HTTPS Zugriff auf Jellyfin auf DS920+

Cyberbrat

Benutzer
Mitglied seit
26. Jul 2016
Beiträge
12
Punkte für Reaktionen
2
Punkte
3
Hallo!
Wie viele andere bin ich traurig dass Syno die Video Station eingestampft hat. Ich weiß dass jede Alternative unendlich viel besser sein soll als die VS aber mir hat sie ehrlich gesagt gereicht. Egal ich habe mich für Jellyfin entschieden. Da ich mich an die Containerlösung nicht rantraue hab ich das native Paket von SynoCommunity installiert.

Das hat alles auch ganz gut hingehauen ich kann lokal und auch von extern auf Jellyfin zugreifen letzteres aber leider nur über HTTP. Das ist glaube ich nicht so gut. Jetzt habe ich versucht den Zugriff über HTTPS reinzurichten, scheitere aber an meiner Inkompetenz.

Was ich gemacht habe:
In der Fritzbox eine Portweiterleitung von 8920 zu 8920 (TCP) eingerichtet.
In den Einstellungen des Jellyfin Servers habe ich folgendes eingestellt:
  • bei "Server-Adresseinstellungen" HTTPS aktivieren angehakt. Bei "Lokale HTTPS-Portnummer" natürlich 8920 gelassen alles andere ist leer.
  • bei "Fernzugriffs-Einstellungen" --> Externe Verbindungen zu diesem Server zulassen angehakt, "Öffentliche HTTPS-Portnummer" natürlich 8920.
bei den "HTTPS-Einstellungen" scheitere ich glaube ich. Ich habe "HTTPS erforderlich" angehakt, aber jetzt muss ich wohl noch den Pfad zum Zertifikat angeben. Ich hab auf der Syno ein so ein "Let's Encrypt" Zertifikat was man direkt im Control Panel erzeugen/beauftragen lassen kann. Damit kann ich auf alle Syno Apps also z.B. Audio Station oder Synology Photos per HTTPS zugreifen. Offenbar greift der Jellyfin server da nicht automatisch drauf zu. Oder liegt es gar nicht am fehlenden Zertifikat?
Zumindest bekomme ich immer eine Meldung dass der Server nicht erreichbar ist wenn ich mich versuche mit [www.meineDDNS_adresse:8920] zu verbinden.

Hat jemand eine Schritt für Schritt Anleitung wie man das mit dem HTTPS Zugriff hinkriegt?
Für jeden Tipp unendlich dankbar und mit freundlichen Grüßen
Pavel
 

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
692
Punkte für Reaktionen
90
Punkte
48

Cyberbrat

Benutzer
Mitglied seit
26. Jul 2016
Beiträge
12
Punkte für Reaktionen
2
Punkte
3
Danke @weyon für die schnelle Antwort. Ich habe mich jetzt mal eben durch den Krams durchgelesen, ich musste erstmal verstehen was ein reverse proxy ist.
Der verlinkte Artikel ist laut Marius veraltet, er verweist da weiter auf einen anderen Artikel (https://mariushosting.com/synology-how-to-run-docker-containers-over-https/) bei dem man die Wahl hat zwischen einem "wildcard Zertifikat" und "individuellen subdomain Zertifikaten".
Wenn ich Marius richtig verstehe müssen aber alle Zertifikate 3-monatlich geupdated werden. Bisher macht das die Syno automatisch, beim reverse proxy funktioniert das nicht mit den automatischen updates?
Ich hab auch ehrlich gesagt mein Zertifikat auf meine eigene Domain laufen ist auch ein Zugriff über DDNS aber halt nicht über xxxxx.synology.me. Ist das ein Problem?
Sorry für die vielen dummen Fragen.

Eine hab ich noch. Läuft das bei Plex einfacher? also kann ich bei der Plex app HTTPS nutzen wie bei den anderen Synology apps auch? dann würde ich eventuell doch zu Plex wechseln.
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.930
Punkte für Reaktionen
772
Punkte
134

ds718-

Benutzer
Mitglied seit
27. Jan 2020
Beiträge
148
Punkte für Reaktionen
19
Punkte
18
Was ich gemacht habe:
In der Fritzbox eine Portweiterleitung von 8920 zu 8920 (TCP) eingerichtet.
Hallo,
richte dir eine interne TCP-Portweiterleitung für 443 zu 443 ein.

In den Einstellungen des Jellyfin Servers habe ich folgendes eingestellt:
  • bei "Server-Adresseinstellungen" HTTPS aktivieren angehakt. Bei "Lokale HTTPS-Portnummer" natürlich 8920 gelassen alles andere ist leer.
Die lokale HTTPS 8920 ist völlig uninteressant, wichtig wäre der darüber stehende HTTP-Port, denn auf diesen Port leitet der Reserve Proxiy weiter (z.b wir nehmen Port-7025)
bei "Fernzugriffs-Einstellungen" --> Externe Verbindungen zu diesem Server zulassen angehakt, "Öffentliche HTTPS-Portnummer" natürlich 8920.
auch da ist HTTPS uninteressant, ein Feld darüber muss der HTTP-Port wie oben in meinen Beispiel Port-7025 sein und der Hacken bei "Externe Verbindungen zu diesem Server zulassen" gesetzt sein.

Unter HTTPS-Einstellungen kannst du dein eigenes Dyn-Zertifikat (SSL) mit Pfadangabe auf deiner DS ablegen und dort angeben, ich glaube aber das es nicht zwingend notwendig ist.
Das wäre auch alles was nötig wäre unter Jellyfin-Netzwerk. Den Rest erledigst du auf deiner DS unter /Anwendungsportal/Reserve Proxy.

Dort erstellst du in den Proxy-Regeln deinen Jellyfin-Server.

(Quelle)
Prottokoll: HTTPS
Hostname: meineDDNS_adresse (keine Synology Adresse)
Port: 443
HSTS aktivieren

(Ziel)
Protokoll: HTTP
Hostname: IP deiner DS
Port: 7025 (Beispiel Port oben)

(Benutzerdefinierter Header)
Einmal auf erstellen gehen,Fertig.


So fern du den TCP-Port 443 in deiner Fritz geöffnet hast kannst du dich über "https://www.meineDDNS_adresse:443/" von extern auf deinen Jellyfin-Server verbinden (Hoffentlich mit Name u. Passwort)
Die Dynadresse muss natürlich regelmäßig über "Let's Encrypt" aktualisiert werden.

Das wars...............
 

ds718-

Benutzer
Mitglied seit
27. Jan 2020
Beiträge
148
Punkte für Reaktionen
19
Punkte
18
Unter HTTPS-Einstellungen kannst du dein eigenes Dyn-Zertifikat (SSL) mit Pfadangabe auf deiner DS ablegen und dort angeben, ich glaube aber das es nicht zwingend notwendig ist
Nachtrag unter Jellyfin/Netzwerk:

Bei dieser Einstellung muß eine PKCS-#12-Datei (Zertifikat-Lets Encript von .pem auf .pfx konvertiert) eingefügt werden. Das ist aber nicht zwingend notwendig. Es ist für Leute die sich im eigenen Heimnetz nochmal über HTTPS u. Lets Encrypt absichern möchten.

Die funktion ist das der HTTP-Port intern immer auf HTTPS-Port mit dem Konvertierten-Zertifikat umgeleitet wird. Im obigen Bsp. auf "Lokale HTTPS-Portnummer 8920".
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.836
Punkte für Reaktionen
753
Punkte
128
Und das Prozedere will man dann alle 2-3 Monate machen, wenn das Zertifikat ausläuft??? Also da lob ich mir mein Reverse Proxy. ;)
 
  • Like
Reaktionen: ctrlaltdelete

ds718-

Benutzer
Mitglied seit
27. Jan 2020
Beiträge
148
Punkte für Reaktionen
19
Punkte
18
Mit dem Reserve Proxy hat das nichts zu tun :sneaky:

In erster linie geht es bei dieser Option um einen Internen HTTP-Aufruf, weiter nichts. Es soll doch tatsächlich hier Leute geben die sich nicht einmal im heimischen Netz sicher fühlen :ROFLMAO:.

Recht hast du das dieses Konvertierte Lets Encrypt Zertifikat nach drei Monaten abläuft, allerdings können auch alle anderen Zertifikate die länger haltbar sind konvertiert genommen werden..

Es gibt auch Leute einschließlich mich die gerne ihren Multimedia-Server regelmäßig pflegen und auch entsprechend Zeit investieren. Da sollten selbst bei ein Dutzend Zertifikate (d. i. manuell erneuere) kein Zeitproblem entstehen.;)
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat