Toggle sidebar

Reverse Proxy => Zertifikat?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
S

StefanW

Benutzer
Registriert
23. Mai 2013
Beiträge
58
Reaktionspunkte
3
Punkte
8
Ich habe meine FileStation auf Port 7001 gelegt und mit einem Zertifikat (Let´s Encrypt) versehen, das funktioniert auch gut.

Zert_gueltig.jpg


Jetzt wollte ich das die FileStation von extern über Port 80 erreichbar wird, da in vielen Umgebungen andere gesperrt sind.
Deshalb habe ich es mit dieser Regel versucht:

ReverseProxy1.jpg


da bekomme ich dann

Zert_fehlt.jpg

ich vermute das hier das Zertifikat umgangen wird und keine SSL Verbindung aufgebaut wird obwohl ich auf Portt 7001 verweise.

Wenn ich es bei der Quelle mit HTTPS versuche, erhalte ich folgende Meldung:

ReverseProxy3.jpg

ReverseProxy2.jpg


Geht das gar nicht so wie ich es mir denke, vielleicht hat jemand einen Tip für mich.
Danke schon mal
Stefan
 
Es findet keine automatische Umleitung auf https statt.
Es kommt also eine Klartext http Anfrage auf Port 80 an den SSL Port 7001 > Fehler

Also entweder Reverse Proxy als https, 443 > https localhost 7001

Oder gleich im Anwendungsportal > Anwendungen unter File Station die benutzerdefinierte Domain file.domain.de eintragen. Der lauscht dann auch direkt auf 80/443, ohne extra Umleitung.
 
Hallo,
da habe ich es eingetragen, wenn du das meinst


Anwendung1.jpg


Eigentlich kommt ja auch keine Fehler, ich interpretiere es so das es einfach unverschlüsselt durchgereicht wird was aber eigentlich nicht sein kann.
Wenn das Zertifikat nicht passen würde käme doch hier eine Zertifikatswarnung, es heißt aber nur das es nicht sicher ist.?


Zert_fehlt.jpg
 
Die Verbindung von extern kommt unverschlüsselt auf Port 80 am Reverse proxy. HIER endet die Verbindung. Deshalb unsicher, weil Chrome alle http Seiten so markiert.
Die Verbindung vom Proxy zum Ziel auf Port 7001 ist dann SSL verschlüsselt, allerdings halt nur auf dem Weg DS nach DS, geräte-intern. Eventuelle SSL Warnungen auf dieser Verbindung bekommst du eh nicht angezeigt, weil es nicht die Verbindung zwischen dir und dem Proxy ist.
 
Danke für die Erklärung, jetzt habe ich es verstanden.
Dann muss ich mir wohl eine andere Lösung einfallen lassen, weil in der Umgebung noch ein Exchange Server steht und der 443 für OWA nutzt.

Stefan
 
Du solltest Dir ganze Logik nochmals überlegen, ich glaube Du hast das noch nicht ganz verstanden.
Wenn Du über domain.de:443 auf deine Syno kommst, dann kannst dort über reverse proxy mit subdomain Namen so viele verachiedene Dienste einrichten wie du willst. Z.B. owa.domain.de:443 per reverse proxy auf den OL Server umleiten und file.domain.de:443 auf die filestation. Ds.domain.de:443 auf DSM(7001) und domain.de:443 auf deinen Web-Server wenn du einen betreibst. Viel Erfolg.
 
StefanW schrieb:
Jetzt wollte ich das die FileStation von extern über Port 80 erreichbar wird, da in vielen Umgebungen andere gesperrt sind.
Zum Vergrößern anklicken....
Kleine Anmerkung hierzu: was für Ports auch immer gesperrt werden, neben dem (unverschlüsselten) Port 80 für's normale Surfen ist eigentlich immer auch der verschlüsselte Port 443 offen, schon allein deshalb, weil viele Webseiten inzwischen auch nur noch https anbieten.
Daher sollte man tunlichst Port 80 extern nicht nutzen, um sich an seiner DS anzumelden.
 
OK, habe es mir nochmals angeschaut und probiert, jetzt funktioniert es (sogar mit Zertifikat)
Hier die Einstellungen falls jemand mal eine ähnliche Konfiguration hat.

OWA_Reverse.jpg

Ziel-Hostname ist IP Adresse bzw. den Namen vom Exchange Server.

Vielen Dank, gutes neues Jahr noch
Stefan
 
Wie sieht es mit der umleitung von http auf https aus? Ich finde nicht die möglichkeit.
Ich habe soweit alles korrekt eingestellt. Wenn ich manuell die subdomain über https aufrufe dann funktinoiert das auch super.
öffne ich von einem andern Client die subdomain ohne eingabe von http oder https vor der domain, so bekomme ich eine 403 fehlereldung von der Diskstation. Das beduetet für mich dass der Port 80 (http) nicht umgleeitet wird auf den Port 443 (https). Hat hier jemand auch eine Lösung dafür?
 
yes-technik schrieb:
Wie sieht es mit der umleitung von http auf https aus? Ich finde nicht die möglichkeit.
Zum Vergrößern anklicken....
wird umgeleitet wenn du auch eine Umleitung von http eingerichtet hast
yes-technik schrieb:
Ich habe soweit alles korrekt eingestellt. Wenn ich manuell die subdomain über https aufrufe dann funktinoiert das auch super.
Zum Vergrößern anklicken....
manuell aufrufen?
yes-technik schrieb:
öffne ich von einem andern Client die subdomain ohne eingabe von http oder https vor der domain, so bekomme ich eine 403 fehlereldung von der Diskstation. Das beduetet für mich dass der Port 80 (http) nicht umgleeitet wird auf den Port 443 (https). Hat hier jemand auch eine Lösung dafür?
Zum Vergrößern anklicken....
internes Netzwerk?
 
EDvonSchleck schrieb:
wird umgeleitet wenn du auch eine Umleitung von http eingerichtet hast
Zum Vergrößern anklicken....
Ich habe es wie im bild oben eingestellt. Hier ist nur etwas von HTTPS zu sehen.
EDvonSchleck schrieb:
manuell aufrufen?
Zum Vergrößern anklicken....
Mit manuell meine ich dass ich in der Broserzeile die URL im HTTPS format anwähle (https://sub.domain.de) Wenn ich aber wie üblich nur: "sub.domain.de" eingebe dann wird ie Website nicht wie etwartet geöffnet da der Port 80 nicht durchgestellt wird. Ich habe bei dem Reverse Proxy (Siehe Bild )
StefanW schrieb:
OWA_Reverse.jpg
Zum Vergrößern anklicken....
keine möglichekeit gefunden Port 80 und 443 weiterzuleiten. Wie mache ich das hier geschickt damit HTTP zu HTTPS geleitet wird?
EDvonSchleck schrieb:
internes Netzwerk?
Zum Vergrößern anklicken....
ne das hat nichts mit dem Internen Netzwerk zu tun.
 
Port 80 (http) auf 443 (https) weiterleiten:

Quelle:

Protokoll: http
Hostname: deinesubdomain
Port: 80

Ziel:

Protokoll: https
hostname: deinesubdomain
Port: 443

Sollte so funktionieren ...
 
Ich versteh dein Problem nicht wirklich. Wenn eine Verbindung via SSL (443) funktioniert warum willst du noch eine unverschlüsselte Verbindung? Du kannst eine weitere Weiterleitung von http zu https einrichten. Dann wirst du ein ähnliches Problem wie der Threadersteller bekommen. @Fusion hat das Thema in seinem Beitrag schon richtig beschrieben.

Was nützt dir eine verschlüsselte Verbindung zwischen dem Proxy und der Anwendung? Dabei ist die Verbindung vom Client zum Proxy denn ungeschützt. Und einen weiteren Port offen zu deiner Diskstation. Jede Öffnung eines Ports stellt immer eine Bedrohung bzw. ausnutzen von Sicherheitslücken dar.

Alle aktuellen Webbrowser haben https als Standard und es wird sogar bei einer unverschlüsselten Verbindung gewarnt und muss das Weiterleiten erst einmal zulassen. Also ist http im Internet kein Standard mehr und technisch gesehen nur im internen Netz zu nutzen.

Bei vielen aktuellen Webbrowsern brauchst du also heute „normal“ kein https mehr davor eintragen. Bei anderen Apps oder nicht gängigen Browsern kann es vorkommen, dass der Eintrag für das „Schema“, welches auch ein Protokoll ausweisen kann in der URL nötig ist. Es gibt ja weitere Protokolle wie z.B. ftp die unter Umständen auch erreichbar im Webbrowser sein können. Auch ein Blick in den Browsereinstellungen kann da helfen.

Leider schreibst du auch nur von einem Client. Du gehst nicht auf die Art und verwendete Software ein. Wenn du also mehr Hilfe haben möchtest, solltest du ein paar eigene Screenshots anheften und mehr Daten für Software und Client angeben.

Ich sehe aber kein Bedarf und würde es bei SSL(433) belassen und den Port 80 im Router schliessen.

Wenn du doch lieber über Port 80 erreichbar sein willst, denn lege die gleiche Portweiterleitung noch einmal für http:80 > http:Port an. Auf die Verschlüsselung zwischen Reverse-Proxy und Anwendung kannst du dann verzichten. Da die Daten einfach ab dem Client abgegriffen werden können – da schützt das Zertifikat auch nicht mehr!
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten