Nginx Proxy Manager Zertifikat zu Synology Importieren

[SvensenDE]

Moin Moin

Ich hab Nginx Proxy Manager am laufen wo meine Zertifikate mit erstelle.
Da ich aber 2 Syno´s besitze kann die eine keine let's encrypt von selbst erstellen.

Daher würde ich gerne die von Docker Nginx Proxy Manager auf 2 Syno importieren.

auf die Pfade komme ich nur weiß ich nicht wie das als Aufgabenplaner umsetzen kann, da ich in Linux Shell befehlen zu schlecht dafür bin.

Das wäre der Pfad NGM die Zertifikate liegen

Benutzer: *******
Kennwort: ******

\\192.168.1.23\docker\npm\letsencrypt\live\npm-16
_____________________________________________________________________________

und das der Pfad wo sie hin müssten und überschrieben werden müssten

192.168.1.58/usr/syno/etc/certificate/_archive/JEaHDb

Ich hatte auch schon bisschen geschaut aber nix hier gefunden oder bei Google was Nginx Proxy Manager angeht

Für Hilfe wäre ich sehr dankbar

Viele Grüße

Sven

 

[ctrlaltdelete]

cp -f /volume1/docker/npm/letsencrypt/live/npm-16/cert.pem /usr/syno/etc/certificate/system/default/cert.pem
Prüfe mal deinen Zielpfad, ob deinr richtig ist oder meiner?

Das gleiche mit chain.pem, fullchain.pem and privkey.pem. Dann reboot oder restart webserver

 

[SvensenDE]

@ctrlaltdelete vielen dank erst einmal für dein Antwort

Das Zielpfad 192.168.1.58 wäre das hier "/usr/syno/etc/certificate/_archive/JEaHDb"

das problem was ich habe ist das der Pfad wo die Zertifikate liegen auf anderen Synology sind "192.168.1.23\docker\npm\letsencrypt\live\npm-16"

 

[ctrlaltdelete]

wo ist das Problem?

 

[SvensenDE]

@ctrlaltdelete


Muss man sich dann nicht per script shell da einloggen?
Ich bin leider was Linux Shell angeht komplett plan los wenn man das so sagen will.

 

[ctrlaltdelete]

du wolltest das doch als script im Aufgabenplaner ausführen.

 

[SvensenDE]

Ja das richtig weiß nur nicht wie der script aussehen soll weil davon keine ahnung leider habe.

Aber wenn er sich die Datei von anderen Nas holen möchte müsste man sich doch von dem einen Nas auf anderen per Script einloggen oder nicht?

 

[crammaster]

Moin Moin

Ich hab Nginx Proxy Manager am laufen wo meine Zertifikate mit erstelle.
Da ich aber 2 Syno´s besitze kann die eine keine let's encrypt von selbst erstellen.

Daher würde ich gerne die von Docker Nginx Proxy Manager auf 2 Syno importieren.

auf die Pfade komme ich nur weiß ich nicht wie das als Aufgabenplaner umsetzen kann, da ich in Linux Shell befehlen zu schlecht dafür bin.

Das wäre der Pfad NGM die Zertifikate liegen

Benutzer: *******
Kennwort: ******

\\192.168.1.23\docker\npm\letsencrypt\live\npm-16
_____________________________________________________________________________

und das der Pfad wo sie hin müssten und überschrieben werden müssten

192.168.1.58/usr/syno/etc/certificate/_archive/JEaHDb

Ich hatte auch schon bisschen geschaut aber nix hier gefunden oder bei Google was Nginx Proxy Manager angeht

Für Hilfe wäre ich sehr dankbar

Viele Grüße

Sven

Hallo Sven,

einfach mal eine Frage zu dem Thema, wofür brauchst du die Zertifikate auf dem zweiten NAS bzw. was soll das Ziel sein?

Vlt. hat ja einer hier im Forum eine andere Idee, die besser funktioniert als Zertifikate durch die Gegend zuschieben.

MfG
Marc

 

[SvensenDE]

@crammaster


Ich nutze auf anderen NAS halt auch noch Sachen wo Zertifikat benötigt wird.
Um ein Zertifikat komm ich da leider nicht drum herum leider

 

[crammaster]

Das habe ich so weit schon verstanden, es geht halt eher darum, wofür. Da du schon mit einem Ngnix Proxy Manager arbeitest, wird es wohl um "WebDienste" gehen und dessen SSL Zertifikate. Interessant ist die Frage, wie diese Dienste bereit gestellt werden?


Beispiel 1: Synology Dienste z.B. Drive

Hier könntest du versuchen, Drive einen extra Port zu zuweisen und diesen im Ngnix einzutragen

Beispiel 2: Docker Container

MacVlan einrichten, Container eine seperate IP zuweisen und IP im Nginx eintragen


Meiner Meinung nach gibt es bessere Lösungen als SSL Zertifikate durch die Gegend zuschieben, dafür müssten wir halt im Ansatz wissen, was das Ziel sein soll.

 

[SvensenDE]

1. Nas läuft Nginx Proxy Manager + Docker + Webserver

2. Nas läuft Photostation + VideoStation + Note die brauchen ja Zertifikat

 

[crammaster]

Von außen Erreichbar?

Und lass mich raten, wenn du den Port der Photostation im Proxy Manager eingibst, erhälst du den Fehler "Bad Gateway"?

 

[crammaster]

Gerade getestet.

Bei mir funktioniert es, wenn ich der Photostation über Anmeldeportal ein extra Port zuweise und dann den Eintrag im Proxy Manager mit der IP Adresse zum NAS und den entsprechenden Ports einrichte. Zwischen Proxy und Photostation hat http und https funktioniert.

 

[SvensenDE]

das problem ist das alles 3 sachen von 2 NAS auf "domain.de:1234" laufen und das nicht nur bei mir sondern bei meiner ganzen Familie
und ich glaube man kann bei NGINX kann man glaub ich nicht direkt portweiterleitung machen

 

[Janüscht]

Schaue doch einfach einmal acme.sh an? Damit kannst du Zertifikate direkt auf die DS importieren (auch externe), mit und ohne 2FA wie auch zu anderen Container oder Verzeichnisseen. Das Aktualisieren geschieht automatisch nach 60 Tagen und ist völlig reibungslos. Du kannst natürlich Wildcardzertifikate erstellen.

Die aktuelle "alte" Version von NPM nutzt aktuell noch Cerbot. Die neue Version NPM3 (sofern diese einmal herauskommt) wird auch acme.sh als Unterbau für Zertifikate haben. Ich nutze acme.sh schon seit Jahren. Dann kannst du auch gleich mit dem Synology Proxy Manager weiter machen. NPM nur wegen der Zertifikate zu nutzen halte ich für too much. NPM kann einiges besser (bestimmte Einstellungen über GUI) als der PM von Synology. Das muss man aber auch nutzen! Mir reicht der DS-PM und nutze acme.sh als Docker Container (native Installation aber möglich). Mehr Informationen bekommst du direkt in Github oder im Forum. Das wurde mehr als einmal hier besprochen.

 

[crammaster]

Du musst die einzelnen Ports ansprechen? Also quasi für Drive "domain.de:200" und für Photostation "domain.de:300"?

Kannst du für die Domain Subdomains anlegen, zum Beispiel "drive.domain.de"?

Du weißt wofür ein Revers Proxy da ist bzw. wie der arbeitet?
Der ist dafür da, um mehrere Dienst hinter einer IP-Adresse zuhosten. So machen es die Host für Websites auch, zum Beispiel Strato.
Stell dir vor, das der Revers Proxy wie die Briefkästen bei einem Mehrfamilienhaus ist. Unter der gleichen Adresse können mehrere verschiedene Personen erreicht werden.

Wenn du Subdomains anlegen kannst, dann könntest du eine Subdomain (z.B. "dyndns.domain.de") machen für den DynDNS Dienst erstellen und die Subdomains für die einzelnen Dienst z.B.: "drive.domain.de" werden als CNAME mit verweiß auf die DynDNS-Adresse eingetragen.

CNAME ist wie ein Label, bei dem hinterlegt wird, welche Adresse befragt werden muss. "drive.domain.de" sagt: "Frage "dyndns.domain.de" nach der IP-Adresse.

Im Revers Proxy gibst du dann nur noch an, das die Adresse "drive.domain.de" an 192.168.XXX.100 Port 200 und "photo.domain.de" an 192.168.XXX.101 Port 300 weitergeleitet werden muss.

Und ein angeben des Ports sollte in der URL an auch nicht mehr nötig sein.

Habe ich bei allen meinen Diensten so gemacht. Und so nutzte ich sogar HTTPS im lokalen Netzwerk.

 

[crammaster]

Ich würde @Janüscht in der Regel zustimmen, aber in deinem Fall würde ich beim Nginx Proxy Manager bleiben.

1. Er ist schon eingerichtet und funktioniert
2. Kannst du mit der Domain Validation ein Wildcard Zertifikat von Let's Encrypt bekommen
3. Du kannst ohne größere Schwierigkeiten HTTPS im lokalen Lan benutzen.

 

[Janüscht]

1. Er ist schon eingerichtet und funktioniert

Ist das wirklich so? Gerade in Internet gibt es viele Typen (z.B. J. Barth aka Navigio oder D. Schröder), die in meinen Augen falsche Anleitungen verbreiten.Abgesehen, dass der NPM den belegten Port 80/443 benötigt, fängt der Ärger schon an. Man kann es einfach bei IPv4 noch via NAT machen, aber bei IPv6 ist dann Schluss. Wenn man jetzt noch mit MacVLAN anfängt, ist das Projekt schon fast zum Scheitern verurteilt. Besser wäre, den Port direkt freizugeben; das geht auch via Script (Github). Man sollte schon genau wissen, was man macht und welche Auswirkungen das hat und warum das denn so ist!

Somit hat sich dein Punkt 1 schon einmal als fragwürdig herausgestellt.

2. Kannst du mit der Domain Validation ein Wildcard Zertifikat von Let's Encrypt bekommen
3. Du kannst ohne größere Schwierigkeiten HTTPS im lokalen Lan benutzen.

Punkt 2 & 3 hat nun einmal nichts mit einem Reverse Proxy zu tun. Das kann die Synology teilweise u.U. auch. Punkt 3 insbesondere ist eher ein Fall für einen DNS-Server und hat nichts mit dem Zertifikat zu tun.

Wenn man sich mit dem Thema selbst Hosting anfreunden will, sollte man auch die Basics verstehen und anwenden. Ansonsten wird es immer wieder zu Problemen langfristig kommen und man ist immer auf fremde Hilfe angewiesen. Ob das denn gut geht, bezweifle ich doch stark!

 

[crammaster]

Ist das wirklich so? Gerade in Internet gibt es viele Typen (z.B. J. Barth aka Navigio oder D. Schröder), die in meinen Augen falsche Anleitungen verbreiten.Abgesehen, dass der NPM den belegten Port 80/443 benötigt, fängt der Ärger schon an. Man kann es einfach bei IPv4 noch via NAT machen, aber bei IPv6 ist dann Schluss. Wenn man jetzt noch mit MacVLAN anfängt, ist das Projekt schon fast zum Scheitern verurteilt. Besser wäre, den Port direkt freizugeben; das geht auch via Script (Github). Man sollte schon genau wissen, was man macht und welche Auswirkungen das hat und warum das denn so ist!

Er hat ja in einem oberen Post erwähnt, das auf NAS 1. ein Nginx Proxy Manager läuft, deswegen gehe ich davon aus, das dieser auch funktioniert.
Es stellt sich mir die Frage, warum MacVLAN das Projekt zum scheitern bringen soll?

Mir ging es am Anfang darum, auf zu zeigen, das es einfacher wäre die Dienste mit einem Revers Proxy zu verteilen, als die SSL Zertifikate zwischen den NAS zu verschieben.

Punkt 2 & 3 hat nun einmal nichts mit einem Reverse Proxy zu tun. Das kann die Synology teilweise u.U. auch. Punkt 3 insbesondere ist eher ein Fall für einen DNS-Server und hat nichts mit dem Zertifikat zu tun.

Nun ja, der Reverse Proxy stellt in diesem Fall, der Verwalter der SSL Zertifikate da. Und ja, auch Synology bietet dir über die Oberfläche ein Wildcard Zertifikat zur Verfügung. Aber nur für Ihren DynDNS-Dienst. Klar, könnte man die Synology auch über die Konsole dazu überreden, ein Zertifikat für deine Domain zu erstellen. Der DNS-Server wird ja vom Anbieter der Domain gestellt, wo man einfach einen A-Record für die Adresse "drive.mein.lan" auf die lokale Adresse des Reverse Proxy eintragen kann und der Rest wird über den Reverse Proxy gemacht.

Wenn man sich mit dem Thema selbst Hosting anfreunden will, sollte man auch die Basics verstehen und anwenden. Ansonsten wird es immer wieder zu Problemen langfristig kommen und man ist immer auf fremde Hilfe angewiesen. Ob das denn gut geht, bezweifle ich doch stark!

Ich hoffe ich muss das nicht persönlich nehmen.
Aber ja, ich gebe dir recht, man sollte verstanden haben, wie das "Konstrukt" funktioniert, was man da aufbaut.

 

[SvensenDE]

Moin erst einmal vielen dank für eure Tipps.

Und danke @crammaster ich werde das mal versuchen was du meintest mit dem Revers Proxy und warte mal auf nächsten Erneuerung von Zertifikaten ab.

​