Authelia mit internem NGINX Reverse Proxy von Synology

knilch

Benutzer
Mitglied seit
25. Dez 2023
Beiträge
31
Punkte für Reaktionen
15
Punkte
64
Nein, sofern Du zuvor keine Änderungen an den internen Einstellungen gemacht hattest...
Prüfe mal Systemsteuerung>Anmeldeportal>Anwendungen

Ansonsten nur den eigenen Proxy deaktivieren und die Änderungen in den Dateien
/usr/syno/share/nginx/*.mustache
rückgängig machen (siehe log in BACKUP_DIR).

Vielleicht auch nur ein weiterer Neutart der DS, der fehlt.
 
  • Like
Reaktionen: update-freak

update-freak

Benutzer
Mitglied seit
19. Feb 2018
Beiträge
402
Punkte für Reaktionen
36
Punkte
28
Zwei kurze Fragen noch:
Aktuell nutze ich Acme.sh als docker. Soweit ich weiß kann das ja nicht mehr verwendet werden bei nginx Reverse Proxy -> dann mit Certbot? Wie machst du das genau?

Bzgl Firewall. Greift die dann nicht mehr "normal" und was ist da zu berücksichtigen?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ich nutze den Certbot im nginx RP ohne Probleme für mehrere Wildcard-Certs. Der aktualisiert das auch automatisch. Dafür brauchst auch keine Protfreigaben. Ich habe den acme.sh auf der DS aber zusätzlich am Laufen, sodass die DS selbst auch ein gültiges Cert hat. Das ist dann für Verbindungen relevant, welche nicht über den RP laufen.
Deploy von acme.sh nach nginx RP geht leider nicht, das habe ich schon versucht.
 
  • Like
Reaktionen: update-freak

knilch

Benutzer
Mitglied seit
25. Dez 2023
Beiträge
31
Punkte für Reaktionen
15
Punkte
64
Bei mir läuft Certbot als Docker-Container (certbot/certbot:latest).
Certbot und NGINX sehen sich in einem Docker-Net und teilen sich die Ordner /var/www/certbot/ und /etc/letsencrypt/ .
Wildcards habe ich leider keine, so dass jede Service-Subdomain ("service.mydomain.de") ein eigenes LE-Zertifikat braucht.
Wie plang.pl schon schrieb: einmal registriert ist das dank Auto-Renewal stressfrei.
 
  • Like
Reaktionen: update-freak

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Würde da nicht Basic Auth reichen? Muss nur dafür wirklich Authelia eingerichtet werden? Vor allem weiß ich nicht wie gut du das bei Synology integrieren kannst, damit es auch Updates übersteht.
Wenn man Zeit und Lust hat, kann man das sicherlich ausprobieren. Die Chancen stehen aus meiner Sicht gut.
https://www.reddit.com/r/synology/comments/gue2ee/reverse_proxy_basic_http_auth_support/

Prinzipiell könnte man sicherlich auch Authelia in Synology einbetten.
https://www.authelia.com/integration/proxies/nginx/

Aber aus meiner Sicht setzt man hier auf tatsächlich auf das falsche Pferd.
@update-freak von meiner Warte: Klare Empfehlung für SWAG + Authelia. Wenn du das einmal eingerichtet hast, verstehst hast du in jedem Fall ein besseres Verständnis davon wie ein Nginx funktioniert und konfiguriert werden kann.
 

dirk1305

Benutzer
Mitglied seit
11. Jul 2014
Beiträge
13
Punkte für Reaktionen
0
Punkte
1

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
SWAG wird doch im Docker installiert. Da nutzt du doch nichts von Synology. Das ist ja der Vorteil. Am Besten eh in einer VM installieren.
 

dirk1305

Benutzer
Mitglied seit
11. Jul 2014
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Die Syno nutzt doch den Port 443 und 80 intern für den Reverse Proxy.
D.h. man muss den Port für SWAG und Authelia freischaufeln. Siehe auch #22
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Deshalb ja in einer VM. Dann hat man diese Probleme nicht.
 

dirk1305

Benutzer
Mitglied seit
11. Jul 2014
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Hatte vorher Pi-hole und unbound auf einer Debian VM. Hab dann auf Docker gewechselt, da einfach für mich praktischer.
Kann ich dann SWAG und Authelia, Pi-hole und unbound auf einer VM laufen lassen? Hab pi-hole und unbound auf zwei VM gehabt.

Was macht denn überhaupt dann Sinn im Docker und was auf einer VM laufen zu lassen?
Und was nehme ich? Debian?
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Die Docker Version auf deiner Synology ist eh EOL im Moment. Kernel ist auch veraltet. Das kann bei einigen Images zu Problemen führen.
Du kannst die oben genannten Anwendungen alle in einer VM laufen lassen. Welches Linux ist dir überlassen. Ich verwende auf meinem Proxmox Host bei allen VMs Ubuntu-Server.
Was macht denn überhaupt dann Sinn im Docker und was auf einer VM laufen zu lassen?
Ich lasse fast alle Anwendungen im Docker laufen. Aber das meiste halt nicht auf der Synology.
 

dirk1305

Benutzer
Mitglied seit
11. Jul 2014
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Ich meinte auch den Container Manager ;-)
Kenne Docker seither nur von der Syno. Dann werde ich mal eine VM mit Ubuntu aufsetzen und testen.
Danke erstmal.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Der Container Manager ist auch nur eine schlechte GUI für Docker. Leider muss man das installiert haben, damit Docker installiert wird. Ich würde, wenn man eine GUI haben will, Portainer oder Dockge empfehlen oder einfach docker-compose auf der Shell.
 
  • Like
Reaktionen: ctrlaltdelete

dirk1305

Benutzer
Mitglied seit
11. Jul 2014
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Ja, bin ich bei Dir. Habe alle Container mit Portainer Stacks installiert. Mach ein neues Aufsetzen recht einfach.
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Die Syno nutzt doch den Port 443 und 80 intern für den Reverse Proxy.
D.h. man muss den Port für SWAG und Authelia freischaufeln. Siehe auch #22
Mit Verlaub: Ein Scheiß muss man.. Die einfachste Lösung läuft über ein angepasstes Port-Forwarding. Anstelle der Weiterleitung von 443 auf 443 machst du einfach eine Weiterleitung von 443 auf den HTTPS Port von SWAG, den du unter Docker selbst definieren kannst. So läuft das bei mir seit Langem - auch ohne, dass ich etwas "freischaufeln" musste.
 
  • Like
Reaktionen: dirk1305

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Aber wie machst du es dann, dass die Domains auch intern funktionieren ohne übers Internet geroutet zu werden? Du kommst ja so nur über den Router auf den richtigen Port. Ansonsten musst du den angeben.....
 

dirk1305

Benutzer
Mitglied seit
11. Jul 2014
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
extern ist das ja kein Thema. Wohin die FW weiterleitet ist der egal🤓
Intern dann über die DNS Umschreibung?
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Da gibst du aber keine Ports an, sondern nur die IP.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat