Zugriff über ddns.net auf eine Synolgy in einem Unifi Netz

[Bailey2021]

Hallo zusammen,
ich habe eine Unfi USG4 Pro und eine Synology DS224+. Auf der Synology läuft Paperless NGX. Ich möchte von außen auf Paperless NGX zugreifen, bekomme das aber nicht hin. Ich habe eine Dyn bei ddns.net eingerichtet und auf dem USG eine Weiterleitung von Port 9443 eingerichtet. ußerdem habe ich einen Reverseproxy auf der Synoloy eingerichtet, der den https Port 9443 auf den http 8000 von Paperless umlenkt.
Mit nslookup bekomme ich über meine xxx.ddns.net Adresse meine aktuelle IP zurück. Wenn ich aus Wen heraus prüfe ob der Port 9443 von außen erreichbar ist, kommt da der Port nicht erreichbar ist.
Ich hatte es auch schon über syonogy.me direkt auf der Synology probiert, aber auch dort das gleiche Problem.

Hat jemand eine Idee was ich da falsch mache, oder wo mein Denkfehler liegt?

Ich habe mal ein paar Prinscreens gemacht

 

[Bailey2021]

Hall zusammen, hat hier niemand eine Idee?

 

[JohneDoe]

Ich hab keine Erfahrung mit einem Unifi Netz, aber hast du eine richtige IPv4 IP? Hast du es mal ohne Firewall probiert? Um da den Fehler auszuschließen? Es fehlen einfach Informationen um dir wirklich helfen zu können.

 

[Ronny1978]

Das ist aber doch nicht das Ziel eines Reverse Proxy, oder? Reverse Proxy heißt doch:

Alles kommt über https 443 und wird intern weitergeleitet. Die WAN Stelle müsste 443 auf die DS weiterleiten und der RP der DS schaut auf die Domain -> zum Beispiel https://paperless.meineds.synology.me weiter zu intern 192.168.1.xx:9443

Wenn du alle möglichen Port in Unifi freigibst, bringt der RP keine Punkte. Und die DS Firewall würde ich erst einschalten, wenn alles funktionstüchtig ist.

 

[JohneDoe]

Reverse Proxy heißt doch:

Alles kommt über https 443 und wird intern weitergeleitet. Die WAN Stelle müsste 443

Nö das heißt es nicht. Du MUSST nicht 443 nutzen. Ein Reverse Proxy ist NUR dafür da, dass man den selben Port mehrfach verwenden kann. Du kannst jeden beliebigen Port nutzen. 443 hat nur den Vorteil, dass es der standard Port für HTTPS ist und du ihn dadurch nicht mit angeben musst. Alle anderen Ports musst du halt dahinter tippen. Wenn das aber für dich ok ist, dann kannst du einen Reverse Proxy genau so nutzen.

 

[Ronny1978]

Okay, aber "durchlöcherst" du dann nicht die Firewall, wenn du dann jeden Port in Unifi von außen öffnen muss? Dann kannst du doch auch beim normalen DynDNS bleiben, oder liege ich da jetzt falsch?

 

[Ronny1978]

Dyn bei ddns.net eingerichtet

Aber der macht doch nur DyDNS. Der Host im RP müsste doch dennoch die Synology Adresse sein, oder nicht? Oder ist das eine richtige Domain?

 

[JohneDoe]

Okay, aber "durchlöcherst" du dann nicht die Firewal

Nein, wenn er immer den selben Port nutzt, dann ist es kein Unterschied. Dann hat er doch weiterhin nur einen Port offen. Und ob es 443 oder 9443 ist, ist doch kein Unterschied.

 

[Ronny1978]

Im Regelfall gebe ich dir recht. Ich glaube aber nicht, dass der TE das so machen wird. Ich befürchte halt, dass hier für mehr Anwendungen auch mehr Ports im Unifi GW aufgemacht werden.

@Bailey2021 : Hast du denn auch eine DynDNS im DSM angelegt/erstellt? Bitte noch einmal kurz mitteilen, was du mit DDNS realisierst. Auch eine eigene Domain und Subdomains oder wirklich nur DynDNS (als Veröffentlichung der IP). Hast du dort auch ein SSL Zertifikat?

Ansonsten vielleicht noch einmal die DS Firewall deaktivieren und den DS RP Eintrag löschen und erst einmal über https://....ddns.net:9443 probieren. Die Weiterleitung bzw. Freigabe im Unifi GW ist ja drin.

 

[Bailey2021]

Aber der macht doch nur DyDNS. Der Host im RP müsste doch dennoch die Synology Adresse sein, oder nicht? Oder ist das eine richtige Domain?

Du meinst das die Ip der Synology rein muss?

 

[Bailey2021]

Wenn ich aus dem Web einen Portscan mache, müsste der Port 9443 dann nicht offen sein? Beim Portscan ist der Port 9443 nämlich nicht zu erreichen, ist scheinbar keine Ports offen. Ich komme aber auf die Adminoberfläche der DS.

 

[JohneDoe]

und den DS RP Eintrag löschen und erst einmal über https://....ddns.net:9443 probieren. Die Weiterleitung bzw. Freigabe im Unifi GW ist ja drin.

Geht ja nicht. Die Anwendung läuft bei ihm ja nicht unter 9443 sondern 8000. Da müsste er die Ports erst im Router mappen.

@Ronny1978 meint, dass du es erstmal ohne Reverse Proxy probierst. Du sollst den Eintrag löschen.

 

[JohneDoe]

Hast du eine öffentliche IPv4 Adresse?

 

[Ronny1978]

Hast du noch eine Fritzbox VOR dem Unifi GW?

 

[bonnma]

Wenn ich das aus einem anderen Beitrag, den ich nicht mehr finde, in Erinnerung habe kann man den DSM eigenen Reverse Proxy auch auf andere Ports hören lassen. Dafür ist aber zwigend ein Script bei jedem Start der DS notwendig. Der RP aus DSM hört immer nur auf den 443.

Über den Eintrag im RP kann man dann den Port verändern. Also hier in diesem Fall 443 wird zu 8000.

Nach meiner bescheidenen Meinung macht eine Portfreigabe wie hier keinen Sinn mit den DSM Bordmitteln. Ein RP in Docker oder eine OPNsense kann ich durch einfache Konfig auch auf andere Ports als 443 für https hören lassen. Trotzdem fehlt mir hier der Sinn?!

Außerdem ist das Unifi GW doch kein Moden sondern nur ein Gateway, also muss der Port doch im Modem erstmal freigegeben werden. Außer der GW ist als Exposed Host oder so etwas ähnliches im Modem eingetragen. Sieht aber nach den Portscans von außen nicht danach aus!

 

[Ronny1978]

Ich sehe, dass eigentlich genauso wie @bonnma . Klar gibt es andere Möglichkeiten einen RP zu betrieben. Aber ich sehe die sinnvollsten mit https, einem Zertifikat und somit Port 443 von außen eingehen zu arbeiten und aufgrund des Hostnamens dann die Dienste zu verteilen, egal ob dann nach intern über http oder https.

Heißt:

app1.synology.me -> eingehend https 443 weiter zu https 8443
app2.synology.me -> eingehend https 443 weiter zu http 3000
usw.

Somit brauche ich von außen auch keine Ports. Und nochmal: Klar geht es auch anders! Aber ich denke, vor dem Unifi GW sitzt noch eine Fritzbox und nicht nur als Modem, sondern als Internetzugang und separaten Router. Aber das kann nur @Bailey2021 beantworten.

 

[JohneDoe]

Mir ging es nur um die Aussage:

Reverse Proxy heißt doch:

Alles kommt über https 443 und wird intern weitergeleitet.

Das macht es am einfachsten/bequemsten, aber das ist nicht zwingend notwendig. Weder fürs SSL Zertifikat noch für die Funktion. Ich betreibe es auch nur über 443.

Somit brauche ich von außen auch keine Ports.

Da macht es ja keinen Unterschied wieder. Ob du 443 oder 9999 nutzt ist dabei nicht relevant.

Wenn er da natürlich noch was davor sitzen hat, dann wäre das schon nicht verkehrt, wenn man es direkt schreibt

 

[Benares]

Klar ginge auch einer anderer Port als 443 am Eingang, aber die meisten nutzen halt 443. Ich denke darüber braucht man nicht zu diskutieren.

 

[bonnma]

Trotzdem möchte @Bailey2021 in #10 das der RP auf 9443 hört und weiterleitet an http:8000. Das ist in meinen Augen ein unnötiger Umweg, der auch das Verfahren etwas komplexer und daher fehleranfälliger macht.

@Benares: Ohne das ich jetzt diskutieren wollte ;-))

Wir warten jetzt mal was an weiterführenden Infos kommt. Vielleicht können wir ja doch noch helfen?!

 

[Bailey2021]

Hast du eine öffentliche IPv4 Adresse?

Nein, ich muss über einen Dyn gehen