Reverse Proxy einrichten

[Ben2013]

Hallo,

über einen Reverse Proxy werden derzeit einge (Sub-)Domain Zugriffe auf die einzelnen Webserver weitergeleitet.

Bei einem Fehler wird standardmäßig immer die Info ...

Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden.​

... angezeigt.

Normalerweise geht einem Besucher es nix an, welcher Fehler nun tatsächlich vorliegt.

Nun benötige ich jedoch genau die Fehlermeldung, die vom Webserver geliefert wird.

In den Einstellungen wurde bereits die Option "Die vom Zielserver zurückggebene Fehlerseite verwenden" aktiviert. Jedoch kommt dennoch immer die Standardfehlermeldung.

Kann mir jemand mitteilen, wie man die Info abschalten kann?

 

[TheGardner]

Also die besagte Meldung sagt in Deinem Fall eigentlich aus, dass der Endpunkt (wie Du ihn konfiguriert hast) schon gar nicht erreicht werden kann und weil die Syno hilflos ist, bringt sie ihre eigene Standard Fehlerseite.

Reverse Proxy heisst ja >>>irgendwas kommt auf Subdomain Port 443 an>>>wird an Ziel mit Port XYZ weiter geleitet.

Wenn Du Dir also sicher bist, dass die Ports richtig sind, dann überleg mal:
- ist die Subdomain richtig in den DNS Einstellungen hinterlegt?
- hast Du für das Ziel mal folgende Einträge probiert: localhost, 127.0.0.1 oder IP_der_DS ?
- Firewall aktiviert? Die Ports dort freigeschalten?
- Port 443 im Router frei?

Hatte bei mir gerade nen ähnlichen Fall: Alles eingetragen und erstellt und alle Firewallregeln eingestellt, aber vergessen die sub.domain.com in den DNS Servern von domain.com zu hinterlegen. Passt jetzt nicht 1:1 auf Dein Problem, aber war wahrscheinlich ähnlich simpel.

 

[Ben2013]

In diesem Fall wird als Ziel-Webserver eine Nextcloud-Webseite angesprungen.

Zuerst wird auch die Anmeldeseite korrekt angezeigt. Nachdem die Anmeldedaten eingetragen wurden, passiert nichts mehr. Nach einer Weile kommt die besagte Meldung von der Synology.

Daher habe ich angenommen, dass doch irgend einer Fehlermeldung vom Nextcloud-Webserver kommen müsste.
Der Nextcloud-Webserver läuft als Docker-Container auf dem Nas-System. Normalerweise würde ich bei einem normalen Linux-System zu den Log-Dateien unter /var/log/... schauen, ob hier irgend eine Fehlemeldung aufgelaufen ist. Im Docker-Container gibt es eine solche Log-Datei scheinbar nicht, oder ich habe diese noch nicht gefunden.

 

[EDvonSchleck]

Ich dachte, du wolltest die Fehlerseite generell ausschalten?
Funktioniert die Anmeldung über die Posts dann normal?
Hast du die (Sub)Domain noch woanders im System verwendet?

 

[Ben2013]

Ich wollte die Fehlerseite ausschalten, um die Original-Fehlermeldung mit der FEhlernummer zu erhalten.

Zwischenzeitlich habe ich herausgefunden, dass die Original-Fehlermeldungen in einer log-Datei /var/log/nginx/error.log protokolliert werden.

Hier wird ein Fehler gemeldet: (110: Connection timed out) while reading response header from upstream, client: 207.195.149.128, server: meine.seite.de, request: "POST /login HTTP/2.0", upstream: "http://192.168.1.3:80/login"

Mit diesen Informationen kann man mehr anfangen, als nur mit der Synology-Auskunft:

Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden.​

 

[EDvonSchleck]

Entferne einmal deine IP (207.xxx.xxx.xxx).
Funktioniert es denn jetzt?

 

[Ben2013]

Hallo,
die externe IP-Adresse wurde von mir erfunden.

Bis dato gibt es noch kein Lösungsansatz. Wahrscheinlich wird es darauf hinauslaufen, dass ein neuer Reverse Proxy auf nginx-Basis installiert werden muss. Wenn die Konfig-Dateien selbst erstellt werden können, hat man mehr Möglichkeiten, als wenn alles hinter einer schicken GUI versteckt wird. Für Nextcloud gibt es sogar eine Config-Vorlage für Reverse Proxy.

 

[Ben2013]

Im Nachhinein wurden weitere Fehler im Reverse Proxy festgestellt:

Über den Reverse Proxy wird u.a. eine simple Webseite veröffentlicht. Beim Aufruf der zugehwiesenen Subdomain wird ldiglich ein Timeout-Fehler gemeldet, obwohl der direkte Aufruf über die interne IP-Adresse fehlerfrei funktioniert.

Bei der Internet-Recherche ist mir die Webseite https://community.synology.com/enu/forum/60/post/143111 aufgefallen. Hier wird berichtet, dass eine Weiterleitung über den Reverse Proxy an "interne" Webseiten, die über einen Docker Container gehostet werden, Fehler auftreten. Als Lösung sollte die IP Adresse 127.0.0.1 angegeben werden. In meinem Fall haben die Webseiten jedoch eigene IP-Adressen bekommen, um Port-Konflikte aus dem Wege gehen zu können.

 

[EDvonSchleck]

Eine Webseite? In der Webstation oder Docker?
Bei der Webstation solltest du ein virtual Host nutzen.

 

[Ben2013]

Eine Webseite? In der Webstation oder Docker?

Es habselt sich um einen Docker-Container, in dem ein Webserver läuft.

 

[plang.pl]

Eigene IP-Adresse? MACVLAN im Spiel?
Und ja, bei mir hat der Synology Reverse Proxy auch bei manchen Containern Probleme gehabt

 

[Ben2013]

Kann man de Reserve Proxy im NAS gezielt neu starten?
Würde nur ungern das komplette NAS-System durchstarten.

 

[plang.pl]

Du kannst die config neu laden: nginx -s reload

 

[EDvonSchleck]

Rebind-Schutz im Router deaktiviert? Oder lenkst du die Anfragen im Netzwerk mit dem DNS-Server, AdGuard oder Pi-Hole um?

Kann man de Reserve Proxy im NAS gezielt neu starten?

Wird bei jedem Eintrag neu gestartet (Webserver) auch kann der Browsercache manchmal klemmen > leeren.

Und ja, bei mir hat der Synology Reverse Proxy auch bei manchen Containern Probleme gehabt

Habe ich bis jetzt noch nicht festgestellt und nutze den viel.

 

[Ben2013]

Eigene IP-Adresse? MACVLAN im Spiel?

Ja genau MACVLAN ist auch im Einsatz. Via Portainer wird alles administriert.
Die Webserver können auch direkt über die interne IP-Adresse aufgerufen werden.

 

[EDvonSchleck]

Na denn... sollte wohl alles klar sein.

 

[plang.pl]

Habe ich bis jetzt noch nicht festgestellt

Zum Beispiel mit dem Image linuxserver/calibre funktioniert der DSM-eigene RP bei mir an 2 DSen nicht. Der NGINX kann das. Beim Syno RP bleibt die Seite einfach weiß.

@Ben2013 Versuch es mal ohne MACVLAN

 

[EDvonSchleck]

Wenn mir einmal langweilig ist, teste ich es, Nutzen werde ich es eh nicht.

 

[Ben2013]

Wenn mir einmal langweilig ist, teste ich es, Nutzen werde ich es eh nicht.

Nach der Einrichtung hat es mit MACVLAN mindestens 1-2 Jahre gut funktioniert. Es traten nu sporadisch vereinzelt Fehler auf, dass Synology einen Webserver nicht finden konnte. Nach dem zweiten Versuch hat es jedoch meistens geklappt. Ich habe mir da noch nichts bei gedacht und keine weiteren Nachforschungen betrieben, warum es manchmal erst beim zweiten Aufruf geklappt hat.

Wenn MACVLAN eine der Fehlerursachen wäre, müsste auch der direkte Aufruf über die IP Adresse fehlschlagen. Dem ist allerdings nicht so. Der Fehler liegt demnach irgendwo im Reverse Proxy von Synology.

Ich bin mir sicher, dass ein vergleichbares Verhalten beim nginx-Reverse Proxy nicht auftritt. Bevor der NAS Server angeschafft wurde, lief bereits über 6 Jahre davor ein Proxmox System mit vielen lxc-Containern. Als Basis wurde auch nginx als Reverse Proxy eingesetzt. Nach einem Hardware-Schaden musste eine neue Lösung her. Die Wahl fiel auf ein NAS System mit viel RAM in dem dann die Webservices laufen sollten. Ich wollte auch nicht mehr auf eine Bastel-Lösung setzen, sondern auf eine fertige vom Hersteller getestete Lösung. Mittlerweile läuft zusätzlich auf einem kleinen Mini-PC doch wieder ein Proxmox-System, weil im NAS System das eine oder andere nicht fehlerfrei abgelaufen ist.

Nur zur Info: Beim Docker hat Synology auch irgend etwas verändert, in deren Folge Docker nicht mehr zu 100% mit dem normalen Docker im Debian-Paket kompatibel ist. Festgestellt wurde es beim Docker-Paket eBlocker. Es funktioniert im normalen Docker fehlerfrei. Nur bei der Synology Variante läuft es nicht ganz rund. Ich habe keine Idee, warum die Pakete von Synology scheinbar immer geringfügig verändert werden. Wenn in der Informationen zu den Paketen darauf hingewiesen worden wäre, dass es nicht das original Paket ist, sondern ein angepasste Version, wäre es transparent gegenüber dem Anwender/Admin.

 

[EDvonSchleck]

MACVLAN hat Probleme mit der Verbindung zum Internet. Es gibt einen Workaround dafür, um eine Brücke zu schaffen.
Wenn du mit deinen Proxmox so glücklich warst, warum nutzt du es denn nicht? Auch zwingt dich keiner den Nginx Proxy Manager nicht zu nutzen. Ich habe bis jetzt noch kein Paket gehabt, was nicht funktioniert hat, Das aber Synology Pakete auf Ihrem System anpasst ist doch voll ok. Zwingt dich ja keiner, eine Synology zu nutzen!