Reverse Proxy von aussen nicht erreichbar

EuroPC

Benutzer
Mitglied seit
05. Jan 2020
Beiträge
128
Punkte für Reaktionen
14
Punkte
18
Liebe Community,

auf meiner DS918+ wollte ich einen Reverse Proxy einrichten.
Unter Docker habe ich erstmal nur Bitwarden installiert.
Hier habe ich auch unter Reverse Proxy unter "Allgemein" eingetragen:
Name: Bitwarden
Quelle: Protokoll HTTPS
Hostname bw.meinname.synology.me
Port 443
HSTS aktiviert
Ziel: Protokoll HTTP
Hostname: localhost
Port 4444
Kopfzeile: Upgrade $http_upgrade
connection $connection_upgrade

Meine Synoloy.me Adresse hat auch eine Wildcard.

Auf der pfSense habe ich dafür zwei Portweiterleitungen von Port 443 und 80 auf die Syno eingerichtet (ersten Photo).
Weiterhin habe ich die Synology als DNS eingetragen.

Mein Problem: Vom LAN heraus funktioniert das wunderbar. Nur eben nicht, wenn ich z.B. von meinem PC bei der Arbeit zugreifen will oder vom Handy.
"Safari konnte die Seite nicht finden" heisst es dann.
Ping funktioniert und ich bekomme auch eine IP- Adresse; 80.135.xxx.yyy.
Ich habe auch ein IPSec VPN laufen und hier wird auch synology.me von der Gegenstelle verwendet.

Andererseits komme ich auch mit der Eingabe von Extern (z.B. übers Handy und 5G) https://meinname.synology.me nicht weiter.

Daher vermute ich, dass da irgendetwas in der Firewall der pfSense hängt.

Danke für eure Hilfe,
EuroPC
 

Anhänge

  • Bildschirmfoto 2023-11-11 um 11.29.45.png
    Bildschirmfoto 2023-11-11 um 11.29.45.png
    122,5 KB · Aufrufe: 10

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
12.967
Punkte für Reaktionen
4.362
Punkte
479
Den Port 80 würd ich nach extern nicht aufmachen.
Ansonsten wenn du keinen RP mit dem DDNS ohne Subdomain eingerichtet hast, wirst du damit auf Port 443 auch nix erreichen.
 
  • Like
Reaktionen: EuroPC

EuroPC

Benutzer
Mitglied seit
05. Jan 2020
Beiträge
128
Punkte für Reaktionen
14
Punkte
18
Hallo @plang.pl

Den Port 80 mag ich auch nicht. Es hiss, man müsse das. Wenn der aber unnötig ist, schließe ich den gern. Die Sync ist aber so eingestellt, dass HTTP auf HTTPS umgeleitet wird.
"wenn du keinen RP mit dem DDNS ohne Subdomain eingerichtet hast..." Was meinst Du damit genau? Ich habe das Zertifikat mal beigefügt.
 

Anhänge

  • Bildschirmfoto 2023-11-11 um 12.00.23.png
    Bildschirmfoto 2023-11-11 um 12.00.23.png
    138,8 KB · Aufrufe: 4
Zuletzt bearbeitet:

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
12.967
Punkte für Reaktionen
4.362
Punkte
479
Die Sync ist aber so eingestellt
was heißt das?

Mit dem anderen Satz meine ich: Wenn du nur 443 nach außen offen hast und der Port zur DS geht. Und dort aber nur Reverse Proxies mit einer Subdomain angelegt sind, wirst du beim Aufruf der Domain ohne Subdomain auch nix erreichen, weil da ja kein Reverse Proxy drauf reagiert.
 

EuroPC

Benutzer
Mitglied seit
05. Jan 2020
Beiträge
128
Punkte für Reaktionen
14
Punkte
18
Ach so, klar soweit.
Aber auf eine Anfrage wie wb.meinname.synology.me sollte ja eine Reaktion erfolgen.
 

ctrlaltdelete

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
9.072
Punkte für Reaktionen
3.143
Punkte
364
Setz mal https:// davor
 
  • Like
Reaktionen: EuroPC

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
11.532
Punkte für Reaktionen
2.461
Punkte
403
Wenn schon, dann bw.meinname.synology.me und besser gleich mit https://bw.meinname.synology.me
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
12.967
Punkte für Reaktionen
4.362
Punkte
479
Wenn der RP richtig ist und die Portweiterleitung auch, dann schon.
P.S. den Port 5001 würde ich unter keinen Umständen ins WAN hängen.
 

EuroPC

Benutzer
Mitglied seit
05. Jan 2020
Beiträge
128
Punkte für Reaktionen
14
Punkte
18
@ctrlaltdelete Habe ich schon. Bringt Leider nichts.

@plang.pl "Die Sync ist aber so eingestellt" Sorry, war missverständlich. Im Anmeldeportal ist es so eingestellt, dass HTTP automatisch nach https umgeleitet wird. Ich habe die Portweiterleitung aber erstmal deaktiviert. Genauso wie die Weiterleitung von 5001


 

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
12.967
Punkte für Reaktionen
4.362
Punkte
479
Die Option mit dem Weiterleiten betrifft nur 5000 auf 5001 und nicht 80 auf 443
 
  • Like
Reaktionen: EuroPC

EuroPC

Benutzer
Mitglied seit
05. Jan 2020
Beiträge
128
Punkte für Reaktionen
14
Punkte
18
Moin zusammen,

nach einem Telefonat habe ich mich entschlossen die pfSense neu aufzusetzen.
Als DNS habe ich erst einmal Google gewählt.
Auf der Synology habe ich die Verknüpfung der DS918+ mit dem Synology Konto gekappt und neu aufgebaut.
Der Synology habe ich noch eine statische Adresse verpasst und auch dort den 8.8.8.8 eingetragen.
Jetzt funktioniert erstmal alles. Die Reverse Proxy- Sache teste ich später.
 

EuroPC

Benutzer
Mitglied seit
05. Jan 2020
Beiträge
128
Punkte für Reaktionen
14
Punkte
18
Moin,

jetzt lasse ich das Ganze rekapitulieren:
So habe ich auf dem Weg der Fehlerbehebung UPNP eingeschaltet, was mich dann zur Behebung des DNS- Problems führte. Daher habe ich die TLS- Verschlüsselten DNS durch Google ersetzt.
Dazu kam, dass ich den DHCP auf KEA gewechselt hatte (ISC ist als deprecated gekennzeichnet) und auch dort geblieben bin.

Gruß,
EuroPC
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
2.053
Punkte für Reaktionen
1.016
Punkte
224
Moin,
UPNP auf dem Router? Schalte das wieder aus, dadurch können sich Anwendungen, Apps usw. selbständig Ports im Router öffnen. Das möchtest du nicht… 😉

Schönen Sonntag ☀️

Grüße
maxblank
 

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.064
Punkte für Reaktionen
8
Punkte
64
@EuroPC
Wenn Du schon eine pfSense als WAN-Gateway laufen hast, warum installierst Du den Reverse-Proxy nicht gleich dort ?
z.B. HA-Proxy oder Squid.
 
  • Like
Reaktionen: EuroPC

EuroPC

Benutzer
Mitglied seit
05. Jan 2020
Beiträge
128
Punkte für Reaktionen
14
Punkte
18
@JudgeDredd danke. Das Paket kannte ich noch nicht.
@maxblank Für die Fehlersuche war UnPNP gut. Darum stand da ja "zur Fehlerbehebung" ;-)
 
Zuletzt bearbeitet:
  • Like
Reaktionen: maxblank

EuroPC

Benutzer
Mitglied seit
05. Jan 2020
Beiträge
128
Punkte für Reaktionen
14
Punkte
18
@JudgeDredd habe mal drüber nachgedacht. Warum sollte ich das auf die pfsense auslagern? Die DS918+ hat einen Intel Prozessor und 8 GB, meine netgate pfsense nur ARM. von Diesem Standpunkt her ist die pfsense also weniger geeignet. Sauberer wäre es aber schon, da stimme ich zu. Mal Schauen. Pfsense hat ja echt viele Pakete.

ach ja, das Einrichten der Portweiterleigung war etwas aufwändiger.
 

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.064
Punkte für Reaktionen
8
Punkte
64
Die DS918+ hat einen Intel Prozessor und 8 GB, meine netgate pfsense nur ARM
OK, ich weiß ja nicht auf welchem Blech die pfSense bei Dir rennt, aber die Resourcenanforderung von HA-Proxy oder Squid sind ja eher marginal.
Was hast Du denn vor an Anfragen und Traffik da durchzuschleifen, das Du Dir darüber Gedanken machst ?
ach ja, das Einrichten der Portweiterleigung war etwas aufwändiger.
Aha, was genau ist denn am Portforwarding auf der Sense aufwändig ? Aber wenn Du den ReverseProxy künftig dort laufen lässt, dann brauchst Du ja kein Portforwarding mehr.
 

EuroPC

Benutzer
Mitglied seit
05. Jan 2020
Beiträge
128
Punkte für Reaktionen
14
Punkte
18
@JudgeDredd eigentlich sollte da keine große Last drauf. auf der Synology war halt mein erster Gedanke.
Kennst Du ein gutes Tutorial für HAProxy oder Squid? Letzterer ist einfacher, oder?
wss die Portweiterleitung angeht ist die Fritte da einfacher, finde ich. in der Pfsense ist das sehr viel feiner möglich.
“Aber wenn Du den ReverseProxy künftig dort laufen lässt, dann brauchst Du ja kein Portforwarding mehr.“ das hat natürlich seinen Charme.
 
Zuletzt bearbeitet:

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.064
Punkte für Reaktionen
8
Punkte
64
Kennst Du ein gutes Tutorial für HAProxy oder Squid? Letzterer ist einfacher, oder?
Welcher "einfacher" zu konfigurieren ist, kann ich schwer beurteilen. Das hängt halt immer vom jeweiligen Kenntnisstand ab.
Aktuell setze ich bei mir HA-Proxy ein und hatte davor auch mal Squid im Einsatz. Allerdings hat der HA-Proxy mehr Funktionsumfang. Was der genaue Grund bei mir für einen Wechsel war, kann ich heute leider nicht mehr sagen.

Ein fertiges Tutorial habe ich jetzt nicht, aber wenn Du Dich für HA-Proxy entscheiden solltest und nicht weiterkommst, dann Du mich gerne direkt anschreiben. Ich denke mal, das dieses Szenario für die meisten hier nicht relevant sein dürfte und auch nix mit Synology zu tun hat.
 
  • Like
Reaktionen: EuroPC

EuroPC

Benutzer
Mitglied seit
05. Jan 2020
Beiträge
128
Punkte für Reaktionen
14
Punkte
18
danke. Da komme ich sicher die Tage gern drauf zurück.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat