port aufgebaut? Oder schon im Reverse Proxy Host (meiner DS)?
    2. Von wo bis wo reicht die sichere Verbindung?
      1. Client bis Destination Host?
      2. Oder nur DS Reverse Proxy bis Destination Host? Das wäre unlogisch, da mein Chrome ja eine sichere Verbindung anzeigt.
    3. Wird immer eine sichere Verbindung aufgebaut, sobald ich als Destination Protocol HTTPS eintrage? Auch bei Source Port 80 / HTTP (Tabellenzeilen 1 bis 4)?
      Oder Destination Port ungleich 443, aber HTTPS (Tabellenzeilen 5 bis 8)?
  2. Wenn das so ist, bräuchte ich ja als Source Protocol nie was anderes als HTTP (oder als Port 80) eintragen, wenn von Destination Protocol abhängt, ob eine sichere Verbindung aufgebaut wird. Wozu dann im Source jemals Port 443 / HTTPS verlangen/einstellen (bis auf daß z.B. Chrome HTTP gar nicht mehr unterstützen)?
  3. Was zählt eigentlich für sichere Verbindungen? Port oder Protokoll? Offensichtlich doch Protokoll?
Insb. Frage 3 ist wohl sehr, sehr naiv - kann man auch per Wikipedia erfahren. Aber die anderen Fragen habe ich mir auch nach längerer Recherche zum Thema Reverse Proxy so nicht beantworten können.

ZeileSource PortSource ProtocolDestination PortDestination ProtocolHSTSErgebnis mit Chrome
180HTTP443HTTPSausSichere Verbindung?
280HTTPS443HTTPSausSichere Verbindung?
3<>80HTTP443HTTPSausSichere Verbindung?
4<>80HTTPS443HTTPSausSichere Verbindung?
580HTTP<>443HTTPSausSichere Verbindung?
680HTTPS<>443HTTPSausSichere Verbindung?
7<>80HTTP<>443HTTPSausSichere Verbindung?
8<>80HTTPS<>443HTTPSausSichere Verbindung?
980HTTP443HTTPausUnsichere Verbindung?
10<>80HTTP<>443HTTPausUnsichere Verbindung?

Danke für ein paar erleuchtende Hinweise!
 
Zuletzt bearbeitet:
Reverseproxy Zugriff erfolgt bei Dir per subdomain, soll ja so sein :)

Source ist die subdomain (ohne Portangabe)
Destination ist eine (interne) IP-Adresse mit dementsprechenden Port

Nachdem Deine subdomains normalerweise mit einem Zertifikat (Lets Encrypt) "verknüpft" sind, ist das Source-Protocoll https,
wegen sicheren Zugriff von extern


subdomain1 -> 192.168.0.9:4444
subdomain2 -> 192.168.0.9:5555
subdomain3 -> 192.168.0.7:4444

Destination Protocol intern - http oder https - ist davon abhängig, was Du dahinter laufen hast

Beispiel bei mir

bitwarden - http
filestation - https
nextcloud - http
plex - http
synologyrs - https

Das heißt der Zugriff auf meine nextcloud erfolgt von extern per https und wird intern auf http umgeleitet, was ja kein Problem ist, da der externe Zugriff per https erfolgt
Zugriff auf synologyrs per https, intern weiter per https, da Umleitung auf 5001 (https)
 
Beim Reverse-Proxy der Synology

nextcloud per reverse proxy:
Quelle:

Protokoll: https
Hostname: nextcloud-subdomain
Port: 443 (wegen https)

Ziel:

Protokoll: http
Hostname: localhost oder IP
Port: 1234

synology per reverse proxy:
Quelle:

Protokoll: https
Hostname: synology-subdomain
Port: 443 (wegen https)

Ziel:

Protokoll: https
Hostname: localhost oder IP
Port: 5001

plex per reverse proxy:
Quelle:

Protokoll: https
Hostname: plex-subdomain
Port: 443 (wegen https)

Ziel:

Protokoll: http
Hostname: localhost oder IP
Port: 32400
 
Natürlich noch bei den Reverse-Proxy Regeln HSTS und HTTP/2 aktivieren :)
 
solltest Du von extern per http (das s vergessen :) ) auf Deine subdomain zugrifen wollen, folgende Regel erstellen:

zB. für Plex

Quelle:

Protokoll: http
Hostname: plex-subdomain
Port: 80 (wegen http)

Ziel:

Protokoll: https
Hostname: plex-subdomain
Port: 443

D.h. es wird http auf https "umgeleitet" !
und in weiterer Folge die Regel für Plex per https durchgeführt
 
gar nicht so kompliziert denken:
was von Aussen per HTTP rein kommt ist mindestens bis zum RP unverschlüssselt
was von Aussen per HTTPS rein kommt ist mindestens bis zum RP verschlüssselt
was danach im RP passiert hat nur Auswirkungen im heimischen LAN. Hier kann man beliebig mischen so wie es benötigt wird.
 
  • Like
Reaktionen: stulpinger
das wollte ich ja mit Hilfe meiner "geistigen" Ergüsse darstellen ...
oder Du meinst den TE 😎

so wie Du schreibst, http oder htttps, egal wie, spätestens beim RP ist die "Wand"

Mir gings um die Überschrift " Source & Destination Ports - egal?"
 
oot (out of topic)
hab zuerst gedacht Du meinst mit RP einen Regie-Platz, komm gerade von der Firma ...
eooot (end of out of topic)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten