Zugriff auf DSM Login (Port 5001) hinter OPNSense und os-nginx

[muecke63]

Guten Tag,

gibt es Jemanden der eine OPNSense mit dem os-nginx als Reverse Proxy nutzt um auf die DSM Login Oberfläche der Diskstation zuzugreifen?
Uber die Sophos UTM und die Webserver Protection klappt alles ohne Probleme.

In der OPNSense NGINX Reverse Proxy bekomme ich wenn ich den Domain Namen aufrufe nur ein HTTP 400 Fehler.

Über Ideen und Tipps wäre ich sehr dankbar.

Viele Grüße
Micha

 

[EDvonSchleck]

Du solltest die Sache etwas ordnen.
Du nutzt os-nginx als Reverse Proxy? Nicht den Nginx Proxy Manager?
Wenn du den Manager installiert, hast die entsprechenden Ports in der Firewall freigegeben?
Wie installierst du es? Docker?

Ansonsten liefer mehr Daten und am besten Bilder von deinen Einstellungen.

 

[muecke63]

Hi,
dies ist ein separates Plugin auf der OPNSense. Dort habe ich die Ports Freigegeben (80 und 443). Ich habe auch auf einem Asus Tinkerboard eine Website laufen die ohne Probleme funktioniert.
In der OPNSense kann alles konfigueriert werden. Nur bekomme ich diesen HTTP 400 Status Code bei der Einrichtung auf die Synology.

Ich kann heute Abend Bilder von den Settings hochladen.

 

[EDvonSchleck]

Was willst du denn genau machen? Den Port 5000/5001 solltest du eh nicht nutzen. Nimm dir doch einfach einen Domain/Subdomain und trage diese im Anmeldeportal unter Domain ein. Nach dem Speichern kommst du einfach über den Port 443 auf die DiskStation. Wenn das bei einem anderen Gerät funktioniert, muss es ja auch bei der DS gehen. Nutzt du IPv4 oder IPv6? Eventuell ist ein Portmapping/Nat noch notwendig oder du nutzt den Reverse Proxy der DiskStation, um auf der Webseite des anderen Gerätes zu kommen.

 

[muecke63]

Die OPNSense ist die Stelle, welche alle Zertifikate macht. Dort komme ich immer mit dem Port 80 oder 443 an. Der Port 5001 hinter der Firewall ist ein interner Port. Dieser wird nicht nach außen weiter gegeben. Somit kann ich mehrere Webserver hinter der Firewall mit dem Reverse Proxy ansprechen. Anhand der URL weiss der Reverse Proxy auf der OPNSense auf welchen Webserver er den Traffic weiterleiten muss.

Als Beispiel habe ich Website 1 mit der URL www.beispiel.de auf dem Tinkerboard liegen.
Weiterhin nutze ich eine Anwendung welche ebenfalls einen Webserver nutzt mit einer zweiten Domain www.anwendung.de auf einem anderen Zielgerät.
Das klappt alles ohne Probleme nur wenn ich intern auf den Port 5001 der Synology zeige bekomme ich als Antwort von dem nginx der Synology den Status Code 400.

Der Aufbau:

 

[EDvonSchleck]

Das ist mir schon klar. Du musst doch nur der DSM eine Domain oder DynDNS zuweisen und kannst damit auf das Gleiche zugreifen als, wenn du den Port 5000/5001 verbindest. Dazu musst du nichts mit den Ports machen.

Auf welchen Port lauschen denn die anderen Webserver?

 

[muecke63]

Die Anderen Webserver lauschen auf Port 80 oder einen frei gewählten Port weil Docker Container.

Okay dann teste ich mal die Adresse im Anmeldebereich zu hinterlegen und dann den Reverse Proxy auf Port 443 oder 80 zu stellen.
Ich bin gespannt.

Vielen Dank erstmal.

 

[EDvonSchleck]

Der Webserver der DS lauscht auch nur auf diese Adresse. Somit unterscheidet es sich nicht von den anderen Webservern.

 

[muecke63]

Guten Abend,

der Tipp hat leider nicht geklappt.
Ich bekomme mit diesen Einstellungen nur angezeigt das SSL Zertifikat fehlt.
Dieses ist aber im nginx reverse Proxy angegeben.

 

[EDvonSchleck]

Port 5000 hast du auch probiert? Die Zertifikate verwaltest du nur über den Proxy Manager?
Zeig doch einmal deine Reverse Proxy Einstellungen.
Dass es bei der Domain zu einem Zertifikatsfehler kommt, ist ja klar, wenn das Zertifikat auf der DS nicht passt.
Umleitung von 5000 > 5001 auch aktiv?

 

[muecke63]

So ich habe mal Screenshots gemacht:






Das ist dann das Ergebnis:

 

[EDvonSchleck]

Zum Testen nimm doch erst einmal die Weiterleitung auf 5001 und versuch den Port 5000.
HTTPS hast du aber nicht aktiviert (Bild2) Wo soll das Zertifikat denn jetzt laufen auf der DS oder im Proxy Manager?

Meine Domain trage ich im letzten Bild ein, im vorletzten Bild habe ich keine Einstellungen getätigt. Ich würde aber erst einmal versuchen, eine unverschlüsselte Verbindung herzustellen. Dann kann man aufbauen.

 

[muecke63]

Den DNS Namen habe ich in beiden Fällen getestet. Auch das HTTPS im Upstream einzuschalten brachte keine Veränderung.
Wahrscheinlich ist der Fehler so banal das man Ihn übersieht.

Wie gesagt ich habe das ebenfalls in einer Sophos UTM mit Webserver Protection ohne Probleme am laufen.
Ich teste mal weiter. Vielen Dank erstmal.

 

[EDvonSchleck]

Zum Testen nimm doch erst einmal die Weiterleitung auf 5001 und versuch den Port 5000.

Und wie ist das Ergebnis?

 

[muecke63]

Da passiert gar nix mehr. Da bekomme ich keine Antwort. Da läuft die Anfrage in ein TimeOut.

 

[EDvonSchleck]

Browser Cache gelöscht?

 

[muecke63]

Mehrere Browser probiert. Sogar über Smartphone ohne WLAN und über VPN von einem anderen Standort aus.

 

[muecke63]

Ich habe nun über den internen HTTP Port 5000 Zugriff von außen.
Allerdings habe ich einen weiteren DNS Namen einer anderen Domain angelegt damit klappte es dann.
Keine Ahnung was die Ursprungs Domain für ein Problem hat.

 

[EDvonSchleck]

nslookup mit der anderen IP probiert?

 

[muecke63]

Danke Dir.
Es läuft auch nun mit der eigentlichen Domain.
Ich vermute es lag an der OPNSense. Habe diese einmal rebootet und nun klappen die Einstellungen wie oft beschrieben.