Messages

[activated that host header]

You configured the host header as linked by me and activated that host header in your handler configuration under "Transport"?

Yes, I have.

Caddy kommt mit sehr vernünftigen Standardeinstellungen.

This is, why Caddy will be recommend very often.

Thanks Patrick. At the moment it is only an error in the log. The streams of Jellyfin works fine. But I want to understand the error message and want to try to fix it. It is my personal target. 😁

Have a nice weekend.

Hello Patrick.

Thank you for helping me. May be this?

Code Select Expand

[2026-04-16 14:03:34.284 +00:00] [INF] Sending ForceKeepAlive message to 1 inactive WebSockets.
[2026-04-16 14:03:46.284 +00:00] [INF] Lost 1 WebSockets.
[2026-04-16 14:30:56.131 +00:00] [WRN] WS "10.0.80.1" error receiving data: "The remote party closed the WebSocket connection without completing the close handshake."
[2026-04-16 14:30:56.142 +00:00] [INF] WS "10.0.80.1" closed
[2026-04-16 15:04:41.396 +00:00] [INF] WS "10.0.80.1" request

Thanks @Patrick. I have seen in the protocoll of caddy another error. I'm not sure, what the error message means.

Code Select Expand

"warn","ts":"2026-04-16T15:06:23Z","logger":"http.handlers.reverse_proxy","msg":"aborting with incomplete response","upstream":"10.0.80.9:8096","duration":0.043666007,"request":{"remote_ip":"xxx.xxx.xx.xx","remote_port":"64698","client_ip":"xxx.xxx.xx.xx","proto":"HTTP/2.0","method":"GET","host":"jellyfin-nas01.xxxxxx","uri":"/Videos/d98dd6bf-5112-6253-69c2-3e678e867234/stream?container=mkv&static=true&tag=0fee8bb2a7d611d87a8b8fd6a2daf47f&mediaSourceId=d98dd6bf5112625369c23e678e867234&streamOptions=%7B%7D&enableAudioVbrEncoding=true","headers":{"X-Forwarded-For":["xxx.xxx.xx.xx"],"X-Forwarded-Proto":["https"],"Accept-Encoding":["identity"],"User-Agent":["okhttp/4.12.0"],"Icy-Metadata":["1"],"X-Forwarded-Host":["jellyfin-nas01.xxxxxx"],"Via":["2.0 Caddy"]},"tls":{"resumed":false,"version":772,"cipher_suite":4865,"proto":"h2","server_name":"jellyfin-nas01.xxxxxx","ech":false}},"error":"writing: http2: stream closed"}

How can I correct my configuration?

Thanks a lot again. Have a great rest of the week.

Ronny

Hello Together.

Unfortunately, I didn't receive an email notification that the discussion had continued here. My apologies for that. Unfortunately, my knowledge of reverse proxies, headers and configurations isn't quite up to scratch yet. I'd like to use Authelia or Authentik, but I'm simply struggling to find a guide for HAProxy that I can actually understand.

However, it seems that Caddy does support implementation for these apps. That is why I decided to go with it.

And once again regarding the use of HTTPS behind a reverse proxy: I still don't understand why I should only use HTTP here. It makes no sense to me to downgrade Synology's DSM, Proxmox and the Unifi Controller to HTTP, if that is even possible. I also had the problem at Synology DSM with Yubikey as a hardware token - not if I had used Yubikey as OTP generator.

If you have further information, please let me know. I'm very interested in that.

P.S.
@viragomann: Do you use 2 Reverse Proxys? Caddy AND HAProxy?

Mit Hilfe eines Mitglieds aus einem anderen Forum haben wir die Lösung gefunden:

Zusätzliche Header-Konfiguration:

Code Select Expand

header_up Host {host}
Damit ist das Problem gelöst.

Danke, JohneDoe 😉👍

With the help of a member from another forum, we found the solution:

Additional header configuration:

Code Select Expand

header_up Host {host}
That solves the problem.

Thanks JohneDoe 😉👍

Hello @virgomann.

Thanks for your post and try to helping me.

Did you enable the X-Forwarded-For header in the advanced settings?

-> yes, see me screenshot Caddy.jpg

Do you proxying the whole domain or a virtual directory?

-> Domain

Is Caddy using the same protocol (http / https) as HAproxy to access the backend?

-> see my pictures HAProxy.jpg, Caddy2.jpg and Caddy3.jpg

Thanks a lot.

Ronny

Thank for your reply and your hint. Unfortunately it doesn't help to solve the problem and understanding caddy. 😉 I have same family members, which also use my Synology and it is to difficult to solve problems (VPN) remote and for these members it is easier to realize the access over a reverse proxy with a Yubikey. Many thanks again.

Ronny

Hallo zusammen.

Ich habe eine Frage, bei der ich einfach nicht weiterkomme. Zunächst einmal der Hintergrund:

- OpenSense 26.1.5
- Let's Encrypt-Zertifikat über die Netcup-API (*.mydomain.de) unter Verwendung des ACME-Clients
- Caddy-Plugin 2.1.0
- Synology DSM 7.2.2 Update 8
- Yubikey als Hardware-Sicherheitsschlüssel
- Bisherige Nutzung -> HAProxy -> Die Anmeldung bei DSM funktioniert sowohl internen als auch mit dem Yubikey
- Umleitungen meiner Server/Anwendungen in Unbound auf die IP-Adresse der Firewall (192.168.100.1)

Ich wollte am Wochenende meinen Reverse-Proxy von HAProxy auf Caddy umstellen. Zunächst funktionierte alles einwandfrei. Dann stellte ich gestern fest, dass die Anmeldung bei Synology DSM (Benutzername/Passwort/Yubikey als Sicherheitsschlüssel) nicht mehr funktioniert. Die Anmeldung wird ,,unterbrochen" – aber nicht vollständig. Das bedeutet, dass DSM sie als fehlerhafte Anmeldung registriert. Nach drei Versuchen hatte ich mich ausgesperrt. Ich konnte mich dann über ein VPN und den OTP-Code (über den Yubikey) wieder entsperren. Anschließend habe ich den Yubikey aus den Einstellungen entfernt und versucht, ihn neu zu koppeln -> Fehlermeldung: ,,Die Registrierung konnte nicht abgeschlossen werden. Bitte versuchen Sie es erneut".

Nach einer Stunde hatte mich die Suche bei Google und hier im Forum nicht weitergebracht, und selbst die KI konnte nicht helfen. Die Theorie lautet, dass Caddy etwas mit den Headern macht, was HAProxy nicht tut. Ich wechselte zurück zu HAProxy, und sofort wurde der Yubikey wieder als Sicherheitsschlüssel registriert, und ich konnte mich erneut mit dem Yubikey anmelden.

Der Grund für meinen Wechsel zu Caddy war, dass ich in Zukunft gerne Authelia oder Authentik nutzen möchte. Ja, das ist auch über Lua-Skripte in HAProxy möglich, aber leider verstehe ich die technischen Details nicht gut genug, um wirklich zu begreifen, was ich da eigentlich mache.

Ich hoffe, dass mir hier im Forum jemand weiterhelfen kann, da ich weiß, dass es hier viele Mitglieder mit reichlich technischer Erfahrung und Wissen gibt.

Vielen Dank im Voraus für eure Hilfe. 😉

Hello Together.

I have a question I can't seem to figure out. First of all, the background:

- OpnSense 26.1.5
- Lets Encrypt Cert with API of Netcup (*.mydomain.de) with ACME Client
- Caddy Plugin 2.1.0
- Synology DSM 7.2.2 Update 8
- Yubikey as Hardware-Security-Key
- usage until yet -> HAProxy -> Login in DSM works with Yubikey internal and external
- Rewrites of my Servers/Application in Unbound to IP of the Firewall (192.168.100.1)

I wanted to switch my reverse proxy from HAProxy to Caddy over the weekend. It worked fine at first. Then yesterday I noticed that logging in to Synology DSM (username/password/Yubikey as a security key) no longer works. The login is 'interrupted' – but not completely. This means that DSM registers it as an incorrect login. After three attempts, I locked myself out. I was then able to unlock it using a VPN and the OTP code (via the Yubikey). I then removed the Yubikey from the settings and tried to re-pair it -> error message: 'Registration could not be completed. Please try again'.

After an hour, searching on Google and here in the forum hadn't got me anywhere, and even the AI couldn't help. The theory is that Caddy does something with the headers that HAProxy doesn't. I switched back to HAProxy, and immediately the Yubikey registered as a security key again, and I was able to log in using the Yubikey once more.

My reason for switching to Caddy was that I'd like to use Authelia or Authentik in the future. Yes, that's also possible via Lua scripts in HAProxy, but unfortunately I don't understand the technical details well enough to really grasp what I'm doing there.

I'm hoping that someone here in the forum can help me out, as I know there are plenty of members here with loads of technical experience and knowledge.

Thanks in advance for your help. 😉

Super 😉👍. Vielen Dank für den Tipp. Jetzt läuft es mit NAT Typ 2. Dann sind wohl auch bei der XBox eigentlich die Portweiterleitungsregeln nicht erforderlich?

Nochmals vielen, vielen Dank und ein wunderschönes und gesundes Wochenende.

Hallo Jens,

ich bin im Stress noch gar nicht dazu gekommen mich für deine Unterstützung zu bedanken. Ich habe das Outbound NAT so wie angehangen eingestellt. Portweiterleitung und WAN Regel, sind entgegen der Einstellung der XBOX deaktiviert. Dennoch habe ich nur Typ 3 auf der Playstation. Irgendwas mache ich noch falsch.

Hast du noch einen Tipp für mich?

P.S. Würde es etwas bringen mit meinem eigenen VLAN zu arbeiten (für die Konsolen) und dann dort mit UPNP?

Hello everyone,

I hope you can help me. First of all:

- I am on version 25.1.6_4
- UPNP as a plugin is not installed
- NAT outgoing and NAT port forwarding for the XBox (192.168.10.2) in VLAN IoT is set up and works -> NAT type on the XBox is OPEN

Now my son has got a PS5. We have also set up a fixed IP (192.168.10.16) in the VLAN IoT and the NAT type is set to 3 (which would be STRICT for an XBox). So I set up the alias ports for the PS5 (UDP 3478:3480 & 49152:65535 // TCP 80, 443, 1935, 3074, 3478:3480) and cloned the NAT rules, i.e. port forwarding and output.

Unfortunately, the NAT remains on type 3. Since Xbox and PS5 use some of the same ports, I could imagine that this could cause problems with port forwarding.

How do I get to NAT type 1 or 2 on the PS5?

Thanks for your help.

Ronny

Hallo Zusammen,

ich hoffe, ihr könnt mir helfen. Vorab:

- ich bin auf Version 25.1.6_4
- UPNP als Plugin ist nicht installiert
- NAT ausgehend und NAT Portweiterleitung für die XBox (192.168.10.2) im VLAN IoT ist eingerichtet und funktioniert -> NAT Typ auf der XBox ist OPEN

Nun hat mein Sohn eine PS5 bekommen. Wir haben hier auch eine feste IP (192.168.10.16) im VLAN IoT eingerichtet und der NAT Typ steht auf 3 (was bei einer XBox STRICT entsprechend würde. Also hat ich die Alias Ports für die PS5 eingerichtet (UDP 3478:3480 & 49152:65535 // TCP 80, 443, 1935, 3074, 3478:3480) und die NAT Regeln, also Portweiterleitung und Ausgang geklont.

Leider bleibt der NAT auf Typ 3 stehen. Da ja XBox und PS5 teilweise die gleichen Ports nutzen, könnte ich mir vorstellen, dass das bei der Portweiterleitung Schwierigkeiten geben könnte.

Wir komme ich bei der PS5 auf NAT Typ 1 oder 2?

Danke für eure Hilfe.

Ronny

Es scheint zu funktionieren. Ich hatte bis jetzt keine Probleme mehr. Warum das beim ersten Neustart nicht gleich angezeigt wurde, kann ich allerdings nicht sagen.