HTTPS Zugriff auf Jellyfin auf DS920+

Cyberbrat

Benutzer
Mitglied seit
26. Jul 2016
Beiträge
21
Punkte für Reaktionen
5
Punkte
3
Hallo!
Wie viele andere bin ich traurig dass Syno die Video Station eingestampft hat. Ich weiß dass jede Alternative unendlich viel besser sein soll als die VS aber mir hat sie ehrlich gesagt gereicht. Egal ich habe mich für Jellyfin entschieden. Da ich mich an die Containerlösung nicht rantraue hab ich das native Paket von SynoCommunity installiert.

Das hat alles auch ganz gut hingehauen ich kann lokal und auch von extern auf Jellyfin zugreifen letzteres aber leider nur über HTTP. Das ist glaube ich nicht so gut. Jetzt habe ich versucht den Zugriff über HTTPS reinzurichten, scheitere aber an meiner Inkompetenz.

Was ich gemacht habe:
In der Fritzbox eine Portweiterleitung von 8920 zu 8920 (TCP) eingerichtet.
In den Einstellungen des Jellyfin Servers habe ich folgendes eingestellt:
  • bei "Server-Adresseinstellungen" HTTPS aktivieren angehakt. Bei "Lokale HTTPS-Portnummer" natürlich 8920 gelassen alles andere ist leer.
  • bei "Fernzugriffs-Einstellungen" --> Externe Verbindungen zu diesem Server zulassen angehakt, "Öffentliche HTTPS-Portnummer" natürlich 8920.
bei den "HTTPS-Einstellungen" scheitere ich glaube ich. Ich habe "HTTPS erforderlich" angehakt, aber jetzt muss ich wohl noch den Pfad zum Zertifikat angeben. Ich hab auf der Syno ein so ein "Let's Encrypt" Zertifikat was man direkt im Control Panel erzeugen/beauftragen lassen kann. Damit kann ich auf alle Syno Apps also z.B. Audio Station oder Synology Photos per HTTPS zugreifen. Offenbar greift der Jellyfin server da nicht automatisch drauf zu. Oder liegt es gar nicht am fehlenden Zertifikat?
Zumindest bekomme ich immer eine Meldung dass der Server nicht erreichbar ist wenn ich mich versuche mit [www.meineDDNS_adresse:8920] zu verbinden.

Hat jemand eine Schritt für Schritt Anleitung wie man das mit dem HTTPS Zugriff hinkriegt?
Für jeden Tipp unendlich dankbar und mit freundlichen Grüßen
Pavel
 

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
697
Punkte für Reaktionen
91
Punkte
48

Cyberbrat

Benutzer
Mitglied seit
26. Jul 2016
Beiträge
21
Punkte für Reaktionen
5
Punkte
3
Danke @weyon für die schnelle Antwort. Ich habe mich jetzt mal eben durch den Krams durchgelesen, ich musste erstmal verstehen was ein reverse proxy ist.
Der verlinkte Artikel ist laut Marius veraltet, er verweist da weiter auf einen anderen Artikel (https://mariushosting.com/synology-how-to-run-docker-containers-over-https/) bei dem man die Wahl hat zwischen einem "wildcard Zertifikat" und "individuellen subdomain Zertifikaten".
Wenn ich Marius richtig verstehe müssen aber alle Zertifikate 3-monatlich geupdated werden. Bisher macht das die Syno automatisch, beim reverse proxy funktioniert das nicht mit den automatischen updates?
Ich hab auch ehrlich gesagt mein Zertifikat auf meine eigene Domain laufen ist auch ein Zugriff über DDNS aber halt nicht über xxxxx.synology.me. Ist das ein Problem?
Sorry für die vielen dummen Fragen.

Eine hab ich noch. Läuft das bei Plex einfacher? also kann ich bei der Plex app HTTPS nutzen wie bei den anderen Synology apps auch? dann würde ich eventuell doch zu Plex wechseln.
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
2.179
Punkte für Reaktionen
907
Punkte
154

ds718-

Benutzer
Mitglied seit
27. Jan 2020
Beiträge
164
Punkte für Reaktionen
24
Punkte
18
Was ich gemacht habe:
In der Fritzbox eine Portweiterleitung von 8920 zu 8920 (TCP) eingerichtet.
Hallo,
richte dir eine interne TCP-Portweiterleitung für 443 zu 443 ein.

In den Einstellungen des Jellyfin Servers habe ich folgendes eingestellt:
  • bei "Server-Adresseinstellungen" HTTPS aktivieren angehakt. Bei "Lokale HTTPS-Portnummer" natürlich 8920 gelassen alles andere ist leer.
Die lokale HTTPS 8920 ist völlig uninteressant, wichtig wäre der darüber stehende HTTP-Port, denn auf diesen Port leitet der Reserve Proxiy weiter (z.b wir nehmen Port-7025)
bei "Fernzugriffs-Einstellungen" --> Externe Verbindungen zu diesem Server zulassen angehakt, "Öffentliche HTTPS-Portnummer" natürlich 8920.
auch da ist HTTPS uninteressant, ein Feld darüber muss der HTTP-Port wie oben in meinen Beispiel Port-7025 sein und der Hacken bei "Externe Verbindungen zu diesem Server zulassen" gesetzt sein.

Unter HTTPS-Einstellungen kannst du dein eigenes Dyn-Zertifikat (SSL) mit Pfadangabe auf deiner DS ablegen und dort angeben, ich glaube aber das es nicht zwingend notwendig ist.
Das wäre auch alles was nötig wäre unter Jellyfin-Netzwerk. Den Rest erledigst du auf deiner DS unter /Anwendungsportal/Reserve Proxy.

Dort erstellst du in den Proxy-Regeln deinen Jellyfin-Server.

(Quelle)
Prottokoll: HTTPS
Hostname: meineDDNS_adresse (keine Synology Adresse)
Port: 443
HSTS aktivieren

(Ziel)
Protokoll: HTTP
Hostname: IP deiner DS
Port: 7025 (Beispiel Port oben)

(Benutzerdefinierter Header)
Einmal auf erstellen gehen,Fertig.


So fern du den TCP-Port 443 in deiner Fritz geöffnet hast kannst du dich über "https://www.meineDDNS_adresse:443/" von extern auf deinen Jellyfin-Server verbinden (Hoffentlich mit Name u. Passwort)
Die Dynadresse muss natürlich regelmäßig über "Let's Encrypt" aktualisiert werden.

Das wars...............
 

ds718-

Benutzer
Mitglied seit
27. Jan 2020
Beiträge
164
Punkte für Reaktionen
24
Punkte
18
Unter HTTPS-Einstellungen kannst du dein eigenes Dyn-Zertifikat (SSL) mit Pfadangabe auf deiner DS ablegen und dort angeben, ich glaube aber das es nicht zwingend notwendig ist
Nachtrag unter Jellyfin/Netzwerk:

Bei dieser Einstellung muß eine PKCS-#12-Datei (Zertifikat-Lets Encript von .pem auf .pfx konvertiert) eingefügt werden. Das ist aber nicht zwingend notwendig. Es ist für Leute die sich im eigenen Heimnetz nochmal über HTTPS u. Lets Encrypt absichern möchten.

Die funktion ist das der HTTP-Port intern immer auf HTTPS-Port mit dem Konvertierten-Zertifikat umgeleitet wird. Im obigen Bsp. auf "Lokale HTTPS-Portnummer 8920".
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.163
Punkte für Reaktionen
917
Punkte
148
Und das Prozedere will man dann alle 2-3 Monate machen, wenn das Zertifikat ausläuft??? Also da lob ich mir mein Reverse Proxy. ;)
 
  • Like
Reaktionen: ctrlaltdelete

ds718-

Benutzer
Mitglied seit
27. Jan 2020
Beiträge
164
Punkte für Reaktionen
24
Punkte
18
Mit dem Reserve Proxy hat das nichts zu tun :sneaky:

In erster linie geht es bei dieser Option um einen Internen HTTP-Aufruf, weiter nichts. Es soll doch tatsächlich hier Leute geben die sich nicht einmal im heimischen Netz sicher fühlen :ROFLMAO:.

Recht hast du das dieses Konvertierte Lets Encrypt Zertifikat nach drei Monaten abläuft, allerdings können auch alle anderen Zertifikate die länger haltbar sind konvertiert genommen werden..

Es gibt auch Leute einschließlich mich die gerne ihren Multimedia-Server regelmäßig pflegen und auch entsprechend Zeit investieren. Da sollten selbst bei ein Dutzend Zertifikate (d. i. manuell erneuere) kein Zeitproblem entstehen.;)
 

Cyberbrat

Benutzer
Mitglied seit
26. Jul 2016
Beiträge
21
Punkte für Reaktionen
5
Punkte
3
Ahoi!
Um diesen Thread mal abzuschließen erzähle ich mal kurz wie es weitergegangen ist. Ich hab in den letzten Wochen viel gelernt jetzt scheint alles ganz logisch.
1.) Einrichten vom reverse Proxy (port 443 auf 8096): Hier war meine Hauptfrage unter welcher Adresse ich meinen jellyfin server erreichen soll. Ich hab ja eine eigene Domain ( pavel.de, bei Strato gehostet) und meine Syno ist über eine subdomain via DynDNS aus dem netz erreichbar (syno.pavel.de). Für den jellyfin server (bzw. den reverse proxy) brauche ich ja eine eigene Adresse. Leider darf ich beim reverse proxy keine URL pfade verwenden (so dass meine Adresse von außen z.b. nas.pavel.de/jellyfin ist) also brauche ich eine eigne subdomain. Da es bei Strato nicht möglich möglich ist eine catchall subdomain einzurichten hab ich halt jetztz für jellyfin eine subdomain aufgemacht (jellyfin.pavel.de). Diese hab ich dann per CNAME auf nas.pavel.de umgeleitet.
2.) Einrichten des Zertifikats
Leider erlaubt Let's encrypt wildcard zertifikate nur für Synology-eigene DynDNS adressen (beispiel.synology.me), deshalb musste ich halt ein Zertifikat für die o.g. subdomain (jellyfin.pavel.de) einrichten.

Die Konfig ist nicht sexy aber sie läuft. Und ich lerne ja ständig dazu. Im Frühling läuft mein Vertrag bei Strato aus dann wechsel ich zu einem Anbieter der catchall dns Einträge ermöglicht. Cloudflare soll ja ganz gut sein. Und was das wildcard Zertifikat angeht das soll über einen Workaround auch gehen , im Marius forum wurde hier desöfteren CertBot erwähnt, aber bis ich das kapiere dauert es bestimmt noch ein paar Wochen.
Auf jeden Fall erstmal vielen Dank für die vielen konstruktiven Kommentare die mich in die richtige Richtung geschubst haben. Hab ne Menge gelernt, Danke dafür!
Liebe Grüße, P
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.163
Punkte für Reaktionen
917
Punkte
148
Oder hier mal probieren. Das Lets Encrypt Wild Card Z. wird hier gut erklärt.
 

ds718-

Benutzer
Mitglied seit
27. Jan 2020
Beiträge
164
Punkte für Reaktionen
24
Punkte
18
Wenn du Kostenlose Dyndns-Adressen suchst kann ich dir "https://selfhost.de/" , oder "https://freedns.afraid.org/" empfelen.
Die Dyn-Adresse von selfhost ist sogar mit wild card, kann mehrmals verwendet werden, bei freedns nicht. dafür kannst du etliche Adressen erstellen.

Über Lets Encrypt erstellst du nur das Zertifikat mit deinen Dyn-Adressen. Wichtig in dem Moment ist das der Port TCP 443 u.80 in der Fritzbox offen ist. Danach den TCP-Port 80 wieder schließen.
Wurde das Lets Encrypt Zertifikat erstellt unter /Systemsteuerung/Sicherheit/Zertifikat/ muß es noch unter Konfigurieren mit dem Dienst(Proxy) und Zertifikat übereinstimmen.

Beispiel Dyn mit Wildcard
xyz.xxxxxxxx.selfhost.me
fgt.xxxxxxxx.delfhost.me
rtz.xxxxxxxx.selfhost.me
 

ds718-

Benutzer
Mitglied seit
27. Jan 2020
Beiträge
164
Punkte für Reaktionen
24
Punkte
18
Die Dyn-Adressen müssen aber aktiv auf deiner DS sein. Dort kannst du sie alle aktivieren nach Bedarf. In der Fritz lässt sich leider nur eine Dyn-Adresse aktivieren.

Unter /Systemsteuerung/Externer Zugriff

1732379886838.png
 
  • Like
Reaktionen: Ronny1978


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat