Frage zu SSL/Reverse Proxy

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.772
Punkte für Reaktionen
3.743
Punkte
468

Schechner

Benutzer
Mitglied seit
10. Feb 2020
Beiträge
48
Punkte für Reaktionen
0
Punkte
6
geht's etwas genauer? Timeout? Zertifikatsfehler? Was denn nun?
Wunder gibts .... es geht :) kann das sein wenn man das einstellt, das man ein bisschen warten muss? Weil ich habe nichts geändert und jetzt als ich ein bild machen wollte was für ein Fehler kommt, ging es :)

vielen Dank euch allen!

--edit--

eine Frage noch, ist es möglich nachträglich noch subs zu adden?
z.b youtube.xxx.synology.me ?
oder muss ich das komplett neu anlegen?

Vielen Dank
 

Schechner

Benutzer
Mitglied seit
10. Feb 2020
Beiträge
48
Punkte für Reaktionen
0
Punkte
6
Moin, also ich hätte dann doch etwas und zwar wenn ich über meinen Mac oder iphone auf git.xxx.synology.me zugreife, funktionierts es.
Wenn ich mit meinem Laptop (Win 10) zugreifen will. leitet er mich an https://git.xxx.synology.me:10080/ weiter und bringt mir

Code:
Die Verbindung mit dieser Website ist nicht sicher.
git.xxx.synology.me hat eine ungültige Antwort gesendet.
Versuchen Sie, die Windows-Netzwerkdiagnose auszuführen.
ERR_SSL_PROTOCOL_ERROR
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.772
Punkte für Reaktionen
3.743
Punkte
468
ERR_SSL_PROTOCOL_ERROR bedeutet, dass man einen http-Server mit https anspricht oder umgekehrt.
Lösch mal die Cookies im Browser. Wenn da bei irgendwelchen Versuchen mal HSTS mit im Spiel war merkt sich der Browser so einiges.
 

Schechner

Benutzer
Mitglied seit
10. Feb 2020
Beiträge
48
Punkte für Reaktionen
0
Punkte
6
hmm ne, geht leider immer noch nicht, was ich aber nicht verstehe wenn ich "git.xxx.synology.me" eingebe, leitet er mich auf "https://git.xxx.synology.me:10080/" weiter. warum 10080? wenn ich das in 10443 ändere komm ich auch auf git.

Aber wenn ich auf meinem Handy "git.xxx.synology.me" eingebe komm ich drauf ohne port

in den reverse Einstellung steht auch nichts von 10080
 
Zuletzt bearbeitet von einem Moderator:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.772
Punkte für Reaktionen
3.743
Punkte
468
Überleg mal, wo du die 10080 überall eingetragen hast.
Evtl. könnte sich Windows auch etwas in seiner "Anmeldeinformationsverwaltung" gemerkt haben, wenn es nur mit dem Win10-Laptop nicht geht.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Wieso leitet er überhaupt was weiter?
Wenn du mit einem korrekt eingestellten Proxy redest, dann redest du nur mit dem Proxy und niemals direkt mit dem Ziel.
Die angesprochene URL ändert sich also nicht nach dem Aufruf.
Wenn doch wann spuckt noch eine Einstellung außerhalb des Proxy rein...
 

Schechner

Benutzer
Mitglied seit
10. Feb 2020
Beiträge
48
Punkte für Reaktionen
0
Punkte
6
Überleg mal, wo du die 10080 überall eingetragen hast.
Evtl. könnte sich Windows auch etwas in seiner "Anmeldeinformationsverwaltung" gemerkt haben, wenn es nur mit dem Win10-Laptop nicht geht.
ich hab jetzt noch mal überall geschaut Docker-Compose, Revers Proxy.... nirgends find ich 10080 naja solange es auf den anderen zwei läuft bin ich erstmal glücklich :)

Wieso leitet er überhaupt was weiter?
Wenn ich das wüsste :) :)

Wenn du mit einem korrekt eingestellten Proxy redest, dann redest du nur mit dem Proxy und niemals direkt mit dem Ziel.
Die angesprochene URL ändert sich also nicht nach dem Aufruf.
ich kann leider nur berichten, was ich bei mir sehe und das ist wenn ich git.xxx.synology.me eingeben dauert es kurz und dann leitet er mich auf https://git.xxx.synology.me:10080 weiter

Wenn doch wann spuckt noch eine Einstellung außerhalb des Proxy rein...
ich gehe auch davon aus, das ich was verbockt habe. Aber leider sehe ich nicht was :/
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.772
Punkte für Reaktionen
3.743
Punkte
468
Immer das gleiche Spiel pro Sub. Du definierst einen neuen CNAME für deine Domain (youtube....), erweiterst dein Zertifikat oder erstellst dafür ein neues - und setzt einen passenden Reverse-Proxy drauf.
 

Schechner

Benutzer
Mitglied seit
10. Feb 2020
Beiträge
48
Punkte für Reaktionen
0
Punkte
6
Immer das gleiche Spiel pro Sub. Du definierst einen neuen CNAME für deine Domain (youtube....), erweiterst dein Zertifikat oder erstellst dafür ein neues - und setzt einen passenden Reverse-Proxy drauf.
vielen Dank erstmal für die schnelle Antwort, ich hatte mich aber glaube ich falsch ausgedrückt. Ich meinte Subs für mein Zertifikat. Ich hab jetzt ein Zertifikat für xxx.synology.me mit den subs git.xxx.synology.me usw..... jetzt möchte ich aber noch z.b YouTube.synology.me machen, was ich nicht erstellt habe. Gibt es hier die Möglichkeit der Erweiterung?

Die vorgehensweise mit dem Revers Proxy habe ich verstanden :)
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.772
Punkte für Reaktionen
3.743
Punkte
468
Erweitern kann man nicht, man muss ein neues Zertifikat erstellen.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Bei Benutzung von synology.me sollte ab dsm 6.2.3 wildcard support existieren.
daher würde ich probieren das Zertifikat auf xxx.synology.me und als alternativen Namen auf *.xxx.synology.me auszustellen.
Wenn das geht dann könntest du nachträglich das Zertifikat jedem Dienst ala dienst.xxx.synology.me zuweisen den du neu oder geändert hast ohne das Zertifikat ändern zu müssen.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.772
Punkte für Reaktionen
3.743
Punkte
468
Guter Tipp (y). Daran hatte ich gar nicht mehr gedacht, dass da jetzt Wildcard-Zertifikate gehen.
 

Schechner

Benutzer
Mitglied seit
10. Feb 2020
Beiträge
48
Punkte für Reaktionen
0
Punkte
6
Ich muss da nochmal nachfragen,
Ich hab das die ganze zeit so gemacht

Systemsteuerung -> Sicherheit ->Zertifikat und dann über Lets Encrypt

1623572480100.png

Dann in Domainname xxx.synology.me rein, email und bei alternative zb. git.xxx.synology.me eingetragen.
Ist das "Betreff Alternativer Namen" das Wildcard-Zertifiakt? Oder wie kann man jetzt da noch was adden?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.772
Punkte für Reaktionen
3.743
Punkte
468
"Betreff Alternativer Namen" ist normalerweise eine Liste mit Namen, für die das Zertifikat auch gelten soll.
Wenn die Domain "xxx.synology.me" heißt, könntest du also dort "git.xxx.synology.me;irgendwas.xxx.synology.me;..." eintragen.
Und jetzt kommt der Sonderfall: Bei synology.me als Anbieter, kannst du dort auch einfach *.xxx.synology.me eintragen
Dann hast du erstmal mal Ruhe bei künftigen zusätzlichen Namen, zumindest was das Zertifikat anbetrifft.


1623573781495.png
 
  • Like
Reaktionen: Schechner


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat