Qnap NAS hinter einem Reverse Proxy

n0cturne · 29. Oktober 2025

Hallo zusammen,

ich betreibe einen Caddy Reverse Proxy, über den ich mein NAS, samt SSL-Zertifikat erreichbar mache.
Grundsätzlich funktioniert der Zugriff. Jedoch scheint jemand mich brute forcen zu wollen, wobei mir aufgefallen ist, das mein NAS nur die IP des Reverse Proxys loggt. Das macht es für mich unmöglich IP-Bans bei fehlgeschlagenen Loginversuchen zu aktivieren.
Hier mein Caddyfile

Code

nas.mydomain.de {
import LOGGING nas
import DOMAIN_LIGHT_mydomain

reverse_proxy https://192.168.242.1:9443 {
transport http {
tls_insecure_skip_verify
versions h1
dial_timeout 10s
read_timeout 60s
keepalive 30s
tls_server_name 192.168.242.1
}

header_up X-Forwarded-For {http.request.header.CF-Connecting-IP}
header_up X-Real-IP {http.request.header.CF-Connecting-IP}
}

# cache {
#   bypass *
# }
}

Alles anzeigen

Ich habe den Eindruck, dass das NAS nicht die IP aus dem Header ausliest.
Was kann ich tun, damit das NAS die tatsächliche Client-IP aus dem Header ausliest?

dolbyman · 29. Oktober 2025

Also eigentlich wie immer, warum ist das NAS im Netz, einfach nur via VPN erreichbar machen und schon gibt es keine Attacken mehr.

n0cturne · 29. Oktober 2025

Das möchte ich aber nicht. Gerade in öffentlichen WLANs habe ich schon oft erlebt, dass das VPN Protokoll geblockt wird. Gerade heute erst in einem WLAN unserer Stadt gehabt.

dolbyman · 29. Oktober 2025

Tailscale sollte eigentlich nie geblockt werden

Access QNAP NAS from anywhere · Tailscale Docs

Learn how to configure the Tailscale client on a QNAP NAS device.

tailscale.com

Oder im Zweifel halt CloudLink
https://www.qnap.com/de-de/how…article/what-is-cloudlink

Egal ob mit oder ohne Reverse Proxy, ein offenes QNAP Webfrontend lädt halt zum ausprobieren ein (meist Bots)

NightStalk3r · 29. Oktober 2025

In der Regel reicht es den Standard VPN Port zu ändern (Egal ob OpenVPN, Wireguard etc). Manche Ports gehen einfach nicht zu sperren, also bieten sich diese an.

Ausser es ist wirklich alles dicht bis auf die Ports zum Surfen. Hab ich so aber nie erlebt.

Manche WLans verbieten das Aufrufen von reinen IP Adressen. Ggf. funzt deswegen das VPN nicht ?

n0cturne · 29. Oktober 2025

Ich möchte hier gar nicht so viel über VPN sprechen. Ich würde es gerne ohne machen. Wenn das nicht möglich ist, weil Qnap nicht den HTTP-Headdr auslesen kann, ist das so.

Hat jemand noch dahingehend Ideen?

Matselm · 30. Oktober 2025

Du mußt an den Datenverkehr vor dem Proxy ran

n0cturne · 4. November 2025

Was genau meinst Du?

NightStalk3r · 4. November 2025

Zitat von n0cturne

Hat jemand noch dahingehend Ideen?

Ohne Funktionsgarantie:

NPM mit Crowdsec oder NPMPlus (Da ist Crowdsec gleich drin).

Crowdsec ist etwas moderner als Fail2Ban.

Hab mal testweise ein Setup mit NPMPlus und Nextcloud gemacht. NPM übernimmt auch gleich die ganze Lets Encrypt Geschichte.

Ist aber alles kein One-Click-Setup.

Gibt aber brauchbare Anleitungen.

Matselm · 4. November 2025

Zitat von n0cturne

Was genau meinst Du?

Proxy bekommt eine Anfrage, sammelt unter seiner IP die Daten zusammen und gibt sie raus. Er kennt also die anfragende IP, gibt sie aber nicht weiter, da er nur unter seiner IP mit NAS etc agiert.

Das ist Dein Problem bei der Rückverfolgung des Brutus.

Ich kenne die Gerätschaften zwischen WAN und Proxy nicht, sondern sehe nur das Netzkabel, das in den Proxy geht. Das stöpsele ich in einen Switch, stelle dann vom Switch die Verbindung zum Proxy wieder her und schalte mich mit einem Rechner auf die Switch. Dann zeichne ich mir alle Pakete per wireshark auf und sollte so den Brutus finden können. Bei zeitsynchronen Gerätschaften sollte es über timestamp recht fix einzuordnen sein.

So stelle ich mir das vor, nur das Lankabel in den Proxy betrachtend.

Qnap NAS hinter einem Reverse Proxy

QTS 5.2.8.3332 build 20251128

Zukunft der qnapclub.de Community – Wichtige Information

QuTS hero h6.0.0.3324 build 20251125 Public Beta

QuTS hero h5.2.8.3321 build 20251117

NAS-Zugriff nach W11 Neuinstallation (bedingt) nicht möglich

Freigabeproblem über VPN

Umzug in neues Netzwerk

TS-253D wird nicht gefunden

Seltsames Netzwerkproblem

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur

Ähnliche Themen

Jellyfin von extern über Port 443 erreichbar machen (QNAP + UDM Pro + FritzBox)

Tags