Reverse Proxy und Let's Encrypt - Wie generiere ich die eierlegende Wollmichsau?

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Hallo Experten,

um meine in die Jahre gekommene DS214+ etwas zu entlasten, habe ich mir einen RaspberryPi 4 gekauft, auf dem ich künftig den Home Assistant, den UniFi Controller und vielleicht auch noch die eine oder Andre Software laufen lassen möchte.
Auf der DS soll dann am Ende nur noch der Web- und SQL-Server, bzw. die rudimentären Funktionen des NAS laufen.

Die dynamische Webadresse bezieht die DS für mein Heimnetz von Synology.
Auf derDS wurde mittlerweile auch schon erfolgreich ein Let's encrypt Zertifikat implementiert und anscheinend funktioniert dieses auch.

Damit ich den Home Assistant über das Internet erreichen und ihn mit eigenen Alexa-Skills verbinden kann, muss er ebenfalls über SSL aus dem Internet erreichbar sein.

Nach einigen Tipps aus anderen Internetquellen kam ich auf den Begriff "Reverse Proxy", der mir bis dahin völlig fremd war.

Also ein bisschen gelesen und festgestellt, dass die DS eine solche Funktion mitbringt. *freu*

Die Freude wurde relativ schnell getrübt, denn so wie ich mir das vorgestellt hatte, dass ich die betreffenden Ports in meiner Fritz!Box an die DS weiterleite und diese dann die Anfrage über den Reverse-Proxy mit SSL an den PI umleitet, scheitert in einem Timeout.
Die Seite ist nicht erreichbar.

In den Einstellungen des Reverse Proxy habe ich als Quelle die dynamische Webadresse der DS und den freigegebenen Port und als Ziel die Adresse des PI und den spezifischen Port angegeben. Protokolle habe ich http und https in allen möglichen Variationen versucht, aber ich bekomme einfach keine Verbindung.

Was mache ich falsch?


Vielen Dank für die Hilfe
Berndi
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
In den Einstellungen des Reverse Proxy habe ich als Quelle die dynamische Webadresse der DS und den freigegebenen Port und als Ziel die Adresse des PI und den spezifischen Port angegeben. Protokolle habe ich http und https in allen möglichen Variationen versucht, aber ich bekomme einfach keine Verbindung.

Die Quelle ist die Domain / DynDNS mit der du auf die Diskstation bzw. dem Home Assistant zugreifen möchtest.
Beispiel: https://homeassistant.xyz.de:443 wird weitergeleitet auf http://IP-deines-Piholes:Port-vom-HomeAssistant
 
Zuletzt bearbeitet:

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Ich glaube mein Problem ist, dass ich nicht weiß, wie ich eine Subdomain für den Synology-DDNS-Dienst einrichten kann.

Habe für meine Synology nämlich einen DDNS "xyz.diskstation.me" gewählt.
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Das wird daran liegen, dass xyz.diskstation.me bereits selbst eine Subdomain ist. Du kannst hier allenfalls eine weitere Subdomain / Synology-DDNS-Dienst registrieren (insofern das überhaupt ohne weiteres geht). Oder du nutzt einen weiteren DynDNS (MyFritz, Selfhost, No-Ip, etc. pp.)
Oderrr.... du registrierst dir eine "echte" Domain und erstellst dort deine Subdomains, welche du als CNAME auf deine DynDNS verweisen lässt.
Letzteres ist definitiv die sexieste Lösung - Kostenpunkt für eine .de-Domain ~ 0,5EUR pro Monat.
 
  • Like
Reaktionen: Berndi

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Servus, falls ich Blödsinn schreibe bitte um Korrektur

Das Problem ist, dass Du nur eine "subdomain" hast ...

Meine Lösung ist (funkt wunderbar): eigene Domain bei einem Provider und bei diesem einen Domainserver
Vorteil ist, dass Du mehrere Subdomains erstellen kannst, kostet in meinem Fall ca. € 60 / Jahr

Zu Beginn eine Subdomain ?

Auf der Providerhomepage erstellst Du eine Subdomain xyz1.diskstation.me, die als Zielverzeichnis /xyz.diskstation.me hat
Unter den DNS Einstellungen erstellst Du einen CNAME Eintrag (für die subdomain xyz1.diskstation.me) der auf xyz.diskstation.me verweist

d.h. wenn Du im Browser xyz1.disktation.me eingibst (funktioniert natürlich jetzt noch nicht), kommst Du bis zu Deinem Router, LE Zertifikat für xyz1.diskstation.me vorher erstellt, soweit bis Du jetzt auch natürlich auch gekommen ohne Provider
d.h. xyz1 = xyz, da Du ja momentan noch keine verschiedenen Subdomains hast ?

In weiterer Folge kannst Du xyz2.diskstation.me xyz3.diskstation.me usw. erstellen, die Alle auf xyz.diskation.me verweisen

Dann kommt der Reverse Proxy (kurz RP) ins Spiel

Die DS bekommt die Anfrage xyz1.diskstation.me -> RP Einstellungen zB auf die DS konfigurieren
Die DS bekommt die Anfrage xyz2.diskstation.me -> RP Einstellungen zB auf den pihole konfigurieren (Vorsicht)
Die DS bekommt die Anfrage xyz3.diskstation.me -> RP Einstellungen zB auf Nextcloud konfigurieren

....

Klingt jetzt kompliziert, habe auch einige Zeit gebraucht um's zu kapieren, vor Jahren ...

Conclusio: Du braucht den Syno DDNS "nur" , dass Du von extern bei Deinem Router landest, und das für alle Subdomains, über den RP entscheidest Du wohin der Zugriff erfolgen soll
Geht natürlich auch ohne RP , mit Portangabe bei der Subdomain und dementsprechender Portweiterleitung im Router, wird
aber mit der Zeit mühsam, wegen der Portweiterleitungen ...

Achtung: RP nur auf "Seiten", wo ein Username und Passwort verlangt wird, schätze bei Deinem Home-Assistenten ist das so
RP auf pihole bitte nicht, da der pihole keine User-Verwaltung hat, d.h. ein "Angreifer" mit Kenntnis Deiner Subdomain wäre schon mal in Deinem internen LAN !

So, habe fertig ?
 
  • Like
Reaktionen: Berndi

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
bei youtube gibts sehr gute Videos bzgl. RP mit grafischer Darstellung, was ein RP macht
Die Konfiguration des RP auf der DS ist dann irgendwie logisch
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Okay, ich habe mir jetzt eine Domain gekauft und auch gleich mal eine Subdomein erstellt.

Nach dem was ich im Internet so finden konnte, habe ich nun in den DNS-Einstellungen für diese Subdomain einen CNAME Eintrag erstellt und dort als WERT die dynamische Webadresse der DS (xyz.diskstation.me) eingetragen.

Dummerweise klappt das nicht. :-(

Ich lande auf der Webseite des Domain-Providers
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.760
Punkte
468
Ich lande auf der Webseite des Domain-Providers
Dann machst du was grundsätzliches falsch. Ich bin bei Strato. Wenn ich da bei der Domain auf DDNS-Updates umstelle, wird die Verbindung zur rudimentären Provider-Website gekappt und ich bin selbst verantwortlich, was ich dann damit tue. Bei welchem Provider bist du denn?
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Was ergibt ein ping ( über cmd - Windows ) auf xyz.diskstation.me ? Deine externe IP oder die IP des Providers ?
Subdomain auf der Provider-Seite erstellt ?
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Wenn ich über https:// die Subdomain aufrufe, bekomme ich einen ERR_SSL_PROTOCOL_ERROR
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.760
Punkte
468
Oder besser gefragt: Was liefert ein ping/nslookup auf dein DeinCNAME.DeineDomain.de?
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
wenn Deine externe IP erscheint, dann bist Du ja schon fast zu Hause ?

RP schon konfiguriert ?

wenn ich über https:// die Subdomain aufrufe, bekomme ich einen ERR_SSL_PROTOCOL_ERROR

Zertifikat erstellt für die Subdomain ?
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.760
Punkte
468
ERR_SSL_PROTOCOL_ERROR bedeutet, dass du nicht auf einem https-Server sondern auf einem http-Server landest.
Aber klär erstmal, ob der in der URL verwendete Name auf deine externe IP auflöst. 2. Frage ist, ob du auch ein gültiges Zertifikat für den Namen hast.
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Du musst kein Zertifikat von IONOS importieren - die verlangen auch sicher € dafür, oder ?
Auf der DS ein LE (Let's Encrypt) für die subdomain anfordern, und unter Systemsteuerung / Sicherheit das Zertifikat dementsprechend eintragen

Kann Dir leider keinen Screenshot anbieten, da ich mit nginx reverse proxy manager arbeite ....
 
Zuletzt bearbeitet:

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
ERR_SSL_PROTOCOL_ERROR bedeutet, dass du nicht auf einem https-Server sondern auf einem http-Server landest.
Aber klär erstmal, ob der in der URL verwendete Name auf deine externe IP auflöst. 2. Frage ist, ob du auch ein gültiges Zertifikat für den Namen hast.
Ich habe bei IONOS ein SSL-Zertifikat erstellt, dieses exportiert und bei der DS importiert und als Standard eingestellt.

1628019383797.png
 

Berndi

Benutzer
Mitglied seit
30. Sep 2009
Beiträge
183
Punkte für Reaktionen
4
Punkte
18
Du musst kein Zertifikat von IONOS importieren - die verlangen auch sicher € dafür, oder ?
Wie zertifiziere ich denn dann die Subdomains?

Das Zertifikat ist kostenlos.
Benutzerverwaltetes Zertifikat von DigiCert
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat