Fragen zu Zugangskontrollprofil / externer Zugriff

[xelarep]

Hallo zusammen,

im Rahmen eines Umzugs auf eine neue DS und Upgrade 6.2->7.2 beschäftige ich mich gerade mit dem Thema "Zugangskontrollprofil" um meine teilweise >10 Jahre alten Krücken endlich mal durch "normale" Systemfunktionen zu ersetzen.

Auch wenn die Informationen darüber echt spärlich sind: Ich denke grundsätzlich habe ich verstanden wie man das ganze einrichtet - ein erster Test steht nach durchklicken und scharf schalten noch aus, aber:

1. die Zugangskontrollprofile behandeln nur IPv4 Adressen, muss ich dann IPv6 für die DS komplett abschalten, bzw. wie verhindere ich hier einen Bypass?
2. für einzelne Bereiche (z.B. mein dokuwiki) würde ich für externe Zugriffe gerne eine Anmeldeseite vorschalten, die idealerweise auf die Benutzerverwaltung der DSM zugreift. Wie könnte ich das mit Bordmitteln oder einem gepflegetem Zusatzpaket lösen?

Für das zweite Problem habe ich in der Vergangenheit den Webserver unter einem Apachen laufen lassen, und mit dynamisch erzeugten .htaccess/.htpasswd entprechend "vorgefiltert" - hier konnte ich auch IPv6 Adressen behandeln...

Bitte keine Hinweise auf "Zugriff auf DS nur per VPN!" - VPN ist eingerichtet und ich nutze das auch weitgehend. Aber einige Dienste kann ich nicht allen Usern per VPN zur Verfügung stellen...

Gruß,
Alexander

 

[plang.pl]

Zu 1 kann ich leider nix sagen. Ich nutze kein IPv6
Zu 2: Das geht mit dem im Synology integrierten Reverse Proxy nicht. Höchstens via ssh aber da weiß man nicht, ob das ein Update überlebt. Das könnte ein nginx RP oder (fast) jeder andere Reverse Proxy in Docker oder einer VM besser und einfacher abbilden.

 

[xelarep]

Hm, jetzt habe ich einen Knoten im Kopf: würdest Du dann den Synology internen Reverse Proxy gar nicht nutzen, und alles über eine Docker Lösung machen, oder den als "Sub-Reverse-Proxy" der dann die Anfragen bekommt, die der Synology Reverse nicht schon umgeleitet/abgearbeitet hat?
Ich hab in meiner zugegebenermassen recht kurzen Recherche jetzt nur allgemeine Anleitungen gesehen

 

[alexhell]

Nur die Docker Lösung bzw. sogar am Besten in der VM. Den internen würde ich nicht nutzen, wenn man bisschen mehr machen will.

 

[xelarep]

OK, ich versuch mal zusammenzufassen was ich bisher verstanden habe, bzw. meine nächsten Schritte sein könnten:

1.) Reverse Proxy im DSM zurück bauen/deaktivieren
2.) mein bisheriges Wildcard Zertifikat in der DSM wieder entfernen und ein lokales Standard Zertifikat installieren
3.) bisherige Port Forwardings auf FritzBox erst mal deaktivieren/löschen
4.) Im Anwendungsportal für die nach draußen gehenden Dienste Ports vergeben, über die der (nun externe) Reverse Proxy zugreifen kann

Damit bin ich erst mal im LAN/lokal wieder sauber, und habe hier nun auch die bisherigen Zertifikatsfehler/Warnungen beim Zugriff über lokale IPs nicht mehr - GUT!

4a) VM auf der Diskstation installieren und ein Linux(?) Image für den Nginx Proxy Manager anlegen und eben diesen installieren
--> hier könnte ich noch Empfehlungen brauchen: welches Linux, fertiges Image, Arbeitsspeichergrösse, Imagegrösse usw.
oder
4b) Nginx Proxy Manager im Container Manager einrichten
--> welches image/config oder stumpf z.B. die Marius Hosting Anleitung durchgehen?
--> wie wäre denn ein Performancevergleich zu einer VM zu bewerten - ich hab ja "nur" ne DS224+ mit 18GB RAM

5.) in der FritzBox Forwardings auf den Nginx Proxy Manager für eingehend Port 80/443 einrichten
6.) im Nginx Proxy Manager entsprechende meine Mappings/Forwardings einrichten (sowohl für die DSM Dienste als auch meine Webdienste).
--> was ist hier bewährte Praxis Let's Encrypt Wildcard Zertifikat, oder einzelne Zertifikate für jedes Forwarding?

Was muss ich bei Synology Drive noch beachten? Hier wird ja für die Synchronisierung ja der Port 6690 verwendet.
Wie gebe ich diesen weiter? Direkt?

Sonstige Empfehlungen/Hinweise?

 

[plang.pl]

zu 4a) Für die schlankeste Version empfehle ich den Ubuntu Server. Der hat allerdings keine grafische Oberfläche. Mit Oberfläche ist lubunut ziemlich schlank. Wenn nur für den RP, reichen 1GB RAM aus
zu 4b) Der nginx RP ist halt etwas altbacken, aber geht klar. Ich nutze den auch. Beachte, dass du auf der (wenn im Docker) das so "hinpfuschen" musst, dass Port 443 / 80 nicht mehr vom DSM belegt wird. Das ist standardmäßig der Fall
zu 6) Der nginx kann Zertifikate via Certbot ohne Portforwarding anfordern

Zu Drive: Das geht nicht via RP. Verwendet immer (hardcoded) 6690

Sonstige Empfehlungen: Betreibs wenn möglich in einer VM und nicht auf der DS in Docker.

 

[Benie]

VM auf der Diskstation installieren und ein Linux(?)

Hier kann ich Dir auch Linux Mint Xfce als schmale Linux Distro empfehlen. Hat eine schöne Oberfläche, läuft auch sehr flüssig und ist einfach zu handhaben.

 

[alexhell]

Ich nutze über all nur Ubuntu Server. Weil ich brauche beim Server keine Oberfläche. Wüsste nicht was ich damit soll

 

[plang.pl]

Ich habe, wie ich mit Linux + Proxmox richtig angefangen habe, für alle VMs lubuntu hergenommen, weil ich dachte, dass ich ohne UI nicht zurechtkomme. Aber ehrlicherweise habe ich sie nur 1-2x genutzt. Im Nachhinein hätte ich das wohl nicht gebraucht. Da aber der Ressourcenverbrauch von lubuntu quasi identisch mit dem von einem Ubuntu-Server ist (CPU Last ist gleich; RAM minimal höher, Speicherplatz natürlich leicht höher), werde ich jetzt erstmal nicht umsteigen.

 

[Benie]

Wüsste nicht was ich damit soll

ganz einfach, nicht jeder kommt ohne GUI zurecht. war ja auch für @xelarep gedacht

 

[xelarep]

Danke für die Rückmeldungen.

Ich hab inzwischen auf der DS den Virtual Machine Manager installiert und einen ubuntu server 22.04.3 LTS aufgesetzt.
Diesen kann ich in meinem LAN über eine eigene IP z.B. mit einer SSH Konsole erreichen und weiter konfigurieren.

Soweit so gut, jetzt klemmt aber die Installation des Nginx Proxy Manager.

Ich hab eine der vielen Anleitungen auf YT genommen, die über einen Docker auf dem virtuellen Ubuntu den NPM zur Verfügung stellen
Container startet, und jetzt tauchen in meiner VM Umgebung zwei neue Netzwerkadressen auf, die ich natürlich aus meinem LAN nicht erreichen kann - 172.17.0.1, 172.18.0.1. Ich erreiche also die NPM Oberfläche unter 192.168.71.2:81 in meinem LAN nicht)

Was mach ich falsch, bzw. was hab ich übersehen? Ohne Docker kein NPM?! Wie verbiege ich jetzt den Docker, dass der Container im LAN sichtbar wird?

 

[xelarep]

Also jetzt komm ich mir doof vor: vor dem Mittagessen noch schnell die net-tools installiert und mal spazieren geschaut - nach dem Mittagessen öffnet sich auf magische Weise das Konfiguratuionsportal - sonst nix geändert

 

[alexhell]

Einen Docker Container, der im Bridge Modus läuft, sprichst du über die IP vom Host an. Zeig doch mal wie du den Container installiert hast

 

[xelarep]

Ganz grob:

• Ubuntu 22.04.3 in der Synology VM. IP 192.168.1.2 im LAN. Erreichbar per SSH zur weiteren Konfiguration - OK
• Docker installiert
• NPM minimal docker-compose.yml
  

  version: '3'services:
    app:
      image: 'jc21/nginx-proxy-manager:latest'
      restart: unless-stopped
      ports:
        - '80:80'
        - '81:81'
        - '443:443'
      volumes:
        - ./data:/data
        - ./letsencrypt:/etc/letsencrypt

Wie gesagt, läuft jetzt...

 

[alexhell]

Ah ok, dann ist ja gut