SSL für Traccar nutzen

[maalik]

Hallo zusammen,

ich habe gerade Traccar installiert und wollte dort https aktivieren. Dafür gibt es auch eine Anleitung:
https://www.traccar.org/secure-connection/

Allerdings scheinen hier die Pfade nicht für die Syno zu passen. Ist hier jemand VirtualHost-kündig und kann mir helfen, was ich für die Syno anpassen muss?

lg
maalik

 

[meinsun]

Hallo maalik,

weis ja nicht ob das Thema bei dir noch aktuell ist, hier meine Lösung.
In der Systemsteuerung unter Anwendungsportal, Reverse Proxy eine Umleitung von HTTPS auf HTTP einrichten.

Zusätzlich für den verwendeten Port (bei mir 60001) im Router die Weiterleitung zur Diskstation einrichten.

Viel Erfolg
Norbert

 

[maalik]

Moin Norbert,

Thema ist theoretisch noch aktuell. Habe mich damals nicht mehr weiter mit beschäftigt, weil es nicht funktioniert hat, aber ich denke dann werde ich mich nochmal einlesen und das nochmal probieren.
Danke!

lg
Felix

 

[towbsen]

Guten Morgen Norbert,

ich habe selbiges Problem. Könntest du bitte nochmal genauer auf die Ports eingehen? DSM benutzt ja standardmäßig 5001 und Traccar 8082. Was genau ist dann jetzt die Quelle und was das Ziel?

Danke!

 

[Fusion]

8082 ist das Ziel.

Je nachdem welche Möglichkeiten du hast mit/ohne Domain kann die Quelle variieren.
Könnte Bsp ein traccar.example.com und 443 sein, oder wie in Norberts Beispiel ein anderer Port der intern oder extern erreichbar ist Bsp. 8083 oder ein anderer.

Bei jedem Port dreimal nachdenken, ob dieser unbedingt aus dem Internet erreichbar sein muss (ohne vpn oder anderer Maßnahmen)

 

[towbsen]

Danke für die schnelle Antwort. Leider komme ich nicht weiter bzw. lässt es sich so nicht einstellen wie gedacht. Wenn ich den Port 8082 öffne, dann funktioniert Traccar, allerdings nur mit der unsicheren Verbindung http. Eine eigene Domain ist vorhanden. Was genau müsste ich denn einstellen, damit der Traffic über https läuft? Kann man das nicht in der config vom Traccar selber einstellen? Ich finde dazu keine passende Anleitung.

Danke!

 

[towbsen]

Ich habe noch eine Anmerkung: Ich erkläre mal kurz mein Vorhaben, evtl. sieht hier jemand eine einfachere Lösung: Ich möchte meinen Wohnwagen tracken, der im Winterlager unbeobachtet steht. Er ist autark und ein LTE Router und ein Raspberry Pi ist auch vorhanden. Meine Frage also: Ist es sinnvoller mit dem RPI eine VPN Verbindung aufbauen zu lassen und von dort den Status zu übermitteln? Letztendlich scheitert es aber wohl daran, dass das WebSocket von außen nicht erreichbar ist bzw. der Traccar Server keine Daten empfangen kann solange der Port geschlossen ist. Kann ich den Port irgendwie umleiten, sodass ich nicht extra einen weiteren Port öffnen muss?

Danke!
Tobias

 

[Fusion]

Was hast du denn auf meine Antwort hin probiert was nicht funktioniert?
Ich habe jede fall nirgends geschrieben, dass du 8082 aufmachen sollst. Das ist und bleibt nur das lokale http Ziel wo traccar läuft.
Für https über den reverse proxy kommt dann ein anderer Port zum Einsatz, und nur mit diesem reden die Clients.

Wenn der reverse proxy wie oben beschrieben auf einen Port oder eine domain und 443 lauscht und funktioniert muss diesem am Ende nur ein passendes Zertifikat zugeordnet/geholt werden damit die Warnmeldung zum Namen verschwindet, sicher ist es auch so dann schon.

Zum proxy kann ich helfen, zu den anderen Erläuterungen eher weniger, da ich kein Traccar einsetze.

 

[towbsen]

Mir ist grad gar nicht klar, was ich wo eintragen muss, da ich den ReverseProxy nicht verstehe. Ich bekomme die Fehlermeldungen, dass entweder der Port bereits benutzt oder der Hostname falsch ist.

 

[Fusion]

Entweder du schreibst genau was du wo einträgst oder machst Bilder sonst kann man da nicht helfen. Kristallkugel ist im Urlaub.

Wenn der Port schon als belegt moniert wird hast du vermutlich den Zieport bei der Quelle eingetragen wo er nicht hingehört.
Mit dem Proxy wird sich dann nur noch der Proxy mit traccar 8082 unterhalten und umgekehrt, du hast damit keine Berührungspunkte / Verwendung mehr.
Du redest auch nur noch mit dem Proxy und umgekehrt mit dem was unter Quelle eingestellt ist.

Der Reverse Proxy ist wie der Name sagt ein Proxy bzw. Vermittler.
Du redest mit dem Proxy und nur der Proxy redet mit dem Ziel. Die Antworten laufen auf dem umgekehrten Weg.

Es gibt ja die Syno Online Hilfe, Wikipedia und das große weite Internet. Man muss also nicht 'dumm' sterben, wenn es nicht will oder es einem hier zu langsam geht, oder man mehr Infos zum Verständnis braucht.

 

[towbsen]

Ok, ich versuchs mal:

In der FritzBox ist DSM mit Port 5001 und HTTPS mit 443 (Für die DiskStation) freigegeben. Das funktioniert für meine Anwendungsbereiche ohne Probleme. Jetzt zögere ich den Port 8082 zu öffnen weil das Traccar nur über http zu erreichen ist. Wenn ich das richtig verstanden habe, kann ich also mit dem Reverse Proxy den internen Port 8082 auf "was?" umleiten, sodass ich keinen weiteren Port öffnen muss?

Traccar läuft über Docker.

Ich stehe auf dem Schlauch.

 

[Fusion]

Ohne weiteren Port geht es nur über Domain. Wenn du also z.b. Trac.example.com per CNAME in den DNS Einstellungen bei deinem Domain Verwalter auf deine dynDNS.example.com setzen kannst.

Dann ist der proxy
Quelle: https, Trac.example.com, 443
Ziel: http, localhost, 8082

Ohne Domain musst du eine Port öffnen, weil du dann 443 nicht nutzen kannst. 443 wird von nginx schon belegt, den man im Fall der Domain mitbenutzen kann.

Dann wäre der Proxy wie schon von Norbert gezeigt
Quelle: https, *, 8083
Ziel: http, localhost, 8082

8083 ist dann der Bespielport über den du den Proxy von intern und extern (Portweiterleitung) ansprichst.

Jetzt klar?

 

[towbsen]

Ok also das mit dem CNAME Eintrag würde ich hinbekommen, mir ist nur nicht klar, ob ich in den DNS Einstellungen der Hauptdomain den CNAME eintrag erstellen muss oder ob ich extra eine Subdomain anlegen soll.

Das mit dem Port 8083 funktioniert insoweit, dass jetzt auf httpS umgeleitet wird, allerdings kann TracCar nicht raustelefonieren... also sprich keine Daten empfangen. Muss ich denn in der Config von Traccar dann auf 8083 umstellen?

Sorry für den Aufwand, heute ist Freitag ;-) Mein Kopf scheint nicht so zu wollen wie ich

 

[Fusion]

Ich würde, solange ich dein Kontrukt deiner Domainverwaltung nicht kenne (und potentiell kaputt mache), für den CNAME eine Subdomain anlegen. Diese dann per CNAME auf die dynDNS oder per A/AAAA-Record auf deine IPv4/IPv6 (falls du feste öffentliche IPs haben solltest)

Im Reverse Proxy auf jeden Fall mal in den erweiterten Einstelleung die Web-Socket Header setzen (Dreieck neben Erstellen > WebSocket)
Da ich Traccar nicht einsetze, weiß ich auch nicht, was dieser sonst an Voraussetzungen hat.
Welches Docker-Hub Image benutzt du?

Port auf 8083 zu ändern macht NUR Sinn, wenn das eine Einstellung ala "geben sie hier den Port an über den Traccar von extern erreichbar ist" ist. Also nur eine Mitteilung. Wenn dies den Port umstellt an dem Traccar lauscht, sich dadurch also 8082 nach 8083 ändert, dann hast du NIX gewonnen und bist wieder auf Anfang, weil du dann den ganzen Proxy wieder ausgehebelt hast. Nur eben mit der Ausgangslage http 8083 anstatt http 8082.

 

[towbsen]

OK, also die Subdomain (nicht extra angelegt, sondern in den DNS Einstellungen der Domain den sub per A-Record auf die IPv4 zeigen lassen) ist per https erreichbar. Der Client kann (zwar nur sporadisch) die Position über die Sub mitteilen. Jetzt scheint es nur noch an Serverinstanz zu liegen, bekomme nach wie vor Web Socket error, hab auch schon die Websocket Einstellungen angepasst, die findet man ja im Interweb. Ich bedanke mich für die Hilfe! Sollte ich was übersehen haben, einfach melden ;-)

Tobias

 

[Fusion]

Wenn du irgendwo noch Hilfe brauchst wie gehabt eben detailliert den Kontext beschreiben, damit man bildlich/geistig mitkommt wo du unterwegs bist.
Ansonsten, viel Erfolg.