RS Reverse Proxy-Unterstützung mit SSL-Verschlüsselung und umleitung ü

[team2k]

Hi!

Da es die neue Funktion Reverse Proxy-Unterstützung gibt, wollte ich mal nachhaken wie es denn möglich ist, das RS Webinterface über einen VServer mit SSl-Verschlüsselung umzuleiten. Würde gern Streaming benutzen können (Browser-Ansicht) wo dyndns IPs geblockt sind.

 

Gruß team

Edited June 3, 2016 by team2k

[Tjod]

Wenn du willst dass der ganze weg TLS verschlüsselt ist wirst du wohl zwei Proxys benötigen.
Einen lokal und einen auf dem vServer.

(und zumindest die echte Client IP zum RS zu bekommen könnte da aufwendiger sein)

Wenn der weg zwischen deinem LAN und dem vServer unverschlüsselt bleibt reicht einer auf dem vServer.
Was du da Softwaremäßig als Reversproxy nutzt ist deine Sache. Und du solltest eigentlich für alle Server Beschreibungen finden wie du das zu konfigurieren hast.

Was für den RS wichtig ist das du den Proxy Server so konfigurierst das die client IP per "x-real-ip" oder "x-forwarded-for" Header an den RS übermittelt wird.

 

Und im RS musst du den Reverse Proxy IP Tweak auf die IP Adresse vom Proxy setzen die der RS bei anfragen vom Proxy sieht.

 

Der Tweak “Reverse Proxy IP” (→ RSTweaker.bat starten) aktiviert die Reverse Proxy-Unterstützung und gibt die Reverse Proxy-IP an, so wie sie der Webserver „von innen“ sieht. Aus seiner Sicht ist der Reverse Proxy der einzige Client. Wenn (und nur wenn) die konfigurierte Reverse Proxy IP mit der IP einer Client-Anfrage übereinstimmt, geht der Web Server davon aus, dass ein Reverse Proxy beteiligt ist, und führt die unten beschriebenen Maßnahmen durch. Typischerweise wird ein Reverse Proxy für private Zwecke auf dem selben PC wie der Recording Service laufen, so dass die im Tweak einzutragende Adresse einfach 127.0.0.1 ist.

 

Und wenn du im Proxy nicht auch noch "x-forwarded-proto", "x-forwarded-host", "x-forwarded-port", "x-forwarded-path" setzt musst du die URL über die Clients hinter dem Proxy das Webinterface sehen bei Reverse Proxy URL setzen.

 

 

Der Tweak “Reverse Proxy URL” (→ RSTweaker.bat starten) gibt die "äußere" URL des Reverse Proxy an, so wie sie Clients verwenden. Diese Einstellung ist nur bei aktivierter Reverse Proxy-Unterstützung wirksam (siehe oben). Sie hat Vorrang vor den “x-forwarded-xxxx” Headern (mit Ausnahme von “x-forwarded-for”). Der Webserver akzeptiert hier auch eine unvollständige URL. Fehlende Teile (also Protokoll, Host, Port oder Pfad, wobei eventuell nicht alle relevant sind) entnimmt er dann den vom Reverse Proxy hinzugefügten HTTP Headern, sofern vorhanden, oder verwendet einen Default, z.B. HTTP für das Protokoll.

 

Wobei für den Tweak (bei RS 1.33.0) ein kleines Bugfix von da nötig ist:

http://www.DVBViewer.tv/forum/topic/58316-rs-133-reverse-proxy-and-m3u-stream-ip-address/?p=447534

 

Wie man den Caddy Webserver als Reverse Proxy konfiguriert habe ich im Wiki etwas genauer beschrieben.
http://de.DVBViewer.tv/wiki/Reverse_Proxy

[Junias]

Hi,

sehe ich es richtig, dass mittels des Reverse Proxies Caddy sowohl HTTPS als auch IPv6 aus dem Internet möglich ist, wenn der Reverse Proxy auf demselben PC/Server installiert ist wie der Recording Service?

Dann wäre es ja auch (endlich) möglich, einen Recording Service über den Unitymedia DSLite Anschluss aus dem Internet erreichbar zu machen?

Das war damals nämlich mein Grund, warum ich den Unitymedia Vertrag widerrufen hatte :/

[Tjod]

Das sollte möglich sein. Wobei der Proxy auf dem gleichen PC laufen kann aber nicht zwingend muss.

 

Und zumindest hier im LAN scheint es auch mit IPv6 zu klappen.

Ich bekomme das Webinterface über http://[::1]:80 zumindest in Google Chrome. Firefox meckert wegen irgend einem Problem mit der Content-Security-Policy die eigentlich nicht extra gesetzt ist und lädt keine Seite die Scripte enthalten über IPv4.

(Aber mit der Möglichkeit von IPv6 zugriffen auf den Proxy die Authentifizierung vom Proxy erledigen lassen)