Sicherer Reverse-Proxy DSM6

[auamanu]

Hallo,

ich habe im Netzwerk ein paar Dienste laufen die per Webinterface Port 80 HTTP erreichbar sind.
Diese möchte ich nun direkt über das Web erreichen können. VPN will ich dafür aber aus verschiedenen Gründen nicht benutzen.

Nun funktioniert das zwar über ReverseProxy und HTTPS mit einzelne Subdomains sehr gut, ist aber total unsicher.

Gibt es irgendeine Möglichkeit z. B. die DSM Anmeldung vorzuschalten? Ich möchte also eine Art Portal, an dem ich mich anmelde und dann erst auf diese Dienste zugreifen kann.
Das Portal sollte dann am besten auch noch sicher sein

Falls das mit Bordmitteln nicht geht, gibts evtl. einen Docker-Container den Ihr mir empfehlen könnt?

 

[Fusion]

Was meinst du mit "total unsicher"?
Dass die Dienste selbst, außer, dass sie eben normal nur unverschlüsselt angeboten werden, auch keinerlei Benutzerverwaltung besitzen?
Dafür kann der Reverse proxy ja reichlich wenig.

Je nach webserver, apache oder nginx, kannst du die Ordner in denen die Webdienste liegen noch per .htaccess oder nginx directive absichern. Also eine separate Benutzer/Passwort Abfrage (das hat nichts mit den DSM Nutzern zu tun)

Für die Auth gegen den DSM gab es auch mal was Richtung Single Sign ON mit Tokens etc. Da bin ich aber nicht auf Stand und das ist auch definitiv Arbeit und nichts fertiges. Aber da können andere vielleicht mehr zu sagen.

Für Empfehlungen Richtung Docker und ähnliches sollte man erstmal wissen welche Dienste du da betreiben willst?

 

[auamanu]

Dienste wären: Weboberfläche der Hausautomations-Zentrale und mehrere einzelne Weboberflächen von Rasenmäherroboter, Gartenbewässerung, Solaranlage und einige JAVA-Anwendungen die über Guacamole per Browser erreichbar sind.

Mein Ziel wäre, das ich an der Firewall den Port 443 freigebe und an einen ReverseProxy weiterleite, der dann die User-Authentifizierung übernimmt sowie den HTTP Traffic HTTPS verschlüsselt.

Out of the box kann die DS das ja nicht, aber evtl gibts hier noch ein paar Configs die sich dahingehend bearbeiten lassen, das die Weiterleitung nur dann erfolgt, wenn man sich an der DS eingeloggt hat. Das ist ja bei Anwendungen wie der SurveillanceStation bereits der Fall.

 

[haeuber]

Bist du damit mal weiter gekommen? Ich hab genau das gleiche Problem.

 

[Fusion]

Da würde ich mich ja eher via VPN einwählen und diese web-GUIs nur durch den Tunnel aufrufen.

Oder würde es etwas bringen, wenn man z.B: in Guacamole eine der Auth Möglichkeiten aktiviert?
https://guacamole.incubator.apache.org/doc/gug/

 

[auamanu]

Ne, leider noch keine wirkliche Lösung...

VPN nutze ich aktuell, ist aber nicht wirklich praktikabel.
Eine SSO Lösung via Webbrowser Port 80/443 wäre das richtige, finde dazu leider nichts.

 

[haeuber]

Eigentlich habe ich alles, was ich brauche. Ich hab ein SSL Cert. auf dem NAS und ich hab die Protokollumsetzung von HTTPS auf HTTP über den Reverse Proxy - alles mit Synology Bordmitteln. Jetzt hätte ich nur noch gerne die Authentisierung mit dem lokalen (oder am liebsten mit dem Active Directory-) Benutzer am Reverse Proxy für die Fälle, in denen der dahinter liegende Webservice keine eigene (oder wie in meinem Fall eine leicht knackbare) Benutzerverwaltung hat.

 

[auamanu]

Dito! Falls du was findest, lass es mich bitte wissen. Ich greif das Thema jetzt auch nochmal auf und mach mich nochmal auf die Suche.

Checkpoint Firewalls können das, evtl. wär das eine Lösung. Wollte bei mir aber zusätzliche Hardware vermeiden...

 

[fbartels]

In meinem Falle läuft der Nginx auf einer vorgeschalteten Box und dies habe über auth_request gegen das Synology WebDAV Interface abgesichert. Mein vHost sieht wie folgt aus:

        location / {
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header X-Forwarded-Port $server_port;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_pass https://192.168.178.11:5001;
                proxy_http_version 1.1;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection "upgrade";
                proxy_read_timeout 900s;

                auth_request     /syno-auth;
                auth_request_set $auth_status $upstream_status;
            }

         location = /syno-auth {
            internal;
            proxy_pass              https://192.168.178.11:5006/public/auth-test.txt;
            proxy_pass_request_body off;
            proxy_set_header        Content-Length "";
            proxy_set_header        X-Original-URI $request_uri;
        }
    }

Idealerweise hätte ich gerne den SSO Server von Synology hierfür verwendet, bisher aber noch keinen Weg hierfür gefunden. Für das WebDAV Interface musste ich mich eines kleinen Tricks behelfen, da ein Auth auf ip-der-ds:5005 immer "access denied" zurückgeliefert hat. Stattdessen habe ich eine 0 byte Datei in einem der Shares angelegt und Nutze diese als URL.

PS: falls noch jemand eine Idee für die Nutzung des SSO Servers hat bin ich gerne dafür zu haben.

 

[Jing]

Gibts da was neues ? Ich bin auf die docker Sache gek9mme; und verwend für alles nun den Reverse Proxy ... nur ich würd gern absichern.....

 

[frimp]

Hilft das?

https://ncsemke.de/?p=121

Oder

http://www.majorshark.de/index.php/...d-ssl-zertifikat-auf-einer-synology-mit-dsm-6

 

[Matis]

.... warum legt ihr nicht einfach ein .htaccess file in das jeweilige web-Verzeichnis und gut ist?

 

[fbartels]

.... warum legt ihr nicht einfach ein .htaccess file in das jeweilige web-Verzeichnis und gut ist?

Naja, das ist ja so ziemlich das, was frimps Links beschreiben. Generell finde ich die von mir beschriebene Lösung schöner, da dann die selben Zugangsdaten wie für das DSM verwendet werden können.

 

[Jing]

ich pull denm beitrag mal noch oben. ich steig von der pfsense mit HAProxy mit genau der funktion nun auf die Syn komplett um. das wäre genau meins