DSM 6 Reverse Proxy

[Dufooy]

Danke Dir,


mal sehen ob ich den Code Snypet für nginx anpassen kann, falls es läuft poste ich es.
Zum anderen warte ich auch auf Moments, hoffe dass ist dann besser gelöst...

Viele Grüße D.

 

[micky1067]

Hallo zusammen,

seit dem DSM 6.1 update gehen die Einstellungen wie aus #54 nicht mehr.
Hat jemand eine Idee warum das so ist ? Vielleicht sogar eine Lösung dazu ?

Danke...

 

[Jens09]

Hallo zusammen,

Ich schließe mich der Frage mal an. Ich habe versucht, wie in diesem Thread beschrieben, meine Subdomain photo.meinedomain.tld auf die Photostation umzuleiten. Leider stoße ich dabei immer auf diverse Fehler

 

[DerLord]

Was funktioniert denn nicht mehr?

 

[Jens09]

Ich glaub ehrlich gesagt, ich habe das ganze nicht so richtig verstanden.

Folgende Einstellungen habe ich bisher auf meiner DS erfolgreich am laufen.





Nun dachte ich mir, genauso wie ich bisher alles über subdomains erreiche möchte ich auch gerne die PS über Subdomain erreichbar machen.

Ich habe mir dafür folgendes schnippsel hier raus gesucht

# -------------------------------------------------------------------------------------------------------
# PhotoStation
# -------------------------------------------------------------------------------------------------------
server {
listen 443 ssl;
listen [::]:443 ssl;

server_name photo.meinedomain.de;

root /var/packages/PhotoStation/target/photo;

add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload" always;

location / {
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";

include /etc/nginx/fastcgi_params;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_read_timeout 300;

#auth_basic "Photostation";
#auth_basic_user_file /etc/nginx/.htpasswd;

rewrite ^/$ http://$http_host/photo;

proxy_pass http://meinedomain.de;
}
}

und dieses unter /usr/local/etc/nginx/sites-enabled/reverse-proxy.conf abgelegt.
Den DNS-Server auf der DS habe ich entsprechend um die Subdomain erweitert. Leider bekomme ich immer folgenden Fehler, wenn ich nun die PS über die Subdomain "photo.meinedomain.de" öffnen möchte



Ich weiß auch gerade nicht, was ich wieder verstellt habe, bis zum letzten Versuch gerade eben bin ich über "meinedomain.de" gar nicht auf die DS gekommen von aussen und nun macht er automatisch wieder die Weiterleitung auf Port 5001. Mit Suffix komm ich somit nur über "meinedomain.de/suffix" in die entsprechenden Anwendungen (drive, ps, etc...). Das hatte ich vorher irgendwie geschafft einzustellen, dass dies nicht geht, sondern nur über die entsprechende Subdomain. Im Router sind jediglich die Ports 80 und 443 weitergeleitet.

 

[Jens09]

Ich habe meine reverseproxy.conf nun mal folgendermaßen geändert:

# -------------------------------------------------------------------------------------------------------
# HTTPS Redirect
# -------------------------------------------------------------------------------------------------------
server {
        listen         80;
        server_name 	  *.meinedomain.de;
        return         301 https://$http_host$request_uri;
	   }
# -------------------------------------------------------------------------------------------------------
# HTTPS Redirect
# -------------------------------------------------------------------------------------------------------
# PhotoStation
# -------------------------------------------------------------------------------------------------------

server {
listen 443 ssl http2;
listen [::]:443 ssl http2;

server_name sub.meinedomain.de;

# LetsEncrypt certificates
ssl_certificate /usr/syno/etc/certificate/_archive/1234xxx/fullchain.pem;
ssl_certificate_key /usr/syno/etc/certificate/_archive/1234xxx/privkey.pem;

root /var/packages/PhotoStation/target;

add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload" always;	

location / { 
root /var/packages/PhotoStation/target;
location ~* \.php(/|$) {
		fastcgi_split_path_info ^(.+?\.php)(.*)$;

		fastcgi_param SCRIPT_FILENAME   $document_root$fastcgi_script_name;
		fastcgi_param PATH_TRANSLATED   $document_root$fastcgi_path_info;
		fastcgi_param QUERY_STRING      $query_string;
		fastcgi_param REQUEST_METHOD    $request_method;
		fastcgi_param CONTENT_TYPE      $content_type;
		fastcgi_param CONTENT_LENGTH    $content_length;

		fastcgi_param SCRIPT_NAME       $fastcgi_script_name;
		fastcgi_param REQUEST_URI       $request_uri;
		fastcgi_param DOCUMENT_URI      $document_uri;
		fastcgi_param DOCUMENT_ROOT     $document_root;
		fastcgi_param SERVER_PROTOCOL   $server_protocol;
		fastcgi_param HTTPS             $https if_not_empty;

		fastcgi_param GATEWAY_INTERFACE CGI/1.1;
		fastcgi_param SERVER_SOFTWARE   nginx/$nginx_version;

		fastcgi_param REMOTE_ADDR       $remote_addr;
		fastcgi_param REMOTE_PORT       $remote_port;
		fastcgi_param SERVER_ADDR       $server_addr;
		fastcgi_param SERVER_PORT       $server_port;
		fastcgi_param SERVER_NAME       $host;
# PHP only, required if PHP was built with --enable-force-cgi-redirect
		fastcgi_param REDIRECT_STATUS   200;
		fastcgi_intercept_errors on;

		try_files $fastcgi_script_name  =404;

		fastcgi_param PATH_INFO $fastcgi_path_info;
		fastcgi_pass unix:/run/php-fpm/php70-fpm.PhotoStation.sock;

	}
rewrite ^/$ http://$http_host/photo;

#proxy_pass http://meinedomain.de; 
} 
}

was zuviel und überflüssig ist weiß ich nicht, aber so bekomme ich den Aufruf der PS über sub.domain.tld realisiert.

Da ich nur leider das Synology Zertifikat gelöscht habe, was von Anfang an mit ausgeliefert wurde, habe ich jetzt Zertifikatsfehler in den Android Apps. Die Drive App zum Beispiel lässt sich nun gar nicht über https öffnen, da wird ständig zwischen zwei verschiedenen Zertifikaten gesprungen... :-(

 

[Dufooy]

Hallo,

hat jemand eine Idee, wie ich IMAP, SMTP und POP3 via Anwendungsportal -> Reverseproxy auf eine VM/Docker Mailserver Umleite und von extern Erreichbar machen kann?
Ich habe versucht dies umzubiegen, wenn ich dann aber per telnet draufgehe bekomme ich via dieser Umleitung immer den Fehler wie folgt.

telnet imap.domain.de 143
Trying 84.142.xxx.xxx...
Connected to imap.domain.de.
Escape character is '^]'.
Connection closed by foreign host.

Wenn ich direkt Intern per IP drauf gehe funzt es und auch wenn direkt in der Fritzbox auf den Server zeigen lasse.
Wenn es über den NGINX geht gibt es den Fehler.
Hintergrund ist, das ich die Zertifikate via letsencrypt zentral Verwalten will.

Fall jemand eine Idee hat, ich bin offen...gerne liefere ich Logs und anderes was ihr dafür braucht.

Danke dufooy

 

[Jens09]

Nachdem ich über den Code in #126 den reverse Proxy hinbekommen habe ist mir nun ein weiteres Problem aufgefallen:

Nun wollte ich ein Album in der PS freigeben und musste leidvoll erfahren, das der Link zwar die korrekte Adresse enthält, beim Aufruf von nginx jedoch die Fehlerseite "404" geöffnet wird. Ersetze ich nun in dem Link den Bereich "Sub.domain.tld" durch die interne ip Adresse der ds funktioniert die Freigabe zumindest im Lan.

Jemand eine Idee?

Kurz zusammengefasst:
Aufruf

"Sub.domain.tld" öffnet meine PS
"Sub.domain.tld/photo/share/..." -> Fehler 404
"Local-ip/photo/share/..." öffnet das freigegebene Album

Für Hilfe wäre ich dankbar

 

[hardprogger]

Hallo Community,

das ist mein erster Beitrag hier und ich hoffe, dass er vielen von euch weiterhelfen wird.

Wie bei vielen anderen auch funktionieren die freigegeben Links der PhotoStation nicht. Deshalb ich mich mal ein wenig mit der Nginx Konfiguration beschäftigt.

Bei der PhotoStation habe ich den Hostnamen photo.meinedomain.at eingetragen die Ports für HTTP und HTTPS bleiben leer.

Danach verbindet man sich via SSH auf die Diskstation.
Im Ordner /etc/nginx/sites-enabled/ habe ich eine neue Datei mit den Namen photo.conf erstellt.

Diese beinhaltet folgenden Code:

server {
	listen 80;

	server_name photo.meinedomain.at;
	return 301 https://$http_host$request_uri;
}


server {
    listen 443 ssl;
    listen [::]:443 ssl;

    server_name photo.meinedomain.at;

    root var/packages/PhotoStation/target/photo;

    ssl_certificate /usr/syno/etc/certificate/_archive/xfx4ba/fullchain.pem;

    ssl_certificate_key /usr/syno/etc/certificate/_archive/xfx4ba/privkey.pem;

    location / {
        proxy_set_header        Host                $http_host;
        proxy_set_header        X-Real-IP           $remote_addr;
        proxy_set_header        X-Forwarded-For     $proxy_add_x_forwarded_for;
        proxy_set_header        X-Forwarded-Proto   $scheme;
        proxy_intercept_errors  on;
        proxy_http_version      1.1;

		include /etc/nginx/conf.d/www.PhotoStation.conf;

		include /etc/nginx/fastcgi_params;
		fastcgi_pass unix:/var/run/php-fpm/php70-fpm.Photostation.sock;
		fastcgi_read_timeout 300;

		rewrite ^/$ https://$http_host/photo$uri$args$is_args$query_string;
		proxy_pass https://localhost:443;

    }

	location ~ ^/photo {
	        rewrite ^/(.*)$ $1/ permanent;
		
	}

	rewrite ^/photo/share/([^/]+)$ /photo/share.php?shareid=$1;
	rewrite ^/photo/share/([^/]+)/(.*)$ /photo/share.php?shareid=$1&itemid=$2;
	rewrite ^/photo/webapi/download\.php/1\.([^?]*)?(.*)$ /photo/webapi/download.php?$2;

}

Anschließend gespeichert die nginx config mit "sudo nginx -t" überprüft und über "sudo nginx -s reload" neu geladen.
Tatata -> Die freigegebenen Links funktioneren.

 

[linuxdep]

So, alles durchgelesen... #54 scheint ja nicht mehr zu laufen mit aktueller DSM (selber nicht getestet), gefragt wurde auch nach einer Lösung, gibts da schon was mitlerweile?
Da ich keine sub-Domains (CNAME) bei meinem dynDNS Anbieter anlegen kann, der DSM 6.2 mitlerweile die internen APP's alle samt per Anwendungsportal auf my.domain.de/xxx umbiegt, fehlt nur noch DSM selber erreichbar zu machen.
Zusätzlich würde ich auch gern noch einen openVPN hinter 443 einrichten, hat das schon wer gemacht? Das leidige Thema ist mir gerade im Urlaub aufgefallen, dort gab es WLAN, aber nur Port 80 und 443 (FritzBox mit nur Surfen Einstellung).
Was mir wieder auffällt, Syno versteut die config Dateien schön über das System, leider nicht immer ersichtlich welche generriert und welche der Master ist, oder gibt es dazu eine Doku?

Ach so, oben sind eine menge Scripte/Config Files angegeben, aber selten habe ich einen Namen oder Speicherort dazu gefunden, schade.

 

[micky1067]

Hallo...

habe mal eine Frage.

Ich habe alles wunderbar am Laufen. Nun habe ich mir eine zweite DS gekauft und möchte diese über den Reverse Proxy erreichen.
Erste DS Port 5000/5001 und zweite Port 5002/5003. Jedoch geht das nicht. Wenn ich die zweite DS im Script einbinde, gibt die DS eine Fehlermeldung aus, dass
diese nicht richtig gestartet werden kann. Irgendwas beißt sich da.

Jemand eine Idee ?

Code:

# -------------------------------------------------------------------------------------------------------
# -------------------------------------------------------------------------------------------------------
# Reverse Proxy
# -------------------------------------------------------------------------------------------------------
server {
listen 443 ssl;
listen [::]:443 ssl;

listen 80;
listen [::]:80;

listen 9090;

server_name xxxxxxxxx.goip.de;

add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload" always;
# --------------------------------------------------------------------------------------------------
# DSM 218
# ---------------------------------------------------------------------------------------------------
location /ds218/ {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_intercept_errors on;
proxy_http_version 1.1;

proxy_pass http://192.168.6.2:5000/;
}
# ----------------------------------------------------------------------
# DSM 216
# ----------------------------------------------------------------------

location /ds216/ {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forward
proxy_set_header X-Forwarded-Proto $scheme;
proxy_intercept_errors on;
proxy_http_version 1.1;

proxy_pass http://192.168.6.8:5002/;
}

# ---------------------------------------------------------------------------------------------------
# guacamole Diskstation
# ---------------------------------------------------------------------------------------------------
location /guac/ {

proxy_pass http://192.168.6.2:8080/guacamole/;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_cookie_path /guacamole/ /guac/;
access_log off;
}
# ---------------------------------------------------------------------------------------------------
# guacamole RPi
# ---------------------------------------------------------------------------------------------------
location /guacamole/ {

proxy_pass http://192.168.6.17:8080/guacamole/;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_cookie_path /guacamole/ /guacamole/;
access_log off;
}

# ---------------------------------------------------------------------------------------------------
# phpmyadmin
# ---------------------------------------------------------------------------------------------------
location /php/ {
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
include /etc/nginx/fastcgi_params;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_read_timeout 300;

proxy_pass http://192.168.6.2/phpMyAdmin/;
}
# ---------------------------------------------------------------------------------------------------
# websever RPi3 MY
# ---------------------------------------------------------------------------------------------------
location /web {
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
include /etc/nginx/fastcgi_params;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_read_timeout 300;

proxy_pass http://192.168.6.17:8080/;
}
# ---------------------------------------------------------------------------------------------------
# DMS
# ---------------------------------------------------------------------------------------------------
location /dms/ {
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_intercept_errors on;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
include /etc/nginx/fastcgi_params;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_read_timeout 300;

proxy_pass http://192.168.6.2/seeddms50x/www/;
}

# ---------------------------------------------------------------------------------------------------
# kodi my
# ---------------------------------------------------------------------------------------------------
location /kodimy/{
rewrite ^ $request_uri;
rewrite ^/kodimy/(.*) /$1 break;
proxy_redirect http://192.168.6.17:8090 /kodimy/;
proxy_set_header Host $http_host;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-for $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $remote_addr;
proxy_set_header X-Scheme $scheme;
proxy_pass http://192.168.6.17:8090$uri;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
location /image
{
proxy_pass http://192.168.6.17:8090;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
location /jsonrpc
{
proxy_pass http://192.168.6.17:8090;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
# ---------------------------------------------------------------------------------------------------
# Hauptseite
# ---------------------------------------------------------------------------------------------------
location / {
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
include /etc/nginx/fastcgi_params;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_read_timeout 300;

proxy_pass http://192.168.6.2/;
}
location /secret/ {
auth_basic "secret";
auth_basic_user_file /volume1/web/secret/.htpasswd;
proxy_pass http://192.168.6.2/secret/;
}
}
# -------------------------------------------------------------------------------------------------------
# -------------------------------------------------------------------------------------------------------

 

[c0smo]

Zu deinem Script kann ich nicht viel sagen. Mir fällt aber auf, dass der Port 5002 eigentlich schon intern von der Videostation verwendet wird. Vielleicht liegt es daran.

Schau mal hier und verwende andere Ports die frei sind.
https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services

 

[micky1067]

Danke dir .. Werde mal Port 8000/8001 testen.
Werde dann berichten.

 

[c0smo]

Nur aus Neugierde.. Was hat das alles für einen Vorteil gegenüber einem normalen Login und warum kann das nicht über die GUI des Reverse Proxy erledigt werden?

 

[micky1067]

Normaler Login meinst nehme ich an Quickconnect.

Man kann auch wenn man sich hinter einer Firewall befindet auf Ports zugreifen die meistens gesperrt sind.
In einer Firewall sind meistens nur Port 80 und 443 offen. Durch den Reverse-Proxy ist das unerheblich, da Ports umgeleitet werden
und man die Seiten über die Subdomains erreicht.

Warum nicht interner Reverse Proxy ?
Beim internen RP benötigt man vom DDNS Anbieter mehrere Subdomains.
Mit dem Script reicht eine Domain..

 

[c0smo]

Ah ok. Das ist der Unterschied. Eine Domain für alles. Stimmt, ich habe für jeden Dienst eine eigene Subdomain.

Danke für die Aufklärung..

 

[micky1067]

So habe es getestet. Dein Tipp war super. Mit dem Port 8000 geht es nun.

Und es gab noch ein Fehler im Script. Der Teil für die DS216 lautet nun:
Zeile gelösch:
proxy_set_header X-Forwarded-For $proxy_add_x_forward

# ----------------------------------------------------------------------
# DSM 216
# ----------------------------------------------------------------------

location /ds216/ {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_intercept_errors on;
proxy_http_version 1.1;

proxy_pass http://192.168.6.8:8000/;
}

Hoffe ich konnte anderen damit helfen !

 

[c0smo]

Kein Problem. Sind zwar alles bömische Dörfer, aber 5002 tauchte irgendwo im Hinterstübchen auf..

 

[micky1067]

So.. jetzt habe ich noch ein Problem...

Auf meiner zweiten Diskstation läuft nun eine separate SQL Datenbank.
Diese wollte ich nun über den Reverse Proxy ansprechen. Also neue Ip Adresse (192.168.6.8) dazu eingetragen.
Zugriff auf die Hauptseite (phpmyadmin) erfolgt auch. Will ich mich aber anmelden werde ich auf die erste Diskstation umgeleitet.
Wie kann ich das umgehen ? Jemand eine idee ? Code hier weiter oben im Thread. #135
Ich habe die Einstellungen von phpmyadmin kopiert und nur die Ip Adresse angepasst ..

 

[sector]

Hallo Gemeinde,


Zu meinem Hintergrund:
aktuell habe ich Apache laufen mit Wordpress und einer Owncloud installation.
Ich habe eine Domain bei Strato mit 10 subdomains.


Mein Ziel ist:
Ich würde gerne mit subdomains auf meine Verschienden Dienste(owncloud direkt unter /web/owncloud installiert) ggf auch hinter Ports(DSM, sabnzbd) zugreifen.

Für den ersten Schritt, möchte ich mit dsm.domain.de auf meine DSM per https zugreifen



Ich habe mich mit dem Revese Proxy über die Systemsteuerung bereits versucht erste Gehversuche zu unternehmen auf /owncloud zuzugreifen mittels owncloud.domain.de
Da ich hier Probleme hatte (funktioniert nicht) wollte ich nun den Webserver zeitweise (während meine Tests) auf Nginx umstellen und mit dessen Revers Proxy erste gehversuche zu machen.
Der Zugriff auf Owncloud nicht mehr sobald der Webserver auf Nginx umgestellt worden ist.
-> Kann man das so machen, das man irgendwie Owncloud unter Apache laufen lassen kann der rest aber unter Nginx? Denn soweit ich das gelesen habe, wird Nginx nicht unterstützt von Owncloud?

Während dem lesen dieses Themas ist mir nicht so klar geworden, muss ich bei Strato mir extra Subdomains einrichten? Wenn ja, auf was müssen diese Zeigen? Als Proxy auf meine domain.de ?


ich habe in der sites-enabled eine web.conf Datei erstellt mit den folgenden Inhalt:

server {
      listen 443;
       server_name dsm.domain.de;
        location / {
               proxy_pass https://127.0.0.1:5051;
                }
}

Wenn ich das nun mit dem Beispiel von Post #14 vergleiche sollte das doch korrekt sein, oder?