Paperless-ngx Paperless-ngx – DMS via Docker auf dem NAS

[ebusynsyn]

Nichts ist für die Ewigkeit gebaut... auch keine Docker-Anwendung. Wenn dem so ist wie Du schreibst, ist diese Lösung vielleicht sogar "mit Kanonen auf Spatzen geschossen". Aber: "Jeden Tierchen sein Pläsierchen".

 

[cs-banane]

Bin auf ein neues Problem gestoßen und hoffe, jemand kann mir unter die Arme greifen.
Ich habe nun alles aufgesetzt und würde gerne Paperless aus dem Internet aufrufbar machen mittels Reverse Proxy.

Ich habe alles aus diesem Tutorial befolgt: https://www.youtube.com/watch?v=84Fy5Qw10vs

Wenn ich jetzt jedoch paperless.name.synology.me eintippe, erscheint nicht Paperless, sondern die Standart Synology Anmeldemaske.

Paperless läuft auf den Standart 8777 Port, den habe ich genau wie im Video bei Reverse Proxy eingetragen.

Woran kann das liegen, dass ich falsch weitergeleitet werde?


EDIT: Ich habe jetzt grade nur probeweise bei den Reverse Proxy Einstellungen die Quelle von HTTPS auf HTTP und den Port von 443 auf 80 geändert und damit komme ich sofort auf die Paperless Oberfläche.

Warum funktioniert das mit HTTP und Port 80 aber nicht mit HTTPS und Port 433 (bei letzterem komme ich nur auf die Synology Anmeldemask)

 

[ebusynsyn]

Paperless-NGX von extern erreichbar machen - ohne zusätzliche Absicherung halte ich für keine gute Idee. Hier empfiehlt es sich darüber nachzudenken, ob ein VPN oder mindestens eine 2FA nicht der bessere Weg wäre.

Zu Deiner Frage: Es liest sich für mich so, dass Du ein Problem mit dem Zertifikat hast.

Was mir auch auffällt, ist dass Du verschiedene Anleitungen benutzt (also Dinge vermischst) und damit keinen roten Faden in die Installation bringst. Das ist vorallem dann ein Problem, wenn das Fachwissen fehlt, an den entscheidenen Stellen die Kurve zu kriegen. Sowohl die Anleitungen von Marius (dessen Paperless Installation du offenbar genommen hast) - wie auch die Kurse/Anleitungen von Stefan (diese nimmst Du für die externe Erreichbarkeit) sind wirklich gut.

Mein Rat: Nimm das eine oder das andere und ziehe es durch. Dann klappt es auch mit der Erreichbarkeit.

 

[Hellraiser123]

Ich würde es dir auch nicht empfehlen es öffentlich erreichbar zu machen. Gerade weil du nicht wirklich weißt was du da tust. Richte dir doch VPN dafür ein.

Zu Deiner Frage: Es liest sich für mich so, dass Du ein Problem mit dem Zertifikat hast.

Wo liest du das raus? Da steht doch nur, er sieht die DSM anmeldeseite und keine Zertifikatswarnung.

Wenn du es dennoch öffentlich erreichbar haben willst solltest du mehr Informationen liefern. Was hast du genau wo konfiguriert.

 

[ebusynsyn]

@Hellraiser123

Das steht aber auch: "...EDIT: Ich habe jetzt grade nur probeweise bei den Reverse Proxy Einstellungen die Quelle von HTTPS auf HTTP und den Port von 443 auf 80 geändert und damit komme ich sofort auf die Paperless Oberfläche."

 

[Hellraiser123]

Ja und da steht auch

Warum funktioniert das mit HTTP und Port 80 aber nicht mit HTTPS und Port 433 (bei letzterem komme ich nur auf die Synology Anmeldemask)

 

[ebusynsyn]

dann lass uns doch mal abwarten, was der Fragesteller nun macht...

 

[cs-banane]

Vielen Dank für eure rege Teilnahme und dass ihr anderen neuen Usern helfen wollt, super.

Also anfangs wollte ich erst die Installation nach Stefans (digitalisierung mit Kopf) Anleitung machen, jedoch muss man sich dort anmelden und eine Gebühr zahlen, damit man überhaupt erst die .zip für die Installation runterladen kann.

Aus diesem Grund habe ich die Anleitung von Marius (mariushosting) über Portainer verwendet.

Jetzt, wo alles reibungslos installiert ist, habe ich mir einen VPN auf die Synology eingestellt und das funktioniert auch reibungslos.

Ich empfinde das allerdings als nervig, sich jedes mal ins VPN einloggen zu müssen um dann Paperless aufrufen zu können.

Daher wollte ich paperless über das Internet erreichbar machen.
Marius hat hierzu allerdings keine Anleitung und deswegen musste ich ein bisschen improvisieren und habe Stefans Anleitung befolgt (hier muss man sich nicht zu seiner „masterclass“ anmelden und Geld zahlen).

Dass hier alle warnen, dass es gefährlich ist, wenn man paperless ins Internet stellt, ist super. Ist mir auch klar.

Ich wollte das zunächst zum laufen bringen und dann hätte ich sowieso eine 2FA gemacht.

Aber ich kriege das ja leider nicht zum laufen.

Was habe ich nun bisher gemacht?

- Paperless secret key und paperless url in die Config bei Portainer eingetragen, 1. Bild
- unter externer Zugriff einen DDNS erstellt, 2. Bild
- einen Reverse Proxy erstellt und die Ports http 80 und https 443 im Router freigegeben, Bild 3.
- ein wildcard Zertifikat für meine DDNS Adresse erstell, Bild 4

Wie gesagt: kurioserweise funktioniert der Zugriff aus dem Internet, wenn ich beim Reverse Proxy als Quelle http Port 80 einstelle, wenn ich jedoch https Port 443 nehme, dann kommt ich aus dem Internet mit der Adresse: paperless.name.synology.me nur auf die DSM Anmeldemaske.

Woran könnte das liegen?

 

[Hellraiser123]

Wirst du weitergeleitet? Ich bin mir nicht sicher, weil ich nutze den Reverse Proxy von DSM nicht, aber war da nicht etwas mit der Web Station? Also wenn die nicht vorhanden ist, dass er einen immer weiterleitet.

 

[Benares]

Da triggert wohl der Reverse Proxy nicht, kommst über 443 rein und landest folgerichtig im DSM weil keine Webstation installiert ist.
Stell den Reverse Proxy wieder auf https/443 und ordne ihm das richtige Zertifikat zu. Im letzten Screenshot sollte dann "Paperless-ngx" bei "Für:" auftauchen, momentan ist das wohl nicht der Fall, vermutlich auch weil der Reverse Proxy aktuell auf http/80 steht.
Installiere dir auch besser mal die Webstation, auch wenn du nichts damit machst. Dann landete jemand bei einem Konfig-Fehler nur auf deren Demo-Seite und nicht auf der DSM-Anmeldung.

 

[cs-banane]

Ich habe jetzt die Web Station installiert und lande folglich nicht mehr auf die Anmeldeseite der DSM, sondern auf eine unkonfigurierte Webseite. Sollte wahrscheinlich auch so sein, oder? (Bild 1)

Ich habe dann jetzt den Reverse Proxy wieder auf https/443 umgestellt, Bild 2, und das Zertifikat richtig zugeordnet, allerdings manuell unter „Zertifikat“ -> „Einstellungen“ und dann ganz nach unten scrollen und statt nur „synology“ auf „name.synology.me“ umgestellt. Jetzt steht hinter FÜR: auch paperless.name.synology.me drin, Bild 3.

Nun habe ich wieder versucht aus dem Internet auf paperless.name.synology.me zu gehen, aber da kommt nur die unkonfigurierte Webseite.

Habe ich irgendetwas falsch gemacht?

 

[ebusynsyn]

Du schreibt, dass Du Paperless nach 'Marius' eingerichtet hast. Im Schritt Nr. 6 bei Marius wird verlangt, dass Du HSTS aktiviert. Auf Deinem ScreenShot 'IMG_0528.jpeg' ist das bei der Einrichtung des ReversProxy nicht der Fall.

Ausserdem: Hast Du wie von Marius in Schritt 7 verlangt, "Customer Header" eingerichtet?
Hast du Schritt 8 und 9 ebenfalls befolgt?

 

[Benares]

Dein Bild 2 zeigt aber immer noch http/80 statt https/443?
Hast du die Seite auch wirklich mit https://paperless.irgendwas.synology.me aufgerufen? Ohne "https://" davor macht der Browser http/80. Soweit ich weiß setzt HSTS nur sowas wie einen Cookie im Browser, der dafür sorgt, dass http/80 schon im Browser für dieses Ziel auf https/443 umgeleitet wird. Aber dafür muss die Seite erst mind. einmal mit https:// davor aufgerufen werden. Mag sein, dass dafür die angepassten Header gut sind, aber da kenne ich mich nicht aus.

 

[Hellraiser123]

@Benares das mit HSTS hast du ja schon richtig gesagt. Das hat nichts mit der Erreichbarkeit zu tun.
Du hast irgendwo einen Fehler in deiner Konfig. Poste mal alles wie es wirklich ist.

 

[ebusynsyn]

Synology sagt zu HSTS: Die Aktivierung von HSTS zwingt Browser gesicherte Verbindungen zu verwenden. Stellen Sie sicher, dass Ihr Synology NAS ein gültiges Zertifikat hat.

Ausserdem: https://allius.de/technik/hsts/2/

Natürlich verstehe ich zuwenig davon... aber ich würde - wenn schon nach der Anleitung von Marius vorgegangen wird - diese auch einhalten. Das ist aber nur mein laienhaftes Vorgehen, wenn ich mich auf eine solche Anleitung einlassen würde.

 

[Hellraiser123]

Das ist aber nicht wirklich relevant für die Erreichbarkeit. HSTS senden einen Header mit, dass ein Cookie gesetzt werden soll und beim nächsten Besuch wird die Seite per HTTPS geladen. Das macht dann der Browser automatisch. Mehr macht es nicht. Du kannst auch statt diesen Header einfach per NGINX/Apache oder wie auch immer der Server heißt, alle Requests die per HTTP kommen auf HTTPS leiten. Dann ist der Header nicht mal nötig. Das ist also für das Problem nicht relevant.

 

[ebusynsyn]

Das ist also für das Problem nicht relevant.

Ja dann ... wie ich schon geschrieben habe, fehlt dieser Installation der rote Faden. Etwas von hier, ein Tipp von dort u.s.w ... und eines meiner Lieblingszitate lautet" Zuviel Köche verderben den Brei" Ich bin dann mal weg ... muss eh mit dem Hund raus

 

[Hellraiser123]

Man kann auch zwei verschiedene Anleitungen nutzen, weil Paperless installieren und etwas von außen erreichbar machen, sind zwei unterschiedliche Aufgaben. Und das erreichbar machen funktioniert bei jeder Anwendung gleich. Man muss halt nur wissen was man da tut und das fehlt hier irgendwie.

 

[cs-banane]

Du schreibt, dass Du Paperless nach 'Marius' eingerichtet hast. Im Schritt Nr. 6 bei Marius wird verlangt, dass Du HSTS aktiviert. Auf Deinem ScreenShot 'IMG_0528.jpeg' ist das bei der Einrichtung des ReversProxy nicht der Fall.

Ausserdem: Hast Du wie von Marius in Schritt 7 verlangt, "Customer Header" eingerichtet?
Hast du Schritt 8 und 9 ebenfalls befolgt?

Kannst du mir bitte den Link von mariushosting schicken, in dem er das mit dem ReverseProxy erklärt? Ich habe gar keine Anleitung gefunden, deswegen habe ich ja überhaupt erst die von Stefan genommen.

Dein Bild 2 zeigt aber immer noch http/80 statt https/443?
…

Sorry, hatte ich umgestellt, das war noch ein Screenshot von davor.

@Benares ….
Du hast irgendwo einen Fehler in deiner Konfig. Poste mal alles wie es wirklich ist.

Anbei schicke ich meine komplette Config aus Portainer.

Ist da irgendwo ein Fehler drin?

 

[Hellraiser123]

Der Fehler liegt ja nicht an paperless. Paperless ist es an sich egal von wo es aufgerufen wird. Du kommst ja gar nicht erst dahin. Daher wäre der Reverse Proxy wichtiger und was du genau aufrufst. Es reicht ja schon ein kleiner Buchstabendreher....