Reverse Proxy: Source & Destination Ports - egal?

MI-6 · 19. Jan 2022

allo,

ich habe mir erfolgreich sehr viele Sub-Domains mit dem Reverse Proxy eingerichtet. Funktioniert wunderbar (bis auf Logitech Media Server, bei dem Seiten-Updates manchmal nicht funktionieren, bspw. beim Scan-Status).

Grundsätzlich frage ich mich aber, wie die Port- und Protokoll-Übersetzung im Reverse Proxy funktioniert.

Wenn ich als Source Port xx / Protokoll HTTP angebe und als Destination Port 443 / HTTPS angebe, wird mir in Chrome eine sichere Verbindung angezeigt (Tabellenzeilen 1 und 3)
1. Wird die sichere Verbindung über den Destination Port aufgebaut? Oder schon im Reverse Proxy Host (meiner DS)?
2. Von wo bis wo reicht die sichere Verbindung?
  1. Client bis Destination Host?
  2. Oder nur DS Reverse Proxy bis Destination Host? Das wäre unlogisch, da mein Chrome ja eine sichere Verbindung anzeigt.
3. Wird immer eine sichere Verbindung aufgebaut, sobald ich als Destination Protocol HTTPS eintrage? Auch bei Source Port 80 / HTTP (Tabellenzeilen 1 bis 4)?
  Oder Destination Port ungleich 443, aber HTTPS (Tabellenzeilen 5 bis 8)?
Wenn das so ist, bräuchte ich ja als Source Protocol nie was anderes als HTTP (oder als Port 80) eintragen, wenn von Destination Protocol abhängt, ob eine sichere Verbindung aufgebaut wird. Wozu dann im Source jemals Port 443 / HTTPS verlangen/einstellen (bis auf daß z.B. Chrome HTTP gar nicht mehr unterstützen)?
Was zählt eigentlich für sichere Verbindungen? Port oder Protokoll? Offensichtlich doch Protokoll?

Insb. Frage 3 ist wohl sehr, sehr naiv - kann man auch per Wikipedia erfahren. Aber die anderen Fragen habe ich mir auch nach längerer Recherche zum Thema Reverse Proxy so nicht beantworten können.

Zeile	Source Port	Source Protocol	Destination Port	Destination Protocol	HSTS	Ergebnis mit Chrome
1	80	HTTP	443	HTTPS	aus	Sichere Verbindung?
2	80	HTTPS	443	HTTPS	aus	Sichere Verbindung?
3	<>80	HTTP	443	HTTPS	aus	Sichere Verbindung?
4	<>80	HTTPS	443	HTTPS	aus	Sichere Verbindung?
5	80	HTTP	<>443	HTTPS	aus	Sichere Verbindung?
6	80	HTTPS	<>443	HTTPS	aus	Sichere Verbindung?
7	<>80	HTTP	<>443	HTTPS	aus	Sichere Verbindung?
8	<>80	HTTPS	<>443	HTTPS	aus	Sichere Verbindung?
9	80	HTTP	443	HTTP	aus	Unsichere Verbindung?
10	<>80	HTTP	<>443	HTTP	aus	Unsichere Verbindung?

Danke für ein paar erleuchtende Hinweise!

stulpinger · 19. Jan 2022

Reverseproxy Zugriff erfolgt bei Dir per subdomain, soll ja so sein

Source ist die subdomain (ohne Portangabe)
Destination ist eine (interne) IP-Adresse mit dementsprechenden Port

Nachdem Deine subdomains normalerweise mit einem Zertifikat (Lets Encrypt) "verknüpft" sind, ist das Source-Protocoll https,
wegen sicheren Zugriff von extern

subdomain1 -> 192.168.0.9:4444
subdomain2 -> 192.168.0.9:5555
subdomain3 -> 192.168.0.7:4444

Destination Protocol intern - http oder https - ist davon abhängig, was Du dahinter laufen hast

Beispiel bei mir

bitwarden - http
filestation - https
nextcloud - http
plex - http
synologyrs - https

Das heißt der Zugriff auf meine nextcloud erfolgt von extern per https und wird intern auf http umgeleitet, was ja kein Problem ist, da der externe Zugriff per https erfolgt
Zugriff auf synologyrs per https, intern weiter per https, da Umleitung auf 5001 (https)

stulpinger · 19. Jan 2022

Beim Reverse-Proxy der Synology

nextcloud per reverse proxy:
Quelle:

Protokoll: https
Hostname: nextcloud-subdomain
Port: 443 (wegen https)

Ziel:

Protokoll: http
Hostname: localhost oder IP
Port: 1234

synology per reverse proxy:
Quelle:

Protokoll: https
Hostname: synology-subdomain
Port: 443 (wegen https)

Ziel:

Protokoll: https
Hostname: localhost oder IP
Port: 5001

plex per reverse proxy:
Quelle:

Protokoll: https
Hostname: plex-subdomain
Port: 443 (wegen https)

Ziel:

Protokoll: http
Hostname: localhost oder IP
Port: 32400

stulpinger · 19. Jan 2022

Natürlich noch bei den Reverse-Proxy Regeln HSTS und HTTP/2 aktivieren

stulpinger · 19. Jan 2022

solltest Du von extern per http (das s vergessen

) auf Deine subdomain zugrifen wollen, folgende Regel erstellen:

zB. für Plex

Quelle:

Protokoll: http
Hostname: plex-subdomain
Port: 80 (wegen http)

Ziel:

Protokoll: https
Hostname: plex-subdomain
Port: 443

D.h. es wird http auf https "umgeleitet" !
und in weiterer Folge die Regel für Plex per https durchgeführt

NSFH · 19. Jan 2022

gar nicht so kompliziert denken:
was von Aussen per HTTP rein kommt ist mindestens bis zum RP unverschlüssselt
was von Aussen per HTTPS rein kommt ist mindestens bis zum RP verschlüssselt
was danach im RP passiert hat nur Auswirkungen im heimischen LAN. Hier kann man beliebig mischen so wie es benötigt wird.

stulpinger · 19. Jan 2022

das wollte ich ja mit Hilfe meiner "geistigen" Ergüsse darstellen ...
oder Du meinst den TE

so wie Du schreibst, http oder htttps, egal wie, spätestens beim RP ist die "Wand"

Mir gings um die Überschrift " Source & Destination Ports - egal?"