Reverse Proxy

[mar1eese]

Ich find's nicht, wieso es nicht geht. Problem liegt wohl zwischen den Kopfhörern. Ich google auch schon seit Stunden :-(

Ich habe eine bei no-ip gemanagte dynamische Addresse: meineadresse.zapto.org. Meine Syno kann ich auf diesem Weg erreichen.
Bei no-ip habe ich auch ein wildcard zur Behandlung von subdomains eingetragen.

Ich habe eine Docker Anwendung, die ich lokal via Port 4567 erreichen kann. Also: 192.168.178.5:4567. Klappt.
Zeige ich mit der Fritzbox auf den Port, klapp der Zugriff ebenfalls. Also: meineadresse.zapto.org:4567.

Was ich erreichen will:
Ich habe via reverse proxy eine subdomain eingegeben, die ich auf den Port 4567 zeigt.

Quelle

• Protokoll: HTTPS
• Hostname: versuch.meineadresse.zapto.org
• Port: 443 (Fritzbox zeigt auf die Syno IP)

Ziel

• Protokoll: HTTPS
• Hostname: lokale Syno IP (192.168.178.5)
• Port: 4567

das Zertifikat wurde entsprchend der neuen subdomain erweitert (versuch.meineadresse.zapto.org)

Ich dachte, so einfach wär's, klappt aber leider nicht.

• Zum einen geht überhaupt nur eine "nicht sichere" Verbindung via HTTP und nicht via HTTPS
• Zum anderen lande ich immer wieder auf der lokalen webseite meiner Syno und nicht auf der docker app die vie Port 4567 eigentlich erreicht werden sollte.

Was kann ich tun?

Gruß
Markus

 

[alexhell]

Rufst du die Anwendung, wenn du sie lokal aufrufst auch mit HTTPS auf? Wenn nein, dann müsstest du das Ziel Protokoll anpassen auf HTTP.

 

[Benares]

Dein Proxy gilt nur für https, also landet http weiterhin auf der normalen Web-Site (falls auch Port 80 weitergeleitet wird).
Achte darauf, dass auch das passende Zertifikat dem Proxy zugeordnet ist. Jeder definierte Proxy taucht auch bei der Dienste-Zuordnung der Zertifikate auf.

 

[mar1eese]

Japs Ein großer Schritt weiter.
Vielen Dank schon Mal dafür.

Und so einfach. Ziel umstellen auf HTTP hat geholfen.
Jetzt sieht die Sache so aus:

Allerdings bekomme ich beim Aufruf der Seite vom Browser die Warnung dass es sich um eine "nicht sichere" Seite handelt. HTTPS durchgestrichen.
In der Übersicht der Zertifikatszuordnung (Einstellungen / Konfigurieren) ist die Subdomain mit eingetragen.
Ich hatte ausprobiert, den Port der Anwendung in Docker auf 443 umzustellen um durchgängig HTTPS tauglich zu sein. Aber dann kann ich die App gar nicht mehr erreichen.
Habt ihr noch eine weiterführende Idee?

Gruß
Markus

 

[Benares]

Wie lautet der Fehler-Code im Browser konkret?
Da deine App ja http-Code liefert und kein https muss vielleicht noch Rewrite-Rule definiert werden.

Edit: Ich hab sowas auch schon mal gebraucht, wenn https auf http weitergeleitet wird. Dazu muss im Verzeichnis /etc/nginx/sites-enabled eine Datei angelegt werden, z.B. versuch-rewrite.conf, mit folgendem Inhalt:

server {
        listen 80;
        server_name versuch.meineadresse.zapto.org;

        return 301 https://$host$request_uri;
}

 

[mar1eese]

Japs Ein großer Schritt weiter.
Vielen Dank schon Mal dafür.

Und so einfach. Ziel umstellen auf HTTP hat geholfen.
Jetzt sieht die Sache so aus:
Anhang anzeigen 73791
Allerdings bekomme ich beim Aufruf der Seite vom Browser die Warnung dass es sich um eine "nicht sichere" Seite handelt. HTTPS durchgestrichen.
In der Übersicht der Zertifikatszuordnung (Einstellungen / Konfigurieren) ist die Subdomain mit eingetragen.
Ich hatte ausprobiert, den Port der Anwendung in Docker auf 443 umzustellen um durchgängig HTTPS tauglich zu sein. Aber dann kann ich die App gar nicht mehr erreichen.
Habt ihr noch eine weiterführende Idee?

Gruß
Markus

Kleiner Nachtrag: Der HSTS Haken ist deaktiviert. War versehentlich beim Screenshot noch drin.

 

[mar1eese]

Also in der Browser Zeile steht "Nicht sicher" und in der Folge ist https: durchgestrichen.
Auf der Seite selbst kommt dann:

usw.
Man kann sich dann über "Details" weiterhangeln und die http Seite dann trotz fehlenden Zertifikats und allen Warnungen trotzdem aufrufen.

Gruß
Markus

 

[alexhell]

Bist du dir sicher, dass auch das richtige Zertifikat zu geordnet ist? Lass dir mal das Zertifikat anzeigen.

 

[mar1eese]

Ja. Ich bin mir ziemlich sicher. Ich habe nur ein Zertifikat, welches Mitte nächsten Jahres abläuft.
Wenn ich mir dieses auf der DS ansehe, taucht darunter u.a. auch die erwähnte Subdomain auf. Passt eigentlich.
Lasse ich mir das Zertifikat auf der Webseite anzeigen, steht dort, dass diesem nicht vertraut wird - es ungültig ist.
Allerdings bin ich dann ja mittlerweile, nach akzeptieren aller Risiken, auf einer http Seite und nicht mehr auf einer https Seite gelandet.
Mein laienhaftes Verständnis sagt mir, dass das Zertifikat ja auch gar nicht für die http Seite gilt.
Liege ich da richtig?

 

[alexhell]

Da ist aber etwas ganz komisch. Normal solltest du nicht auf http landen. Außer du hast irgendwo einen redirect drin. Die Zertifikate gelten nur für HTTPS, das ist richtig. Von welchem Anbieter ist dein Zertifikat? Also ist kein eigenes oder?

 

[Benares]

Drück halt mal auf das Schloss im Browser und schau dir das ausgelieferte Zertifikat an. Da müsste "versuch.meineadresse.zapto.org" bei den "Alternativen Antragstellern" mit dabei sei. Ist es aber wohl nicht.

 

[mar1eese]

Oh je. Jetzt habe ich ein ganz anderes Problem.
Habe vorhin unachtsam den Befehl nginx -s reload eingegeben.
Darauf hin blieben alle möglichen Dieste wie z.B. Filestation stehen und lassen sich auch nicht mehr reparieren.
Kann ich da noch etwas retten?

 

[Benares]

Ich hoffe, du hast die rewrite-Datei mit einem Linux-fähigen Editor wie "vi" oder "notepad++" editiert und nicht mit "notepad"?

 

[Brennecke]

Der Rev Proxy muss ein bekanntes ( dem Browser) Zertifikat liefern. Das musste dem aber klar machen wer deine Root CA ist oder eben was offizielles nehmen. Wenn der Browser probleme damit hat springt der auf http zurück.
FF, Chrome ist glaube noch mäkliger.
MfG

 

[alexhell]

Seit wann springt der Browser auf HTTP zurück?? Wenn er das Zertifikat nicht kennt und man sagt, trotzdem fortfahren, dann bleibt man bei HTTPS. Es ist weiterhin verschlüsselt nur mit der Warnung, dass das Zertifikat nicht geprüft werden kann bzw. dem nicht vertraut wird.

 

[Brennecke]

Stimmt, seit 2020 nicht mehr.

 

[Benares]

@mar1eese: Hattest du nicht geschrieben, dass es bei abgeschalteter DS-Firewall nun klappt?
Wenn ja, gib halt mal testweise auch den IP-Range frei, den du in OpenVPN für den Tunnel eingestellt hast.

 

[mar1eese]

Ich hoffe, du hast die rewrite-Datei mit einem Linux-fähigen Editor wie "vi" oder "notepad++" editiert und nicht mit "notepad"?

Ich nutze fast ausschließlich vi. Habe ich mich seit den frühen Linux-Zeiten dran gewöhnt ;-)

 

[mar1eese]

So. die Syno läuft wieder. Habe nicht lange gefackelt und das komplette System neu aufgesetzt. Es geht nichts über ein gutes Backup
Ein paar wenige Dinge musste ich noch nachtragen. Dann lief wieder allse wie gewohnt.

@mar1eese: Hattest du nicht geschrieben, dass es bei abgeschalteter DS-Firewall nun klappt?
Wenn ja, gib halt mal testweise auch den IP-Range frei, den du in OpenVPN für den Tunnel eingestellt hast.

Nee. Ich würde auch eher auf die Funktionalität der App via Rev. Proxy verzichten als meine FW runterzufahren. Nicht mal zum Test.