Neuer Kurs: 2-Faktor-Authentifizierung (Authelia) für paperless-ngx. Feedback willkommen!

Hallo zusammen,

ich freue mich, euch heute einen neuen Kurs im Produktportfolio vorstellen zu dürfen:

2-Faktor-Authentifizierung für paperless-ngx

Grundproblem, das der Kurs löst:

  • paperless-ngx soll aus dem Internet erreichbar sein
  • ohne 2-Faktor-Authentifizierung: Risiko (Passwort erraten, Brute Force, evtl. Sicherheitslücken in paperless-ngx)
  • Bestehende Lösung für 2FA (Authelia) lässt sich nicht persistent an Synology Reverse Proxy anbinden

Lösung im Kurs:

  • Authelia in Docker-Container (regelt 2FA)
  • Eigener Reverse Proxy in Docker-Container (dadurch an Authelia anbindbar)
  • Vollständig vorbereitete Konfiguration (lediglich Domains, Ports usw. müssen angepasst werden)
  • Nutzung der Synology-Zertifikate (Standard-Zertifikate, die bei DDNS konfiguriert sind)

Die Einrichtung im Kurs ist Schritt für Schritt beschrieben und dank der komplett vorbereiteten und im Kurs zum Download verfügbaren Ordnerstruktur incl. aller Konfigurationsdateien wirklich sehr leicht zu bewältigen.

Euer bisheriges Feedback (vor allem aus der paperless-ngx Masterclass) war, dass die Verwaltung von Docker-Compose über SSH etwas kompliziert ist und ihr euch etwas einfacheres wünscht. Auf diesen Wunsch bin ich im Kurs eingegangen: Theoretisch braucht ihr keine Befehle über SSH ausführen, alles wird grafisch im DSM erledigt:

  • Bearbeiten von Konfigurationen (über den Synology Text Editor)
  • Starten und Stoppen von docker-compose-Projekten (über Synology Container Manager)

Lediglich die Generierung von langen Secret Keys sowie die Erstellung des Passwort-Hashes für Authelia machen wir über SSH, das sind in Summe aber nur zwei Befehle.

Hier gibt es den Kurs zu kaufen:

Wichtig: Euer Feedback

Ich habe schon von den ersten Kunden das Feedback erhalten, dass alles wie im Kurs beschrieben funktioniert.
Dennoch kann es immer Kleinigkeiten geben, die man im Kurs noch verbessern kann (Hinweise, etc.). Euer Feedback ist daher Gold wert.
Wenn ihr diesen Kurs durchgearbeitet habt und Feedback habt (auch, wenn alles geklappt hat!), schreibt es gerne unter diesen Post, dann gehen wir gesammelt darauf ein und ich kann ggf. noch Verbesserungen einpflegen.

Hi @Stefan ,
ich habe alles nach dem Kurs durchgeführt und mehrmals kontrolliert, allerdings lande ich immer, wenn ich die Domain „paperless.meinedomain.synology.me:30443“ eingebe, direkt bei Paperless und nicht bei Athelia. Woran liegt das? Ist es vielleicht relevant, dass ich die Ports der DSM geändert habe (sind im Router freigegeben)?

Dann stimmt etwas mit der nginx-Konfiguration nicht.
Hast du parallel noch einen Reverse Proxy selbst konfiguriert im DSM?

Hallo Stefan,

ich habe auch diesen toll aufgebauten Kurs gemacht und es lief alles glatt bis zu dem Punkt am Ende wo ich das Projekt für Paperless-Ngx erstellt habe. Das hat nicht funktioniert und beim Erstellen kam die Fehlermeldung:

dann habe das Gefühl, dass sich das neu erstellte Projekt mit der laufenden Instanz von Paperless „beißt“ kann das sein oder ist das Quatsch?

Die Übersicht der Container sieht so aus:

Der interne Zugriff über die Subdomain funktioniert…ich komme zunächst auf Authelia und dann werde ich zu Paperless-NGX weitergeleitet und alles ist gut.
Extern funktioniert der Zugriff jedoch nicht. Dann erhalte ich diese Fehlermeldung: (Screenshot iPhone)

ich fahre am Samstag für 10 Tage nach Kreta und hatte wirklich gehofft von da aus auf mein Paperless zugreifen zu können…ich denke es ist nur eine Kleinigkeit.

anbei noch mein Docker Compose.env:

Die Ports 30443 und 39443 sind natürlich in meinem Unifi Security Gateway freigeschaltet und auch die Firewall der Synology ist richtig eingestellt. Wenn ich die Firewall deaktiviere funktioniert der externe Zugriff auch nicht. Ich bräuchte hier wirklich nochmal einen Support !

Genau so ist es. Du musst paperless-ngx vorher herunterfahren. Dann sollte alles klappen.

Jetzt habe ich das Projekt paperless-ngx nochmal gelöscht, dann über ssh paperless-ngx heruntergefahren und dann ein neues Projekt namens paperless-ngx erstellt.

Nun hat das Erstellen tatsächlich funktioniert, aber im container fährt nun paperless-ngx-webserver-1 ständig hoch und runter und ich werde nicht mehr zu authelia geleitet -weder intern noch extern- es kommt immer die Fehlermeldung 502 Bad Gateway

paperless-ngx kann also offensichtlich nicht starten…?!

anbei das protokoll von paperless-ngx-broker-1

Dann ist paperless-ngx nicht richtig konfiguriert, das hat mit Authelia nichts zu tun.
Die Logs zeigen übrigens Redis, nicht paperless-ngx.

Bezüglich der Installation von paperless-ngx würde ich dich bitten, ein neues Thema zu öffnen, um hier im Thread bei Authelia und 2FA zu bleiben.

so…jetzt habe ich alles nochmal gelöscht und komplett neu istalliert.
Jetzt läuft alles ohne Fehler und ich werde auch nach authelia direkt in paperless-ngx durchgeleitet und muss mich nicht neu anmelden. INTERN !

Wenn ich von extern zugreifen möchte, kommt nach wie vor die Fehlermeldung:

Woran könnte das liegen ?

hat sich erledigt.
Man muss natürlich im Browser https:// vor die Adresse schreiben !

Super Stefan. Vielen Dank dafür…ein Träumchen wird wahr !

Freut mich, dass es jetzt klappt :smile:

Sehr gerne!

1 „Gefällt mir“

Guten Abend zusammen, hallo Stefan!
nun hatte ich hier gestern einen relativ langen Bericht geschrieben, warum und wieso die 2FA bei mir nicht vernünftig funktioniert … aber den Text kann ich jetzt löschen.
Der Hauptfehler war selten dämlich, denn ich habe in meiner Top-Level-Domain nicht „paperless“ registriert sondern „papierlos“ (aber brav überall „paperless“ eingetragen - so wie in den Videos halt vorgegegeben). Nachdem ich das gestern korrigiert habe und alles 3x neu gestartet - was soll ich sagen - irgendwie musste sich das anscheinend den Tag über herumsprechen, heute Abend funktioniert es sauber und ohne zu meckern. Manchmal baut man aber auch Fehler, die dämlicher gar nicht sein könnten … Vielen Dank für die wunderbare Anleitung.

Grüße
VF

Jetzt wollte ich gerade antworten, dass mit deiner URL etwas nicht stimmt, da lese ich, dass es bereits behoben war :wink:

Freut mich, dass es geklappt hat!

Hallo und guten Abend zusammen, hallo Stefan,
nun muss ich doch noch einmal um eure Unterstützung bitten. Ich habe die Tage immer wieder herumprobiert, aber irgendwo stimmt was mit meinen Portfreigaben nicht, denn die Eingaben sind alle etwas anders. Da die 224+ Synology quasi ein Zweitgerät ist, habe ich http und https für 5010 und 5011 freigegeben. Das funktioniert eigentlich auch gut:

portfreigaben

Aber ich muss schon irgendwie anders starten, um Authelia zu erreichen - also nicht mit 39443 sondern mit 30443
So sieht es aus:

https://papierlos.test123.synology.me:30443

Authelia öffnet sich und ich kann mich mit dem Mobiltelefon authentifizieren und gelange automatisch auf die Paperless Oberfläche

https://papierlos.test123.synology.me:30443/dashboard

Nach getaner Arbeit melde ich mich dort ab. Authelia sagt mir: „Sie werden abgemeldet und umgeleitet“. Nun habe ich was vergessen und möchte mich wieder einwählen. Nun müsste ich mich, um ggf. wieder auf die Paperless Oberfläche zu kommen, also neu authentifizieren - was Authelia auch anbietet, und korrekt nach Anleitung lautet die Adresse im Browser jetzt aber:

https://auth.test123.synology.me:39443/

Nach Eingabe der 6 Ziffern bleibe ich aber dort hängen und komme nicht weiter auf Paperless sondern sehe nur die Authentifizierungsebene auch wenn ich das Prozedere wiederhole. Diese automatisch Weiterleitung geht nicht mehr. Theoretisch müsste ich den Browsertab schließen und oben wieder anfangen. Aber das ist ja nicht Sinn der Sache. Wäre für einen Tipp sehr dankbar, denn irgendwas ist da nicht richtig, wie ich vermutlich richtig vermute.
Grüße
VF

Hallo @Stefan
funktioniert die 2FA auch mit Yubikey?