Paperless von aussen erreichbar machen alternativen

Hallo zusammen

Ich betreibe Paperless-ngx auf meinem Synology NAS in einem Docker-Container und möchte von außen (über das Internet) auf diesen Dienst zugreifen. Allerdings bin ich mit einem 5G-Router verbunden, der hinter CG-NAT sitzt, sodass ich keine klassischen Portweiterleitungen (Port 80/443) einrichten kann.

Bisherige Versuche :

• Ich habe TSDProxy (Tailscale Proxy) getestet, das grundsätzlich funktioniert, aber nur ein selbstsigniertes bzw. Tailscale-internes Zertifikat anbietet. iOS/Android oder andere Geräte erkennen dieses Zertifikat nicht als vertrauenswürdig, sodass es zu TLS-Fehlermeldungen („unknown certificate“) kommt.

• Ich habe in Paperless bereits PAPERLESS_ALLOWED_HOSTS und PAPERLESS_CSRF_TRUSTED_ORIGINSgesetzt, um CSRF-Fehler zu vermeiden, aber es gibt weiterhin gelegentliche „403 CSRF“-Meldungen, insbesondere wenn ein externer Dienst oder Gerät versucht, sich anzumelden.

• Ein öffentliches Let’s-Encrypt-Zertifikat kann TSDProxy für meine *.ts.net-Domain nicht beziehen, da ich keine DNS-Kontrolle über diese Tailscale-Domain habe und Port 80/443 nicht offen sind.

Ziel :

Ich möchte ohne Portweiterleitung (da CG-NAT es nicht zulässt) und ohne Zertifikatswarnungen einen öffentlichen HTTPS-Zugriff auf Paperless realisieren.

Fragen :

• Welche Alternativen oder Workarounds gibt es, um Paperless (oder beliebige Docker-Dienste) von außen erreichbar zu machen, wenn ich kein klassisches Portforwarding habe?

• Wie kann ich ein gültiges SSL/TLS-Zertifikat erhalten, das alle Geräte (iOS/Android/PC) vertrauenswürdig finden, ohne dass ich die DNS-Kontrolle über *.ts.net besitze?

• Gibt es ggf. Tunnel-Lösungen wie Cloudflare Tunnel, Ngrok, Reverse SSH-Tunnel zu einem vServer oder andere Optionen, die mir bei CG-NAT helfen und ein valide Zertifikat ausstellen können?

So hoffe ich auf weitere Ideen, wie ich Paperless über eine eigene Domain oder andere Tunnel-Dienste sicher ins Internet bringen kann – ohne Portfreigabe und ohne Zertifikatswarnungen.

Ich habe das gleiche Problem in meiner Firma.
Meine Lösung sieht so aus:

  • Hetzner-Server (< 4 Euro / Monat) als Reverse Proxy (Nginx Proxy Manager), der managed auch Zertifikate.
  • Wireguard-Verbindung ins Heimnetz zum NAS

Funktioniert tadellos.

Super danke für den Hinweis und Tipp werde dies mal anschauen ob dies für mich passt.

Eine einfache, kostenlose und sehr flexible Lösung für Dein Problem könnte der Cloudflare Zero Trust Tunnel sein.

Es gibt zig Anleitungen dafür bei YouTube, im Prinzip startet man lokal einen Tunnel zu Cloudflare, die übernehmen dann das reverse-proxying, sorgen für SSL (auch lokale, unverschlüsselte Dienste werden durch Cloudflare ge-SSL-t) und bieten noch die Möglichkeit einen Authentifizierungslayer vorzuschalten.

Sehr praktisch das Ganze, kostenfrei und unglaublich flexibel :slight_smile:

spannende neue Alternative zu diesen beiden Lösungen bzw. vom Prinzip her die von Stefan in einem Tool vereint ist Pangolin: https://fossorial.io/ bzw. GitHub - fosrl/pangolin: Tunneled Mesh Reverse Proxy Server with Identity and Access Control and Dashboard UI
Das integriert nen Reverse Proxy und eben ne Tunnel-Lösung in einem Paket