Toggle sidebar

Reverse Proxy von aussen nicht erreichbar

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

E

EuroPC

Benutzer
Registriert
05. Jan. 2020
Beiträge
135
Reaktionspunkte
16
Punkte
18
Liebe Community,

auf meiner DS918+ wollte ich einen Reverse Proxy einrichten.
Unter Docker habe ich erstmal nur Bitwarden installiert.
Hier habe ich auch unter Reverse Proxy unter "Allgemein" eingetragen:
Name: Bitwarden
Quelle: Protokoll HTTPS
Hostname bw.meinname.synology.me
Port 443
HSTS aktiviert
Ziel: Protokoll HTTP
Hostname: localhost
Port 4444
Kopfzeile: Upgrade $http_upgrade
connection $connection_upgrade

Meine Synoloy.me Adresse hat auch eine Wildcard.

Auf der pfSense habe ich dafür zwei Portweiterleitungen von Port 443 und 80 auf die Syno eingerichtet (ersten Photo).
Weiterhin habe ich die Synology als DNS eingetragen.

Mein Problem: Vom LAN heraus funktioniert das wunderbar. Nur eben nicht, wenn ich z.B. von meinem PC bei der Arbeit zugreifen will oder vom Handy.
"Safari konnte die Seite nicht finden" heisst es dann.
Ping funktioniert und ich bekomme auch eine IP- Adresse; 80.135.xxx.yyy.
Ich habe auch ein IPSec VPN laufen und hier wird auch synology.me von der Gegenstelle verwendet.

Andererseits komme ich auch mit der Eingabe von Extern (z.B. übers Handy und 5G) https://meinname.synology.me nicht weiter.

Daher vermute ich, dass da irgendetwas in der Firewall der pfSense hängt.

Danke für eure Hilfe,
EuroPC
 

Anhänge

  • Bildschirmfoto 2023-11-11 um 11.29.45.png
    Bildschirmfoto 2023-11-11 um 11.29.45.png
    122,5 KB · Aufrufe: 16
Den Port 80 würd ich nach extern nicht aufmachen.
Ansonsten wenn du keinen RP mit dem DDNS ohne Subdomain eingerichtet hast, wirst du damit auf Port 443 auch nix erreichen.
 
  • Like
Reaktionen: EuroPC
Hallo @plang.pl

Den Port 80 mag ich auch nicht. Es hiss, man müsse das. Wenn der aber unnötig ist, schließe ich den gern. Die Sync ist aber so eingestellt, dass HTTP auf HTTPS umgeleitet wird.
"wenn du keinen RP mit dem DDNS ohne Subdomain eingerichtet hast..." Was meinst Du damit genau? Ich habe das Zertifikat mal beigefügt.
 

Anhänge

  • Bildschirmfoto 2023-11-11 um 12.00.23.png
    Bildschirmfoto 2023-11-11 um 12.00.23.png
    138,8 KB · Aufrufe: 6
Zuletzt bearbeitet:
EuroPC schrieb:
Die Sync ist aber so eingestellt
Zum Vergrößern anklicken....
was heißt das?

Mit dem anderen Satz meine ich: Wenn du nur 443 nach außen offen hast und der Port zur DS geht. Und dort aber nur Reverse Proxies mit einer Subdomain angelegt sind, wirst du beim Aufruf der Domain ohne Subdomain auch nix erreichen, weil da ja kein Reverse Proxy drauf reagiert.
 
Ach so, klar soweit.
Aber auf eine Anfrage wie wb.meinname.synology.me sollte ja eine Reaktion erfolgen.
 
Setz mal https:// davor
 
  • Like
Reaktionen: EuroPC
Wenn schon, dann bw.meinname.synology.me und besser gleich mit https://bw.meinname.synology.me
 
Wenn der RP richtig ist und die Portweiterleitung auch, dann schon.
P.S. den Port 5001 würde ich unter keinen Umständen ins WAN hängen.
 
@ctrlaltdelete Habe ich schon. Bringt Leider nichts.

@plang.pl "Die Sync ist aber so eingestellt" Sorry, war missverständlich. Im Anmeldeportal ist es so eingestellt, dass HTTP automatisch nach https umgeleitet wird. Ich habe die Portweiterleitung aber erstmal deaktiviert. Genauso wie die Weiterleitung von 5001


 
Die Option mit dem Weiterleiten betrifft nur 5000 auf 5001 und nicht 80 auf 443
 
  • Like
Reaktionen: EuroPC
Moin zusammen,

nach einem Telefonat habe ich mich entschlossen die pfSense neu aufzusetzen.
Als DNS habe ich erst einmal Google gewählt.
Auf der Synology habe ich die Verknüpfung der DS918+ mit dem Synology Konto gekappt und neu aufgebaut.
Der Synology habe ich noch eine statische Adresse verpasst und auch dort den 8.8.8.8 eingetragen.
Jetzt funktioniert erstmal alles. Die Reverse Proxy- Sache teste ich später.
 
Moin,

jetzt lasse ich das Ganze rekapitulieren:
So habe ich auf dem Weg der Fehlerbehebung UPNP eingeschaltet, was mich dann zur Behebung des DNS- Problems führte. Daher habe ich die TLS- Verschlüsselten DNS durch Google ersetzt.
Dazu kam, dass ich den DHCP auf KEA gewechselt hatte (ISC ist als deprecated gekennzeichnet) und auch dort geblieben bin.

Gruß,
EuroPC
 
Moin,
UPNP auf dem Router? Schalte das wieder aus, dadurch können sich Anwendungen, Apps usw. selbständig Ports im Router öffnen. Das möchtest du nicht… 😉

Schönen Sonntag ☀️

Grüße
maxblank
 
  • Like
Reaktionen: Benie, EuroPC und ctrlaltdelete
@EuroPC
Wenn Du schon eine pfSense als WAN-Gateway laufen hast, warum installierst Du den Reverse-Proxy nicht gleich dort ?
z.B. HA-Proxy oder Squid.
 
  • Like
Reaktionen: EuroPC
@JudgeDredd danke. Das Paket kannte ich noch nicht.
@maxblank Für die Fehlersuche war UnPNP gut. Darum stand da ja "zur Fehlerbehebung" ;-)
 
Zuletzt bearbeitet:
  • Like
Reaktionen: maxblank
@JudgeDredd habe mal drüber nachgedacht. Warum sollte ich das auf die pfsense auslagern? Die DS918+ hat einen Intel Prozessor und 8 GB, meine netgate pfsense nur ARM. von Diesem Standpunkt her ist die pfsense also weniger geeignet. Sauberer wäre es aber schon, da stimme ich zu. Mal Schauen. Pfsense hat ja echt viele Pakete.

ach ja, das Einrichten der Portweiterleigung war etwas aufwändiger.
 
EuroPC schrieb:
Die DS918+ hat einen Intel Prozessor und 8 GB, meine netgate pfsense nur ARM
Zum Vergrößern anklicken....
OK, ich weiß ja nicht auf welchem Blech die pfSense bei Dir rennt, aber die Resourcenanforderung von HA-Proxy oder Squid sind ja eher marginal.
Was hast Du denn vor an Anfragen und Traffik da durchzuschleifen, das Du Dir darüber Gedanken machst ?
EuroPC schrieb:
ach ja, das Einrichten der Portweiterleigung war etwas aufwändiger.
Zum Vergrößern anklicken....
Aha, was genau ist denn am Portforwarding auf der Sense aufwändig ? Aber wenn Du den ReverseProxy künftig dort laufen lässt, dann brauchst Du ja kein Portforwarding mehr.
 
@JudgeDredd eigentlich sollte da keine große Last drauf. auf der Synology war halt mein erster Gedanke.
Kennst Du ein gutes Tutorial für HAProxy oder Squid? Letzterer ist einfacher, oder?
wss die Portweiterleitung angeht ist die Fritte da einfacher, finde ich. in der Pfsense ist das sehr viel feiner möglich.
“Aber wenn Du den ReverseProxy künftig dort laufen lässt, dann brauchst Du ja kein Portforwarding mehr.“ das hat natürlich seinen Charme.
 
Zuletzt bearbeitet:
EuroPC schrieb:
Kennst Du ein gutes Tutorial für HAProxy oder Squid? Letzterer ist einfacher, oder?
Zum Vergrößern anklicken....
Welcher "einfacher" zu konfigurieren ist, kann ich schwer beurteilen. Das hängt halt immer vom jeweiligen Kenntnisstand ab.
Aktuell setze ich bei mir HA-Proxy ein und hatte davor auch mal Squid im Einsatz. Allerdings hat der HA-Proxy mehr Funktionsumfang. Was der genaue Grund bei mir für einen Wechsel war, kann ich heute leider nicht mehr sagen.

Ein fertiges Tutorial habe ich jetzt nicht, aber wenn Du Dich für HA-Proxy entscheiden solltest und nicht weiterkommst, dann Du mich gerne direkt anschreiben. Ich denke mal, das dieses Szenario für die meisten hier nicht relevant sein dürfte und auch nix mit Synology zu tun hat.
 
  • Like
Reaktionen: EuroPC
danke. Da komme ich sicher die Tage gern drauf zurück.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten