ReverseProxy https=>http funktioniert nicht mehr seit letztem Firmware-/Apache-Update

  • Ich hatte bis zum letzten Firmware-Update einen ReverseProxy auf dem Qhttpd eingerichtet.

    Es war ein neuer Port angegeben, auf dem gelauscht wird und der https-Aufrufe an eine interne Adresse mit http weiterleitet.

    Ziel war es, den im Container laufenden HomeAssistant-Service alternativ über https aufrufen zu können.


    Die Konfig lief lange Zeit stabil - bis zum Firmware-Update. Ich vermute, dass das darin enthaltene Apache-Update etwas geändert hat.

    Ich finde aber keine Möglichkeit, den Fehler zu identifizieren bzw. woran der Start des Qhttpd scheitert. Es wird keine Info ausgegeben oder ein Log geschrieben.


    Daher meine bitte, die Konfigs kurz anzuschauen, ob euch daran etwas auffällt.

    Gibt es neben dem Restart über das Skript auch andere Wege, den Apache zu starten incl. Fehlerausgaben?


    Hier sind meine Anpassungen:


    1) In den Einstellungen https aktiviert, Port gesetzt, VirtualHost aktiviert ohne Einträge.


    2) /etc/config/apache/apache.conf

    Folgende Zeile ergänzt:

    Code
    1. Include /etc/config/apache/extra/httpd-proxy.conf


    Include /etc/config/apache/extra/httpd-vhosts-user.conf ist bereits enthalten durch Aktivierung der VirtualHosts


    3) /etc/config/apache/extra/httpd-proxy.conf:

    Code
    1. LoadModule proxy_module modules/mod_proxy.so
    2. LoadModule proxy_http_module modules/mod_proxy_http.so


    4)/etc/config/apache/extra/httpd-proxy.conf (Domäne durch "domain" ersetzt):



    5) Restart des Apache:

    /etc/init.d/Qthttpd.sh restart


    Beim Restart wird nach Stoppen des Servers die Konfig zurückgesetzt.

    D.h. die Webser-Einstellungen im NAS sind wieder initial (Original-Ports, kein https usw.). Alle Änderungen an der Konfig wird überschrieben.

  • Ja, die komplette Apache Konfiguration wird seit dem letzten update bei jedem Neustart komplett überschrieben, Anderungen auch an der apache.conf nicht mehr möglich. Auch wird


    X-Frame-Options: SAMEORIGIN


    per default gesetzt, wenn man es in der Verwaltungsopberfläche ankreuzt (iFrame) steht dann


    X-Frame-Options: SAMEORIGIN, SAMEORIGIN


    also doppelt, was dann bedeutet dass es nicht mehr gesetzt ist. Keine Ahnung ob das alles nun ein bug oder evtl. feature ist.


    -supertomi-

    Einmal editiert, zuletzt von supertomi ()

  • Welche Möglichkeiten würden sich denn als Alternative anbieten?


    - NGinx aus dem QNAPClub-Store?

    - QNGinx aus dem QNAPClub-Store?

    Können beide das QNAP-SSL-Zertifikat für den ReverseProxy verwenden?


    - Alternativ einen NGinx- oder Apache-Docker-Container?

    Hier wäre vermutlich ein Container hilfreich, dem man über die Verzeichnis-Konfig das Zertifikats-Verzeichnis von QNAP mitgeben könnte. Gibt es so eine Variante?


    Ich bräuchte eigentlich keinen weiteren Webserver mit allem drum&dran. Der ReverseProxy mit SSL würde genügen. Im besten Fall sollte das in QNAP eingebundene LetsEncrype-Zertifkat verwendet werden, so dass das Zertifikat nicht kopiert werden muss nach einer Erneuerung.


    Über Tipps und Vorschläge würde ich mich freuen :saint:

  • Ich überlege, den apache74 über Qnapclub zu installieren. Da ich nur einen Nextcloud Server betreiben möchte ist das relativ viel Aufwand. Der interne Webserver reicht prinzipiell, mich stören nur Kleinigkeiten. Zumindest kann man in dem Fall für das LetsEncrype-Zertifkat und die virtuellen hosts viel Konfiguration von dem internen apache übernehmen.

  • Ich überlege, einen NGINX-ReverseProxy nach diesee Anleitung als Container zu installieren. Vor allem die Konfiguration sieht nett aus. Und wenn der dann auch noch Letsencrype-Zertifikate für die SubDomains lädt, wäre das ideal.


    https://forum.qnap.com/viewtopic.php?t=155970


    Update:

    - Container ist installiert (incl. Portforwarding)

    - SubDomains beim Provider angelegt mit CNAME-Eintrag auf die Hauptdomain

    - Im Nginx-Proxy für die Domain/Subdomains Letsencrypt-Zertifikate generiert

    - Je Domain/Subdomain eine Weiterleitung angelegt auf IP:Port des Dienstes

    Funktioniert prima. Vor allem der automatische Zertifikats-Download für alle Subdomains ist sehr hilfreich.

    So kann man sogar mit Subdomains arbeitet statt Hauptdomain mit separaten Ports

    Einmal editiert, zuletzt von rws ()