Webserver mit htaccess schützt nur lokal

Verdi-Fan

Benutzer
Mitglied seit
06. Jan 2023
Beiträge
35
Punkte für Reaktionen
6
Punkte
14
Guten Abend,
ich habe mit der Synology Anleitung (und auch anderen Anleitungen für Synology mit htaccess) meinen Webserver auf einer Synology +918 geschützt. Merkwürdigerweise wird lokal auch souverän das Passwort abgefragt aber leider nicht, wenn jemand über die eingerichtete Adresse von Synology kommt:
https://mustermann.synology.me geht so durch und kein Passwort wird abgefragt. Kann sich das jemand erklären? Und noch besser. Hat jemand eine Lösung für mich?
Grüße
VF
 

Verdi-Fan

Benutzer
Mitglied seit
06. Jan 2023
Beiträge
35
Punkte für Reaktionen
6
Punkte
14
Ich habe mich exakt an diese Anleitung von Synology gehalten:

Wie schütze ich Ordner unter dem freigegebenen Ordner „web“ vor unbefugtem Zugriff?

Also ein Ordner htaccess der quasi zentral steuert:

Code:
AuthName "Title"
AuthType "Digest"
AuthUserFile "/volume1/web/passwd/admin.pw"
Require valid-user

und der zu schützende Ordner hat noch eine htaccess, die so aussieht:


Code:
AuthName "Title"
AuthType "Digest"
AuthUserFile "/volume1/web/passwd/normal.pw"
Require valid-user


Funktioniert auch astrein - aber eben nur in meinem lokalen Netzwerk. Wenn ich mit der https://musterman.synology.me komme, dann geht es so durch. Also es wird kein Passwort abgefragt und der User kommt auf alle Dateien.

Grüße
VF
 

Verdi-Fan

Benutzer
Mitglied seit
06. Jan 2023
Beiträge
35
Punkte für Reaktionen
6
Punkte
14
Tatsächlich bin ich einen kleinen Schritt weitergekommen.
Anscheinend muss ich die DynDNS (in meinem Fall mustermann.synology.me mit einem bash für die .htaccess Datei umwandeln.
htaccess akzeptiert nur IP Adressen, wie es ausschaut.
Kann da jemand helfen?
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.462
Punkte für Reaktionen
1.080
Punkte
194
Wäre nicht die Basis Authentifizierung über einen Reverse Proxy (z.B. NPM) möglicherweise eine (bessere) Alternative?
 
  • Like
Reaktionen: Verdi-Fan

Verdi-Fan

Benutzer
Mitglied seit
06. Jan 2023
Beiträge
35
Punkte für Reaktionen
6
Punkte
14
Müsste das nicht auch mit Nginx als Reverse Proxy funktionieren? Das würde mir erstmal greifbarer erscheinen. Also den Backend-Server Apache HTTP Server 2.4 auf der Synology gegen Nginx zurücktauschen und dann gemäß der folgenden Anleitung vorgehen?

https://medium.com/pernod-ricard-te...on-with-nginx-as-a-reverse-proxy-a229f9d12b73

Oder gerade ich da in einen Holzweg? Bin für jede Hilfe dankbar.
Grüße
VF
 

DIY

Benutzer
Mitglied seit
05. Dez 2020
Beiträge
101
Punkte für Reaktionen
43
Punkte
78

Moin,

bei 'Selfhtml' ist das ganz gut beschrieben, siehe

https://wiki.selfhtml.org/wiki/Webs...oder_IP-Bereiche_zulassen.2Fausschlie.C3.9Fen



-----schnipp
Sie können
  • IP-Adressen, partielle IP-Adressen, ein Netzwerkadresse/Netzwerkmaske-Paar, auch in CIDR[1]-Schreibweise.
  • sowohl IPv4 als auch IPv6-Adressen
  • DNS-Hostnamen oder DNS-Domainnamen
angeben
-----schnapp
 
  • Like
Reaktionen: Verdi-Fan

Verdi-Fan

Benutzer
Mitglied seit
06. Jan 2023
Beiträge
35
Punkte für Reaktionen
6
Punkte
14
Guten Abend,
vielleicht habe ich mich auch nicht korrekt ausgedrückt, eigentlich versuche ich etwas aufzubauen, was nur Familienmitglieder besuchen können.
Insofern war htaccess schon ideal - was mir allerdings den Strich durch die Rechnung macht - es mag eben diese DynDNS nicht. Also in dem Moment, in dem die Webseite nicht lokal sondern über https://musterman.synology.me aufgerufen wird, springt die htaccess Abfrage nicht an.

Und alles, was ich jetzt auch beispielsweise in dem Hinweis von @DIY sehe, setzt voraus, dass ich die IP Adressen kenne, die ich aussperren bzw. zulassen möchte. Und die kenne ich ja gerade nicht, weil es ja Anbieter gibt, die dem Kunden alle 24 Stunden eine neue IP Adresse zuweisen. Oder benutzt eben die htaccess Lösung, die leider nur funktioniert, wenn ich im Zertifikat eine Adresse benutzte, die nicht über Dyndns funktioniert. Aber das widerspricht eben dieser Synology Lösung für "Zugriff von außen".

Was gut wäre, wenn beispielsweise mein Sohn aus HH die Adresse eingibt und sich dann ganz normal mit sohn und passwort anmeldet. Fertig. Aber vermutlich müsste ich mir dann direkt eine Benutzerverwaltung einbauen. Es ist zum Mäuse melken.

Ich habe nun diese Anleitung gefunden, die eigentlich mein Problem lösen könnte:

https://think.unblog.ch/htaccess-dynamische-ip-adressen/

Ist das dafür geeignet und auch machbar oder mache ich da auch einen Denkfehler?
Habt vielen Dank für eine Einschätzung. Wenn noch jemand eine andere Idee hat, würde es mich wirklich freuen.

Grüße VF
 
Zuletzt bearbeitet:

DIY

Benutzer
Mitglied seit
05. Dez 2020
Beiträge
101
Punkte für Reaktionen
43
Punkte
78
Moin,

dann eben beipielsweise ausprobiert ...
... funktioniert von Innen/LAN ohne Anmeldung und von Aussen nur mit User/Passwort.

Nötig ist außerdem die Installation und Nutzung von Apache 2.4 in der Webstation Anwendung der DS,
findet sich in Webstation -> Überblick Back-End-Pakete
mit passender Zuweisung in Webstation -> Webdienst -> Standarddienst bearbeiten


Inhalt der verwendeten Datei '.htaccess' Datei siehe unten

# Zugriffsregelung

AuthType Basic
AuthName Bitte-User-und-Passwort-eingeben
AuthUserFile /volume1/web/pw/.htpasswd <- anpassen an Verzeichnisstruktur , z.B. /volume1/web/passwortordner/.htpasswd

<RequireAny>
Require ip 192.168.0. <- anpassen an eigene LAN , z.B. 192.168.178.
Require ip 127.
Require ip ::1
Require valid-user
</RequireAny>

Webstation Backend.jpg
 
  • Like
Reaktionen: Verdi-Fan

Verdi-Fan

Benutzer
Mitglied seit
06. Jan 2023
Beiträge
35
Punkte für Reaktionen
6
Punkte
14
Es ist nur genial. Megathx. So funktioniert es exakt so, wie ich es mir gewünscht hatte. Großartig!!! Nun kam bei mir erschwerend hinzu, dass ich zwar das Apache Paket aktiviert hatte, aber für den eigentlichen Ordner /web/, in dem das Zeug liegt, der unter => Webdienst => Website für native Scriptsprachen ja auch noch einmal konfiguriert wird, nicht ebenfalls auf Apache 2.4 umgestellt hatte.
Unfassbar, dass es jetzt alles funktioniert. Ich freue mich total.
Habt vielen Dank und ein ganz besonderer Dank an @DIY
Grüße
VF
 
  • Like
Reaktionen: Fusion und DIY


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat