Domain statt lokaler IP über VPN

Status
Für weitere Antworten geschlossen.

michael_na

Gesperrt
Mitglied seit
29. Dez 2020
Beiträge
53
Punkte für Reaktionen
4
Punkte
8
Hallo Zusammen,

meine NAS ist per Fritzbox VPN erreichbar.
Nun möchte ich statt einer lokalen IP-Adresse (z.B. 192.168.178.40:8090) eine Domain (z.B. app.domainname.de) hinterlegen, um einen Docker Container zu erreichen.
Bei der Suche bin ich auf Reverse Proxy gestoßen, funktioniert aber wohl nicht bei eine VPN-Verbindung. Gibt es noch andere Möglichkeiten lokale IP-Adressen durch Domains zu ersetzen?

Besten Dank!
Michael
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Wieviele Leute sollen darauf zugreifen (die keinen VPN-Zugang besitzen)?

EDIT: Es geht theoretisch alles was Du willst, nur musst Du mit gewissen Umständen leben müssen. Fraglich ist erstmal, "was genau" Du Dir so vorgestellt hast (auch in Bezug auf die externe Erreichbarkeit). In der Theorie ist die Sache mit dem Reverse-Proxy nicht unbedingt verkehrt (aber eigentlich auch nicht unbedingt nötig, sofern es nur intern ist, aber ... anderes Thema...), von daher warst Du (meines Erachtens nach) schon garnicht so verkehrt unterwegs.
 

michael_na

Gesperrt
Mitglied seit
29. Dez 2020
Beiträge
53
Punkte für Reaktionen
4
Punkte
8
Nur Personen mit VPN sollen darauf zugreifen können.
Aber eben nicht über die lokale IP, sondern über eine Subdomain.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Dann einen internen DNS (z.B. über das Syno-Paket) und den als DNS an die Clients verteilen, dann kannst Du über den DNS-Dienst Deine Domains regeln ;)
 
  • Like
Reaktionen: michael_na

michael_na

Gesperrt
Mitglied seit
29. Dez 2020
Beiträge
53
Punkte für Reaktionen
4
Punkte
8
ich schau mir das an danke! Falls ich nicht weiterkomme, melde ich mich noch mal :)
 
Zuletzt bearbeitet:
  • Like
Reaktionen: blurrrr

michael_na

Gesperrt
Mitglied seit
29. Dez 2020
Beiträge
53
Punkte für Reaktionen
4
Punkte
8
Dann einen internen DNS (z.B. über das Syno-Paket) und den als DNS an die Clients verteilen, dann kannst Du über den DNS-Dienst Deine Domains regeln ;)
Also hab mich jetzt ein wenig mit dem Syno DNS Server beschäftigt.
Eins ist mir gleich aufgefallen und zwar das bei einem DNS-Eintrag keine Ports hinterlegt werden können. Es werden ja immer die festen http(s) Ports angesprochen. Die Ports werden aber benötigt um auf die einzelnen Docker Container zu kommen. Gibt es hierfür eine Lösung?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Nimmste Reverse-Proxy für die Container und jut (sofern die keine eigenen IPs haben). Für normale Webseiten auf der Syno eben die vHost-Einträge der Webstation. Beim Reverse-Proxy kannste dann auch halt sagen:

a.domain.tld -> syno:1234
b.domain.tld -> syno:2345
c.domain.tld -> syno:3456
a.domain2.tld -> syno:4567
usw.

Du sprichst mit dem Reverse-Proxy (via fqdn/https) und der Reverse-Proxy spricht mit dem Container (oder was auch immer).

P.S.: "DNS" hat "nichts" mit "Ports" zu tun (also in "Deinem" Sinne) ??

EDIT: Lass die DNS-Records einfach allesamt auf die Syno zeigen und der Reverse-Proxy übernimmt dann für Dich den Rest (konfigurieren musste aber noch selbst ?? ).
 
  • Like
Reaktionen: Tuxnet

michael_na

Gesperrt
Mitglied seit
29. Dez 2020
Beiträge
53
Punkte für Reaktionen
4
Punkte
8
Also DNS verwerfen und nur Reverse Proxy?
Und das klappt? Ich dachte bei mir ist die Problematik, dass die externen User per VPN auf der NAS sind und dann der Reverse Proxy nicht funktioniert?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
NEIEIEIEIEIEIN... hör mir doch mal zu...??

DNS ist ein "Zeiger"
Reverse-Proxy ist der "Verteiler"

DNS "zeigt" auf Reverse-Proxy, der "verteilt" an die Container.

Immer "zweierlei" betrachten:

a) die Sache mit den "Namen"
b) die Sache mit den "IPs"

Name -> IP (DNS)
IP entscheidet anhand des "angesprochenen Namens" was mit dem Paket passiert (Reverse-Proxy)

Kurzum: *tief Luft hol*.... Deeeeeeeeeer Client will zu "test.example.com". Da der Client aber keine Ahnung hat, wohin er seinen Kram schicken soll, fragt er voher beim DNS-Dienst an. Dieser antwortet mit einer IP-Adresse. Also macht der Client sein Paket fertig, klebt einen Sticker drauf "test.example.com" und schickt das ganze Ding an sein Standard-Gateway (sofern die Ziel-IP nicht im gleichen Netz ist) und bittet darum, dass das Gateway den Krempel bitte weiterleiten möge. Irgendwann kommt das Paket dann bei der Ziel-IP an. Ziel-IP schaut auf das Paket und sieht den Sticker "test.example.com". Nun schaut die Ziel-IP (also unser Reverse-Proxy, falls das noch nicht klar geworden sein sollte) in seinen Unterlagen nach, ob er nicht irgendwo einen Eintrag zu "test.example.com" hat und siehe da, da ist ja was! test.example.com ist eigentlich der Docker-Container auf Port 34567, also übergibt der Reverse-Proxy jetzt das Paket an den Container. Der Container antwortet dem Reverse-Proxy nun mit einem Paket für den "ursprünglichen" Absender (der Client) und der Reverse-Proxy schickt das Paket nun wieder zurück.

"Halbwegs" verständlich? Ich versuch's nochmal kürzer und greifbarer...

Ich geb meinem Postboten ein Paket für Dich (Anschrift hab ich aus dem Telefonbuch (DNS!)), welches aber an Deine Empfangsdame adressiert ist (Reverse-Proxy). Das Paket kommt bei ihr an, sie gibt es Dir und Du schickst mir (über sie) ein Paket zurück. Das wäre jetzt so die Kurzform, ist vllt besser... ?
 

michael_na

Gesperrt
Mitglied seit
29. Dez 2020
Beiträge
53
Punkte für Reaktionen
4
Punkte
8
NEIEIEIEIEIEIN... hör mir doch mal zu...??
Da standen ja vorher nur ein paar Wortfetzen zum Reverse Proxy. Den Rest hast Du ja erst nachträglich editiert! :)
Ok, ich versuche mal mein Glück. Aber wird eine Herausforderung werden. Ich melde mich, wenn ich nicht weiterkomme.
Vielen Dank schon mal!
 

michael_na

Gesperrt
Mitglied seit
29. Dez 2020
Beiträge
53
Punkte für Reaktionen
4
Punkte
8
Hallo zusammen,

ich muss noch mal meinen eigenen alten Thread aufwärmen. Ich bekomme es immer noch nicht hin einen lokalen Docker-Container per Domain aufzurufen. Es geht lediglich um einen internen Zugriff bzw. Zugriff über VPN.

Hier alles was ich gemacht habe, aber irgendwas ist entweder falsch oder es fehlt noch was:

1. Synology DNS-Server Primäre Zone agelegt

1706882984680.png

2. Zusätzliche DNS-Einträge (A-Record und CNAME):

1706883039315.png

3. Reverse Proxy eingerichtet

1706883165014.png


4. Router Port-Weiterleitung auf IP-Adresse der NAS (Telekom Speedport Smart 4)

1706883259382.png


Wenn ich nun docker1.nas.local aufrufe passiert nichts. Woran hackt es noch?

Viele Grüße
Michael
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
1. Wieso öffnest du Ports, wenn ich es von außen gar nicht erreichbar sein kann/muss? Sind ja alles interne Domains nur für dich.
2. Wenn du es schon so lange nicht mit dem Synology DNS Server hinbekommst, wieso nutzt du nicht etwas womit es viel schneller geht? z.B. Dnsmasq, Pi-Hole oder Adguard? Wenn du keine Werbung blocken willst, dann würde ich dir Dnsmasq empfehlen. Innerhalb von 5 Minuten im Docker eingerichtet.
3. Was passiert denn wenn du im Terminal nslookup docker1.nas.local eintippst?
 

michael_na

Gesperrt
Mitglied seit
29. Dez 2020
Beiträge
53
Punkte für Reaktionen
4
Punkte
8
1. Wieso öffnest du Ports, wenn ich es von außen gar nicht erreichbar sein kann/muss? Sind ja alles interne Domains nur für dich.
Das habe ich irgendwo gelesen. Es geht ja lediglich um den Port 80, der damit auf die NAS und nicht auf den Router zeigen soll.

2. Wenn du es schon so lange nicht mit dem Synology DNS Server hinbekommst, wieso nutzt du nicht etwas womit es viel schneller geht? z.B. Dnsmasq, Pi-Hole oder Adguard? Wenn du keine Werbung blocken willst, dann würde ich dir Dnsmasq empfehlen. Innerhalb von 5 Minuten im Docker eingerichtet.
Aber geht es nun mit den eigenen Synology-Apps/Einstellungen oder nicht? Wenn ja, wozu dann Drittapps?

3. Was passiert denn wenn du im Terminal nslookup docker1.nas.local eintippst?
Server: 192.168.178.1
Address: 192.168.178.1#50

** server can't find docker1.nas.local: NXDOMAIN

Da kommen wir dem Problem vermutlich näher. Er sucht nach wie vor auf der 1 und nicht auf der 50 (NAS).
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Er sucht nach wie vor auf der 1 und nicht auf der 50 (NAS).
Weil du dem Router sagen musst, er soll als DNS die DS nehmen oder die DS als DNS-Server an die Clients verteilen (Zungenbrecher :ROFLMAO: )
Aber zum Test kannst du auch mal mit dem Befehl server IP auf die DS als DNS umstellen
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Das habe ich irgendwo gelesen. Es geht ja lediglich um den Port 80, der damit auf die NAS und nicht auf den Router zeigen soll.
Ja, aber nur wenn du von außen kommst. also http://externe-ip wird auf die NAS geleitet. Und das will man nicht haben.
Aber geht es nun mit den eigenen Synology-Apps/Einstellungen oder nicht? Wenn ja, wozu dann Drittapps?
Ich nutze den nicht. Daher kann ich dir da nicht helfen. Ich nutze die Tools, mit denen das am einfachsten umzusetzen ist. Oder wieso MUSS es von Synology sein?
Da kommen wir dem Problem vermutlich näher. Er sucht nach wie vor auf der 1 und nicht auf der 50 (NAS).
Verwendest du denn die NAS als DNS Server?
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat