Hallo zusammen
Ich betreibe Paperless-ngx auf meinem Synology NAS in einem Docker-Container und möchte von außen (über das Internet) auf diesen Dienst zugreifen. Allerdings bin ich mit einem 5G-Router verbunden, der hinter CG-NAT sitzt, sodass ich keine klassischen Portweiterleitungen (Port 80/443) einrichten kann.
Bisherige Versuche :
• Ich habe TSDProxy (Tailscale Proxy) getestet, das grundsätzlich funktioniert, aber nur ein selbstsigniertes bzw. Tailscale-internes Zertifikat anbietet. iOS/Android oder andere Geräte erkennen dieses Zertifikat nicht als vertrauenswürdig, sodass es zu TLS-Fehlermeldungen („unknown certificate“) kommt.
• Ich habe in Paperless bereits PAPERLESS_ALLOWED_HOSTS und PAPERLESS_CSRF_TRUSTED_ORIGINSgesetzt, um CSRF-Fehler zu vermeiden, aber es gibt weiterhin gelegentliche „403 CSRF“-Meldungen, insbesondere wenn ein externer Dienst oder Gerät versucht, sich anzumelden.
• Ein öffentliches Let’s-Encrypt-Zertifikat kann TSDProxy für meine *.ts.net-Domain nicht beziehen, da ich keine DNS-Kontrolle über diese Tailscale-Domain habe und Port 80/443 nicht offen sind.
Ziel :
Ich möchte ohne Portweiterleitung (da CG-NAT es nicht zulässt) und ohne Zertifikatswarnungen einen öffentlichen HTTPS-Zugriff auf Paperless realisieren.
Fragen :
• Welche Alternativen oder Workarounds gibt es, um Paperless (oder beliebige Docker-Dienste) von außen erreichbar zu machen, wenn ich kein klassisches Portforwarding habe?
• Wie kann ich ein gültiges SSL/TLS-Zertifikat erhalten, das alle Geräte (iOS/Android/PC) vertrauenswürdig finden, ohne dass ich die DNS-Kontrolle über *.ts.net besitze?
• Gibt es ggf. Tunnel-Lösungen wie Cloudflare Tunnel, Ngrok, Reverse SSH-Tunnel zu einem vServer oder andere Optionen, die mir bei CG-NAT helfen und ein valide Zertifikat ausstellen können?
So hoffe ich auf weitere Ideen, wie ich Paperless über eine eigene Domain oder andere Tunnel-Dienste sicher ins Internet bringen kann – ohne Portfreigabe und ohne Zertifikatswarnungen.