Ja. Das war des Rätsels Lösung 
Jein. Zunächst lief alles auf dem Notebook. Seit einem Test auf dem iPad komme ich zur 2FA, erhalte die Mitteilung, dass eine Authentifizierung erfolgt sei. Allerdings wird Paperless nicht geladen. Ich bleibe bei Authelia stehen.
Auch lokal komme ich nicht mehr zu Paperless: Bad Request (400)
Jemand eine Idee dazu ???
Ich habe mich zwar auch eingeschrieben, aber ich merke schon, dass das sicherlich nichts ist, was man mal eben nach Feierabend einbauen kann. Am Wochenende werde ich mir mal Zeit nehmen und hoffe, dass es nicht so sehr klemmt. Gibt es denn schon User, die das umsetzen konnten? Entschuldigt, wenn ich so geradeheraus frage.
Grundsätzlich klappt alles; nur das SSO Authelia Paperless mag bei mir nach anfanglichem Erfolg nicht mehr. Ich habe mein System auf den Stand der vorletzten Lektion zurückversetzt. Unbequem, geht aber.
Zeitaufwand für den Kurs: gute 2 h
Bei dir fehlt die Angabe des Ports. Außerdem sehe ich noch nicht die im Kurs eingeführten, aber für die Sicherheit sehr wichtigen Umgebungsvariablen zum Secret Key und den allowed Hosts.
Das Thema CSRF gibt es aber im Forum häufiger, hier war meistens die vergessene Port-Angabe schuld. Suche gern mal nach dem Begriff im Forum, das passiert vielen 
Ich habe deinen Post aber zum Anlass genommen und habe ein konkretes Beispiel in die Lektions-Beschreibung aufgenommen:
https://kurse.digitalisierung-mit-kopf.de/lesson/252/
Auszug hieraus:
# Nicht dieses Secret nutzen!
PAPERLESS_SECRET_KEY=852lGHdflöghjfhpHueQM720H6askfgbfbvJHD48
PAPERLESS_URL=https://paperless.meinedomain.synology.me:30443
PAPERLESS_ALLOWED_HOSTS=paperless.meinedomain.synology.me
In deinem konkreten Fall (da du es direkt in der yml bearbeitest) musst du natürlich die Syntax etwas anpassen (Doppelpunkte statt Gleichheits-Zeichen).
Das ist eine durchaus berechtigte Frage Der Kurs ist noch brandneu und obwohl ich es an drei neuen Systemen 1:1 nachgebaut habe, kann es natürlich immer vorkommen, dass ich etwas „im Hinterkopf“ habe, was ich im Kurs nicht beschrieben habe.
In diesem Fall würde ich natürlich hier im Forum helfen, bis es klappt und die entsprechenden Hinweise im Kurs hinzufügen.
Aber wie ich sehe, hat es bei @Idefix bereits geklappt (das letzte Thema lösen wir auch noch).
Update:
Ich habe ein neues Thema für genau diesen Kurs erstellt.
Wer also doch nicht weiterkommen sollte, kann das gerne hier als Feedback hinterlassen:
Hallo Stefan,
ich versuche mich an der Fehlersuche zu beteiligen und das Problem näher zu beschreiben.
Solange ich mich im unmittelbaren Anschluss an den Erfolg mittels 2FA angemeldet und anschließend in Paperless nach Nutzung (am identischen Notebook) abgemeldet habe, war ein erneuter SSO 2FA Login möglich.
Mein „Fehler“ lag wohl darin, dass ich eine Instanz auf dem Notebook noch nicht geschlossen hatte (nach Nutzung eben einfach zugeklappt), als ich mich versuchte mittels 2FA von unterwegs via iPad einzuloggen. Seither habe ich das beschriebene Verhalten von Authelia. Evtl. ließe sich in der letzten Lektion noch ein automatisierte Logoff (evtl. mit entsprechender Warnung) implementieren, wenn trotz noch offener Instanz ein neuer erfolgreicher 2FA Login erfolgte.
Sehr interessant, danke für den Bericht. Wenn das so wäre, wäre das ein Fehler in paperless-ngx.
Ich versuche das mit den zwei Endgeräten einmal zu reproduzieren (und ggf. gibt es ja eine einfache Lösung).
Ohne Authelia hatte ich meist auf mehreren Endgeräten ohne Probleme parallel je eine Instanz von paperless offen.
Einmal innerhalb der lokalen IP und zweimal von Extern mit dem alten nunmehr (hoffentlich) deaktivierten Paperless Reverse-Proxy nach deiner Anleitung. Eventuell gibt es hier noch Nachwehen.
@Stefan Asche auf mein Haupt, man sollte die Lektionen bis zum Ende durchschauen den da ist ja alles beschrieben. 
Nachdem ich von dir nochmal drauf hingewiesen wurde was fehlt und ich den Port, allowed Hosts, Secret Key eingetragen habe funktioniert alles vom feinsten. 
Danach habe ich noch die letzte Lektion " Automatische Anmeldung bei paperless-ngx einrichten" durchgeführt und auch hier gab es keine Fehler. Ich bin super zufrieden alles läuft nach meinen Vorstellungen. 
Ich habe mal eine Frage, bei mir läuft Nginx nicht auf der Synology, sondern auf einem Proxmox Server. Authelia habe ich zum laufen bekommen, ist auch über https erreichbar. Nur wie gehts dann weiter ? Wie kann ich die Einstellungen unter Nginx vornehmen, damit auf paperless weitergeleitet wird ?
Mein Paperless auf der Syno läuft auch über die Nginx Proxmox
Nach einigen Tagen kann ich etwas bestätigen: So lange eine Instanz von paperless offen ist (d.h. kein Logoff) kommt es zu der von mir beschriebenen Situation.
Ich habe das gerade nachgestellt und bei mir funktioniert es wie erwartet einwandfrei.
Eine Instanz am Rechner, die andere am Tablet.
Kann es sein, dass du am zweiten Rechner den Port vergessen hast einzutippen?
Habe es interesshalber bei mir auch einmal ausprobiert und zwar einmal eine Instanz am Rechner und eine Instanz am Smartphone. Funktioniert einwandfrei. Es wurde für jede Instanz nach Passwort und Pin-Code gefragt und danach öffnete sich Paperless-ngx automatisch.
1 „Gefällt mir“
Mal noch ne Frage zu 2FA: macht jetzt vermutlich nicht wirklich Sinn, aber kann man die 2FA auch nutzen, wenn man sich nur im eigenen Netzwerk bewegt oder nur per VPN auf Paperless zugreift? D. h. kann ich die Masterclass auch nur für diesen Zweck nutzen, oder funktioniert das alles nur, wenn ich Ports nach außen aufmache? Danke vorab für eine kurz Antwort.
Hallo an alle, hallo Stefan,
auch ich habe mit viel Begeisterung den tollen 2FA-Kurs von Stefan angewendet.
Leider hat es bisher (noch) nicht richtig funktioniert. Hier mein (bisheriges) Ergebnis:
Wenn ich paperless-ngx über die Internet-URL aufrufe, lande ich auf der Anmeldeseite von paperless-ngx, nicht aber auf der Anmeldeseite von authelia! Ich kann mich normal bei paperless-ngx anmelden. Logge ich mich bei paperless-ngx aus, lande ich (wie gewünscht?) auf der Anmeldeseite von authelia.
Die Anmeldeseite von authelia kann ich separat über die entsprechende Internet-URL aufrufen. Dort kann ich mich über die 2FA bei mit den Anmeldedaten von paperless-ngx anmelden. Es erfolgt aber keine Weiterleitung zu paperless-ngx!
Fehlerausschriften erhalte ich nicht.
Ich bin genau nach dem Video-Kurs vorgegangen. Anstelle des Ports 30443 habe ich aber den Port 31443 genommen, weil mir das System bei der Reverse-Proxy-Einstellung sagte, dieser Port (30443) ist schon von einer anderen Anwendung belegt. Wie es zu dieser Aussage gekommen ist, konnte ich nicht ermitteln.
Zur Analyse gebe ich im Folgenden Ausschnitte aus meinen Konfigurationsdateien wieder, die sich auf Ports beziehen.
Reverse Proxy Einstellungen:
- paperless-ngx
- authelia
Konfigurationsdateien unter /docker/paperless-ngx/config:
- docker-compose.env
- docker-compose.yml
Konfigurationsdateien unter /docker/paperless-ngx/nginx:
docker-compose.yml
Konfigurationsdateien unter /docker/paperless-ngx/nginx/settings:
endpoints.conf
Konfigurationsdateien unter /docker/paperless-ngx/authelia:
docker-compose.yml
Konfigurationsdateien unter /docker/paperless-ngx/authelia/config:
configuration.yml
Auch ich würde mich freuen, wenn mich jemand unterstützen könnte oder einen Fehler findet.
Gruß H
Freut mich, danke für das Lob
Nein, leider nicht, aber damit haben wir das Problem schon gefunden:
Du nutzt den Reverse-Proxy von Synology, der nicht mit Authelia kompatibel ist.
Im Kurs zeige ich es anders: Dort nutzt du gemäß Download im Kurs einen eigenen Reverse Proxy (einen, den man so konfigurieren kann, dass Authelia unterstützt wird).
In deinem Fall: Lösche einmal bitte die beiden Reverse Proxy-Einträge und richte es wie im Kurs beschrieben ein, dann klappt es 
Hallo Stefan, vielen Dank für die schnelle Antwort. Die Reverse-Proxy-Einträge von Synology habe ich jetzt gelöscht. Aber ich finde im Kurs keine Hinweise auf einen eigenen Reverse-Proxy. Könntest Du mir bitte die Stelle sagen, wo ich das im Kurs finde. Die Portfreigaben auf der Fritz!Box habe ich gemacht.
Gruß H