[Opgelost] Forced https redirect

[pcrrules]

Ik ben de afgelopen week bezig geweest om een certificaat te krijgen via lets certificate in synology. Na veel forums gelezen  te hebben en een hoop frustratie omdat het niet lukte, kwam ik achter mijn fout en heb ik nu een https verbinding. Helemaal top dus  .

Ik loop echter tegen het volgende aan:
Als ik naar https://cloud.mijndomein.nl ga, dan werkt alles naar behoren.
Wanneer ik http://cloud.mijndomein.nl ga, dan wil ik dat er automatisch naar de https versie wordt geredirect.

Dit kan door de optie aan te vinken in Configuratiescherm -> Netwerk -> http verbindingen automatisch omleiden naar https.

Zodra ik deze optie aanvink en http://cloud.mijndomein.nl in tik, dan zie ik inderdaad dat hij naar https redirect. Maar synology plakt er de https poort achter (bv. 5001). Dat wil ik niet, in de router port forwaring wordt 443 al geredirect naar 5001.

Voorbeeld:
Als ik naar http://cloud.mijndomein.nl gaat naar https://cloud.mijndomein.nl:5001 -> Niet goed
Als ik direct naar https://cloud.mijndomein.nl ga dan werkt het als een zonnetje.

De vraag:
Hoe kan ik er voor zorgen dat als er naar http gegaan wordt wel de redirect plaatsvind naar https, maar dan zonder dat de poort 5001 erachter geplaatst wordt?

DSM versie: 6.1-15047

Ik hoop dat mijn vraag duidelijk genoeg is.

[Hutje]

Probeer eens in je de router port forwaring 443 te redirecten naar 5000.
Dan komt ie binnen als zijnde hhtp en Synology redirect dat weer naar https.
Of geeft dat óók de :5001 erachter ?

[pcrrules]

Als ik dat doet dan kan ik poort 80 niet meer naar de interne poort 5000 forwarden, er zijn immers dan twee regels voor de interne poort 5000.

bijgevoegd een screen van mijn huidige instellingen en de instelling er onder die ik al geprobeerd heb,

[Hutje]

Zie ik dat nu goed ?
Is dat niet je router ?
Is dat het EZ instel scherm van je NAS ?
Alles daar verwijderen en gewoon in je router instellen graag !
Desnoods poort 80 T/m 443 forwarden naar 5000

[Briolet]

Normaal gaat een redirect van poort 80 wel naar 443. Maar ik heb de webserver altijd actief. Het kan zijn dat die aan moet staan.



Verder kun je op "Configuratiescherm --> Externe toegang --> geavanceerd" ook "cloud.mijndomein.nl" en de gewenste poorten bij dat domein invullen. Daar heb ik zelf ook 80/443 ingevuld, om er van af te zijn dat hij er steeds 5000/5001 in de linken bij plakt in de gegenereerde mailtjes.

[pcrrules]

@Hutje duidelijk, ga ik doen van de week. Ik kan dat alleen niet direct doen want de router staat op een andere fysieke plek.

@Briolet dank voor de tip neem ik ook mee.

Ik laat nog weten wat de uitkomst is.

[Briolet]

In de router forwarden naar 5000 is niet eens nodig. Dat kun je ook in de "reverse proxy" optie doen. (Zit in het toepassingsportaal)

Forward alleen 443 naar 443. Dat verkeer komt dan op de webserver terecht. Maak vervolgens in de Reverse Proxy een instelling dat "cloud.mijndomein.nl" van poort 443 naar 5001 geforward wordt. Dan wordt alleen verkeer dat met die url inlogt naar de dsm interface doorgestuurd. Elke andere url ziet de webpagina op poort 443  (als je de webserver ook gebruikt)

Maar misschien maak je het dan te moeilijk.

[pcrrules]

Ik ben begonnen de router forwarding in te stellen zoals Hutje het had aangegeven. Dus alle routing uit Synology admin weghalen en poort 443 en poort 80 naar 5000 laten forwarden in de router. Wanneer er naar http://cloud.domein.nl gegaan wordt, wordt deze wel doorgestuurd naar https://cloud.domein.nl:5001 maar krijg ik een ERR_CONNECTION_TIMED_OUT (klinkt logisch aangezien er geen portforwarding is voor poort 5001) en wanneer ik direct naar https://cloud.domein.nl gaat, dan krijg ik een "ERR_SSL_PROTOCOL_ERROR".

Dus ben ik zelf maar verder gegaan om het werkend te krijgen.

Ik heb nu de router ingesteld zoals bijgevoegd in de bijlagen (eerste afbeelding) en alle routing in de Synology admin weggehaald.

Wat er gebeurd nu als ik naar ga naar:
- https://cloud.domein.nl -> Alles goed, geen extra poort er achter gezet
- http://cloud.domein.nl -> Het werkt opzich wel. Je wordt doorgestuurd naar https echter wordt er nog wel poort 5001 achter gezet. Maar door de routing van 5001 naar 5001 in de router werkt het wel.

Ik heb in de instelling bij externe toegang -> geavanceerd ook ingesteld op 80 en 443, zie ook bijlage (tweede afbeelding). ik zou dus verwachten dat er geen poort 5001 achter wordt geplaatst maar 443.

Ik heb twee vragen over:
1. Als ik de werkende variant instelt zoals hierboven genoemd dan krijg ik er automatisch poort 5001 bij. Hoe kan ik er voor zorgen dat deze poort er niet bijgezet wordt?

2. Ik ben ook aan de gang gegaan met de optie van Briolet. Aangezien de webserver wel aanstaat om via LetsEncrypt het SSL certificaat te kunnen laten verifiëren. Opzich zou ik in de toekomst nog wel de webserver willen gaan gebruiken, dus die reverse proxy wilde ik ook wel uittesten of dat werkte.

Ik heb toen in de router de poorten geforward van 80 naar 80 en 443 naar 443. Toen heb ik in Toepassingsportaal -> reverse proxy de instelling gedaan zoals te zien is in de bijlagen (afbeelding 3). Wanneer ik de host en poort in vul dan krijg ik de melding dat de host domein al bestaat. Wat doe ik hier fout?

Ik hoop dat ik volledig ben geweest met de informatie over wat ik gedaan heb. Dank jullie voor de ondersteuning, ik leer er veel van.

[Briolet]

Dat die naam al bestaat komt waarschijnlijk omdat die nu ook in de virtual host staat. Zelf gebruik ik de volgende instelling:



Maar ik heb ook de webserver actief op poort 443. Met elke andere naam kom je op de website terecht, maar alleen met het 'dsm.' subdomein kom je op de dsm inlog op poort 5001 uit. Ik heb echter geen http --> https ingesteld, want dan is alleen dat stuk https en niet de verbinding met de gebruiker.
Ik heb geen instelling voor poort 80, dus ik moet expliciet met https in de browser inloggen. Maar de url haal ik toch al steeds uit de bookmark van de browser.

In theorie hoef ik poort 5001 nu niet te forwarden, maar heel veel van de DS Apps gebruiken poort 5001 als default, dus dan moet je daar steeds :443 achter de url plakken. Voor mij geen probleem, maar om het de familie gemakkelijker te maken heb ik poort 5001 toch maar geforward.

-----

Overigens kun je ook HSTS inschakelen. Dan onthoud de browser dat deze url altijd via https aangeroepen moet worden. Dus ook al tik je http in, dan maakt de browser er https van voordat hij de verbinding opbouwt. De browser moet de website dan wel eerst een keer gezien hebben, dus de allereerste keer werkt dat niet. De pagina geeft ook aan hoe lang hij dit moet onthouden. Normaal is dat iets van een half jaar.
Let wel: Ook al zet je het daarna weer uit op de nas, de browser blijft het onthouden totdat je alle caches wist.

[pcrrules]

Vanavond maar weer eens op locatie geweest om Briolet zijn/haar uitleg toe te passen.

Uitkomst: Alles werkt naar wens

- Webserver is te benaderen als ik naar iets anders ga dan cloud.domein.nl
- Browsen naar https://cloud.domein.nl werkt als een zonnetje zonder (zichtbare) poorten achter de url
- Browsen naar http://cloud.domein.nl wordt ook automatich geredirect naar https (Eerste keer met poort 5001 erachter en de volgende keren zonder de poort 5001 erachter)

Voor de volgende die tegen het zelfde aan loopt en het ook wilt oplossen, hieronder zie je wat ik gedaan heb:
- In de router port forwarding van 80 naar 80, 443 naar 443 en 5001 naar 443
- Instellen dat http geredict moet worden naar https (Configuratiescherm -> Netwerk -> DSM instellingen)
- Reverse proxy ingesteld voor http en https, zie bijlage voor instellingen van https (Toepassingsportaal -> Reverse proxy)

Zoals Briolet aangeeft, moet je wel zorgen dat de vitural hostnaam van de Web station niet gelijk is aan, in mijn geval, cloud.domein.nl.

Ik ben blij het werkt top!
Briolet bedankt voor je uitleg, je hebt me goed op weg geholpen! En Hutje, jij bedankt voor het er op wijzen dat ik de port forwarding netjes in de router moet laten gebeuren.

[Niels37]

Wat heb je bij reverse proxy regels ingevuld voor http :

Heb je toevallig ook een screendump van je portforwarding regels van je router ?


Ik kom nl met http:op de webpagina  terrecht van mijn ds216 plus ipv op de inlogscherm. Ookal heb ik uiteraard http naar https doorlinken  aangevinkt staan.


Met https:// blabla.mijndomein.nl kom ik wel zonder poortnummer op het inlogscherm.

Met http : moet ik poort 5000 erschter zetten om op inlogscherm te komen.


Wat heb ik niet goed ingesteld staan.

Btw heb sinds vandaag eindelijk een comodo certificaat aangevraagd en vervolgens geinstalleerd gekregen.😊
Dus blabla.mijndomein.nl werkt.


Het moet eigenlijk zo worden :
Blabla.mijndomein.nl moet naar https doorgelinkt worden , inlogpagina ssl komt te voorschijn.
Tegelijkertijd moet mijn toekomstige website wel benaderbaar zijn.

Ik hoop dat iemand mij wat verder kan helpen.

Stukje bij beetje begin ik wat te snappen van de nas 🤥

Verstuurd vanaf mijn SM-G935F met Tapatalk