Reverse Proxy Synology zu QNAP ich verzweifel ....
- Ersteller LustierPeter
- Erstellt am
Nochmal: Du brauchst kein Zertifikat "auf QNAP", sondern eins für beispiel.example.com auf der DS.
So, habe jetzt einmal alles neu gestartet und jetzt funktioniert es auch.
Ich hätte mir nur mal die Reihenfolge notieren sollen, womit ich anfangen muß.
Ich glaube es war so:
Auf jeden Fall funktioniert es jetzt
Danke für alle Tipp´s und die Unterstützung
Ich hätte mir nur mal die Reihenfolge notieren sollen, womit ich anfangen muß.
Ich glaube es war so:
- vHost auf QNAP
- Dyndns von Strato dem vHost zuweisen
- Zertifikat auf DS erstellen
- Proxy auf DS einrichten
Auf jeden Fall funktioniert es jetzt
Danke für alle Tipp´s und die Unterstützung
Schwer zu sagen. Das wird sich zeigen, wenn das Zertifikat wieder verlängert werden muss.
In #14 hattest du einen Link ins englischsprachige Forum drin. Ich habe ihn mal kurz überflogen und den so verstanden, dass evtl. ein existierender Reverse Proxy Probleme bei der Zertifikatserstellung/-Verlängerung machen könnte. Ich hatte diesen Fall noch nicht.
Aber wie bereits gesagt, ich hab nicht für jeden Dienst ein eigenes Zertifikat, sondern eines für alle Dienste. In letzter Zeit sogar eins für *.example.com, also ein Wildcard-Zertifikat, damit ich mich nicht ständig um Zertifikate kümmern muss. Das geht aber leider nicht über die DSM-GUI, höchstens wenn man synology.me als DDNS-Provider/Domain verwendet.
Eine Feststellung habe ich noch.
Hauptdomain von Strato liegt auf Syno, eingebunden über DynDNS von Strato.
Sub-Domain der Hauptdomain von Synology liegt auf QNAP
aber dort habe ich kein DynDNS eingesetzt. !
Im Reverse Proxy habe ich die Sub-Domain mit der IP vom QNAP eingetragen und SSL wird auch von der Symology übernommen.
Funktioniert auch aus dem Internet aber wieso ?
Alles was ich Sub-Domains haben möchte installiere ich auf QNAP als vHost.
Die restlichen Daten und SSL zur Domain werden dann über die Synology geholt ?!
Also reicht das beim Beispiel Strato, wenn eine Haupt-Domain per DynDNS eingebunden wird und weitere Sub-Domains auf anderen Rechner per Proxy weitergeleitet werden sowie SSL nur auf die jeweilige Domain zeigt.
Ist ein wenig umständlich erklärt aber ich glaube, so funktioniert das ganze
Hauptdomain von Strato liegt auf Syno, eingebunden über DynDNS von Strato.
Sub-Domain der Hauptdomain von Synology liegt auf QNAP
aber dort habe ich kein DynDNS eingesetzt. !
Im Reverse Proxy habe ich die Sub-Domain mit der IP vom QNAP eingetragen und SSL wird auch von der Symology übernommen.
Funktioniert auch aus dem Internet aber wieso ?
Alles was ich Sub-Domains haben möchte installiere ich auf QNAP als vHost.
Die restlichen Daten und SSL zur Domain werden dann über die Synology geholt ?!
Also reicht das beim Beispiel Strato, wenn eine Haupt-Domain per DynDNS eingebunden wird und weitere Sub-Domains auf anderen Rechner per Proxy weitergeleitet werden sowie SSL nur auf die jeweilige Domain zeigt.
Ist ein wenig umständlich erklärt aber ich glaube, so funktioniert das ganze
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.159
- Punkte für Reaktionen
- 912
- Punkte
- 424
Das funktioniert nur mit IPv4, wenn Strato die DNS Zone so konfiguriert, dass alle Subdomains auf die Hauptdomain zeigen und auf die IP hinter dynDNS.
DNS entscheidet ja nur in welche Richtung der Verkehr geleitet wird. Landet also bei deinem Router (die einzig öffentliche IPv4 hinter der sich dein ganzes LAN versteckt).
Der entscheidet nur anhand vom Port wo er das Zeug im LAN ablädt.
Und die Syno entscheidet anhand des Domainnamens, dass sie das an die QNAP weiterleitet.
Die SSL Verbindung wird aber am Webserver auf der Syno terminiert. Der Proxy macht eine eigene Verbindung zur QNAP auf.
Und die QNAP entscheidet ebenfalls anhand des Namens, dass der Inhalt von vHost X ausgeliefert wird.
DNS entscheidet ja nur in welche Richtung der Verkehr geleitet wird. Landet also bei deinem Router (die einzig öffentliche IPv4 hinter der sich dein ganzes LAN versteckt).
Der entscheidet nur anhand vom Port wo er das Zeug im LAN ablädt.
Und die Syno entscheidet anhand des Domainnamens, dass sie das an die QNAP weiterleitet.
Die SSL Verbindung wird aber am Webserver auf der Syno terminiert. Der Proxy macht eine eigene Verbindung zur QNAP auf.
Und die QNAP entscheidet ebenfalls anhand des Namens, dass der Inhalt von vHost X ausgeliefert wird.
Deine Beschreibung zeigt mir, dass du das Prinzip noch nicht so ganz verstehst
Deine Domain liegt bei Strato (example.com)! Dort hast du einige Namen (irgendwas.example.com), auch welche, deren Dienste/Web-Services du selbst hosten möchtest (im Extremfall alles), deshalb aktualisiert du einige Namen (oder alle) per DDNS und lässt sie auf die externe IP deines Routers zeigen (IPv4) oder direkt auf die IP des Endgerät zeigen (IPv6). Damit ist das Thema DNS/DDNS erstmal durch, du hast im Extremfall jetzt jede Menge Namen, die auf irgendwelche IPs zeigen.
Jetzt geht's lokal weiter. Bei IPv4 ist NAT mit im Spiel, also kannst du die Endgeräte nicht direkt ansprechen, sondern brauchst eine Port-Weiterleitung (bei IPv6 nur eine Portfreigabe). Aber jeder Port kann bei IPv4 nur zu einem Ziel weitergeleitet werden, also entweder 80/443 zur DS oder zur QNAP, nicht beides. Eine Lösung für dieses Problems liefert ein Reverse Proxy, der, egal wo er läuft, die Anfrage je nach verwendetem Namen an das "richtige" Ziel weiterleitet. Eine Möglichkeit ist der Einsatz des Reverse Proxy der DS, also alles was über 80/443 reinkommt per Port-Weiterleitung erstmal zur DS, von dort aus namensbasiert weiter.
Nächste Hürde bei https - die Zertifikate. Diese gelten nur für bestimmt Namen (Alternate Names) und müssen auf der DS als Proxy eingerichtet und den Proxies zugeordnet werden. Ob es hinter dem Reverse Proxy dann per http oder https weitergeht, ist unerheblich. Ein anfragender Client hat nur noch was mit dem Proxy, nicht aber mit dem Ziel dahinter am Hut.
Jetzt verstanden?
Edit:
Mist, @Fusion war wieder mal schneller. Aber jetzt hab ich's geschrieben, jetzt schick ich's auch ab.
Zuletzt bearbeitet:
@Fusion
und
@Benares
Danke für die einfache Aufklärung.
Die Anleitungen im Netz waren eher etwas sehr ausführlich und haben als OS meistens Ubuntu eingesetzt und auch anhand des OS alles beschrieben.
Ich werde mir wohl auch noch eine 920+ zulegen und eine 220j als Proxy nutzen.
Trotzdem tolles Forum hier
PS: Hatte erst an eine Asustor AS6604T als zusätzliches Gerät gedacht aber da gibt es nur ein verwaistes Forum und Support nur in englisch.....Eine Anfrage war nur auf englisch beantwortet worden...
und
@Benares
Danke für die einfache Aufklärung.
Die Anleitungen im Netz waren eher etwas sehr ausführlich und haben als OS meistens Ubuntu eingesetzt und auch anhand des OS alles beschrieben.
Ich werde mir wohl auch noch eine 920+ zulegen und eine 220j als Proxy nutzen.
Trotzdem tolles Forum hier
PS: Hatte erst an eine Asustor AS6604T als zusätzliches Gerät gedacht aber da gibt es nur ein verwaistes Forum und Support nur in englisch.....Eine Anfrage war nur auf englisch beantwortet worden...
Wenn Du so freundlich bist und mir eine Liste zukommen lassen würdest, welches Gerät, welches OS, Stick, HDD oder kleine SSD als Bootlaufwerk
Es gibt ja im Netz verschiedene Komplettsätze an Komponenten.
Es gibt ja im Netz verschiedene Komplettsätze an Komponenten.
"überdimensioniert" ist relativ. Wieso sollte das eine DS nicht mit erledigen können, wenn man eh schon eine hat
- Mitglied seit
- 13. Mai 2021
- Beiträge
- 2.831
- Punkte für Reaktionen
- 853
- Punkte
- 154
Ich habe das so verstanden, dass sie nichts anderes als Reverse Proxy sein soll. Dafür wäre mir sie zu teuer und zu schade. Ansonsten hast du natürlich recht.
Wegen dem Pi. Ich würde mir einen beliebigen Pi holen der Docker unterstützt. Also ab Zero 2W glaube ich und dann Docker-swag einrichten. Da hat man den Reverse Proxy + fail2ban und die Zertifikatsgeschichte direkt erledigt. Nur man hat kein Webinterface für die Proxys.
Ich persönlich habe einen Pi 3 mit einer 64GB SD Karte drin und als OS habe ich ubuntu Server drauf.
Wegen dem Pi. Ich würde mir einen beliebigen Pi holen der Docker unterstützt. Also ab Zero 2W glaube ich und dann Docker-swag einrichten. Da hat man den Reverse Proxy + fail2ban und die Zertifikatsgeschichte direkt erledigt. Nur man hat kein Webinterface für die Proxys.
Ich persönlich habe einen Pi 3 mit einer 64GB SD Karte drin und als OS habe ich ubuntu Server drauf.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
