HTTPS Zugriff auf Jellyfin auf DS920+

[Cyberbrat]

Hallo!
Wie viele andere bin ich traurig dass Syno die Video Station eingestampft hat. Ich weiß dass jede Alternative unendlich viel besser sein soll als die VS aber mir hat sie ehrlich gesagt gereicht. Egal ich habe mich für Jellyfin entschieden. Da ich mich an die Containerlösung nicht rantraue hab ich das native Paket von SynoCommunity installiert.

Das hat alles auch ganz gut hingehauen ich kann lokal und auch von extern auf Jellyfin zugreifen letzteres aber leider nur über HTTP. Das ist glaube ich nicht so gut. Jetzt habe ich versucht den Zugriff über HTTPS reinzurichten, scheitere aber an meiner Inkompetenz.

Was ich gemacht habe:
In der Fritzbox eine Portweiterleitung von 8920 zu 8920 (TCP) eingerichtet.
In den Einstellungen des Jellyfin Servers habe ich folgendes eingestellt:

• bei "Server-Adresseinstellungen" HTTPS aktivieren angehakt. Bei "Lokale HTTPS-Portnummer" natürlich 8920 gelassen alles andere ist leer.
• bei "Fernzugriffs-Einstellungen" --> Externe Verbindungen zu diesem Server zulassen angehakt, "Öffentliche HTTPS-Portnummer" natürlich 8920.

bei den "HTTPS-Einstellungen" scheitere ich glaube ich. Ich habe "HTTPS erforderlich" angehakt, aber jetzt muss ich wohl noch den Pfad zum Zertifikat angeben. Ich hab auf der Syno ein so ein "Let's Encrypt" Zertifikat was man direkt im Control Panel erzeugen/beauftragen lassen kann. Damit kann ich auf alle Syno Apps also z.B. Audio Station oder Synology Photos per HTTPS zugreifen. Offenbar greift der Jellyfin server da nicht automatisch drauf zu. Oder liegt es gar nicht am fehlenden Zertifikat?
Zumindest bekomme ich immer eine Meldung dass der Server nicht erreichbar ist wenn ich mich versuche mit [www.meineDDNS_adresse:8920] zu verbinden.

Hat jemand eine Schritt für Schritt Anleitung wie man das mit dem HTTPS Zugriff hinkriegt?
Für jeden Tipp unendlich dankbar und mit freundlichen Grüßen
Pavel

 

[weyon]

Via Reverse Proxy der Diskstaion.

https://mariushosting.com/synology-how-to-allow-jellyfin-to-work-over-an-https-connection/

 

[Cyberbrat]

Danke @weyon für die schnelle Antwort. Ich habe mich jetzt mal eben durch den Krams durchgelesen, ich musste erstmal verstehen was ein reverse proxy ist.
Der verlinkte Artikel ist laut Marius veraltet, er verweist da weiter auf einen anderen Artikel (https://mariushosting.com/synology-how-to-run-docker-containers-over-https/) bei dem man die Wahl hat zwischen einem "wildcard Zertifikat" und "individuellen subdomain Zertifikaten".
Wenn ich Marius richtig verstehe müssen aber alle Zertifikate 3-monatlich geupdated werden. Bisher macht das die Syno automatisch, beim reverse proxy funktioniert das nicht mit den automatischen updates?
Ich hab auch ehrlich gesagt mein Zertifikat auf meine eigene Domain laufen ist auch ein Zugriff über DDNS aber halt nicht über xxxxx.synology.me. Ist das ein Problem?
Sorry für die vielen dummen Fragen.

Eine hab ich noch. Läuft das bei Plex einfacher? also kann ich bei der Plex app HTTPS nutzen wie bei den anderen Synology apps auch? dann würde ich eventuell doch zu Plex wechseln.

 

[Kachelkaiser]

also kann ich bei der Plex app HTTPS nutzen wie bei den anderen Synology apps auch?

das wird auch dort genauso laufen mit Reverse proxy.

 

[ds718-]

Was ich gemacht habe:
In der Fritzbox eine Portweiterleitung von 8920 zu 8920 (TCP) eingerichtet.

Hallo,
richte dir eine interne TCP-Portweiterleitung für 443 zu 443 ein.

In den Einstellungen des Jellyfin Servers habe ich folgendes eingestellt:

• bei "Server-Adresseinstellungen" HTTPS aktivieren angehakt. Bei "Lokale HTTPS-Portnummer" natürlich 8920 gelassen alles andere ist leer.

Die lokale HTTPS 8920 ist völlig uninteressant, wichtig wäre der darüber stehende HTTP-Port, denn auf diesen Port leitet der Reserve Proxiy weiter (z.b wir nehmen Port-7025)

bei "Fernzugriffs-Einstellungen" --> Externe Verbindungen zu diesem Server zulassen angehakt, "Öffentliche HTTPS-Portnummer" natürlich 8920.

auch da ist HTTPS uninteressant, ein Feld darüber muss der HTTP-Port wie oben in meinen Beispiel Port-7025 sein und der Hacken bei "Externe Verbindungen zu diesem Server zulassen" gesetzt sein.

Unter HTTPS-Einstellungen kannst du dein eigenes Dyn-Zertifikat (SSL) mit Pfadangabe auf deiner DS ablegen und dort angeben, ich glaube aber das es nicht zwingend notwendig ist.
Das wäre auch alles was nötig wäre unter Jellyfin-Netzwerk. Den Rest erledigst du auf deiner DS unter /Anwendungsportal/Reserve Proxy.

Dort erstellst du in den Proxy-Regeln deinen Jellyfin-Server.

(Quelle)
Prottokoll: HTTPS
Hostname: meineDDNS_adresse (keine Synology Adresse)
Port: 443
HSTS aktivieren

(Ziel)
Protokoll: HTTP
Hostname: IP deiner DS
Port: 7025 (Beispiel Port oben)

(Benutzerdefinierter Header)
Einmal auf erstellen gehen,Fertig.


So fern du den TCP-Port 443 in deiner Fritz geöffnet hast kannst du dich über "https://www.meineDDNS_adresse:443/" von extern auf deinen Jellyfin-Server verbinden (Hoffentlich mit Name u. Passwort)
Die Dynadresse muss natürlich regelmäßig über "Let's Encrypt" aktualisiert werden.

Das wars...............

 

[ds718-]

Unter HTTPS-Einstellungen kannst du dein eigenes Dyn-Zertifikat (SSL) mit Pfadangabe auf deiner DS ablegen und dort angeben, ich glaube aber das es nicht zwingend notwendig ist

Nachtrag unter Jellyfin/Netzwerk:

Bei dieser Einstellung muß eine PKCS-#12-Datei (Zertifikat-Lets Encript von .pem auf .pfx konvertiert) eingefügt werden. Das ist aber nicht zwingend notwendig. Es ist für Leute die sich im eigenen Heimnetz nochmal über HTTPS u. Lets Encrypt absichern möchten.

Die funktion ist das der HTTP-Port intern immer auf HTTPS-Port mit dem Konvertierten-Zertifikat umgeleitet wird. Im obigen Bsp. auf "Lokale HTTPS-Portnummer 8920".

 

[Ronny1978]

Und das Prozedere will man dann alle 2-3 Monate machen, wenn das Zertifikat ausläuft??? Also da lob ich mir mein Reverse Proxy.

 

[ds718-]

Mit dem Reserve Proxy hat das nichts zu tun

In erster linie geht es bei dieser Option um einen Internen HTTP-Aufruf, weiter nichts. Es soll doch tatsächlich hier Leute geben die sich nicht einmal im heimischen Netz sicher fühlen .

Recht hast du das dieses Konvertierte Lets Encrypt Zertifikat nach drei Monaten abläuft, allerdings können auch alle anderen Zertifikate die länger haltbar sind konvertiert genommen werden..

Es gibt auch Leute einschließlich mich die gerne ihren Multimedia-Server regelmäßig pflegen und auch entsprechend Zeit investieren. Da sollten selbst bei ein Dutzend Zertifikate (d. i. manuell erneuere) kein Zeitproblem entstehen.