Reverse Proxy auf Synology richtig einrichten

Witzker

Benutzer
Mitglied seit
16. Dez 2017
Beiträge
161
Punkte für Reaktionen
3
Punkte
24
Hallo,

Ich habe in etwa dieses Setup

1607500466168.png
Ziel ist:
1.Domain.Provider 1 soll auf VM IP 1 zeigen
2.Domain.Provider 1 soll auf VM IP 2 zeigen

1.Domain.Provider 2 soll auf VM IP 3 zeigen
2.Domain.Provider 2 soll auf VM IP 4 zeigen

Die VMs sind auf einen mit Proxmox verwaltetem Server im Heimnetz
Sie sind unter internen IPs erreichbar
Auf den VMs laufen oder sollen dann Linux Server Anwendungen laufen

Mit Putty kann ich über die jeweiligen IPs auf die VMs zugreifen

Es soll nun auch möglich sein
mit Putty auf die VM IP XX mit der jeweiligen x.Domain.Provider x zuzugreifen

Um dort auch über das Internet etwas zu installieren usw.

Ich habe schon viel herum konfiguriert!
Aber bisher landen die Domains alle immer auf der Homepage der Synology
oder auf
1607502689040.png

Dazu habe ich unter anderem auch das gefunden:

Reverse Proxy sending all my sub domains to port 5001 | Synology Community

Ich möchte jetzt ganz von vorne anfangen!
Und möglichst nicht mehr mit Trial & Error

Ich habe nun die Webstation mal ausgeschaltet, um den Reverse Proxy richtig zu konfigurieren
und die Webstation als Hindernisse auszuschließen.

Was soll als erstes überprüft werden
Damit alle Voraussetzungen zur Konfiguration der Reverse Proxys gegeben sind?
 

Skyfay

Benutzer
Mitglied seit
04. Jul 2020
Beiträge
232
Punkte für Reaktionen
8
Punkte
24
1607510178332.png

Moin,
Das müsste dann ja ungefähr so aussehen oder?
Warum wird das ganze nicht mit VPN gelöst?
Das ziel ist von aussen über Putty mit der Domain auf die Server zuzugreifen richtig?
 

marcel151

Benutzer
Mitglied seit
28. Jul 2015
Beiträge
32
Punkte für Reaktionen
12
Punkte
58
EDIT: Schreibe meinen Post komplett neu weil ich jetzt erst sehe was du vorhast. Das geht so nicht wie du es willst. Siehst du das Protokoll in der Maske? HTTP bzw. HTTPS. Du möchtest aber per SSH auf deine VMs, das geht nicht. Ports passen zwar, aber das Protokoll nicht.
Falls das irgendwer gelöst hat gerne melden, mich würde das nämlich auch interessieren. Reverse Proxy funktioniert bei mir super, allerdings nur mit HTTP/S.
HIER wird das Thema behandelt, weiß aber nicht ob das auf der Synology umsetzbar ist.

Wenn du dagegen auf die darunter liegenden Webseiten der VMs zugreifen willst, dann geht das natürlich. Aber da muss der Port passen (80/443 im Regelfall). Voraussetzung ist eine Domain und eingerichtete Subdomains, hast du das?
 
Zuletzt bearbeitet:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Trenne mal deine Webserver von den SSH Diensten.
Dann richtest du für jeden Webdienst eine eigene Subdomain ein.
Diese Subdomain fragst du dann im R-Proxy ab und leitest die Anfrage zum zugehörigen Server.
Die SSH Dienste machst du dann per VPN!
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Ich hau hier nochmal Post rein, weil es nach wie vor "passt"...

Witzker schrieb:


...Webseite auf der Synology!!!!
...interne Adresse aus Proxmox!!!
... und "ich will"(!) hat nicht wirklich schon mal jemanden weitergebracht.

Das Thema "Proxmox" kannst Du erstmal völlig aussen vor lassen. Ich denke, es wäre mitunter ratsam, wenn Du erstmal alles - was Du bisher so gefummelt hast - entfernst und mit einer sauberen Basis anfängst. Die Webstation dürfte dabei eigentlich kein Problem darstellen, da der Reverse-Proxy "davor" laufen sollte.

Mag sein, dass es eine Standardeinstellung im Reverse-Proxy gibt, welche Anfragen an "*" direkt an die Webstation weiterleitet (Localhost), spielt dann aber insofern keine Rolle, da diese Regel nicht greift, sondern eine andere "passendere" vorhanden ist.

1) * -> localhost
2) pve.domain.tld -> pve

Beim Aufruf von pve.domain.tld sollte dann entsprechend auch die PVE-Gui aufgerufen werden. Zu beachten wäre da natürlich, dass es nicht reicht, einfach nur https anzugeben im Reverse-Proxy, der PVE-Port für die Gui (8006) muss schon dazu.

Ich nutze zwar den Syno-Reverse-Proxy nicht, aber ich hab keinerlei Probleme, was das Thema PVE und RP angeht (Reverse-Proxy + Loadbalancing), ist also alles machbar.

Wünsche viel Erfolg! ??
---------
Als Ergänzung dazu:

Wenn der Syno-Proxy "nur" http/https macht, wird Dich das nicht weiter bringen... Groß mit PVE tönen und nichtmals die Grundlagen der gängigen Protokolle verstanden haben... wird auf Dauer "schwierig" (ich sag das jetzt mal so, damit Du vielleicht mal drüber nachdenkst, ob Du Dir das nicht doch noch gibst ? und nebst dem: PVE ist auch einfach nur ein Debian mit qemu/kvm... (also lass den "PVE"-Blödsinn, das hilft nämlich auch so garnicht weiter, auch nicht, wenn Du davon irgendwelche Links postest)).

Weiter im Text: Webb der RP der Syno es nicht her gibt, nimmt halt etwas anderes. Docker macht PVE zwar nicht soweit ich weiss, aber LXC, haste also auch Container. Da könnteste ebenso einen schlanken RP laufen lassen, alternativ halt als vollwertige VM. Als Reverse-Proxy kannst Du nutzen was Du willst (solange es das kann, was Du willst).

- Denke, der kostenlose Loadbalancer von KEMP wäre da ggf. schon problematischen wegen der Limitierungen auf 2 FQDNs (https://support.kemptechnologies.com/hc/en-us/articles/204427785-Free-LoadMaster#MadCap_TOC_5_2).
- Syno-RP könnte ggf. auch etwas problematisch werden, wenn nicht direkt TCP/UDP unterstützt werden.
- Traefik könnte etwas fummelig sein
- Nginx-Proxy-Manager gibt es ohne Docker nicht
- RP-Funktion einer Firewall (z.B. pfSense/OPNsense/was auch immer) könnte funktionieren (ist aber meist etwas aufwändiger zu konfigurieren, aber vermutlich immer noch einfacher als Traefik und Co.)
- sonstige RP-Anbieter
- und zu guter Letzt, das Pferd, auf welches die meisten heutzutage setzen: Nginx

Also alles in allem an dieser Stelle mal ein Rat: Lass die Finger von dem Klicki-Bunti-Mist und mach es "selbst". Bedingt aber (leider) auch, dass Du auch verstehst, was Du da machst. Heisst im Umkehrschluss: Vorher "ordentlich" in die Materie einlesen und nicht nur dahin rotzen, weil ansonsten wird es definitiv Folgeprobleme geben.

Mach Dir eine VM, Linux Deiner Wahl drauf, Nginx drauf, such Dir einen Dienst aus, welchen Du über den Proxy schicken willst und fang an zu lesen. Hast Du das ein paar mal pro Dienst gemacht, weisst Du auch wie es geht, damit ist die Kuh dann auch vom Eis ;)

P.S.: Wer so auf die Kacke haut (mit zig Sub-/Domains, zig VMs, PVE und so...) der hat "keine" vernünftige Firewall am laufen? Finde ich "dezent" merkwürdig ??
 

Witzker

Benutzer
Mitglied seit
16. Dez 2017
Beiträge
161
Punkte für Reaktionen
3
Punkte
24
Danke für die vielen Antworten

Mein Ziel ist auf eine VM (z.B. mit Ubuntu) die auf Proxmox im Heimnetz mit eigener IP läuft
über das Internet genau so zuzugreifen
wie man auf einen gemieteten Server(z.B. mit Ubuntu) im Internet über eine Domain zugreift

Mit der lokale IP kann ich zugreifen
Putty, FileZilla, winSPC

Fazit bisher mit dem Reverse Proxy der Synology kann man keine Domain Weiterleitungen auf einen Server im Heimnetzwerk realisieren.
Richtig?
 
Zuletzt bearbeitet:

marcel151

Benutzer
Mitglied seit
28. Jul 2015
Beiträge
32
Punkte für Reaktionen
12
Punkte
58
Doch, kannst Du, aber eben nicht "alles":


(Quelle: https://www.synology.com/en-us/knowledgebase/DSM/help/DSM/AdminCenter/application_appportalias "To set up reverse proxy rules")

Von daher solltest Du ggf. besser einen anderen RP nehmen :)
So wie ich auch geschrieben habe. Jetzt meine Frage: Gibt es eine Möglichkeit auch SSH über einen Reverse Proxy zu nutzen? VPN aus bestimmten Gründen leider nicht möglich. Portfreigabe von Port 80 auf 22 ist theoretisch möglich, aber Port 80 und 443 blockiert ja jetzt schon die Synology für HTTP/HTTPS Reverse Proxy.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
@marcel151 Schau mal wegen SSH z.B. hier. Beim VPN würde ich mal sagen: Kommt darauf an... OpenVPN scheint dabei wohl eher weniger ein Problem zu sein, wie man hier (share) ganz gut sieht, oder hier. :)

Ansonsten wäre dazu noch gesagt, dass "aus bestimmten Gründen", grade mal voll das <piep>-Argument ist, sofern man denn entsprechende Steuerungsmöglichkeiten hat (pro User ein Host o.ä.), solange Du hier nur so weichgespült daher schwubbelst und keine konkreten Aussagen zu Deinem Szenario machst, wird man Dir nur schwerlich helfen können ?
 

Witzker

Benutzer
Mitglied seit
16. Dez 2017
Beiträge
161
Punkte für Reaktionen
3
Punkte
24
Portfreigabe von Port 80 auf 22 ist theoretisch möglich, aber Port 80 und 443 blockiert ja jetzt schon die Synology für HTTP/HTTPS Reverse Proxy.
Ja und alle Ports als Ziel oder mehrere kann zumindest ich nicht da eingeben. Gibt ja Event einen Weg
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Die Idee von wegen Port 80 auf 22 ist eh der größte Schmuh vor dem Herrn... deswegen bin ich da auch erst garnicht drauf eingegangen ?
 

Witzker

Benutzer
Mitglied seit
16. Dez 2017
Beiträge
161
Punkte für Reaktionen
3
Punkte
24
Ich will nicht probieren, sondern Schritt für Schritt die Konfiguration machen also nochmal von Vorne

1. muss Webstation laufen?
2. die DNS Adressen bei externer zugriff eingeben
3. Zertifikate holen
usw.
Sonst gibts nur ein heilloses Durcheinander und alles endet im NIX!


Also sollte hier eine Anleitung für Newbies entstehen wie man das im ersten Beitrag gestellte SzenariokKonfiguriert

Mein Ziel ist auf eine VM (z.B. mit Ubuntu) die auf Proxmox im Heimnetz mit eigener IP läuft
über das Internet genau so zuzugreifen
wie man auf einen gemieteten Server(z.B. mit Ubuntu) im Internet über eine Domain zugreift
Die Frage ist nicht, warum gehts nicht!

Sondern

Wie konfiguriert man dieses Zugriffsszenario Schritt für Schritt?

Was mein Ihr?
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Wie konfiguriert man dieses Zugriffsszenario Schritt für Schritt?
Schnapp Dir einen Zettel und einen Stift, schreib Deine gesammelten Erfahrungen auf, teste ordentlich alles durch, schreib wieder auf und wenn Du zig Blätter mit zig Infos hast, schreibst Du das mal sauber zusammen und schreibst es in diesen Thread? ;)

Nur weil DU es grade WILLST, wird Dir hier NIEMAND eine 101%ige Anleitung hinterlassen. Gibt genügend Anleitungen im Internet (Google soll dabei ja ganz hilfreich sein ............................. (das ist schon kein "Wink" mehr mit dem Zaunpfahl, das ist schon eher ein "verkloppt" ;)).....Hat mich übrigens keine 5 Sekunden gekostet, etwas passendes zu finden, aber ich will Dir den Spass Google zu benutzen auch nicht nehmen ?)

Alternativ - hol Dir wen, der/die es Dir besorgt (und nein, das ist jetzt nicht so gemeint, wie es sich anhört, sondern schon auf die Proxy-Geschichte gemünzt ?)
 

marcel151

Benutzer
Mitglied seit
28. Jul 2015
Beiträge
32
Punkte für Reaktionen
12
Punkte
58
@marcel151 Schau mal wegen SSH z.B. hier. Beim VPN würde ich mal sagen: Kommt darauf an... OpenVPN scheint dabei wohl eher weniger ein Problem zu sein, wie man hier (share) ganz gut sieht, oder hier. :)

Ansonsten wäre dazu noch gesagt, dass "aus bestimmten Gründen", grade mal voll das <piep>-Argument ist, sofern man denn entsprechende Steuerungsmöglichkeiten hat (pro User ein Host o.ä.), solange Du hier nur so weichgespült daher schwubbelst und keine konkreten Aussagen zu Deinem Szenario machst, wird man Dir nur schwerlich helfen können ?
Ich kann dir den Grund gerne sagen: Ich möchte von der Arbeit aus drauf zugreifen. Da ist nunmal nichts mit VPN an unseren Firmenlaptops. Ich hoffe das reicht, warum VPN nicht geht? Natürlich nutze ich VPN auch, aber auf den Firmenrechnern geht es nunmal nicht.
Die Idee von wegen Port 80 auf 22 ist eh der größte Schmuh vor dem Herrn... deswegen bin ich da auch erst garnicht drauf eingegangen ?
Und daher ist das auch immer nur eine temporäre Lösung. Wie ich oben bereits geschrieben habe geht es von unserer Firma aus nicht anders. Da ist alles andere außer HTTP und HTTPS geblockt, das ist der einzige Grund warum ich das so mache. Ich melde mich per VPN von meinem iPhone aus auf meinen Router, gebe den Port von 80 auf 22 frei und dann kann ich temporär alles machen. Für die restlichen Ports gibt es dann ja SSH-Tunnel.

Und genau deshalb habe ich gefragt ob SSH Reverse-Proxy gehen kann mit der Synology.
 

marcel151

Benutzer
Mitglied seit
28. Jul 2015
Beiträge
32
Punkte für Reaktionen
12
Punkte
58
3 mal darfst du raten warum ich
sowas unschönes mache und Port 80 auf 22 mappe. Genau das ist der Grund. So kann ich mittels SSH über Port 80 (den die Firma nach Außen erlaubt) auf meine Geräte kommen. Und besagte SSH-Tunnel kenne ich, habe ich oben ja auch geschrieben, dass ich das genau so nutze. Mein Problem ist halt, dass ich jedes Mal die Freigaben auf dem Router ändern muss wenn ich nach Hause telefonieren will vom Firmenrechner aus.
 
Zuletzt bearbeitet von einem Moderator:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
...... Dir ist aber schon klar, dass Du damit Deinen Job riskierst, oder?

Setz Dir Zuhause ne entsprechende VM auf (oder Raspi, oder sonstwas), nutz das Ding als Proxy mit dem Du machen kannst was Du willst und gut ist.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Das ist doch bestimmt auch nur ein Nginx... könnte man auch händisch drin rumpopeln, aber wäre dann so die Frage, ob das nicht alles nach einem Neustart wieder weg ist und vor allem auch update-fest ist...
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat