ecoDMS per URL erreichen

Chrokossa

Benutzer
Mitglied seit
30. Dez 2022
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich wende mich mit einem vermutlich sehr spezifischem Problem an euch. Ich habe vor kurzem ecoDMS für mich eingerichtet, meinen Eltern gezeigt und die waren so begeistert, dass die das auch gerne haben möchten.

Ich habe angeboten, eine Instanz über Docker auf meiner DS920+ zu installieren und über unsere Familiendomain verfügbar zu machen.
In dem Zuge habe ich auch andere Dinge eingerichtet, die bisher ganz gut funktionieren.

Kurz zur Konnektivität: Die Domainverwaltung läuft über Strato. Eine Subdomain ist mittels DDNS auf die DS verbunden. Eine Weitere subdomain übernimmt mittels CNAME Eintrag und Reverse Proxy z.B. Vaulwarden. Insofern funktioniert bisher alles blendend, auch wenn mich das bis jetzt schon viel leserei Zeit und nerven gekostet hat. Vor der DS ist eine Fritzbox geschalten.

Jetzt bin ich bei der 3. Subdomain, die ecoDMS übernehmen soll. Nachdem ich alles analog zur 2. Subdomain eingerichtet und den Webclient aktiviert habe komme ich auch mittels https://dms.domain.de ohne Umschweife dahin.
Fehlt mir noch der Desktop-Client, und hier scheiterts. Man muss ja einen Port angeben, Standard ist dieser 17001, was ich auch so belassen habe.

Nur kann ich logischerweise keine SSL-Verbindung zu einem Port aufbauen, der selbst kein SSL unterstützt. Dass die Verbindung verschlüsselt ist, ist Grundvoraussetzung, damit wir das System übers Netz betreiben.
Also habe ich gedacht, ich lege einen Reverse-Proxy an, der an der dms.domain.de mit Port 17000 lokal auf Port 17001 umleitet. So wie das bisher auch funktioniert hat.

Meine Frage: Ich habe auch einen Reverse Proxy, der von Port 443 auf Port 17004 umleitet. Die Weboberfläche erreiche ich wie gesagt ohne Probleme. Hindert das eventuell schon die Verbindung?
Die Fehlermeldung, die ich im Connection Manager bekomme ist "Given port is out of range:-1"
Die Einstellungen im Manager
Hat das Szenario schonmal jemand durchgemacht und kann mir Tips geben, wie ich die Verbindung Zustandebekomme?
 

Chrokossa

Benutzer
Mitglied seit
30. Dez 2022
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Als ergänzende Info: Der Zugang mittels Reverse Proxy im connection Manager ist nicht möglich. Ich habe mir jetzt so beholfen, dass ich mehrere DDNS zu unterschiedlichen Subdomains angelegt habe.
 

King3R

Benutzer
Mitglied seit
14. Mrz 2017
Beiträge
361
Punkte für Reaktionen
82
Punkte
28
Ich habe das ähnlich für meine Docker-Container eingerichtet. Bei mir wird Port 443 von der Fritzbox an Port 443 der DS weitergeleitet. So kann man dann alle gewünschten Container ohne Port-Angabe nach außen über den Reverse Proxy zugänglich machen. Für jeden Container ist weiterhin ein CNAME-Eintrag auf die DDNS-Adresse eingerichtet. DDNS läuft bei mir direkt über die Fritzbox. Wie ist das bei dir geregelt? Will man aber zeitgleich über den Reverse Proxy von außen auf die Fritzbox, muss man Port unter Internet > Freigaben > FRITZ!Box-Dienste > TCP-Port für HTTPS abändern.

Bei mir sieht eine Reverse Proxy Regel exemplarisch so aus:
Quelle
Protokoll: HTTPS
Hostname: dsm.example.org

Ziel
Protokoll: HTTPS (intern kann man auch HTTP verwenden)
Hostname: IP der Diskstation
Port: 5001 (intern kann man auch Port 5000 verwenden)
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Warum leitest du den Port 17000 SSL auf 17001 um? Richtig wäre doch SSL 17001 > 17001 ohne SSL. Ich kenne EcoDMS nicht und nutze lieber Paperlessngx, aber eine Portfreigabe ist nichts anderes. Bist du sicher, dass der Port 17001 nicht direkt gesprochen wird? Hinter ein Revers Proxy Eintrag sollte eine Webanwendung stehen, nicht eine App. Dort wäre die Portfreigabe normal.

Da es für dich und deine Familie ist, wäre eine VPN-Verbindung eventuell eine bessere Wahl.
 

Chrokossa

Benutzer
Mitglied seit
30. Dez 2022
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Entschuldige die späte Antwort, ich gebe sie dir dennoch gerne.

Der Port 17000 war ne Spielerei nachdem ich nicht direkt mit 17001 drauf gekommen bin. Der Reverse Proxy war notwendig, weil die Weboberfläche für meine Eltern leicht erreichbar sein soll. Das hat ja auch schon super funktioniert.

Bevor du geschrieben hast habe ich tatsächlich schon eine VPN-Verbindung der beiden Netzwerke aufgebaut, weil der scaninput-Ordner auch über die Windows-Oberfläche erreichbar sein sollte.

Alles in Allem Läuft es jetzt wie ich es mir vorgestellt habe.
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.200
Punkte für Reaktionen
1.024
Punkte
224
@Chrokossa wenn du eine FRITZ!Box zu Hause hast, dann kannst du auch darüber das VPN öffnen. Das hat gegenüber VPN auf dem NAS den Vorteil, dass du nicht erst Ports zu dem NAS freigeben musst in deinem Netzwerk, sondern die „Grenze“ zum Internet bereits die FRITZ!Box ist.

@AllinOne ich habe für Paperless-ngx mal irgendwann einen eigenen Faden aufgemacht, weil es grundsätzlich Vorteile haben kann, wenn man alle möglichen Themen zu einem bestimmten Programm darin bindet. Es hat aber auch den Nachteil, dass man Sachen nicht so schnell findet, wie wenn man sie über die Überschrift suchen kann.
 

roads

Benutzer
Mitglied seit
08. Okt 2021
Beiträge
108
Punkte für Reaktionen
8
Punkte
18
Ich habe versucht mit dem Reverse Proxy der Lancom Firewall durchzukommen. Lokal erreiche ich über 17004 den EcoDMS Webserver wenn 8080 eingestellt ist. Die Einrichtung des Reverse Proxies scheiter daran, dass Die Firewall nur .pem .p12 und .der exportieren kann und Ecodms ewartet glaube ich ein Java Certifikat. Zum umwandeln bin ich zu doof leider. Schade dass das eh schon komplizierte reverse Proxy nochmal durch das Zertifikat verkompliziert wird. Also ich bekomme es nicht hin. Knapp vor der Ziellinie gestolpert.
 

roads

Benutzer
Mitglied seit
08. Okt 2021
Beiträge
108
Punkte für Reaktionen
8
Punkte
18
Der Reverse Proxy war notwendig, weil die Weboberfläche für meine Eltern leicht erreichbar sein soll. Das hat ja auch schon super funktioniert.

Wie hast du SSL gelöst oder lässt du unverschlüsselt rein? Ecodms nimmt ja nur einen Java Key Store.

Ich habe mal eine Feature request geschrieben, Ecodms solle doch ein Certifikat auspucken können dass von gängigen Firewalls akzeptiert wird. Die Lancom UF kann zum Beipiel PEM PKCS und DER. Ich denke, dass das bei den anderen Firewalls auch so ist. Ich denke ein brauchbares Zertifikat vom Ziel macht mehr Sinn als umgekehrt. Technisch sollte es EcoDMS ja möglich sein. Vielleicht schreibt ihr EcoDMS auch das hilft sicher wenn sich mehrere melden mit dem Problem. Wäre traurig wenn der Zugang über eine Firewall an Zertifikatstypen scheitert.
 
Zuletzt bearbeitet:

roads

Benutzer
Mitglied seit
08. Okt 2021
Beiträge
108
Punkte für Reaktionen
8
Punkte
18
Halte mal weiter Monolog aber vielleicht hilft es jemandem später mal. Weitere Gespräche mit EcoDMS, sind sehr hilfsbereit. Ein weiterer Port wurde gefunden der offen sein muss und zwar 12022 TCP. Jetzt gelange ich schon auf die Synology aber scheitere dort am Pfad der im Frontend eingegeben werden muss. Laut EcoDMS Support ist hier kein Pfad notwendig die Unified Firewall will aber einen Eintrag haben. Es funktioniert werde ein einfaches / noch /? .
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.847
Punkte für Reaktionen
760
Punkte
128
Ich habe auch ecoDMS. Nutze dies aber noch nicht von extern bzw. wenn, dann über den ecoDMS Dienst. Ich habe einen Reverse Proxy auf der OpnSense laufen. Eigentlich sollte es doch reichen, wenn du im CNAME bei Strato den DynDNS einträgst und den Eingang bei der FB 443 an den Reverse Proxy weiterleitest. Dem Reverse Proxy sollte es doch reichen, wenn er den Weg zum Port 17001 kennt oder halt den Port für den webClient. Bei meiner OpnSense habe ich es aber einfacher, weil ich mir durch den ACME Client ein Lets Encrypt Zertifikat für die Subdomain erstellen kann.

Somit komme ich über 443 verschlüsselt rein und nach dem Reverse Proxy geht es dann unverschlüsselt weiter. Ich werde dies bei Gelegenheit mal probieren. Bei Home Assistant funktioniert dieser Weg perfekt und DER KANN AUCH KEIN HTTPS ;). Ich komme auf 443 rein und werde an http://...8123 weitergereicht. Von außen erkennt das aber niemand.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.847
Punkte für Reaktionen
760
Punkte
128

roads

Benutzer
Mitglied seit
08. Okt 2021
Beiträge
108
Punkte für Reaktionen
8
Punkte
18
Ohne den Port 12022 ging das nicht. Da kam ich gar nicht bis zur Synology über 443 weitergeleitet vom Router. Jetzt bekomme ich zumindest

HTTP ERROR 504​

Problem accessing /. Reason:

Gateway Timeout

statt einer Meldung von Ecodms dass es den Server gar nicht findet. Das Problem ist denke ich die URL im Frontend. Dort muss etwas stehen, die Unified lässt leer nicht zu. Welchen Pfad ich da eintragen kann weiss ich nicht.


1699361336891.png



1699361380167.png
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.847
Punkte für Reaktionen
760
Punkte
128
Mach doch mal den Hacken bei SSL im Backend raus. ecoDMS kann durch kein HTTPS oder? Ich muss heute zuhause noch einmal schauen. Ggf. müsse es auch mit SSL und https:/IP_ecoDMS:8080 gehen. Rufe doch mal den webclient INTERN auf und kopiere die Adresse einfach in den Reverse Proxy rein, inkl. evtl. einem Pfad.
 
Zuletzt bearbeitet:

roads

Benutzer
Mitglied seit
08. Okt 2021
Beiträge
108
Punkte für Reaktionen
8
Punkte
18
Mach doch mal den Hacken bei SSL im Backend raus. ecoDMS kann durch kein HTTPS oder?
Gute Idee und habe ich gerade probiert, selber Fehler. Habe auch mal SSL überall ausgestellt, kommt trotzdem nicht durch. Ich denke es ist die URL aber ich weiss nicht was ich da eintragen soll ausser / um ins root Verzeichnis zu kommen. Und " " geht nicht, lässt die Unified nicht zu. Leer lassen des Proxypfades auch nicht.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.847
Punkte für Reaktionen
760
Punkte
128
ich denke es ist die URL aber ich weiss nicht was ich da eintragen soll
Wenn du dich intern per Browser beim WebClient anmeldest, was steht da da? zum Beispiel: https://IP_ecoDSM:8080.....???
 

roads

Benutzer
Mitglied seit
08. Okt 2021
Beiträge
108
Punkte für Reaktionen
8
Punkte
18
8080 ist der interne EcoDMS port nach ausser kommuniziert EcoDMS auch über einen reverse Proxy auf der Synology, Port 17004 bei mir. Ich kann EcoDMS Web aus dem localen Netzwerk über https://IP_ecoDSM:17004 erreichen. Laut EcoDMS Support passt das so. Das ist es leider nicht.

1699363250111.png1699363436611.png
 

Anhänge

  • 1699363268182.png
    1699363268182.png
    30,1 KB · Aufrufe: 2

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.847
Punkte für Reaktionen
760
Punkte
128
Alles klar. Danke für deine Info. Im Moment fällt mir da auch nix ein.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.847
Punkte für Reaktionen
760
Punkte
128
Ich glaube die LANCOM Firewall kann mit leeren Proxy Pfaden nicht umgehen. Handbuch Seite 125. Die FW will immer einen absoluten Pfad haben. Bei OpnSense ist das optional.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat