Reverse Proxy und SSL_ERROR_RX_RECORD_TOO_LONG

Status
Für weitere Antworten geschlossen.

StSch

Benutzer
Mitglied seit
21. Jul 2020
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

seit ein paar Tagen besitze ich eine DS418.

Ich möchte von außen über das Internet auf verschiedene Geräte in meinem Heimnetzwerk zugreifen, z.B. auf meinen SAT-Receiver (eine Dreambox DM7020HD). Unter => Systemsteuerung => Anwendungsportal => Reverse Proxy habe ich mir eine entsprechende Regel konfiguriert. Quelle: https://dreambox.meinhost.de (Bsp.), Ziel: http://192.168.0.2. Beim Aufruf von https://dreambox.meinhost.de erhalte ich in Firefox die Fehlermeldung "Gesicherte Verbindung fehlgeschlagen. SSL hat einen Eintrag erhalten, der die maximal erlaubte Länge überschritten hat. Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG.

Was läuft hier schief? Und was muss ich tun um das Teil zum Laufen zu bekommen?

Viele Grüße,
Steffen
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
Dieser Fehler besagt, dass dein Browser (FF) sichere Daten via HTTPS erwartet, dein WebStation aber unsichere Daten via HTTP verschickt.
Hast vermutlich Apache in WebStation genommen? Probier mal mit NGINX - natürlich testerweise.
Hast du evtl. auch die Funktion "http zu https zwingen" aktiviert (Systemsteuerung - Netzwerke - DSM Einstellungen)?

Evtl. mal auch testerweise andere Browser verwenden?
 

StSch

Benutzer
Mitglied seit
21. Jul 2020
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
Im Anhang ein Screenshot meiner DSM-Einstellungen. Das Paket Web Station ist nicht installiert. Mit anderen Browsern erhalte ich ähnliche Fehlermeldungen. Z.B. Chrome: ERR_SSL_PROTOCOL_ERROR .
 

Anhänge

  • DSM.PNG
    DSM.PNG
    264,3 KB · Aufrufe: 13

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129

Deine Quelle rufst du mit https ab, dein Ziel liefert aber http.
Entweder stellst du dein Ziel auf https Antwort um, oder du musst deine Quelle mit http only abrufen. Die Umstellung von 192.168.0.2 auf https ist natürlich definitiv zu bevorzugen (was auch immer da läuft, unter http sollte nichts mehr im Internet verfügbar sein).
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
Ist es nicht auch der Sinn eines Reverse-Proxy, das ganz Zertifikats-Geraffel an einer Stelle zentral abzuwickeln, anstatt auf jedem WEB-Server einzeln?
Außerdem vereinfacht das die Firewalleinstellungen.
Ich mache das auch so, dass ich extern https auf intern http über den Reverse-Proxy weiterleite - und das klappt.
Ich bin mir nicht sicher, aber ich meine, dafür muss einfach nur HSTS bei den Reverse-Proxy-Einstellungen aktiviert sein.

Edit:
Ach nein, jetzt fällt's mir wieder ein. HSTS war's nicht. Man muss unter /usr/local/etc/nginx/sites-enabled noch für jede Umleitung eine Rewrite-Rule einrichten, beispielsweise mit einer Datei dreambox-redirect.conf mit folgendem Inhalt:
Code:
server {
  listen 80;
  server_name dreambox.meinhost.de;

  return 301 https://$host$request_uri;
}
 
Zuletzt bearbeitet:
  • Like
Reaktionen: tproko

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Ok, wenn der Reverse Proxy das immer einfach machen kann, umso besser. SSL terminiert dann wohl am Reverse Proxy (?), was vielleicht eh okay ist, kommt auf die Anwendung drauf an.

Ich nutze diesen Part der Synology nicht, kenne nur diese Fehlermeldung.
Und die deutet dann darauf hin, dass der Reverse Proxy das in diesem Fall noch nicht macht.
 

StSch

Benutzer
Mitglied seit
21. Jul 2020
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
Entweder stellst du dein Ziel auf https Antwort um, oder du musst deine Quelle mit http only abrufen.
Ziel auf https umgestellt (https musste explizit aktiviert werden), ich bekomme weiterhin die gleiche Fehlermeldung.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
Schaut mal mein Edit in #5 an.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Miss Match http/https Verkehr ist meines Wissens PR_END_OF_FILE Fehler oder ähnlich.
SSL_RECORD_TOO_LONG ist eher wenn der Client/Browser und Server keinen übereinstimmende Cipher verwenden können.
Das war glaube unter Sicherheit ganz rechts 'moderne Kompatibilität' oder ähnlich.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Schaut mal mein Edit in #5 an.

Ok, wieder was gelernt. Danke!
Dann editiert man irgendwann eh "einfach" nur mehr die Apache oder Nginx Konfigs und dort ist alles möglich, was das Framework bietet (bin davon ausgegangen, dass du das übers DSM GUI noch lösen konntest :) ).
 

StSch

Benutzer
Mitglied seit
21. Jul 2020
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
SSL_RECORD_TOO_LONG ist eher wenn der Client/Browser und Server keinen übereinstimmende Cipher verwenden können.
Das war glaube unter Sicherheit ganz rechts 'moderne Kompatibilität' oder ähnlich.
Ja, nennt sich "Moderne Kompatibilität", ändert aber nichts, Fehler tritt weiterhin auf.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Dann hängt es vielleicht eher am Client.
Sehr beliebt sind da Z.B. "Sicherheitsanwendungen" die sich ins System einklinken und die TLS Verbindung aufbrechen (Browser > Security Suite / Anti-virus > Server) und eher für Probleme sorgen als Sicherheit bringen.
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
Erreichst du deine Hauptseite DSM-Oberfläche - da du ja WebStation nicht installiert hast - ohne SSL-Probleme mit deiner Hauptdomain-Adresse?
 

StSch

Benutzer
Mitglied seit
21. Jul 2020
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
Man muss unter /usr/local/etc/nginx/sites-enabled noch für jede Umleitung eine Rewrite-Rule einrichten, beispielsweise mit einer Datei dreambox-redirect.conf mit folgendem Inhalt:
...
Datei angelegt, Nginx neu gestartet, ich erhalte weiterhin die gleiche Fehlermeldung :-(.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Wie soll das auch was ändern? Die rewrite rule sorgt nur für eine http>https Umleitung/Umsetzung. Das ändert nichts am TLS Protokoll Fehler.

https://support.mozilla.org/en-US/questions/1222739https://support.mozilla.org/en-US/k...ocale=en-US#w_avast-and-avg-security-products
Neben verschiedenen Browsern im Werkszustand und ohne Addons kannst noch die anderen Sicherheitseinstellungen außer 'moderne Kompatibilität' testen. Mindestens Browser neu starten, Extremfall auch DS.
Wenn man dann einen Zustand findet wo es (teils) funktioniert sollte man nochmal genauer hinsehen, dass man sich nicht ne Lücke reißt, weil man nur tls 1 aktiviert.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
Mmh, bei TLS usw. hört's bei mir auf :rolleyes:

@StSch:
Hast du auch schon mit unterschiedlichen Browsern probiert?
Bei Start, "Internetoptionen", Erweitert gibt's auch ein paar Einstellungen zu "TLS". Bei mir sieht's da so aus

1595493250814.png
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat