UNIFY USG UND SYNOLOGY REVERSE PROXY

[feron]

Hallo zusammen

Ich möchte auf meiner Unifi USG eine Port Weiterleitung einrichten, damit ich auf meinem Synology Reverse Proxy nutzen kann.


Wie habt ihr diese Port Weiterleitung eingerichtet?

Gruss
feron

 

[Fusion]

Nach der Anleitung des jeweiligen Herstellers, oder vieler Schreiberlinge im Netz.
z.B.
https://daniel-ziegler.com/ubiquiti/unifi/computer/2017/11/17/Ubiquiti-UniFi-USG-Einrichten/

 

[feron]

So habe ich das bereits gemacht. Aber irgendwie funktioniert mir das in Zusammenhang mit meinem Synology Reverse Proxy nicht. Ich kann die URL zwar aufrufen aber leider ohne HTTP und mit Angabe des Ports. Ich möchte aber mit https darauf zugreiffen und ohne Angabe des Ports. Hat das jeamand auf der USG so konfiguriert und nutzt den Reverse Proxy auf der Synology?

 

[Ulfhednir]

Fangen wir mal einen Schritt vorher an: Was hängt denn als Modem / Router vor dem USG?

 

[feron]

Vor der USG ist ein Modem von meinem Telekomunikationsanbieter. Dieses ist auf Bridge Modus eingestellt, so das ich alles mit der USG konfigurieren kann

 

[Fusion]

Dann muss man jetzt eben dein Setup auseinander nehmen, um den Fehler zu finden.
z.B. Bilder deiner Config, Bilder deiner Tests (Von wo, wie, was) und welche Fehler angezeigt werden oder wie es sich verhält.
Bis jetzt haben wir von dir nur eine Black-Box Beschreibung, was du gerne hättest und dass es nicht funktioniert.

Eine korrekte sub.example.com die auf deine öffentliche IP deines Routers (IPv4) oder deines NAS (IPv6) verweist.
Eine Portweiterleitung von Port 443 (+evtl. Öffnung in der Firewall von Router und DS).
Ein Reverse Proxy der auf Port 443 und Name sub.example.com lauscht.
Das sind die Basisvoraussetzungen, und damit geht es dann auch.

 

[feron]

Ich möchte auf meiner Synology Reverse Proxy nutzen und habe das so eingestellt. Aber leider geht der Zugriff nicht über https.

 

[Fusion]

"nslookup ha.xxx.synology.me "auf dem aufrufenden Client bringt die korrekte öffentliche IP?
Ist das nur die NAT Regel, oder auch die Firewall? Was bringt ein Aufruf von https://öffentliche-IPv4 ?

Netzwerk Details zum HA Docker Container? Host oder Bridge Mode? Ist der lokale Port 8123 oder der Container Port?

Smart-Home / Heimnetz-Automation würde ich persönlich bevorzugt nie direkt ins Netz hängen, auch wenn es über den Proxy geht. Lieber per VPN, oder getrennt von deinem persönlichen Datenschatz auf der NAS.

 

[feron]

Ich habe einmal nslookup gemacht auf meinem PC. Da erhalte ich die Meldung ha.xxx.synology.me wurde von USG nicht gefunden: Non-existent domain. Der Home Assistant Docker Container ist im Host Modus. Der Port 8123 ist der Port meine Home Assistant Instanz.

Was ich noch gesehen habe, es gibt unter Synology/Externer Zugriff/Routerkonfiguration. Muss ich da evtl. Port 443 auch noch ergänzen? Ich kann aber als Router die USG nicht auswählen:

 

[Fusion]

Und von einem externen Client?

Auf dem PC könntest du mal in der /etc/hosts Datei einen Eintrag mit "ha.xxx.synology.me 192.168.1.2" machen
https://www.digitalcitizen.life/etc-hosts-file-windows/
Und dann vom PC nochmal probieren. Damit biegst du das DNS lokal um.
Dann kannst vom PC aus zumindest mal testen, ob der Reverse Proxy ha.xxx.synology.me funktioniert und HA fehlerfrei aufgerufen werden kann.
Über den Aufruf nas-ip:8123 siehst ja ob der Container selbst läuft.

 

[feron]

Der Container läuft über die NAS-IP:8123. Das geht einwandfrei. Was ich auch festgestellt habe, wenn ich direkt Port 8123 auf der USG öffne komme ich von extern einwandfrei drauf, aber mit http und port angabe. Aber ich möchte natürlich mit https den reverse proxy benutzen.

 

[Fusion]

Wie gesagt, mal lokal mit korrekter Namensauflösung testen. Dann sieht man ob es an der Proxy Einstellungen oder am USG liegt.
Wenn es am Proxy liegt, dann muss man schauen, was HA an http headern (http_upgrade, x-forward-for, und so weiter) eventuell benötigt.

 

[feron]

Ich habe die hosts Datei wie von dir vorgeschlagen angepasst. Leider komme ich auch so nicht drauf und erhalte die Fehlermeldung 400: Bad request

 

[Fusion]

Hast du auch https://ha.xxx.synology.me aufgerufen, oder http?

 

[alexhell]

Hast du Home Assistant richtig konfiguriert? Siehe https://community.home-assistant.io/t/reverse-proxy-using-nginx/196954 Punkt 9.

 

[feron]

Vielleicht noch kurz ein Nachtrag, ich bin generell erreichbar und es kommt die USG Anmeldemaske (Ohne Port Forward 443 auf der USG). Ich bin erreichbar mit Dyndns und auch über die IP. Sobald ich Port Forward 443 aktiviere auf der USG, kommt Seite nicht erreichbar.

Aufrufen kann ich die Seite mit http und https ohne aktivierte Port Forward Rule auf der USG.

Du meinst einfach diesen Code in die configuration.yaml kopieren?

 

[Fusion]

Nochmal präziser bitte.
Im lan/wlan kannst du vom PC mit /etc/hosts Anpassung unter https://ha.xxx.synology.me und http://ha.xxx.synology.me:8123 den HA erreichen?
Oder vom Welcher "Seite" reden wir die von wo ohne aktiviertes Port Forwarding im USG erreichbar ist?
Mit Anpassung für DNS sollte es intern in diesem Fall komplett egal sein welche Portfreigabe im USG aktiv ist oder nicht.

Wenn der USG auf 443 lauscht mit seinem Web Interface. Stellt er dies automatisch ab, wenn du die Weiterleitung aktiviert, oder musst du den vielleicht auf einem anderen Port lauschen lassen? Wobei ich den auch nur intern im LAN/WLAN lauschen lassen würde und nicht WAN seitig.

 

[alexhell]

Bei mir das das drin aber aus kommentiert. Musste das nur wieder einkommentieren und und anpassen.

 

[feron]

@alexhell: Kannst du mir kurz einen Print-Screen machen, wie das in deiner configuration.yaml aussieht? Ich habe diese Zeilen eingefügt, hat mir aber beim Neustart von HA einen Fehler ausgegeben in der configuration.yaml.

 

[alexhell]

@feron So sieht das bei mir aus: