DSM 6 Reverse Proxy

[danaryo]

Hat es einen Grund warum du die SSL-Parameter entfernt hast?

War ein Versuch, hat aber auch mit SSL-Parametern nicht funktioniert. Hatte es mal irgendwo ohne gelesen, und dann auch ausprobiert weil mir nicht ganz klar ist wofür dieser Parameter an der Stelle genau ist.

Ansonsten findest du unter Post #54 ein funktionierendes Script, eben genau mit den beiden Anwendungen DSM und Photostation. Wenn das auch nicht funktioniert, dürfte man das Script als Fehlerquelle vielleicht schon ausschließen können.

Genau mit dem Script hatte ich das ganze angefangen. Das ging leider auch nicht. Deswegen meine Befürchtung, das ich an irgendeiner anderen Stelle noch etwas übersehe.
Habe es jetzt auch nochmal/wieder unverändert (außer dem server_name) genommen, aber es zeigt genau das selbe Verhalten.

 

[DerLord]

Das Script unter Post #54 an sich sollte funktionieren, hatte ich damals extra für diejenigen hier gebastelt, die lieber mit Suffix als mit Subdomains arbeiten und natürlich auch getestet.
Da es bei dir über Port 80 funzt, sollte nginx im Grunde auch korrekt laufen.

Ich würde dann etwas weiter vorne am Prozess ansetzen. Fang erst mal beim Router an und schaue ob das Routing auch wirklich funktioniert. Port 443, IP der Syno und Protokoll TCP korrekt? Stimmt Port 443 überhaupt noch oder hast du denn vll mal im DSM geändert oder manuell per config?

 

[danaryo]

Ich würde dann etwas weiter vorne am Prozess ansetzen. Fang erst mal beim Router an und schaue ob das Routing auch wirklich funktioniert. Port 443, IP der Syno und Protokoll TCP korrekt? Stimmt Port 443 überhaupt noch oder hast du denn vll mal im DSM geändert oder manuell per config?

Hab ich auch schon durchgetestet. Wenn ich nginx bzw die Webstation deaktiviere kann ich über Port 443 auf die Photostation zugreifen. Das Forwarding funktioniert also.
Kann man den Port in der Webstation irgendwo ändern?

 

[DerLord]

Ja, das geht mit Sicherheit, aber ich kann es dir leider so aus dem Kopf heraus nicht sagen. Aber der Port muss ja nicht zwingend auf 443 liegen. Schau doch mal in den generierten Scripten nach, welcher Port dort verwendet wird -> /etc/nginx/

 

[danaryo]

Entwarnung.. hab den Fehler bei mir nun gefunden. Meine Fritzbox hatte wohl nach dem letzten Update ne Config Macke und hat den Port 443 irgendwie nur teilweise durchgeleitet. Nachdem ich im Netz auf einen ähnlichen Fehler gestoßen bin, der nach einer Neueinrichtung der entsprechenden Portweiterleitung wieder funktioniert hat, habe ich das bei mir auch mal versucht. Nun klappt die Weiterleitung auch über Port 443 und ich kann weiter machen.
Die meisten Dienste laufen schon. Nur mit OpenHAB2 und plexivity hab ich noch Probleme. Die wollen nicht so richtig mit dem Reverse Proxy spielen.

Vielen Dank für die Hilfe! Ist echt schön eine so gute Community für die DS zu haben.

 

[DerLord]

Na dann ist ja alles soweit gut. Dir noch weiterhin viel Erfolg ;-)

 

[XerXes777]

Habe vorhin auf die DSM 6.1 geupdatet.
Kann es sein das der Code von dir denn nicht mehr geht oder etwas angepasst werden muss bzw. eingestellt werden muss?

Hat da jemand das gleiche Problem ? Weil mit der DSM 6.1 RC lief dieser Code noch.

Vielen Dank im Voraus. Ohne eure Hilfe bin ich echt aufgeschmissen. Für mich ist das nur Bahnhof.


Code

        #
        #   usr\local\etc\nginx\sites-enabled\
        #
        # -------------------------------------------------------------------------------------------------------
        # HTTPS Redirect domain.de
        # -------------------------------------------------------------------------------------------------------
        server {
        listen 80;
        server_name domain.de;
        return 301 https://$http_host$request_uri;
        }
        # -------------------------------------------------------------------------------------------------------
        # HTTPS Redirect domain.de
        # -------------------------------------------------------------------------------------------------------
        #
        # -------------------------------------------------------------------------------------------------------
        # HTTPS Redirect www.domain.de
        # -------------------------------------------------------------------------------------------------------
        server {
        listen 80;
        server_name www.domain.de;
        return 301 https://$http_host$request_uri;
        }
        # -------------------------------------------------------------------------------------------------------
        # HTTPS Redirect www.domain.de
        # -------------------------------------------------------------------------------------------------------
        #
        # -------------------------------------------------------------------------------------------------------
        # NAS Server HTTP
        # -------------------------------------------------------------------------------------------------------
        server {
        listen 80;
        listen [::]:80;

        server_name subdomain.domain.de;

        location / {
            proxy_set_header        Host                $host;
            proxy_set_header        X-Real-IP           $remote_addr;
            proxy_set_header        X-Forwarded-For     $proxy_add_x_forwarded_for;
            proxy_set_header        X-Forwarded-Proto   $scheme;
            proxy_intercept_errors  on;
            proxy_http_version      1.1;

            proxy_pass http://localhost:5000;

        }
    }
        # -------------------------------------------------------------------------------------------------------
        # NAS Server HTTP
        # -------------------------------------------------------------------------------------------------------
        #
        # -------------------------------------------------------------------------------------------------------
        # NAS Server HTTPS
        # -------------------------------------------------------------------------------------------------------
        server {
        listen 443;
        listen [::]:443;

        server_name subdomain.domain.de;

        location / {
            proxy_set_header        Host                $host;
            proxy_set_header        X-Real-IP           $remote_addr;
            proxy_set_header        X-Forwarded-For     $proxy_add_x_forwarded_for;
            proxy_set_header        X-Forwarded-Proto   $scheme;
            proxy_intercept_errors  on;
            proxy_http_version      1.1;

            proxy_pass https://localhost:5001;

        }
    }
        # -------------------------------------------------------------------------------------------------------
        # NAS Server HTTPS
        # -------------------------------------------------------------------------------------------------------
        #

 

[mrlee]

Moin!

Habe ebenfalls von 6.0 auf 6.1 gerade geupdatet.

User-confs sind noch da nginx reloaded ohne Fehler...Reverse Proxi geht aber nicht...

Jemand ne Idee?

bis denne
Mr.Lee

 

[XerXes777]

Probleme mit den Codes seit DSM 6.1. Habe eine frische DSM Installation gemacht.
Musste eh auf eine neue DS umsteigen.

Ziel:
1. domain.tld, www.domain.tld soll eine HP laufen und immer auf https umstellen.

2. ds.domain.tld soll Zugriff per werden. Der sowohl über 443 auf 5001 und auch 80 auf 5000 umleiten soll.
Es ist einfach perfommanter wenn z.B Videos auch über http 80 abgespielt werden können.
Weil ich das nicht hinbekommen habe, dies zu erreichen plus eine automatische Weiterleitung auf https über browser
Habe ich eine neue Subdomain angelegt.

3. web.domain.tld soll immer auf https weiterleiten und auch über 443 auf 5001 umstellen.
Obwohl ich auch per browser glaube ich über Port 80 Filme abspielen kann?

4. photo.domain.tld soll per diesen Code hier in diesem Forum auf meine PhotoStation zielen.
Es wird aber nicht auf https umgestellt. Ich sehe meine HP. Allerdings wenn selbst https://photo.nascon.de eingebe, dann gehts.

5. Möchte nur die Ports 80 und 443 auf meinem Router freigeben müssen.


Kurzfassung:

1. domain.tld, www.domain.tld soll eine HP laufen und immer auf https umstellen.

2. ds.domain.tld soll per app 443 und 80 gehen. Aber per Browser auf https umleiten und alles auf die internen Ports 5001 und 5000.

3. Wenn das nicht zusammen über eine Subdomain geht, dann halt aufgeteilt auf 2. Also z.B. web.domain.tld für den Browser zugriff.

4. photo.domain.tld soll per diesen Code hier in diesem Forum auf meine PhotoStation zielen.
Es wird aber nicht auf https umgestellt. Ich sehe meine HP. Allerdings wenn selbst https://photo.nascon.de eingebe, dann gehts.
Wenn ich mit dem Code und in der PhotoStation den Haken setzte „Immer auf HTTPS umleiten“,
dann steht oben in der Adressleiste localhost.

Bin mir ziemlich sehe, ich stehe mit diesen Problemen nicht alleine



Hier meine Codes:

        #   /usr/local/etc/nginx/sites-enabled/
        server {
        listen 80;
        server_name domain.tld;
        return 301 https://$http_host$request_uri;
        }
        #---------------------------
        server {
        listen 80;
        server_name www.domain.tld;
        return 301 https://$http_host$request_uri;
        }
        #---------------------------
        server {
        listen 80;
        server_name web.domain.tld;
        return 301 https://$http_host$request_uri;
        }
        #---------------------------
        server {
        listen 80;
        listen [::]:80;

        server_name ds.domain.tld;

        location / {
            proxy_set_header        Host                $host;
            proxy_set_header        X-Real-IP           $remote_addr;
            proxy_set_header        X-Forwarded-For     $proxy_add_x_forwarded_for;
            proxy_set_header        X-Forwarded-Proto   $scheme;
            proxy_intercept_errors  on;
            proxy_http_version      1.1;

            proxy_pass http://localhost:5000;

        }
    }
        #---------------------------
        server {
        listen 443;
        listen [::]:443;

        server_name ds.domain-tld;

        location / {
            proxy_set_header        Host                $host;
            proxy_set_header        X-Real-IP           $remote_addr;
            proxy_set_header        X-Forwarded-For     $proxy_add_x_forwarded_for;
            proxy_set_header        X-Forwarded-Proto   $scheme;
            proxy_intercept_errors  on;
            proxy_http_version      1.1;

            proxy_pass https://localhost:5001;

        }
    }
        #---------------------------
        server {
        listen 80;
        listen [::]:80;

        server_name web.domain.tld;

        location / {
            proxy_set_header        Host                $host;
            proxy_set_header        X-Real-IP           $remote_addr;
            proxy_set_header        X-Forwarded-For     $proxy_add_x_forwarded_for;
            proxy_set_header        X-Forwarded-Proto   $scheme;
            proxy_intercept_errors  on;
            proxy_http_version      1.1;

            proxy_pass http://localhost:5000;

        }
    }
        #---------------------------
        server {
        listen 443;
        listen [::]:443;

        server_name web.domain.tld;

        location / {
            proxy_set_header        Host                $host;
            proxy_set_header        X-Real-IP           $remote_addr;
            proxy_set_header        X-Forwarded-For     $proxy_add_x_forwarded_for;
            proxy_set_header        X-Forwarded-Proto   $scheme;
            proxy_intercept_errors  on;
            proxy_http_version      1.1;

            proxy_pass https://localhost:5001;

        }
    }
        #---------------------------
        server {
        listen 443 ssl;
        listen [::]:443 ssl;

        server_name photo.domain.tld;

        root /var/packages/PhotoStation/target/photo;

        add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload" always;

        location / {
        proxy_http_version      1.1;
        proxy_set_header        Upgrade             $http_upgrade;
        proxy_set_header        Connection          "upgrade";

        include /etc/nginx/fastcgi_params;
        fastcgi_pass unix:/var/run/php5-fpm.sock;
        fastcgi_read_timeout 300;

        #auth_basic "Photostation";
        #auth_basic_user_file /etc/nginx/.htpasswd;

            rewrite ^/$ http://$http_host/photo;

            proxy_pass http://localhost;
        }
    }
        #---------------------------

Hier meine DSM und PhotoStation Einstellungen:

 

[Dufooy]

Eine Frage an die Könner hier im Forum,

ich habe in einer VM den Univention Server laufen.
Dieser ist unter 192.168.1.30 zu erreichen.
Die Dienste auf diesem jeweils via Subdomain webmail.domain.de ruft die Webmailapp von Kopano auf die unter /webapp auf dem Univention läuft.
Der univention hat für die Domain webmail.domain.de auch eine Lets Encrypt Zertifikat.
Jetzt Versuche ich es so einzurichten, dass aber auch die photo Station auf der Syno über Port 443 zu erreichen ist.
Es gibt nun zwei Möglichkeiten, entweder erledigt die Syno den Reverse Proxy/Redirect oder der Univention (bilde mir ein Syno ist einfacher).
Die photo Station soll auch über photo.domain.de zu erreichen, nur hapert es natürlich mit dem Zertifikat wenn ich es über den Univnetion Server leite.
Im Moment hatte ich die Idee dass beide Server ihre Zertifkate selber updaten, da der Univention dies nicht für die Syno photo Station (als Beispiel) mitmachen kann oder will.
Was ich versucht habe und was geht, ist dass die Syno ein Zertifikat für webmail.domain.de erstellt, was mich wunder, aber egal.

Daher wäre es vielleicht intelligenter den Revers Proxy/Redirect auf der Syno zu machen, ist nur die Frage, wie ich dann die Dienste auf dem Univention Server umhängen, was ich auch schon mal Testweise versucht habe und was z.T. soweit auch funzt, wobei es immer auf den Browser ankommt, manchmal lande ich auf dem Port 5001 oder 5000 (im Inkognito Modus).

Dann komme ich manchmal auf die Portalseite des Univention Servers, statt auf die Webapp, ist ja auch klar, da ich in keinem Feld /webapp eingeben kann.
Wenn ich dann auf der Portalseite auf die Webapp klicke komme ich auch zu dieser und es wird auch das 'Zertifikat von der DiskStation genutzt.
Was im Moment auch nicht geht, ist z.Bsp. die Photostation via photo.domain.de zu erreichen.
Die steht leider nicht im Anwendungsportal ist aber via 192.168.1.2/photo zu erreichen und auch wenn ich manuell hinter photo.domain.de/photo eingebe, ansonsten springt es immer zu Port 5001.

Hab mal einen Screenshot von den Reverse Proxi Einstellungen gemacht.

Jemand eine Idee, wie dass Richtig konfiguriere?

Viele Grüße D.

 

[Univention Support]

Hi Dufooy,

ich denke schon das es einfacher wäre alle Anfragen an den Apache des UCS gehen zu lassen und dort dann entsprechende Weiterleitungen einzurichten. Wie das dann im speziellen Anwendungsfall geht ist vermutlich besser im Univention-Forum zu besprechen. Apache ist in jedem Fall flexibler zu konfigurieren als die Synology.

Freundlicher Gruß
Nico Stöckigt

 

[mehlbox]

kann ich so nicht bestätigen. Ich hab verschiedene Dienste mit der Syno Reverse Proxy konfiguriert. Nachteilig ist nur das alle Einstellungen verstreut sind.
Die Domain für die PhotoStation musst du in der Photostation eingeben. Alle vergebene Domains erscheinen bei den Zertifikaten und müssen den Zertifikaten auch zugewiesene werden.
Es funktioniert auf alle Fälle. Beim ersten mal sucht man sich halt den Wolf....

 

[Dufooy]

Hi Dufooy,

ich denke schon das es einfacher wäre alle Anfragen an den Apache des UCS gehen zu lassen und dort dann entsprechende Weiterleitungen einzurichten.

Danke Herr Stöckigt für den Hinweis und super dass der Univention hier im Forum auch vertreten ist.

Ich habe schon hinweise davon im Univention Forum gesehen, aber die User die dort Fragen gestellt haben, haben z.T. keine nutzbare Antwort erhalten.
Es ist richtig, dass es einfacher ist mit dem Univention Apachen zu hantieren, leider macht der Univention Server dann aber keine Updates für die Let's Encrypt Zertifikate auf der DiskStation, umgekehrt funktioniert es.
Es ist mir nicht gelungen eine Weiterleitung auf dem Univention zu konfigurieren so dass es auch mit dem Zertifikat klappt, daher mein Versuch via Synology.
Was einwandfrei funktioniert ist, die Weiterleitung auf dem Univention besteht, diese durch den Reverse Proxy der Syno zu senden und dann zurück auf die Syno zur Photostation, dann klappt es auch mit dem Zertifikat, auch wenn es ein Umweg ist, denn ich lieber direkt auf der Syno haben möchte.

Viele Grüße D.

 

[Dufooy]

Ich hab verschiedene Dienste mit der Syno Reverse Proxy konfiguriert. ....

Danke Dir mehlbox,

ich habe schon alles Mögliche versucht auch in der Photostation direkt die photo.domain.de einzugeben, leider erfolglos, es gibt immer wieder Fehlermeldungen.
Hatte auch schon einen Kolelgen zu Rate gezogen, der wircklich Ahnung hat und der das auch vom Job her kann und macht.
Hast Du ggf. ein How To, manchmal ist es nur eine Kleinigkeit die man übersehen hat.
Schon fraglich warum die Photostation nicht im Anwendungsportal konfiguriert wird.

Viele Grüße D.

 

[mehlbox]

welche Fehlermeldung?
Voraussetzung für ein funktionierendes reverse Proxy ist erst mal dass die Ports richtig weitergeleitet sind.
Bei mir zeigt Port 80 und Port 443 auf die Syno. Alles andere übernimmt dann der reverse Proxy Server.
Teste mal ob deine interne und deine externe IP Adresse das selbe ausgeben.
In meinem Fall hab ich eine Fehler 403 Seite von Synolog (mit Absicht) mit der IP 192.168.178.10 und mit der IP 85.135.123.45
Erst wenn man mit der externe IP Adresse auch auf der Synology landet, kann der reverse Proxy Server die Arbeit aufnehmen.
Das geschieht indem unterschiedliche Inhalte ausgegeben werden, entsprechend der Adresse in der Adressleiste.
So landet man bei mit mit der richtigen Domain bei den verschiedenen Diensten.
Dabei sind folgende Domaineinstellungen von Bedeutung:
Photostation - Einstellungen - Allgemein - Hostname
Webstation - Virtueller Host - Hostname
Systemsteuerung - Anwendungsportal - Anwendung - Domain
Systemsteuerung - Anwendungsportal - Reverse Proxy - Quelle

Wenn du dir sicher gehen willst machst du erst mal alles leer und fängst mit einem Domainname an.

Zu guter letzt werden hier* die Zertifikate zu den einzelnen Domains hinzugefügt:
*Systemsteuerung - Sicherheit - Zertifikat - Konfigurieren
Wenn du alle alternativen Domains bei der Erstellung eines Zertifikats eingegeben hast, ist es immer das selbe Zertifikat.

Grundsätzlich kannst du den Synology DYNDNS (Namen) auch mehrfach verwenden.

z.B:
Username: mehlbox
Synology DYNDNS: mehlbox.myds.me

Videostation: video.mehlbox.myds.me
Photostation: photo.mehlbox.myds.me
Univention: univention.mehlbox.myds.me

Auch wenn der Univention ein eigenständiges Gerät ist. Aus dem Internet nimmst du ab sofort immer einen Umweg über die Synology.
Vorteil: Keine weiteren Portfreigaben.

 

[Dufooy]

Hi mehlbox,

Ich verstehe dass alles und es funktioniert ja soweit auch alles, nur eben nicht mit der Photostation.
Da dieses nicht über das Anwendungsportal geht, kann ich die Subdomain photo.domain.de nirgends eintragen.
Wenn ich diese im Konfigmenue der Photostation, sprich Einstellungen -> Allgemein Routerport eintrage, taucht diese nicht im Menue mit den Zertifikaten auf, somit kann ich auch kein Zertifikat zuteilen.
Oder wird dass anderswo gemacht.
Ansonsten ist es ein Murx...alle anderen Anwendungen gehen und sind iM Anwendungsportal zu finden.

Entschuldige, falls ich auf dem Schlauch stehe...

 

[mehlbox]

OK ich habe jetzt etwas rumprobiert und muss meine Aussage bezüglich der Photostation revidieren.
Die Photostation wird tatsächlich nicht bei den Zertifikaten aufgeführt. Es wird das Standart-Zertifikat verwendet.
Es sollte kein Problem sein ein Zertifikat zu erstellen dass auf zwei Domains passt.

Der Eintag unter "Photostation - Einstellungen - Allgemein - Hostname" hat keinen Einfluss auf den reverse Proxy Server.
Dieser Eintrag ist nur die Adresse für das Symbol im DSM Hauptmenü.
Die Photostation selbst nimmt nur Anfragen entgegen von Domains die noch NICHT in vergeben sind.
Sind alle Einstellungen leer so kommt man mit domain.de/photo auf die Photostation.
Angenommen domain.de ist schon im Webserver vergeben. Wenn dies der Fall ist funktioniert domain.de/photo nicht mehr.
Ohne irgendwelche Einstellungen vorzunehmen kann man einfach irgendwas.domain.de/photo verwenden um auf die Photostation zu kommen.
Dabei darf irgendwas.domain.de in keiner der folgenden Einstellung auftauchen:
- Webstation - Virtueller Host - Hostname
- Systemsteuerung - Anwendungsportal - Anwendung - Domain
- Systemsteuerung - Anwendungsportal - Reverse Proxy - Quelle
Der Eintag von irgendwas.domain.de unter "Photostation - Einstellungen - Allgemein - Hostname" ist aber zulässig.

 

[Dufooy]

Danke Dir,

ja habe ich alles auch getestet.
Leider funktioniert es im Eindefekt doch nicht so einfach wie gedacht.
Die Photostation ist nur erreichbar wenn man/user /photo hinten anhängt.
So wie beim Reverse Proxy der dann photo.domain.de erkennt und nach photo.domain.de/photo umschriebt geht es leider nicht.
Verstehe da die Logik von Synology leider nicht...

 

[Fusion]

Die Logik versteckt sich in dem Betrieb von mehreren Web-Servern auf der DS.
Während die Photo Station auf dem user-webserver läuft auf dem auch die vHosts laufen (inzwischen gibt es ja mehrere Backends zur Auswahl) laufen alle anderen Apps auf dem system-webserver.
Historisch würde ich spekulieren, dass am Anfang eben die Photo Station über 80/443 (ohne Portangaben) erreichbar sein sollte, während alle anderen Apps nur über diverse Ports oder 500x erreichbar waren, weshalb überhaupt diese "Aufspaltung" zu Stande kam. Aber wie gesagt, Spekulatius.
Wieso da bis heute nicht "nachgebessert" wurde ... keine Interesse, technische Probleme, niedrige Prio, who knows....

 

[mehlbox]

Du könntest mit dem Webserver unter photo.domain.de eine Weiterleitung mittels php realiesieren die dann auf domain.de/photo verweist.

Ich denke eine Logik gibt es nicht. Die Photostation gab es schon vor DSM 6 und wurde seitdem auch nicht verändert.
Ich bin gespannt was mit dem Nachfolger "Moments" auf uns zukommt.

Edit:
Eine kurze Google suche ergab folgendes:
http://info.zeichensatz.de/technik/...o-station-auch-bei-subdomain-aufrufbar-machen
Getestet habe ich das nicht. Ist mir zuviel Eingriff in das System für dieses kleine Manko.