Problem mit externer Erreichbarkeit

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Hallo Freunde,

ich betreibe einen DS218+ bei mir zuhause, der eigentlich (im Heimnetz) wunderbar funktioniert. Probleme sind nun aufgetreten, seit ich Paperless-ngx via Docker (bzw. Portainer) habe.
Im Heimnetz erreiche ich die Paperless Instanz wunderbar via IP:port, allerdings komme ich extern "nicht ran".
Ich habe via FritzBox natürlich den Port 443 an den NAS weiter geleitet (TCP und UDP), und im DSM 7 via Login Portal -> Advanced -> Reversed Proxy ist der entsprechende Hostname hinterlegt. Allerdings bekomme ich immer wieder im Browser eine Fehlermeldung angezeigt ("Safari kann die Seite nicht öffnen, da der Server nicht gefunden wurde."). Wenn ich nicht paperless.meineSynologyDNSAdresse.me eingebe, sondern nur meineSynologyDNSAdresse.me, komme ich zum regulären Login-Interface. Erreichbar ist der NAS also schon via Internet, aber irgendwas stimmt nicht bei der Erreichbarkeit der via Reverse Proxy hinterlegten Adressen.

Kann es was mit SSL zu tun haben? Wenn ich im Browser direkt die IP Adresse (im Heimnetz) inkl. Port angebe öffnet sich zB die Paperless-Instanz, aber ich sehe eine Fehlermeldung ("Your connection to this site is not secure").

Bin euch sehr sehr dankbar für einen Tip, habe bereits Stunden damit zugebracht den Fehler zu finden aber komme nicht weiter.

Danke!
Fizzy
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
P.S. Falls jemand helfen kann, bitte gerne Info geben, wie man sich strukturiert dem Problem nähern kann... Ich stochere eher im Dunkeln und installiere ständig etwas neu...
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Rebind Schutz in der Fritz!Box eingetragen?

Die Freigabe von 443 reicht als TCP.
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Ja! Genau dann kommt die Meldung "Safari kann die Seite nicht öffnen, da der Server nicht gefunden wurde." -> wenn ich den Prefix "paperless." vor der Domain weglasse, erreiche ich sie aber extern mit dem Handy. Es ist als ob der Reverse Proxy nicht aktiv wäre, obwohl alles dort hinterlegt ist...
 
Zuletzt bearbeitet von einem Moderator:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ist die Subdomain, wenn diese im Reverse Proxy hinterlegt ist, auch unter Zertifikate aufgelistet? Wenn du mit deiner DynDNS im Reverse Proxy in Paperless kommt, funktioniert doch dieser. Ich würde mir eher eine normale DynDNS zulegen.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Alternativ kannst du auch einfach ein VPN mit deiner Fritz!Box aufsetzen und die Öffnung des Ports komplett sparen.
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Ist die Subdomain, wenn diese im Reverse Proxy hinterlegt ist, auch unter Zertifikate aufgelistet? Wenn du mit deiner DynDNS im Reverse Proxy in Paperless kommt, funktioniert doch dieser. Ich würde mir eher eine normale DynDNS zulegen.
Verstehe den Post nicht :)
Die subdomain ist unter Zertifikate nicht zu sehen, nur die Hauptdomain.
Was meinst du mit “normale DynDNS”?
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Alternativ kannst du auch einfach ein VPN mit deiner Fritz!Box aufsetzen und die Öffnung des Ports komplett sparen.
Das habe ich auch schon öfter gehört. Gibt es da eine gute Anleitung? Und kann man dann auch entspannt vom iPhone drauf zugreifen?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Was meinst du mit “normale DynDNS”?
Einen DynDNS den du frei konfigurieren kannst unabhängig von Synology. z. B. dynv6. Dort kannst du alles einstellen, wie bei einer Top-Level.Domain. Auch acme.sh für das Zertifikat und die automatische Aktualisierung funktioniert ohne Probleme. Danach muss man sich um nichts mehr kümmern.

Gibt es da eine gute Anleitung? Und kann man dann auch entspannt vom iPhone drauf zugreifen?
Ja geht, wird aber mit WireGuard noch einfacher.
https://avm.de/service/vpn/

Wenn du keinen Zugriff von einem externen anderen Gerät z. B. Fremdcomputer benötigst, solltest du VPN einsetzen. Damit kannst du alles in deinem Netzwerk wie intern steuern und ansprechen. Sollte aber nur auf Mitglieder in einem Haushalt begrenzt sein. Für alles andere benötigst du eine Freigabe über ein DynDNS oder Domain (gibt es im Angebot für 1,60 € im Jahr).
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Danke! Dynv6 schaue ich mir mal an. Der acme.sh Teil ist mir noch unklar. Muss ich das zusätzlich machen oder ist das eine Alternative.
Wireguard schaue ich mir auch an. Solange ich also mit “meinen” Geräten von extern zugreife geht es. Nur mit externen Geräten nicht? Weil ich da erst den VPN konfigurieren müsste?
 
Zuletzt bearbeitet von einem Moderator:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
acme.sh ist eine Alternative für die Zertifikate. Diese müssen ansonsten alle 90 Tage erneuert werden, dazu müssen entsprechende Ports (80 & 443) geöffnet werden. Danach muss man die Aktualisierung manuell machen oder per Script ausführen. acme.sh macht das alles automatisch und ohne Ports.

VPN ist für den privaten Einsatz gemacht. Da dort dein ganzes Netzwerk erreichbar ist, solltest du dieses nicht unbedingt mit Personen teilen, die nicht in deinem Netzwerk angemeldet sind. WireGuard ist ein neues Protokoll, welchen kleiner und noch leichter beim Einrichten ist.

Du musst also entscheiden, welche Situation besser zu dir passt.
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Einen DynDNS den du frei konfigurieren kannst unabhängig von Synology. z. B. dynv6. Dort kannst du alles einstellen, wie bei einer Top-Level.Domain. Auch acme.sh für das Zertifikat und die automatische Aktualisierung funktioniert ohne Probleme. Danach muss man sich um nichts mehr kümmern.


Ja geht, wird aber mit WireGuard noch einfacher.
https://avm.de/service/vpn/

Wenn du keinen Zugriff von einem externen anderen Gerät z. B. Fremdcomputer benötigst, solltest du VPN einsetzen. Damit kannst du alles in deinem Netzwerk wie intern steuern und ansprechen. Sollte aber nur auf Mitglieder in einem Haushalt begrenzt sein. Für alles andere benötigst du eine Freigabe über ein DynDNS oder Domain (gibt es im Angebot für 1,60 € im Jahr).
Nochmal bzgl dynv6: ich habe nun was von IPv6 gelesen. Das ist bei mir in der Fritzbox aktuell nicht aktiviert. Muss ich das denn machen? Und weiß jemand ob Telekom als ISP das anbietet, bzw. wie ich es dann einstellen muss? Oder ist das nicht relevant? Und dann kann ich innerhalb der FRITZ!box subdomains eintragen die dann auf die lokale IP : Port des NAS weiterleiten?
Danke!!
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Nein du musst kein IPv6 nutzen. Bei der Telekom bekommst du aus Erfahrung beides. Somit ist es nicht relevant. IPv6 ist nicht Dynv6! Subdomains musst du auch nicht eintragen, das machst du beim DynDNS (sofern möglich) und im Reverse Proxy/Synology. In der Fritz!Box leitest du den Port 443 auf die DS weiter. Mehr ist nicht nötig.
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Also ich schreibe nochmal auf was ich verstanden habe:
1. Ich registriere mich bei Dynv6 mit einer domain (erledigt)
2. Ich installiere auf dem NAS DDNS Updater 2, der dann den DynDNS mit meiner aktuellen IP versorgt (das meintest du mit "...das machst du beim DynDNS"?)
3. Ich richte den Reverse Proxy neu ein mit der Dynv6 Domain
4. acme.sh richte ich zusätzlich statt dem im NAS hinterlegten Zertifikat ein

Soweit korrekt? In der Fritz! muss ich also den DynDNS gar nicht hinterlegen, sondern öffne da einfach nur TCP Port 443 und leite den an das NAS weiter?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Genau. Dynv6 leitet die Subdomain am Router > DS > Reverse Proxy lauscht, ob er die Subdomain kennt und antwortet ggf. mit der Weiterleitung.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
1. Ich registriere mich bei Dynv6 mit einer domain (erledigt)
ok, kann man nicht viel falsch machen, man benötigt nur eine E-Mail
2. Ich installiere auf dem NAS DDNS Updater 2, der dann den DynDNS mit meiner aktuellen IP versorgt (das meintest du mit "...das machst du beim DynDNS"?)
Nein, du gibst du Update-URL von Dynv6 in der Fritz!Box zusammen mit deiner URL, User und Passwort ein.
3. Ich richte den Reverse Proxy neu ein mit der Dynv6 Domain
Richtig mit der Weiterleitung zum Container deiner Wahl
4. acme.sh richte ich zusätzlich statt dem im NAS hinterlegten Zertifikat ein
Richtig, damit nicht die Warnung wegen unsichere Webseiten kommt
Soweit korrekt? In der Fritz! muss ich also den DynDNS gar nicht hinterlegen, sondern öffne da einfach nur TCP Port 443 und leite den an das NAS weiter?
Doch sieh Punkt 2. Du öffnest nur Port 443!

Zusätzlich die Firewall mit Geo-Blocking entsprechend einrichten und das Block-List-Script von @geimist nutzen.
 

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Guuuuuuut, damit kann ich arbeiten :) Danke! Ich teste das jetzt gleich mal. acme.sh scheint ne komplexere Kiste zu sein? Muss vermutlich die Anleitung auf GitHub befolgen? Danke für den Hinweis Firewall und Block-List-Script; schaue ich mir an.
Und wie genau kann ich dir wenn es mal läuft einen Kaffee spendieren? :D
 
Zuletzt bearbeitet von einem Moderator:

FizzyMUC

Benutzer
Mitglied seit
09. Feb 2023
Beiträge
173
Punkte für Reaktionen
15
Punkte
18
Für die Allgemeinheit: Bin aktuell an dem Punkt, dass zwar die Weiterleitung via Dynv6 läuft, mir aber weiterhin angezeigt wird, dass die Verbindung unsicher ist. Das Deployment von acme.sh scheitert aktuell daran, dass mir angezeigt wird "no zone found".
Nebeneffekt: Meine Paperless-Instanz ist nun zwar über die neue Dynv6-Subdomain erreichbar, nach Login bekomme ich allerdings einen Fehler angezeigt und nichts geht mehr (was ist nun mit meinen 2000+ Dokumenten??)
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat