Paperless NGX & https im eigenen Netzwerk

Hallo liebe Community,

auf der Suche im Netz bzw. hier im Forum bin ich leider nicht fündig geworden bzw. habe die falsche Suchstrategie angewandt.

Nun konrekt:

Ist es möglich im eigenen Netzwerk per „https“ mit paperless-ngx (docker/synology) zu kommunizieren? Wenn ja, wie?

Da ich kein „Experte“ bin würde ich mich über eine ausführliche Umsetzungsbeschreibung freuen.

Im Voraus, vielen Dank für eure Unterstützung.

Wenn dann über den Proxy-Weg.
Vermutlich teil der Masterclass :slight_smile:

Wieso paperless https nicht integriert Frage Ich mich auch schon lange, denn andere Docker Projekte unterstützen es ach.

Nicht falsch verstehen und mal ehrlich… Welche Verbesserung versprichst Du dir davon im eigenen „Netzwerk“ ?
Der einzige Vorteil wäre mehr „Sicherheit“ die eigentlich nicht benötigt wird.

Es ist ja dein Netzwerk mit hoffentlich nur deinen Geräten, wenn nicht und du dein Netzwerk mit dem Nachbarn teilst ist das was anderes…

Was anderes wäre es wenn du übers Internet drauf zugreifen willst… Aber dann hast du ganz andere Probleme…

Synology sind zumindest deutlich weniger on der Presse mit Sicherheitslücken wie QNAP und co… :slight_smile:

Ich empfehle dir wenn dann ne ordentliche VPN-Lösung dann kannst du bequem aus Dem Urlaub deime Domumente verwalten.

Ich selbst benötige HTTPS im LAN oder innerhalb des VPNs erst dann wenn es kein Browser

Das Thema intressiert mich auch.
Intern die Sicherheit zu erhöhen ist doch immer eine gute Sache. Ich habe es mal mit der Masterclass versucht ( Paperless-ngx aus dem Internet erreichbar machen mit Synology NAS). Das hat nicht geklappt und entspricht im Grunde nicht meinen Wünschen. Mir würde intern https und extern über openvpn reichen.
Wenn ich intern über den hostnamen die DSM erreichen will, kriege ich die Meldung, dass diese Website nicht erreichbar ist.
Frage: kann man überhaubt den selben hostnamen für openvpn und https benützen? Oder muss man intern https anders einrichten?
Danke für Eure Hilfe.

Das interne https habe ich mittlerweile verworfen. Ich nutze ein Gateway (Dreammachine) mit der ich mehrere VLANS betreibe darunter eins mit sehr strikter Zugriffsverwaltung, das auf meine Server ausgelegt ist. Zugriff über das Internet ist „ausgeschlossen“, außer VPN, das ebenfalls über die „Dreamemachine“ umgesetzt ist.

Danke @Ruedigger Das mit der Dreammaschine schwebt mir auch schon vor. Nur habe ich ein Glasfaser Anschluss mit entsprechendem Router. Diesen zu Bridgen ist offenbar gemäss meinem Schweizer Provider nicht möglich…

Betreff https: Soviel habe ich mal als Laie rausbekommen:

Da meine interne IP-Adresse der NAS statisch ist, benötige ich kein DDNS für den internen Zugriff. DDNS ist nützlich, wenn ich von asserhalb meines Netzwerks auf mein NAS zugreifen möchte und meine externe IP-Adresse sich ändert. Innerhalb des lokalen Netzwerks bleibt die statische IP-Adresse meiner NAS ja konstant…

Nun brauche ich aber ein SLL Zertifikat. Ob es einfacher ist eins selber zu machen oder über zBsp Let’s encrypt zu gehen finde ich noch heraus. Damit werde ich mich mal auseinandersetzen und feedback geben.
Bitte sagt mir, falls ich mich auf dem Holzweg finde… Danke

Ich habe festgestellt, dass das Thema mit DNS Server auf der Synology mit meinen Kenntnissen für mich zu Zeitintnsiv wird. Ob der nutzen dafür sich lohnt kann ich nicht abschätzen. Somit schliesse ich das Thema SSL im heimischen Nezwerk für mich ab und bleibe bei der Standardanmeldung über die http ip adresse… :upside_down_face:

Die Funktionen die Synology bietet sind schön und gut… Aber wer was vernünftiges will wird nicht sein NAS als DNS / DHCP oder Domain-Server verwenden.

Dein Glasfaser Router ist zufällig von AVM mit nem Glasfaser Modul ?

Musst du wie bei DSL Zugangsdaten eingeben oder wird das über die Mac deines Glasfaser Adapter geregelt?

Hi,

HTTPS geht mit einer Synology recht einfach auch per „Reverse Proxy“.
Wenn man in der Synology DDNS einstellt erhält man gleich noch ein Zertifikat von Let’s Encrypt.
Somit hat man nur noch eine Paperless-HTTPS Andresse, egal ob man von extern oder Intern auf Paperless zugreift.
Ob das Sinn macht oder nicht darf jeder selber entscheiden.

Interessant wird es wenn man noch mehr Anwendungen per HTTPS von extern starten will, dann reicht eine Portfreigabe für HTTPS im Routermenü, im Reverse Proxy wird eingestellt welche Anwendung welchen internen Port nutzt.
Natürlich kann man auch VPN nutzen, das ist evtl aber nicht immer verfügbar.

Bitte mit solchen Pauschalurteilen vorsichtig sein. Damit ist leider niemandem geholfen.
Hilfreich wäre:

  • Vor- und Nachteile von VPN
  • Vor- und Nachteile von HTTPS (incl. Reverse Proxy)

In meinen Augen sieht es so aus:

  • VPN hat den Vorteil, dass es als sehr sicher gilt (je nach Protokoll natürlich), allerdings kann es sein, dass wie @Jake es erwähnt hat, der Port geblockt sein kann in einem fremden WLAN und man dementsprechend nicht verbinden kann.
  • HTTPS hat den Vorteil, dass es „immer“ funktioniert, aber den Nachteil, dass es etwas aufwendiger konfiguriert werden muss und man damit weitere Ports öffnet, was zumindest in der Theorie unsicherer sein kann.

Kleiner Nachtrag:
Wer die Linkfreigabe nutzen will muss beim erstellen des Links zwangsläufig per externer HTTPS Adresse angemeldet sein damit er funktioniert.
Mit dem Link einer internet Netzwerkadresse kann die 3. Person nichts anfangen.

Hallo Michael
Mein Glasfaserrouter ist ein vom Provider (Schweiz) konfiguriertes Zyxel 7501B. Leider werden die Funktionen des Routers vom Provider. Ein bridgen sei offenbar nicht möglich und für die DMZ Funktion kenne ich mich zu wenig aus. Da ich die Hausverteilung über Unifi mache (Switches, AP’s, Cloud key) wäre für mich eine Dreammaschine naheliegend und spannend. Der Provider gibt aber die Freigabe für einen direkten Anschluss nicht… Auch nicht bei Angabe der Mac mit der Begründung, da sie keinen Support geben können. Haha - welchen Support :wink:

Hallo Stefan
Vielen Dank! Ich finde diese kleine Vergleichstabelle recht übersichtlich:

Wobei mit deiner Anleitung aus der Masterclass das einrichten eines openvpn gut geklappt hat und auch deine Erklärungen dazu gut sind.

Danke Jake. Für meine Nutzen als Privatanwender reicht der Zugang über openvpn völlig aus. Ich wollte das ganze aus interesse mal versuchen. Für die Anwendungen wie Drive, Photo Mobile, DS Cam usw. nutze ich den Quickconnect. Für Paperless dann einfach openvpn. Ich brauche es 98% intern und nicht extern. Ich hätte es „sympatischer“ gefunden, die Anwendung intern über einen Namen und nicht über die IP zu starten. Aber dem sage ich „Luxusprobleme“.
Wenn ich übrigens im DDNS die IPv4 Adresse auf die NAS IP setze, funktioniert das ganze intern über https. Aber natürlich geht dann der openvpn nicht mehr. Darum wäre der vpn server eine Möglichkeit. Aber so einfach ist das dann auch nicht aufgesetzt und das Thema ist seehr umfangreich… :wink:

Bin zufällig bei Recherche auf den Kanal und dieses Video gestoßen.
Vielleicht auch bei dir umsetzbar.

Danke Michael. Intressant, aber für mich keine Alternative. Ich werde eher den ISP wechseln. Es gibt in der Schweiz Anbieter ohne Router Zwang resp. solche die das Bridge anbieten.

Die bessere Wahl ist es.
Bin bei Kabel Deutschland die zum Glück den Bridge Mode ermöglichen.
Hatte mit DSL aber auch immer nur Modems.
( Billiger bei Blitzeinschlag und Kondensator )
Dann viel Glück beim Wechsel