Subdomains mit DynDNS

[TACiboy]

Den Zugriff auf die Synology-Apps über eigene (Sub-)Domain und Port 443 halte ich für sicherer als über die verschiedenen Ports der Apps.
So muss man in der Firewall nach Extern nur 443 (und ggf. 80) freigeben und nutzt den Reverse Proxy der DS, um die Apps anzusprechen. Ich habe immer ein ungutes Gefühl wenn ich in meine Firewall Löcher (= Offene Ports) bohren muss. Lieber "nur" 443 offen und dafür dedizierte Applikationen über Domains erreichen.

Somit hat man zumindest mal die Script Kiddies abgehangen - Ein Port Scan verrät nun nicht mehr wie viele Fensterchen zum Heimnetz offenstehen. Und an die Sub's der Domains muss ein Script Kiddie erst einmal ran kommen (soweit ich weiß spucken DNS Server ja nicht automatisch alle Einträge ohne weiteres aus - da gehört schon bissle mehr Arbeit zu - aber korrigiert mich wenn ich da falsch liege ;-)

 

[Paulihh1910]

Jaja is ja gut
ich hab doch schon gesagt das die Möglichkeit von Fusion sicherer ist.
Meine lösung ist halt nur simpler.
Du weist das mit "Port" weder der Hamburger Hafen gemeint ist und auch nicht ne Rj45 buchse an der FritzDings. Ich weis das auch. Nur haben viele ausm SoHo bereich halt probleme sich darunter etwas vorzustellen. Ich glaub über Layer3 und Layer4 brauchen wir gerade auch nicht zu diskutiere.
Ja immer sind die Bösen Scrippt Kiddies Schuld
Ich hatte auch schon SSH angriffen auf der DS weil ich port 22 für sftp offen hatte.
Und das nur 24 Std. Weil ich nem Kollegen etwas bereitgestellt hatte.
120 login versuche von 15 verschiedenen IPs in 3 std.
Und SSH hatte ich vorsichtshalb abgeschaltet.
So kanns gehen. Schicksal

 

[appel2000]

So, ich bin auch mal wieder da...

Nur um mal kurz auszuführen, warum ich es scheinbar so umständlich mache, wo es doch mit den Zusatzen /photo oder /audio bzw. den Ports eigentlich recht einfach gehen würde:

a) es soll so einfach wie möglich gehalten werden für die Anwender.
Innerhalb der Familie sind nämlich auch so ein paar Kandidaten dabei, die es nicht so mit der Technik haben (Stichwort: Ich glaub ich hab das Internet gelöscht)
Da möchte ich es eben ohne / oder Portangaben haben.

b) einfach weil es gehen soll...kennt Ihr das nicht? Man will das es so funktioniert....weils eben so laufen soll.......


Kurze Zusammenfassung von meiner Seite aus:

Die Erreichbarkeit der Dienste "Filestation" und "Audiostation" mittels Strato Subdomains, den offenen Ports 80/443 sowie den Einstellungen im Anwendungsportal der DS funktionieren jetzt ohne Probleme von verschiedenen Geräten aus. (die einzelnen Screenshots mit den Einstellungen habe ich ja schon die Tage mal hier hinterlegt)

Thema Photostation:

1) meinedomain.de/photo --->klappt problemlos, https Zugriff und sogar das Zertifikat klappt.
2) Http-Umleitung von photo.meinedomain.de zu meinedomain.de/photo ---> klappt ebenfalls siehe 1)
3) "Verbinde" ich aber die photo.meinedomain.de mittels DDNS Updater (also dynDNS), versucht der Browser folgende Seite zu öffnen:
photo.meinedomain.de:5000 ---> Fehlermeldung "Website nicht erreichbar"

Meine Bitte:

Ist es möglich, auch auf die Photostation in der gleichen Weise zuzugreifen, wie auf File und Audio?
Wenn ja, wo muss ich denn in der DS was eintragen?!
Ich blicke einfach nicht mehr durch.

Wenn es so einfach nicht geht, dann bitte auch eine kurze Info, dann lass ich es eben wie in Möglichkeit 2 beschrieben einfach laufen, ist auch nicht das Thema.

Eine abschließende Frage zum DDNS Updater 2:

Veträgt der sich mit dem Ruhezustand der DS?
Sprich, geht die überhaupt in den Ruhezustand (erweiterter Festplatten-Ruhemodus)?

Vielen Dank für Eure Nerven, Eure Hilfe und die Geduld

 

[Fusion]

Das mit dem ddns-updater weiß ich leider nicht, da meine DS durchläuft.
Das mit der Photo Station würde ich mal so lassen wie du es hast. Ist eben aufgrund der Konfiguration der webserver ein Sonderling, wo diverse rewrites etc zusammenkommen.
Falls es schon jemand gelöst hat, wäre ich auch daran interessiert. Wenn ich selbst mal dran gehe, weil ich es eigentlich auch so erreichbar haben wollte und es gelöst bekomme, denke ich hoffentlich hier an den Thread.

 

[deb10042]

OK NEUES KONZEPT.

Erstellen einer Domain "deine-domain.de"
Erstellen einer Third level Domain (oder eben Sub domain). "Audio.deine-Domain.de"
erstellen eines DynDns eintrages auf "deine-domain.de"
erstellen einer Umleitung von "audio.deine-domain.de" nach "https://deine-domain.de:8001"

Damit brauchst auch wieder nur ein Zertifikat weil du auf die Hauptseite verweist und kannst dein SSL Zertifikat weiter verwenden ohne ein neues nutzen zu müssen.

damit fällt der Reverse Proxy halt weg aber du musst eben die Ports dafür öffnen.

...

Darf ich hierzu auch mal fragen, da ich mich gerade auch mit dieser Thematik befasse?

Im Posting #39 wurde von @Paulihh1910 von der Einrichtung einer Umleitung auf eine https-URL mit Portangabe gesprochen.

Wie kann man das einrichten? Ich habe meine Domain bei STRATO angemeldet und wenn ich dort bei den eingerichteten Subdomains eine Umleitung einrichten möchte, ist immer "http://" fest vorgegeben, aber eben kein "https". Genau die Umleitung zu "https" ware aber doch der benötigte Weg, oder?

 

[Paulihh1910]

Moin Moin,

Also ich persönlich nutze Selfhost.de was auch ein wenig teurer ist als Strato und dort ist das halt kein Problem.
Bei Strato scheint dies nur in verbindung mit einem gebuchten SSL Zertifikat möglich zu sein (kann mich täuschen) ansonsten habe ich auf die schnell nichts dazu finden können.

Eine Möglichkeit wäre das du Die HTTP Verbindungen in deiner DS auf HTTPS forcierst. Dann sollte eigentlich der Aufruf einer HTTP die auf deine Synology verweist automatisch auf HTTPS umgeleitet werden.

 

[DustFireSky]

Das mit NO-IP hat mich auch sehr geärgert. Man bekommt eine E-Mail, das der Host bald abläuft, loggt sich ein und liest dann: "Wollen Sie nicht alle 30 Tage Ihren Host bestätigen ? Kaufen Sie bla bla". Ich habe jetzt schon so oft die Anbieter wechseln müssen, das ist nicht mehr schön. Und bei meinem Router habe ich ganze 5 Einträge aus denen ich die Anbieter wählen kann. Benutzerdefiniert kann man da keine Anlegen. Als hätten die ... sich alle abgesprochen.

 

[deb10042]

Also meinedomain.de bei Strato, gehst auf Verwalten und sagst subdomain anlegen.
Das machst dann für photo.meinedomain.de, video.meinedomain.de, dienstX.meinedomain.de ...
Danach gehst du auf die Subdomain unter Verwalten und schaust dir die DNS Einstellungen an.
Dort gibt es dnyDNS und das setzt du auf aktiv.
Den Link dazu hatte ich dir ja schon geposted https://www.strato.de/faq/article/671/So-einfach-richten-Sie-DynDNS-für-Ihre-Domains-ein.html
Das kannst du für JEDE Subdoman machen.

Das Resultat ist dann
photo.meinedomain.de > 80.81.01.02
video.meinedomain.de > 80.81.01.02
DienstX.meinedomain.de > 80.81.01.02
usw

Es können beliebig viele Namen auf eine IP zeigen. Du musst eben nur für jede Subdomain dynDNS aktivieren und auch für jede Subdomain im dynDNS Updater (auf der DS, weil die im Router meist auf einen Eintrag beschränkt sind) einen Eintrag hinterlegen.

Das geht natürlich nicht, wenn du meinedomain.de selber schon auf dynDNS gesetzt hast, weil dann keine DNS Verwaltung mehr für Subdomains existiert bei Strato.
...

In meiner Konfiguration – ebenfalls über Strato – wollte ich so vorgehen, wie hier von @Fusion beschrieben.

Ich habe zunächst für die einzelnen Dienste auf meiner DS bei Strato Subdomains angelegt, also eine für den Aufruf des DSM, eine für die Audiostation, eine für die Videostation und eine für die Photostation.
Für alle Subdomains habe ich anschließend in der Strato-Domainverwaltung DynDNS aktiviert (bei der Domain selbst natürlich nicht, denn das geht ja nicht zusammen).



Auf meiner DS habe ich den DynDNS Updater 2 aktiviert und für die einzelnen Subdomains Einträge erzeugt.



Bei Strato steht zwar in den Anmerkungen der DNS-Konfiguration, dass deren Umsetzung bis zu max. 24 Stunden dauern kann, aber leider scheinen irgendwie meine Einträge der Subdomains nicht „aktiv“ zu werden, obwohl ich nun bereits über 24 Stunden gewartet habe. Lediglich der Eintrag für die erste Subdomain – der für den DS-Manager – ist nach nicht einmal zwei Stunden aktiv geworden und zeigt seither auch die öffentliche IP meines Anschlusses an. Entsprechend ist er auch im DynDNS Updater auf „grün“ gesprungen und ich kann den DSM über die gewählte Subdomain aufrufen.

Hat jemand eine Vorstellung, warum sich die übrigen DynDNS-Einträge meiner Subdomains nicht aktivieren? Habe ich da etwas falsch gemacht?

Danke!

 

[TACiboy]

Wieso so kompliziert? Mach doch einfach folgendes:

dyndns.meinedomain.de -> DynDNS IP Updates
audio.meinedomain.de -> CNAME auf dyndns.meinedomain.de
fotos.meinedomain.de -> CNAME auf dyndns.meinedomain.de
video.meinedomain.de -> CNAME auf dyndns.meinedomain.de

 

[heavy]

Da liebe ich doch meine Wildcard.

 

[deb10042]

Leider kriege ich das auch nicht hin...

Probehalber bin ich für die Audiostation mal den von dir vorgeschlagenen Weg gegangen und habe folgendes gemacht:

- Strato: Subdomain DSM.meinedomain.de angelegt (die bestand ja bereits; das ist diejenige, die im o.g. Screenshot bereits auf "grün" stand)
- Strato: Subdomain DSM.meinedomain.de auf DynDNS konfiguriert
- Strato: neue Subdomain musik.meinedomain.de angelegt
- Strato: in der Subdomain musik.meinedomain.de als CNAME die DSM.meinedomain.de eingetragen (gem. anleitung mit einem "." dahinter)
- DSM: im Anwendungsportal für die Audiostation die domain musik.meinedomain.de eingetragen
- Router: Ports 80 und 443 auf die DS weitergeleitet

Wenn ich nun versuche, durch Eingabe von musik.meinedomain.de im Browser die Audiostation aufzurufen, erhalte ich die Browsermeldung "Service Temporarily Unavailable". Dabei zeigt die Adresszeile leider auch "http://musik.meinedomain.de" an anstatt "https://..."

Hätte es so nicht eigentlich funktionieren müssen? Oder habe ich etwas vergessen?

 

[TACiboy]

Die DNS-Konfiguration bei Strato scheint so in Ordnung!
Hast du denn im DSM auch deine Reverse Proxies konfiguriert? Also unter Systemsteuerung --> Anwendungsportal für "Audio Station" die URL auf "musik.meinedomain.de" eingestellt?

Also bei mir funktioniert das so einwandfrei!

PS: hast du geprüft, dass dein Router 80 und 443 auch tatsächlich an die Diskstation weitergibt? manche Router (z.B. FritzBox) besetzen den Port 443 für ihre eigene Administrationsoberfläche, d.h. das muss zunächst umgestellt werden. Poste doch mal bitte einen Screenshot deiner Portweiterleitungen aus dem Router und vom Anwendungsportal deiner DS.

 

[deb10042]

Die DNS-Konfiguration bei Strato scheint so in Ordnung!
Hast du denn im DSM auch deine Reverse Proxies konfiguriert? Also unter Systemsteuerung --> Anwendungsportal für "Audio Station" die URL auf "musik.meinedomain.de" eingestellt?

Also bei mir funktioniert das so einwandfrei!

Das ist wahrscheinlich genau mein Fehler, denn da steht bei mir nichts drin. Was muss ich denn da genau in welche Felder eintragen?

PS: hast du geprüft, dass dein Router 80 und 443 auch tatsächlich an die Diskstation weitergibt? manche Router (z.B. FritzBox) besetzen den Port 443 für ihre eigene Administrationsoberfläche, d.h. das muss zunächst umgestellt werden. Poste doch mal bitte einen Screenshot deiner Portweiterleitungen aus dem Router und vom Anwendungsportal deiner DS.

Die Portweiterleitungen habe ich im Router eingetragen - siehe hier:



Den vom Router selbst benutzten Port 443 habe ich entsprechend geändert.

 

[deb10042]

Sorry, und hier noch die Screenshots aus meinem DS-Anwendungsportal:

 

[TACiboy]

Deine Konfiguration sieht soweit korrekt aus! Wieso dort eine "Service temporarily unavailable" Fehlermeldung weiß ich nicht - das ist aber ein Zeichen dafür, dass du schon mal auf deiner DS landest und die Meldung dann vom nginx deiner DS ausgespuckt wird (das Routing klappt also)! Ich habe aber das hier gefunden: http://www.synology-forum.de/showthread.html?67679-Service-Temporarily-Unavailable

Bitte mal einen reboot deiner DS durchführen und danach nochmal probieren!

ach ja, PS. In den Screenshots ist deine URL sichtbar!

 

[TACiboy]

Mir ist noch etwas aufgefallen: Beim Aufruf von https://musik.meinedomain.de kommt ein Zertifikatsfehler (soweit erst einmal kein Problem). Nachdem der Zertifikatsfehler bestätigt wurde, wird der Anwender umgeleitet auf http://musik.meinedomain.de (kein https mehr !!!).

Kann es sein, dass du irgendwo eine Umleitung konfiguriert bzw. https deaktiviert hast?

 

[deb10042]

Deine Konfiguration sieht soweit korrekt aus! Wieso dort eine "Service temporarily unavailable" Fehlermeldung weiß ich nicht - das ist aber ein Zeichen dafür, dass du schon mal auf deiner DS landest und die Meldung dann vom nginx deiner DS ausgespuckt wird (das Routing klappt also)! Ich habe aber das hier gefunden: http://www.synology-forum.de/showthread.html?67679-Service-Temporarily-Unavailable

Und der Reverse Proxy...? Du sagtest, dass ich da etwas eintragen muss. Habe ich aber momentan noch nicht

Bitte mal einen reboot deiner DS durchführen und danach nochmal probieren!

läuft gerade

ach ja, PS. In den Screenshots ist deine URL sichtbar!

Danke!

 

[TACiboy]

Und der Reverse Proxy...? Du sagtest, dass ich da etwas eintragen muss. Habe ich aber momentan noch nicht

Den Reverse Proxy hast du bereits in der Tab "Anwendung" konfiguriert. Die Einstellungen im Tab "Anwendung" sind streng genommen auch Konfiurationseinstellungen für den Reverse Proxy des nginx, allerdings speziell für die Synology Apps Audio Station, File Station usw... Der Tab "Reverse Proxy" ist im Prinzip nur eine alternative Konfigurationsmöglichkeit für weitere Apps, die nicht von Synology direkt angebunden sind (z.B: Drittanbieter-Apps, eigene Enwicklungen oder Docker Container usw...)

Frage: Hast du zufällig noch eine Weiterleitung bei Strato aktiv? Irgendwie habe ich das Gefühl dass die Ursache deines Problems in dem Redirect von https --> http liegt!

 

[deb10042]

Mir ist noch etwas aufgefallen: Beim Aufruf von https://musik.meinedomain.de kommt ein Zertifikatsfehler (soweit erst einmal kein Problem). Nachdem der Zertifikatsfehler bestätigt wurde, wird der Anwender umgeleitet auf http://musik.meinedomain.de (kein https mehr !!!).

Kann es sein, dass du irgendwo eine Umleitung konfiguriert bzw. https deaktiviert hast?

Genau genommen ist es sogar so:

1. ich gebe in der Adresszeile des Browsers ein: "music.meinedomain.de" (das wäre ja dann eigentlich gleichzusetzen mit "http://musik.meinedomain.de", oder?
2. nach der Bestätigung durch Enter springt die Adresszeile selbständig kurz um auf "https://musik.meinedomain.de"
3. dann erscheint ebenfalls von selbst wieder "http://musik.meinedomain.de" mit der
4. Fehlermeldung "Service temporarily unavailable" (Neustart der DS ist mittlerweile erfolgt)

https habe ich - zumindest nicht wissentlich - nicht deaktiviert. Die DSM-Oberfläche rufe ich auch via https auf.

 

[TACiboy]

Wenn du den Grund für diesen https-->http Redirect gefunden hast bist du glaube am Ziel!

Mal ne blöde Frage, das kann sicherlich nicht sein, aber: hast du das Audio Station Paket überhaupt installiert und gestartet?