Calendar - reverse proxy

[MasterofChaos]

Hallo zusammen,

ich habe mit da eine neue Herausforderung gestellt, an der ich gerade scheitere...

Ich möchte meinen bestehenden CalDAV welcher über WebDAV (Port: 5006) läuft abschalten und stattdessen Calendar (die Anwendung) nutzen (wird weiterentwickelt, hat eine Weboberfläche etc.).

Hierzu habe ich einen reverse proxy eingestellt: CalDAV.meine_url.me:443 auf localhost:38443

In der DSM-Firewall ist der Port: 38443 freigegeben ich habe auch ein Zertifikat dafür erstellt und zugewiesen.

Es gelingt mir jedoch nicht, von außen auf den CalDAV zuzugreifen...

Wo liegt der Fehler? Der bestehende CalDAV läuft ohne Probleme...ist das vielleicht das Problem?

vg
Axel

 

[Wile E Coyote]

Servus,
ich nutze auch Calendar über Reverse Proxy.
Dazu habe ich Calendar.meine-Domain.synology.me, den Port 443 sowie https bei „Quelle„ eingestellt.
Unter „Ziel“ wurde auch https, dann die IP meiner DS sowie der https Port für Calendar eingetragen.
Du musst schauen das der Port 443 im Router sowie in der DS-Firewall freigegeben ist. Andere Ports brauchst Du nicht freigeben.

Gruss

 

[MasterofChaos]

Moin,

mh, so habe ich das eigentlich auch gemacht:

Die Ports in der Firewall bzw. die Portweiterleitung sollten aktiv sein, da hierüber ja auch der WebDAV läuft...

@Wile E Coyote : Kannst du über das Webfrontend darauf zugreifen? Denn das funktioniert bei mir mit caldav.meien_url.me auch nicht.

vg
Axel

 

[Tengo]

Hallo, dieser Beitrag passt gut, um mein gerade aufgetretenes Problem mit zu klären:

Ich habe CardDav und Calendar am Laufen. Und ich habe über Docker den nginx proxy manager konfiguriert. Alle Anfragen werden über den Proxy manager weitergegeben und dann in Richtung Syno-Pakete verteilt, d.h. ich habe mehrere Domains, die wie folgt laufen

http(s)://domain.de --> Port 80 --> Umleitung auf https --> auf Webstation
http(s)://dsm.domain.de --> Umleitung auf Login

Die SSL-Zertifikate werden vom nginx-proxy-manager über Let's Encrypt erstellt und erneuert. Funzt alles super, nur gibt es 1 Problem und da sind wir jetzt beim Umleiten / "Porten" usw. ... Ich weiss nicht, wie ich dem CardDav-Server klar mache, dass er das Zertifikat vom Proxy-Manager nutzen soll. Da die Ports 80 und 443 erst auf den nginx-Proxy gehen und erst von dort weiter, sagt mir der "Zertifikate-Dienst" der Synology, dass er keine Verbindung ins Netz findet. Somit schlägt also auch die Erneuerung eines Zertifikats fehl. Das wäre aber auch unnötig, da ja bereits ein gültiges Zertifikat existiert. Nur wie erkläre ich das der Syno bzw. dem CardDav-Server?

Wie habt ihr das gelöst? Oder ist das über den Reverse-Proxy der Syno kein Problem?

 

[MasterofChaos]

@Tengo Das ist bei mir kein Problem. Im Zertifikatsmanger (Sicherheit--> Zertifikat --> Konfigurieren) habe ich das erstellte Zertifikat dem Dienst (reverse Proxy für Caldav) zugeordnet.

 

[Tengo]

Hmm, muss ich mal testen. Danke für die schnelle Rückmeldung. Vielleicht schieße ich ja mit dem nginx-proxy-manager gerade mit Kanonen auf Spatzen, wenn der Syno-Reverse dieselbe Funktionalität bietet.

Das würde bedeuten (Kurzzusammenfassung):

1. Ich lege bei meinem Domain-Anbieter mehrere Domains an:

meine-domain.de
dsm.meine-domain.de
carddav.meine-domain.de
caldav.meine-domain.de

2. Im Router und in der Syno-Firewall gebe ich nur Port 80 und 443 frei und verteile dann über den Reverse-Proxy wie folgt (Standard-Ports):

meine-domain.de --> Webstation Port 443 (80 auf HTTPS umleiten)
dsm.meine-domain.de --> DSM-Login Port 5001
carddav.meine-domain.de --> CardDav-Server Port 8443
caldav.meine-domain.de --> Caldendar Port 38443

3. Dann lege ich mehrere Zertifikate (für jede URL eins?) in der Syno an und richte die ein?

Korrekt?

 

[Benares]

Zu 3) es reicht 1 LE-Zertifikat für meine-domain.de mit dsm.meine-domain.de, carddav.meine-domain.de und caldav.meine-domain.de als "Betreff Alternativer Name". Dieses Zertifikat dann über Systemsteuerung, Sicherheit, Zertifikat, "Konfigurieren" den einzelnen Reverse-Proxies zuordnen.

 

[MasterofChaos]

Das sollte so funktionieren.

Aber jetzt kurz zu meinem Ursprungsproblem habt ihr noch weitere Ideen woran es liegen könnte?

 

[Benares]

"nslookup CalDAV.meine_url.me" löst deine externe IP auf?
http://<IPderDS>:38443 lokal geht?
Proxy für https,CalDAV.meine_url.me,443 auf http,localhost,38443 eingerichtet?
https://CalDAV.meine_url.me geht nicht? Was passiert?

Übrigens: Es ist besser intern mit http zu arbeiten, dann hat man das ganze Zertifikats-Geraffel zentral an einer Stelle. Evtl. braucht es aber für die korrekte Umsetzung https->http evtl. eine Rewrite-Rule in nginx unter /usr/local/etc/nginx/sites-enabled wie z.B. caldav-rewrite.conf mit folgendem Inhalt

server {
        listen 38443;
        server_name caldav.meine-domain.de;

        return 301 https://$host$request_uri;
}

 

[MasterofChaos]

Mh, wenn intern über die IP gehe bekomme ich: "403 Forbidden - nginx"
In der Firewall der DS ist dieser Port aber explizit offen...auch wenn ich zusätzlich Port: 38008 freigebe erscheint der selbe Fehler. --> I am lost

Bei nslookup bekomme ich eine "nicht autorisierende Antwort" aber er gibt mir meine externe IP zurück.
Bi Zugriff über https://CalDAV.meine_url.me bekomme ich auch: "403 Forbidden - nginx"

Also wird da wohl irgendwo etwas blockiert...wo liegt mein Fehler?

 

[Benares]

Mh, wenn intern über die IP gehe bekomme ich: "403 Forbidden - nginx"

Mmh, google mal nach "403 Forbidden - nginx", das scheint nochmal ein anderes Problem zu sein.
Lokal muss es erstmal halbwegs gehen, bevor man einen Reverse-Proxy für den Remote-Zugriff darüber setzt.

 

[MasterofChaos]

Mh, Lösung gefunden ....wenn ich den caldav Zugang im Calendar abfrage bekomme ich:

https://meine_IPort_der_DS/Speicherort_Kalender zurück und nicht mit dem Port des calDAV: 38443 wie ich es erwartet hätte, oder es bei Synology hier angeben wird: Portliste

Ich habe den Port jetzt Anwendungsportal eingetragen, ihn im Reverse Proxy angepasst und siehe da alles flutscht

THX