Problem mit externer Erreichbarkeit

[FizzyMUC]

Hallo Freunde,

ich betreibe einen DS218+ bei mir zuhause, der eigentlich (im Heimnetz) wunderbar funktioniert. Probleme sind nun aufgetreten, seit ich Paperless-ngx via Docker (bzw. Portainer) habe.
Im Heimnetz erreiche ich die Paperless Instanz wunderbar via IPort, allerdings komme ich extern "nicht ran".
Ich habe via FritzBox natürlich den Port 443 an den NAS weiter geleitet (TCP und UDP), und im DSM 7 via Login Portal -> Advanced -> Reversed Proxy ist der entsprechende Hostname hinterlegt. Allerdings bekomme ich immer wieder im Browser eine Fehlermeldung angezeigt ("Safari kann die Seite nicht öffnen, da der Server nicht gefunden wurde."). Wenn ich nicht paperless.meineSynologyDNSAdresse.me eingebe, sondern nur meineSynologyDNSAdresse.me, komme ich zum regulären Login-Interface. Erreichbar ist der NAS also schon via Internet, aber irgendwas stimmt nicht bei der Erreichbarkeit der via Reverse Proxy hinterlegten Adressen.

Kann es was mit SSL zu tun haben? Wenn ich im Browser direkt die IP Adresse (im Heimnetz) inkl. Port angebe öffnet sich zB die Paperless-Instanz, aber ich sehe eine Fehlermeldung ("Your connection to this site is not secure").

Bin euch sehr sehr dankbar für einen Tip, habe bereits Stunden damit zugebracht den Fehler zu finden aber komme nicht weiter.

Danke!
Fizzy

 

[FizzyMUC]

P.S. Falls jemand helfen kann, bitte gerne Info geben, wie man sich strukturiert dem Problem nähern kann... Ich stochere eher im Dunkeln und installiere ständig etwas neu...

 

[EDvonSchleck]

Rebind Schutz in der Fritz!Box eingetragen?

Die Freigabe von 443 reicht als TCP.

 

[FizzyMUC]

Rebind Schutz in der Fritz!Box eingetragen?

Die Freigabe von 443 reicht als TCP.

Bislang nicht! Was bewirkt das?
Bzgl. 443: Alles klar, nehme den UDP raus!

 

[EDvonSchleck]

Ansonsten kannst du aus deinem internen Netz nicht die Anfrage auf deinem eigenen Server machen.
https://avm.de/service/wissensdaten...re-Anfrage-aus-Sicherheitsgrunden-abgewiesen/

Hast du die Verbindung schon einmal mit einem externen Gerät getestet? z.B. Handy?

 

[FizzyMUC]

Ja! Genau dann kommt die Meldung "Safari kann die Seite nicht öffnen, da der Server nicht gefunden wurde." -> wenn ich den Prefix "paperless." vor der Domain weglasse, erreiche ich sie aber extern mit dem Handy. Es ist als ob der Reverse Proxy nicht aktiv wäre, obwohl alles dort hinterlegt ist...

 

[EDvonSchleck]

Ist die Subdomain, wenn diese im Reverse Proxy hinterlegt ist, auch unter Zertifikate aufgelistet? Wenn du mit deiner DynDNS im Reverse Proxy in Paperless kommt, funktioniert doch dieser. Ich würde mir eher eine normale DynDNS zulegen.

 

[EDvonSchleck]

Alternativ kannst du auch einfach ein VPN mit deiner Fritz!Box aufsetzen und die Öffnung des Ports komplett sparen.

 

[FizzyMUC]

Ist die Subdomain, wenn diese im Reverse Proxy hinterlegt ist, auch unter Zertifikate aufgelistet? Wenn du mit deiner DynDNS im Reverse Proxy in Paperless kommt, funktioniert doch dieser. Ich würde mir eher eine normale DynDNS zulegen.

Verstehe den Post nicht
Die subdomain ist unter Zertifikate nicht zu sehen, nur die Hauptdomain.
Was meinst du mit “normale DynDNS”?

 

[FizzyMUC]

Alternativ kannst du auch einfach ein VPN mit deiner Fritz!Box aufsetzen und die Öffnung des Ports komplett sparen.

Das habe ich auch schon öfter gehört. Gibt es da eine gute Anleitung? Und kann man dann auch entspannt vom iPhone drauf zugreifen?

 

[EDvonSchleck]

Was meinst du mit “normale DynDNS”?

Einen DynDNS den du frei konfigurieren kannst unabhängig von Synology. z. B. dynv6. Dort kannst du alles einstellen, wie bei einer Top-Level.Domain. Auch acme.sh für das Zertifikat und die automatische Aktualisierung funktioniert ohne Probleme. Danach muss man sich um nichts mehr kümmern.

Gibt es da eine gute Anleitung? Und kann man dann auch entspannt vom iPhone drauf zugreifen?

Ja geht, wird aber mit WireGuard noch einfacher.
https://avm.de/service/vpn/

Wenn du keinen Zugriff von einem externen anderen Gerät z. B. Fremdcomputer benötigst, solltest du VPN einsetzen. Damit kannst du alles in deinem Netzwerk wie intern steuern und ansprechen. Sollte aber nur auf Mitglieder in einem Haushalt begrenzt sein. Für alles andere benötigst du eine Freigabe über ein DynDNS oder Domain (gibt es im Angebot für 1,60 € im Jahr).

 

[FizzyMUC]

Danke! Dynv6 schaue ich mir mal an. Der acme.sh Teil ist mir noch unklar. Muss ich das zusätzlich machen oder ist das eine Alternative.
Wireguard schaue ich mir auch an. Solange ich also mit “meinen” Geräten von extern zugreife geht es. Nur mit externen Geräten nicht? Weil ich da erst den VPN konfigurieren müsste?

 

[EDvonSchleck]

acme.sh ist eine Alternative für die Zertifikate. Diese müssen ansonsten alle 90 Tage erneuert werden, dazu müssen entsprechende Ports (80 & 443) geöffnet werden. Danach muss man die Aktualisierung manuell machen oder per Script ausführen. acme.sh macht das alles automatisch und ohne Ports.

VPN ist für den privaten Einsatz gemacht. Da dort dein ganzes Netzwerk erreichbar ist, solltest du dieses nicht unbedingt mit Personen teilen, die nicht in deinem Netzwerk angemeldet sind. WireGuard ist ein neues Protokoll, welchen kleiner und noch leichter beim Einrichten ist.

Du musst also entscheiden, welche Situation besser zu dir passt.

 

[FizzyMUC]

Einen DynDNS den du frei konfigurieren kannst unabhängig von Synology. z. B. dynv6. Dort kannst du alles einstellen, wie bei einer Top-Level.Domain. Auch acme.sh für das Zertifikat und die automatische Aktualisierung funktioniert ohne Probleme. Danach muss man sich um nichts mehr kümmern.


Ja geht, wird aber mit WireGuard noch einfacher.
https://avm.de/service/vpn/

Wenn du keinen Zugriff von einem externen anderen Gerät z. B. Fremdcomputer benötigst, solltest du VPN einsetzen. Damit kannst du alles in deinem Netzwerk wie intern steuern und ansprechen. Sollte aber nur auf Mitglieder in einem Haushalt begrenzt sein. Für alles andere benötigst du eine Freigabe über ein DynDNS oder Domain (gibt es im Angebot für 1,60 € im Jahr).

Nochmal bzgl dynv6: ich habe nun was von IPv6 gelesen. Das ist bei mir in der Fritzbox aktuell nicht aktiviert. Muss ich das denn machen? Und weiß jemand ob Telekom als ISP das anbietet, bzw. wie ich es dann einstellen muss? Oder ist das nicht relevant? Und dann kann ich innerhalb der FRITZ!box subdomains eintragen die dann auf die lokale IP : Port des NAS weiterleiten?
Danke!!

 

[EDvonSchleck]

Nein du musst kein IPv6 nutzen. Bei der Telekom bekommst du aus Erfahrung beides. Somit ist es nicht relevant. IPv6 ist nicht Dynv6! Subdomains musst du auch nicht eintragen, das machst du beim DynDNS (sofern möglich) und im Reverse Proxy/Synology. In der Fritz!Box leitest du den Port 443 auf die DS weiter. Mehr ist nicht nötig.

 

[FizzyMUC]

Also ich schreibe nochmal auf was ich verstanden habe:
1. Ich registriere mich bei Dynv6 mit einer domain (erledigt)
2. Ich installiere auf dem NAS DDNS Updater 2, der dann den DynDNS mit meiner aktuellen IP versorgt (das meintest du mit "...das machst du beim DynDNS"?)
3. Ich richte den Reverse Proxy neu ein mit der Dynv6 Domain
4. acme.sh richte ich zusätzlich statt dem im NAS hinterlegten Zertifikat ein

Soweit korrekt? In der Fritz! muss ich also den DynDNS gar nicht hinterlegen, sondern öffne da einfach nur TCP Port 443 und leite den an das NAS weiter?

 

[EDvonSchleck]

Genau. Dynv6 leitet die Subdomain am Router > DS > Reverse Proxy lauscht, ob er die Subdomain kennt und antwortet ggf. mit der Weiterleitung.

 

[EDvonSchleck]

1. Ich registriere mich bei Dynv6 mit einer domain (erledigt)

ok, kann man nicht viel falsch machen, man benötigt nur eine E-Mail

2. Ich installiere auf dem NAS DDNS Updater 2, der dann den DynDNS mit meiner aktuellen IP versorgt (das meintest du mit "...das machst du beim DynDNS"?)

Nein, du gibst du Update-URL von Dynv6 in der Fritz!Box zusammen mit deiner URL, User und Passwort ein.

3. Ich richte den Reverse Proxy neu ein mit der Dynv6 Domain

Richtig mit der Weiterleitung zum Container deiner Wahl

4. acme.sh richte ich zusätzlich statt dem im NAS hinterlegten Zertifikat ein

Richtig, damit nicht die Warnung wegen unsichere Webseiten kommt

Soweit korrekt? In der Fritz! muss ich also den DynDNS gar nicht hinterlegen, sondern öffne da einfach nur TCP Port 443 und leite den an das NAS weiter?

Doch sieh Punkt 2. Du öffnest nur Port 443!

Zusätzlich die Firewall mit Geo-Blocking entsprechend einrichten und das Block-List-Script von @geimist nutzen.

 

[FizzyMUC]

Guuuuuuut, damit kann ich arbeiten Danke! Ich teste das jetzt gleich mal. acme.sh scheint ne komplexere Kiste zu sein? Muss vermutlich die Anleitung auf GitHub befolgen? Danke für den Hinweis Firewall und Block-List-Script; schaue ich mir an.
Und wie genau kann ich dir wenn es mal läuft einen Kaffee spendieren?

 

[FizzyMUC]

Für die Allgemeinheit: Bin aktuell an dem Punkt, dass zwar die Weiterleitung via Dynv6 läuft, mir aber weiterhin angezeigt wird, dass die Verbindung unsicher ist. Das Deployment von acme.sh scheitert aktuell daran, dass mir angezeigt wird "no zone found".
Nebeneffekt: Meine Paperless-Instanz ist nun zwar über die neue Dynv6-Subdomain erreichbar, nach Login bekomme ich allerdings einen Fehler angezeigt und nichts geht mehr (was ist nun mit meinen 2000+ Dokumenten??)