2-Faktor-Authentifizierung für paperless-ngx Unifi Problem

paperless-ngx
1

Die digitale Organisation meiner Dokumente ist ein Herzensthema für mich. Paperless-ngx hat sich dabei als unverzichtbares Tool erwiesen, um Dokumente effizient zu digitalisieren und zu verwalten. Da ich das Thema Sicherheit ebenfalls großschreibe, habe ich mich entschieden, die Zwei-Faktor-Authentifizierung (2FA) mit Authelia zu integrieren. Um dies korrekt umzusetzen, habe ich denOnline-Kurs erworben, der detailliert erklärt, wie man Authelia in Kombination mit Paperless-ngx einrichtet.

Der Kurs selbst ist hervorragend strukturiert und beschreibt jeden Schritt im Detail – von der Einrichtung von Authelia bis hin zur Integration in bestehende Umgebungen. Alle benötigten Konfigurationen, wie Portweiterleitungen und die Anpassung der Docker-Container, werden gut nachvollziehbar erklärt.

Meine Umgebung

  • Paperless-ngx: Läuft ohne Probleme auf Port 8777.
  • Synology Reverse Proxy: Funktioniert einwandfrei, war vor dem Kurs bereits im Einsatz.
  • Authelia Reverse Proxy: Ebenfalls problemlos eingerichtet und funktional.
  • Netzwerkumgebung: Ubiquiti UDM-Pro-Max mit Portweiterleitungen und Firewall-Regeln.

Wo liegt das Problem?

Obwohl ich alle Schritte des Kurses exakt befolgt habe und die Ports so belassen habe, wie im Video beschrieben, funktioniert der Zugriff auf Paperless-ngx über den vorgesehenen Port 30443 nicht.

Hier die Konstellation:

  • Port 30443 wurde wie im Kurs erklärt per Port Forwarding auf der UDM-Pro-Max eingerichtet.
  • Paperless-ngx ist weiterhin über Port 8777 erreichbar.
  • Authelia läuft ebenfalls wie geplant.

Trotzdem scheitere ich daran, die Paperless-Instanz durch den neuen Reverse Proxy korrekt anzusprechen. Die Verbindung über 30443 bleibt unerreichbar.

Fehlersuche und Gedanken

  1. Portweiterleitung auf der UDM-Pro-Max:
    Ich habe überprüft, ob die Portweiterleitung korrekt eingerichtet ist. Bisher konnte ich keine Fehler erkennen, aber ich werde diese Konfiguration erneut genau prüfen.
  2. Firewall-Regeln:
    Die Synology Firewall ist deaktiviert, da ich hierfür die UDM nutze.
  3. Docker-Konfiguration:
    Es könnte sein, dass ein Fehler in der Docker-Compose-Datei vorliegt. Die Verbindung zwischen den Container-Ports und den physischen Ports scheint jedoch korrekt zu sein.
  4. Synology Reverse Proxy:
    Da mein bisheriger Reverse Proxy tadellos funktioniert, könnte hier ein Konflikt vorliegen, wenn mehrere Proxys involviert sind.
2

Ich habe auch den Ansatz der hier beschrieben wird versucht ohne Erfolg:

Über jede Hilfe wäre ich sehr dankbar.

3

Hallo @BlackJoker,

zunächst einmal danke für dein positives Feedback zum Kurs!

Leider ist der Kurs wirklich nur für ein Synology-NAS out of the Box geeignet, da die Zertifikate aus dem Synology-Dateisystem gezogen werden.

Das kann man manuell ändern, wenn du weißt, wo dein NAS die Wildcard-Zertifikate ablegt.

Schöne Grüße
Stefan

4

Hallo Stefan,

danke für deine Rückmeldung.
Ich hatte den Kurs erworben in der Hoffnung meine bestehende Paperless Instanz damit absichern zu können.

So ist es dann für mich leider nicht nutzbar, wenn sonst niemand eine Idee hat, wo der Fehler liegt.

5

So sieht mein nginx docker compose aus:


version: "3.7"

services:
  nginx:
    image: nginx:latest
    container_name: nginx
    restart: always
    ports:
      - 30443:443
      - 39443:9443
      - 8081:80
    volumes:
      - ./settings:/config/nginx/settings
      - ./conf:/etc/nginx/conf.d
      - ./snippets:/config/nginx/snippets
      - ./html:/usr/share/nginx/html
      - ./logs:/var/log/nginx
      - /usr/syno/etc/certificate/system/default:/etc/nginx/certs:ro

Hier wie ich den Reverse Proxy in der Synology konfiguriert habe:

q9YCAYOZyu

Ferner habe ich die folgenden Anpassungen vorgenommen:

nginx läuft mit der Config aus dem Kurs im Container Manager als Projekt mit der o.g Konfiguration. Wildcard Zertifikate sind für mein Synology Let’s Encrypt Zertifikat konfiguriert, da ich dies im Vorfeld schon verwendet habe.

Wenn ich nun meine Paperless URL aufrufe oder die Authelia URL die ich als Source in der DSM Konfiguriert habe bekomm ich die nachfolgende Meldung

exGm2zUN2k

6

Dann habe ich dich nur falsch verstanden, ich dachte, du würdest keine Synology, sondern ein Unify NAS nutzen.

In dem Fall klappt es natürlich.

Wichtig: Den Reverse Proxy von Synology musst du für paperless-ngx und Authelia deaktivieren, das macht bereits nginx, das im Kurs-ZIP dabei ist.

7

Gerne wollte ich das Setup mit dem Synology Reverse Proxy nutzen, siehe oben eingefügten Link hier aus dem Forum. Somit müssen keine Ports am Router geöffnet werden.

8

Das geht leider nicht. Der Synology Reverse Proxy erlaubt keine Authentifizierung über externe Tools wie Authelia. Das war der Grund, warum ich überhaupt erst diese komplexe Angelegenheit in einen Kurs „gegossen“ habe :wink:

9

Ich bin etwas irritiert, da du hier schreibst das es eine Super-Lösung ist:

Aber da es scheinbar keinen nachhaltigen Ansatz gibt, würde ich dann über E-Mail gerne die Bestellung stornieren.

10

Ich bin mir nicht sicher, ob wir uns richtig verstehen:

Der Synology Reverse Proxy kann kein Authelia. Daher ist in dem Kurs nginx als Container dabei, der so konfiguriert ist, dass er genau die Aufgaben vom Reverse Proxy von Synology übernimmt, nur eben mit Authelia-Integration.

Heißt: Du greifst von außen auf deine DDNS-Adresse zu (z.B. paperless.deine-subdomain.synology.me), landest dann auf nginx und der leitet dich dann nach Authelia-Auth weiter zu paperless.

Verwechselst du es evtl. mit Synology DDNS? Das wird natürlich voll unterstützt.

11

Die Lösung von Jan nutzt die nginx Konfiguration + Synology Reverse Proxy, ohne die Ports am Router öffnen zu müssen.

Aber alles gut lass uns per Mail den Kauf bitte Rückabwickeln ich verzichte dann bis auf Weiteres auf die 2FA. Die Zeit ist es dann nicht wert.

12

Die Lösung von Jan schaltet den Synology Reverse Proxy vor „meinen“ nginx.

Aber gerne, dann melde ich mich per Mail.