Reverse Proxy und Let's Encrypt - Wie generiere ich die eierlegende Wollmichsau?

[Berndi]

Hallo Experten,

um meine in die Jahre gekommene DS214+ etwas zu entlasten, habe ich mir einen RaspberryPi 4 gekauft, auf dem ich künftig den Home Assistant, den UniFi Controller und vielleicht auch noch die eine oder Andre Software laufen lassen möchte.
Auf der DS soll dann am Ende nur noch der Web- und SQL-Server, bzw. die rudimentären Funktionen des NAS laufen.

Die dynamische Webadresse bezieht die DS für mein Heimnetz von Synology.
Auf derDS wurde mittlerweile auch schon erfolgreich ein Let's encrypt Zertifikat implementiert und anscheinend funktioniert dieses auch.

Damit ich den Home Assistant über das Internet erreichen und ihn mit eigenen Alexa-Skills verbinden kann, muss er ebenfalls über SSL aus dem Internet erreichbar sein.

Nach einigen Tipps aus anderen Internetquellen kam ich auf den Begriff "Reverse Proxy", der mir bis dahin völlig fremd war.

Also ein bisschen gelesen und festgestellt, dass die DS eine solche Funktion mitbringt. *freu*

Die Freude wurde relativ schnell getrübt, denn so wie ich mir das vorgestellt hatte, dass ich die betreffenden Ports in meiner Fritz!Box an die DS weiterleite und diese dann die Anfrage über den Reverse-Proxy mit SSL an den PI umleitet, scheitert in einem Timeout.
Die Seite ist nicht erreichbar.

In den Einstellungen des Reverse Proxy habe ich als Quelle die dynamische Webadresse der DS und den freigegebenen Port und als Ziel die Adresse des PI und den spezifischen Port angegeben. Protokolle habe ich http und https in allen möglichen Variationen versucht, aber ich bekomme einfach keine Verbindung.

Was mache ich falsch?


Vielen Dank für die Hilfe
Berndi

 

[Ulfhednir]

In den Einstellungen des Reverse Proxy habe ich als Quelle die dynamische Webadresse der DS und den freigegebenen Port und als Ziel die Adresse des PI und den spezifischen Port angegeben. Protokolle habe ich http und https in allen möglichen Variationen versucht, aber ich bekomme einfach keine Verbindung.

Die Quelle ist die Domain / DynDNS mit der du auf die Diskstation bzw. dem Home Assistant zugreifen möchtest.
Beispiel: https://homeassistant.xyz.de:443 wird weitergeleitet auf http://IP-deines-Piholes:Port-vom-HomeAssistant

 

[Berndi]

Ich glaube mein Problem ist, dass ich nicht weiß, wie ich eine Subdomain für den Synology-DDNS-Dienst einrichten kann.

Habe für meine Synology nämlich einen DDNS "xyz.diskstation.me" gewählt.

 

[Ulfhednir]

Das wird daran liegen, dass xyz.diskstation.me bereits selbst eine Subdomain ist. Du kannst hier allenfalls eine weitere Subdomain / Synology-DDNS-Dienst registrieren (insofern das überhaupt ohne weiteres geht). Oder du nutzt einen weiteren DynDNS (MyFritz, Selfhost, No-Ip, etc. pp.)
Oderrr.... du registrierst dir eine "echte" Domain und erstellst dort deine Subdomains, welche du als CNAME auf deine DynDNS verweisen lässt.
Letzteres ist definitiv die sexieste Lösung - Kostenpunkt für eine .de-Domain ~ 0,5EUR pro Monat.

 

[stulpinger]

Servus, falls ich Blödsinn schreibe bitte um Korrektur

Das Problem ist, dass Du nur eine "subdomain" hast ...

Meine Lösung ist (funkt wunderbar): eigene Domain bei einem Provider und bei diesem einen Domainserver
Vorteil ist, dass Du mehrere Subdomains erstellen kannst, kostet in meinem Fall ca. € 60 / Jahr

Zu Beginn eine Subdomain ?

Auf der Providerhomepage erstellst Du eine Subdomain xyz1.diskstation.me, die als Zielverzeichnis /xyz.diskstation.me hat
Unter den DNS Einstellungen erstellst Du einen CNAME Eintrag (für die subdomain xyz1.diskstation.me) der auf xyz.diskstation.me verweist

d.h. wenn Du im Browser xyz1.disktation.me eingibst (funktioniert natürlich jetzt noch nicht), kommst Du bis zu Deinem Router, LE Zertifikat für xyz1.diskstation.me vorher erstellt, soweit bis Du jetzt auch natürlich auch gekommen ohne Provider
d.h. xyz1 = xyz, da Du ja momentan noch keine verschiedenen Subdomains hast ?

In weiterer Folge kannst Du xyz2.diskstation.me xyz3.diskstation.me usw. erstellen, die Alle auf xyz.diskation.me verweisen

Dann kommt der Reverse Proxy (kurz RP) ins Spiel

Die DS bekommt die Anfrage xyz1.diskstation.me -> RP Einstellungen zB auf die DS konfigurieren
Die DS bekommt die Anfrage xyz2.diskstation.me -> RP Einstellungen zB auf den pihole konfigurieren (Vorsicht)
Die DS bekommt die Anfrage xyz3.diskstation.me -> RP Einstellungen zB auf Nextcloud konfigurieren

....

Klingt jetzt kompliziert, habe auch einige Zeit gebraucht um's zu kapieren, vor Jahren ...

Conclusio: Du braucht den Syno DDNS "nur" , dass Du von extern bei Deinem Router landest, und das für alle Subdomains, über den RP entscheidest Du wohin der Zugriff erfolgen soll
Geht natürlich auch ohne RP , mit Portangabe bei der Subdomain und dementsprechender Portweiterleitung im Router, wird
aber mit der Zeit mühsam, wegen der Portweiterleitungen ...

Achtung: RP nur auf "Seiten", wo ein Username und Passwort verlangt wird, schätze bei Deinem Home-Assistenten ist das so
RP auf pihole bitte nicht, da der pihole keine User-Verwaltung hat, d.h. ein "Angreifer" mit Kenntnis Deiner Subdomain wäre schon mal in Deinem internen LAN !

So, habe fertig ?

 

[stulpinger]

bei youtube gibts sehr gute Videos bzgl. RP mit grafischer Darstellung, was ein RP macht
Die Konfiguration des RP auf der DS ist dann irgendwie logisch

 

[Berndi]

Okay, ich habe mir jetzt eine Domain gekauft und auch gleich mal eine Subdomein erstellt.

Nach dem was ich im Internet so finden konnte, habe ich nun in den DNS-Einstellungen für diese Subdomain einen CNAME Eintrag erstellt und dort als WERT die dynamische Webadresse der DS (xyz.diskstation.me) eingetragen.

Dummerweise klappt das nicht. :-(

Ich lande auf der Webseite des Domain-Providers

 

[Benares]

Ich lande auf der Webseite des Domain-Providers

Dann machst du was grundsätzliches falsch. Ich bin bei Strato. Wenn ich da bei der Domain auf DDNS-Updates umstelle, wird die Verbindung zur rudimentären Provider-Website gekappt und ich bin selbst verantwortlich, was ich dann damit tue. Bei welchem Provider bist du denn?

 

[Berndi]

Bei welchem Provider bist du denn?

IONOS

 

[stulpinger]

Was ergibt ein ping ( über cmd - Windows ) auf xyz.diskstation.me ? Deine externe IP oder die IP des Providers ?
Subdomain auf der Provider-Seite erstellt ?

 

[Berndi]

Was ergibt ein ping ( über cmd - Windows ) auf xyz.diskstation.me ? Deine externe IP oder die IP des Providers ?
Subdomain auf der Provider-Seite erstellt ?

Meine externe IP

 

[Berndi]

Wenn ich über https:// die Subdomain aufrufe, bekomme ich einen ERR_SSL_PROTOCOL_ERROR

 

[Benares]

Oder besser gefragt: Was liefert ein ping/nslookup auf dein DeinCNAME.DeineDomain.de?

 

[stulpinger]

wenn Deine externe IP erscheint, dann bist Du ja schon fast zu Hause ?

RP schon konfiguriert ?

wenn ich über https:// die Subdomain aufrufe, bekomme ich einen ERR_SSL_PROTOCOL_ERROR

Zertifikat erstellt für die Subdomain ?

 

[Berndi]

Zertifikat erstellt für die Subdomain ?

Ich habe das Zertifikat von IONOS importiert

 

[Benares]

ERR_SSL_PROTOCOL_ERROR bedeutet, dass du nicht auf einem https-Server sondern auf einem http-Server landest.
Aber klär erstmal, ob der in der URL verwendete Name auf deine externe IP auflöst. 2. Frage ist, ob du auch ein gültiges Zertifikat für den Namen hast.

 

[Berndi]

Oder besser gefragt: Was liefert ein ping/nslookup auf dein DeinCNAME.DeineDomain.de?

Der Ping auf die Subdomain liefert eine IP von IONOS

 

[stulpinger]

Du musst kein Zertifikat von IONOS importieren - die verlangen auch sicher € dafür, oder ?
Auf der DS ein LE (Let's Encrypt) für die subdomain anfordern, und unter Systemsteuerung / Sicherheit das Zertifikat dementsprechend eintragen

Kann Dir leider keinen Screenshot anbieten, da ich mit nginx reverse proxy manager arbeite ....

 

[Berndi]

ERR_SSL_PROTOCOL_ERROR bedeutet, dass du nicht auf einem https-Server sondern auf einem http-Server landest.
Aber klär erstmal, ob der in der URL verwendete Name auf deine externe IP auflöst. 2. Frage ist, ob du auch ein gültiges Zertifikat für den Namen hast.

Ich habe bei IONOS ein SSL-Zertifikat erstellt, dieses exportiert und bei der DS importiert und als Standard eingestellt.

 

[Berndi]

Du musst kein Zertifikat von IONOS importieren - die verlangen auch sicher € dafür, oder ?

Wie zertifiziere ich denn dann die Subdomains?

Das Zertifikat ist kostenlos.
Benutzerverwaltetes Zertifikat von DigiCert