Reverse Proxy Synology zu QNAP ich verzweifel ....

LustierPeter

Benutzer
Mitglied seit
23. Jul 2020
Beiträge
63
Punkte für Reaktionen
3
Punkte
8
Wo liegt der Fehler ?
Fritzbox Ports 80 und 433 auf 192.168.2.70 gelegt ( Synology )
Da laufen 5 Domains als Vhost einwandfrei und sind aus dem Internet per SSL, mit und ohne WWW erreichbar.

Jetzt soll eine Domain von Strato vom Synology auf ein QNAP gelegt werden.

Reverse Proxy eingerichtet
Port 80 und Domain mit Ziel-IP vom QNAP
Port 443 und Domain mit Ziel-IP vom QNAP

Domain ist aber nur über http erreichbar !

Beim Versuch ein Let´s Encrypt Zertifikat zu installieren kommt die Fehlermeldung, das Port 80 und 443 benötigt werden.
Der Webserver vom QNAP läuft aber auf 80 und 443.

Was mache ich falsch ?

PS: Die FW hatte ich auch schon einmal auf beiden Geräten deaktiviert
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.692
Punkte für Reaktionen
3.685
Punkte
468

LustierPeter

Benutzer
Mitglied seit
23. Jul 2020
Beiträge
63
Punkte für Reaktionen
3
Punkte
8
keine sichere Seite das ich das Zertifikat nicht anlegen kann, es wird immer das von QNAP benutzt
 

LustierPeter

Benutzer
Mitglied seit
23. Jul 2020
Beiträge
63
Punkte für Reaktionen
3
Punkte
8
Als Alternative könnte ich die Geräte tauschen:unsure:

Welches Gerät von Synology kann den Mails über die eingerichteten Domains über die Webseite versenden ?

Das ist der Grund, warum 1 Domain auf das QNAP soll.

Ich kann mit der 418 keine Webformulare versenden.
PEAR , PHP7.x ist installiert aber PHP(Mai) will ja nicht.
bei sendmail, fehlt die ganze Konfiguration
Über die Mail-Domain der Benachrichtigung gehts auch nicht.
Formular mit der Option den SMTP selber einzutragen scheitert an Fehlermeldung PEAR ist nicht installiert, obwohl auch in der php.ini eingetragen.

Anmerkung:
der Reverse Proxy läuft auf dem 418, wo auch die anderen Domains laufen.
Muß ich ein evtl. anderes NAS nehmen und dort den Proxy für Synology und QNAP einrichten ?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.692
Punkte für Reaktionen
3.685
Punkte
468
Du kommst also schon durch, bekommst aber das Zertifikat der QNAP?
Ich nutze für alles nur ein Zertifikat für meine Hauptdomain mit allen anderen Namen (CNAMEs) als Alternate Names. Also hat LE es immer nur mit dem Web-Server der Syno zu tun.
Hast du für alle Dienste eine eigene Domain/ eigenes Zertifikat ?
 

LustierPeter

Benutzer
Mitglied seit
23. Jul 2020
Beiträge
63
Punkte für Reaktionen
3
Punkte
8
Hast du für alle Dienste eine eigene Domain/ eigenes Zertifikat ?

Welche Dienste benötigen ein Zertifikat ??

Auf der 418 laufen alle Domains über 80 und 443 mit Zertifikat von Let´s Encrypt einwandfrei.

Zusätzlich hatte ich mir noch den DDNS Updater installiert um mehrere Domains von z.B. Strato per dyndns auf die 418 zu legen.
Auch das ohne Probleme.

Wenn ich jetzt aber eine Hauptdomain vom 418 wegnehme und auf das QNAP lege benötige ich ein Let´s Encrypt Zertifikat für QNAP Webserver.

Ich kann mich zwar auf die Domain per https verbinden, wie gesagt mit falschen Zertifikat...das Standart-Zertifikat von QNAP.

Ich habe die Probleme mit Port 443.
Webserver QNAP läuft auf 80 und 443
Die dort gehostete Domain ebenfalls.
Trotzdem meint QNAP, die Ports müssen freigegeben sein.

Im Prinzip benötige ich nur ein System mit mind. Webserver, MariaDB10, PHP 7.x gerne auch PHP 8.x welches von gehosteten Domains auch die Webfomulare versendet.

Eigentlich geht es nur um die Verwaltung von Datenbanken hinter verschiedenen Domains.
Dort muß auch der Versand per Mail, je Domain, möglich sein. ( z.B. Passwort vergessen )

Ich hatte vorher alles unter CentOS laufen aber der Stromverbrauch war mir auf Dauer zu hoch.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Wenn ein Reverse Proxy in der Kette ist .... (und bei IPv4)
Der Client spricht mit dem Proxy und der Proxy mit dem Ziel, es gibt keine direkte Kommunikation.

Ebenfalls fängt der Proxy (auf der Syno) alle Lets Encrypt Anfragen ab, das Ziel kann sich keine Lets Encrypt Zertifikate über den Weg des Proxies ausstellen lassen.

Bei IPv6 kann Port 80/443 auf jedem Gerät im LAN/WLAN angesprochen werden.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.692
Punkte für Reaktionen
3.685
Punkte
468
Mit "Dienste" meinte http/https-basierte Web-Dienste.

Ich kann nur mal beschreiben, wie ich es mache.
Ich habe auch eine Domain bei Strato, nennen wir sie mal example.com. Nur example.com wird über DDNS aktualisiert.
Alle Namen, die ich für vHosts/ReverseProxies brauche sind einfache CNAMEs von examle.com (www.example.com, dsm.example.com, qnap.example.com (Beispiel), ...) Auch habe ich nur ein Zertifikat für alles, mit example.com als Domain und allen anderen Namen als Alternate Names (Alternative Antragstellername)
Jeder Reverse Proxy taucht ja auch unter Sicherheit, Zertifikat, Einstellungen auf. Da muss ich halt schauen, dass dort mein LE-Zertifikat richtig zugeordnet ist. Bei Aufruf von https://qnap.example.com bekäme jeder Client dann mein LE-Zertifikat und nicht das der QNAP. Man kann sogar im Reverse Proxy https auf intern http umleiten, wenn man das möchte. So kann man auch Dienste absichern, die selbst kein https können.
 

LustierPeter

Benutzer
Mitglied seit
23. Jul 2020
Beiträge
63
Punkte für Reaktionen
3
Punkte
8
##
Ebenfalls fängt der Proxy (auf der Syno) alle Lets Encrypt Anfragen ab, das Ziel kann sich keine Lets Encrypt Zertifikate über den Weg des Proxies ausstellen lassen.
##
Gilt das nur für den Proxy auf der Syno ?

Wenn ich mir jetzt z.B. auf einem Raspberry NGINX nebts Proxy einrichten würde, habe ich diese Einschränkung nicht?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Liegt nicht am "Proxy". aber an der Konfiguration die Syno über die GUI zugänglich macht / konfiguriert hat.
Und das ist normal auch die gewollte Einstellung.

Für was brauchst du das Zertifikat auf der QNAP, wenn die Kommunikation eh über den Proxy läuft?
 

LustierPeter

Benutzer
Mitglied seit
23. Jul 2020
Beiträge
63
Punkte für Reaktionen
3
Punkte
8
##
Für was brauchst du das Zertifikat auf der QNAP, wenn die Kommunikation eh über den Proxy läuft?
##

Es geht um eine Kundenverwaltung, welche auch aus dem Intetnet erreichbar sein muß.
Da es über einen Browser läuft, ist der Hinweis auf die fehlende Sicherheit suboptimal.

#
Liegt nicht am "Proxy". aber an der Konfiguration die Syno über die GUI zugänglich macht / konfiguriert hat
##

Und wie kann man die config überarbeiten, damit es funktioniert ?

Ich bekomme ja das Zertifikat für eine Domain die auf einer anderen IP/NAS liegt nicht auf der 418 installiert.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Sorry, ich verstehe dein Konstrukt nicht.
Kannst du das näher beleuchten.
Wenn du wirklich über den Proxy gehst kann überhaupt kein QNAP Zertifikat auftauchen.

Wie du unter der Haube gegen die syno config anarbeitest.... kann ich dir nicht sagen. Hab ich mir noch nicht angeschaut wie man den Proxy für bestimmte Hostnamen auch die LE Anfragen durchleiten lassen kann.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
853
Punkte
154
Du kannst doch bei der Synology wo der Proxy läuft dir ein Zertifikat für diese Domain erstellen. Dann hast du diese Warnung nicht. Das wäre das Vorgehen bei jedem Reverse Proxy. Also auch wenn er auf einem Pi laufen würde
 

LustierPeter

Benutzer
Mitglied seit
23. Jul 2020
Beiträge
63
Punkte für Reaktionen
3
Punkte
8
Es geht um eine einzelne Haupt-Domain
example.com
Keine Sub-Domain
beispiel.example.com

Diese einzelne Domain soll von der Synology auf ein QNAP wechseln.

Dort wird dann example.com gehostet aber bitte mit SSL

Ich versuche mich schon seit Tagen in die Materie einzulesen, auch hier bin ich gerade dabei:
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
80/443 auf die Syno?
Reverse Proxy example.com, SSL
Ziel auf qnap-ip 80 oder 443?

Wie und von wo rufst du die Domain auf zum testen?
 

LustierPeter

Benutzer
Mitglied seit
23. Jul 2020
Beiträge
63
Punkte für Reaktionen
3
Punkte
8
Intern und über Smartphone ohne WLAN / WLAN Hotspot vom Nachbarn oder das Vodafone Mobilfunknetz.

Wie oben beschrieben habe ich den Proxy mit 80,443 auf QNAP geleitet
QNAP Webserver läuft mit 80,443
vHost auf QNAP auch mit 80,443

Ich werde mal die Tage mal Ubuntu und nginx installieren und testen.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.692
Punkte für Reaktionen
3.685
Punkte
468
Verstehe ich es richtig, dass eigentlich nur der Zertifikats-Abruf bei LE für beispiel.example.com bei aktiviertem Reverse-Proxy dafür nicht klappt?
Mir ist auch nicht klar, wo dein QNAP-Zertifikat herkommen sollte, wenn du über https://beispiel.example.com zugreifst und der Reverse Proxy dafür aktiviert ist.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.692
Punkte für Reaktionen
3.685
Punkte
468
Ich versteh dich nicht. Du brauchst ein Zertifikat, dass auch für beispiel.example.com gilt, auf deiner DS und musst es dem Reverse Proxy für beispiel.example.com zuordnen. Das hat überhaupt nichts mit dem Zertifikat zu tun, das auf der QNAP installiert ist.
Du aber sagst, ein Client bekäme das QNAP-Zertifikat beim Aufruf angezeigt, was eigentlich nicht sein kann.
 

LustierPeter

Benutzer
Mitglied seit
23. Jul 2020
Beiträge
63
Punkte für Reaktionen
3
Punkte
8
Ich habe keine Ahnung wie ich das erklären soll…..

Domain auf Qnap ist per http und https erreichbar, Proxy funktioniert also.

Ich kann auf Qnap kein Zertifikat von Lets Encrypt abrufen da angeblich die Ports nicht offen sind und bekomme deswegen bei Aufruf der Qnap Domain das vorinstallierte Standart-Zertifikat, ausgestellt von Qnap angezeigt.

Ich muß jetzt erstmal eine Pause einlegen und werde mit meinem Hund einen Spaziergang im Wald machen damit der Kopf wieder klar wird
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat