Reverse Proxy => Zertifikat?

StefanW

Benutzer
Mitglied seit
23. Mai 2013
Beiträge
58
Punkte für Reaktionen
3
Punkte
8
Ich habe meine FileStation auf Port 7001 gelegt und mit einem Zertifikat (Let´s Encrypt) versehen, das funktioniert auch gut.

Zert_gueltig.jpg


Jetzt wollte ich das die FileStation von extern über Port 80 erreichbar wird, da in vielen Umgebungen andere gesperrt sind.
Deshalb habe ich es mit dieser Regel versucht:

ReverseProxy1.jpg


da bekomme ich dann

Zert_fehlt.jpg

ich vermute das hier das Zertifikat umgangen wird und keine SSL Verbindung aufgebaut wird obwohl ich auf Portt 7001 verweise.

Wenn ich es bei der Quelle mit HTTPS versuche, erhalte ich folgende Meldung:

ReverseProxy3.jpg

ReverseProxy2.jpg


Geht das gar nicht so wie ich es mir denke, vielleicht hat jemand einen Tip für mich.
Danke schon mal
Stefan
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Es findet keine automatische Umleitung auf https statt.
Es kommt also eine Klartext http Anfrage auf Port 80 an den SSL Port 7001 > Fehler

Also entweder Reverse Proxy als https, 443 > https localhost 7001

Oder gleich im Anwendungsportal > Anwendungen unter File Station die benutzerdefinierte Domain file.domain.de eintragen. Der lauscht dann auch direkt auf 80/443, ohne extra Umleitung.
 

StefanW

Benutzer
Mitglied seit
23. Mai 2013
Beiträge
58
Punkte für Reaktionen
3
Punkte
8
Hallo,
da habe ich es eingetragen, wenn du das meinst


Anwendung1.jpg


Eigentlich kommt ja auch keine Fehler, ich interpretiere es so das es einfach unverschlüsselt durchgereicht wird was aber eigentlich nicht sein kann.
Wenn das Zertifikat nicht passen würde käme doch hier eine Zertifikatswarnung, es heißt aber nur das es nicht sicher ist.?


Zert_fehlt.jpg
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Die Verbindung von extern kommt unverschlüsselt auf Port 80 am Reverse proxy. HIER endet die Verbindung. Deshalb unsicher, weil Chrome alle http Seiten so markiert.
Die Verbindung vom Proxy zum Ziel auf Port 7001 ist dann SSL verschlüsselt, allerdings halt nur auf dem Weg DS nach DS, geräte-intern. Eventuelle SSL Warnungen auf dieser Verbindung bekommst du eh nicht angezeigt, weil es nicht die Verbindung zwischen dir und dem Proxy ist.
 

StefanW

Benutzer
Mitglied seit
23. Mai 2013
Beiträge
58
Punkte für Reaktionen
3
Punkte
8
Danke für die Erklärung, jetzt habe ich es verstanden.
Dann muss ich mir wohl eine andere Lösung einfallen lassen, weil in der Umgebung noch ein Exchange Server steht und der 443 für OWA nutzt.

Stefan
 

Matis

Benutzer
Mitglied seit
28. Mai 2015
Beiträge
735
Punkte für Reaktionen
9
Punkte
44
Du solltest Dir ganze Logik nochmals überlegen, ich glaube Du hast das noch nicht ganz verstanden.
Wenn Du über domain.de:443 auf deine Syno kommst, dann kannst dort über reverse proxy mit subdomain Namen so viele verachiedene Dienste einrichten wie du willst. Z.B. owa.domain.de:443 per reverse proxy auf den OL Server umleiten und file.domain.de:443 auf die filestation. Ds.domain.de:443 auf DSM(7001) und domain.de:443 auf deinen Web-Server wenn du einen betreibst. Viel Erfolg.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Jetzt wollte ich das die FileStation von extern über Port 80 erreichbar wird, da in vielen Umgebungen andere gesperrt sind.
Kleine Anmerkung hierzu: was für Ports auch immer gesperrt werden, neben dem (unverschlüsselten) Port 80 für's normale Surfen ist eigentlich immer auch der verschlüsselte Port 443 offen, schon allein deshalb, weil viele Webseiten inzwischen auch nur noch https anbieten.
Daher sollte man tunlichst Port 80 extern nicht nutzen, um sich an seiner DS anzumelden.
 

StefanW

Benutzer
Mitglied seit
23. Mai 2013
Beiträge
58
Punkte für Reaktionen
3
Punkte
8
OK, habe es mir nochmals angeschaut und probiert, jetzt funktioniert es (sogar mit Zertifikat)
Hier die Einstellungen falls jemand mal eine ähnliche Konfiguration hat.

OWA_Reverse.jpg

Ziel-Hostname ist IP Adresse bzw. den Namen vom Exchange Server.

Vielen Dank, gutes neues Jahr noch
Stefan
 

yes-technik

Benutzer
Mitglied seit
12. Nov 2018
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Wie sieht es mit der umleitung von http auf https aus? Ich finde nicht die möglichkeit.
Ich habe soweit alles korrekt eingestellt. Wenn ich manuell die subdomain über https aufrufe dann funktinoiert das auch super.
öffne ich von einem andern Client die subdomain ohne eingabe von http oder https vor der domain, so bekomme ich eine 403 fehlereldung von der Diskstation. Das beduetet für mich dass der Port 80 (http) nicht umgleeitet wird auf den Port 443 (https). Hat hier jemand auch eine Lösung dafür?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Wie sieht es mit der umleitung von http auf https aus? Ich finde nicht die möglichkeit.
wird umgeleitet wenn du auch eine Umleitung von http eingerichtet hast
Ich habe soweit alles korrekt eingestellt. Wenn ich manuell die subdomain über https aufrufe dann funktinoiert das auch super.
manuell aufrufen?
öffne ich von einem andern Client die subdomain ohne eingabe von http oder https vor der domain, so bekomme ich eine 403 fehlereldung von der Diskstation. Das beduetet für mich dass der Port 80 (http) nicht umgleeitet wird auf den Port 443 (https). Hat hier jemand auch eine Lösung dafür?
internes Netzwerk?
 

yes-technik

Benutzer
Mitglied seit
12. Nov 2018
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
wird umgeleitet wenn du auch eine Umleitung von http eingerichtet hast
Ich habe es wie im bild oben eingestellt. Hier ist nur etwas von HTTPS zu sehen.
manuell aufrufen?
Mit manuell meine ich dass ich in der Broserzeile die URL im HTTPS format anwähle (https://sub.domain.de) Wenn ich aber wie üblich nur: "sub.domain.de" eingebe dann wird ie Website nicht wie etwartet geöffnet da der Port 80 nicht durchgestellt wird. Ich habe bei dem Reverse Proxy (Siehe Bild )
OWA_Reverse.jpg
keine möglichekeit gefunden Port 80 und 443 weiterzuleiten. Wie mache ich das hier geschickt damit HTTP zu HTTPS geleitet wird?
internes Netzwerk?
ne das hat nichts mit dem Internen Netzwerk zu tun.
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Port 80 (http) auf 443 (https) weiterleiten:

Quelle:

Protokoll: http
Hostname: deinesubdomain
Port: 80

Ziel:

Protokoll: https
hostname: deinesubdomain
Port: 443

Sollte so funktionieren ...
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ich versteh dein Problem nicht wirklich. Wenn eine Verbindung via SSL (443) funktioniert warum willst du noch eine unverschlüsselte Verbindung? Du kannst eine weitere Weiterleitung von http zu https einrichten. Dann wirst du ein ähnliches Problem wie der Threadersteller bekommen. @Fusion hat das Thema in seinem Beitrag schon richtig beschrieben.

Was nützt dir eine verschlüsselte Verbindung zwischen dem Proxy und der Anwendung? Dabei ist die Verbindung vom Client zum Proxy denn ungeschützt. Und einen weiteren Port offen zu deiner Diskstation. Jede Öffnung eines Ports stellt immer eine Bedrohung bzw. ausnutzen von Sicherheitslücken dar.

Alle aktuellen Webbrowser haben https als Standard und es wird sogar bei einer unverschlüsselten Verbindung gewarnt und muss das Weiterleiten erst einmal zulassen. Also ist http im Internet kein Standard mehr und technisch gesehen nur im internen Netz zu nutzen.

Bei vielen aktuellen Webbrowsern brauchst du also heute „normal“ kein https mehr davor eintragen. Bei anderen Apps oder nicht gängigen Browsern kann es vorkommen, dass der Eintrag für das „Schema“, welches auch ein Protokoll ausweisen kann in der URL nötig ist. Es gibt ja weitere Protokolle wie z.B. ftp die unter Umständen auch erreichbar im Webbrowser sein können. Auch ein Blick in den Browsereinstellungen kann da helfen.

Leider schreibst du auch nur von einem Client. Du gehst nicht auf die Art und verwendete Software ein. Wenn du also mehr Hilfe haben möchtest, solltest du ein paar eigene Screenshots anheften und mehr Daten für Software und Client angeben.

Ich sehe aber kein Bedarf und würde es bei SSL(433) belassen und den Port 80 im Router schliessen.

Wenn du doch lieber über Port 80 erreichbar sein willst, denn lege die gleiche Portweiterleitung noch einmal für http:80 > http:port an. Auf die Verschlüsselung zwischen Reverse-Proxy und Anwendung kannst du dann verzichten. Da die Daten einfach ab dem Client abgegriffen werden können – da schützt das Zertifikat auch nicht mehr!
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat