Unendliche Geschichte Reverse Proxy

[schlenzie]

Hallo zusammen,

ich versteh das ganze nicht mehr und komme auch nicht wirklich weiter.
Vorweg, ich nutze die *.synology.me Domain aus dem Standardpool

Die zu erreichenden Adressen sind Docker sowie andere Geräte im gleichen Heimnetzwerk

Im Heimnetzwerk komme ich mit der HTTPS Adresse sogar zum Ziel und ein gültiges SSL Zertifikat wird angezeigt, hab ich auf der Basis der 1. Subdomain erzeugen lassen.
Versuche ich das ganze vom iPhone/iPad ohne WLAN kommt stumpf die Meldung, dass die Seite nicht gefunden werden kann.

Jeder R.Proxy bezieht sich auf den Port 443 und gibt als Zieladresse meist eine HTTP Adresse an. Auf der FritzBox ist der Port 443&80 geöffnet.

Die DSM erreiche ich per Portweiterleitung 5001 als HTTPS von außen ganz normal und funktioniert sogar. Der Rest leider nicht - nicht mal eine Seite.

Kann man denn übnerhaupt eine SUB_SUB DOMAIN nutzen (z.b. pv.test.synology.me) ???

 

[Benares]

synology.me ist schonmal gut. Damit hast du Wildcard-DNS (auch irgendwas.test.synology.me ist auflösbar) und auch Wildcard-Zertifikate (Zertifikat ist auch für *.test.synology.me gültig) sind möglich.
Jetzt musst du eigentlich nur noch im Anmeldeportal die Namen (z.B. photo.test.synology.me) als Domain bei den Standard-Apps hinterlegen oder bei Anmeldeportal, Erweitert, Reverse Proxy verwenden und gut ist's.
Vergiss aber nicht, bei den Zertifikatseinstellungen das "Verwendet für" zu pflegen.

 

[schlenzie]

Danke für deine schnelle Antwort. Dein letzter Satz wirft eine große Frage in den Raum. Diese Einstellung kenne ich leider nicht, auch den Ort der Eingabe nicht. Könntest du das bitte etwas konkretisieren? Vielen Dank im Voraus.
Reicht denn in der FritzBox die einfache HTTPS Freigabe für die Syno Ip?

 

[EDvonSchleck]

Ich würde einfach nichtsynology.me nutzen und lieber auf eine Domain oder DynDNS umschwenken, die zu deinen Bedürfnissen passt.
Wenn du mit dem Reverse Proxy von der DS nicht zufrieden bist, kannst du gerne den Nginx Proxy Manager nutzen. Dort kannst du auch ganz einfach die Zertifikate beantragen und automatisch verlängern lassen.

Eine private Domain kostet bei der letzten Aktion knapp 1,60 € im Jahr.

Ich selber verwende den DS PR zusammen mit einer privaten Domain und acme.sh für das Zertifikat und kann ohne Problem mit dem erstellten Wildcard-Zertifikat Anwendungen von Docker hinzufügen. Das ganze funktioniert natürlich Netzintern und extern.

Den originalen DSM Port solltest du aber auf keinen Fall ins Internet sharen!

Wenn du unterschiedliche Zertifikate auf der DS hast, kannst du jeder Anwendung, RP-Eintrag oder Virtual Host ein Zertifikat manuell zuordnen. Das machst du unter: Systemsteuerung > Sicherheit > Zertifikat > Einstellungen.

 

[Benares]

Die Weiterleitung von 80/443 auf die DS im Router reicht, den Rest erledigt der Reverse Proxy.

Diese Einstellung kenne ich leider nicht, auch den Ort der Eingabe nicht. Könntest du das bitte etwas konkretisieren?

Unter Systemsteuerung, Sicherheit, Zertifikat, Einstellungen findest du eine Liste aller Apps/Reverse Proxies. Dort kannst du rechts jeweils das dafür passende Zertifikat zuweisen. Am Ende findest du das dann unter "Für:" beim Zertifikat.

@EDvonSchleck: Für den Anfang reicht synology.me vollkommen.

 

[EDvonSchleck]

@Benares Das sehe ich anders, denn auch eine DynDNS ist kostenlos und Synology sowie deren Service und Limitierung nicht dazwischen.

 

[Benares]

synology.me bietet Wildcard-DNS und Wildcard-Zertifikate mit automatischer Verlängerung auf Knopfdruck - kostenlos. Für Einsteiger ideal.
Bis auf den vielleicht etwas "schöneren" DNS-Namen kann ich bei den Bezahl-Diensten kaum Vorteile erkennen.

Übrigens: Ich bin auch bei netcup

 

[EDvonSchleck]

Ich habe ausdrücklich geschrieben, dass es auch ohne Bezahldienste geht. Einfach, hat meistens auch einen Haken. Muss jeder selbst entscheiden, wie es geht. Aber ich finde, denn sollten auch alles Besonderheiten auf den Tisch. Das Thema wurde auch oft genug hier durch gekauft.

 

[EDvonSchleck]

Kostenlose Dienste, welche von acme.sh unterstützt werden.

 

[Benares]

Trotzdem würde ich @schlenzie empfehlen, seine ersten Gehversuche erstmal mit synology.me zu machen, bis er das Prinzip verstanden hat. Sonst hat er mehrere Baustellen gleichzeitig.
Umgestellt ist anschließend schnell.

 

[schlenzie]

genau das macht er auch
Meine 1. war eine DS212, ist schon ein paar Tage her, aber bis zur 720+ dienten alle nur als externe Festplatte. Inzwischen arbeiten die etwas mehr ;-)
Homebridge, Adguard & Co. treiben inzwischen ihr Unwesen.
Als nächstes Projekt steht ein Reiserouter mit VPN auf dem Wunschzettel um das Hotelleben etwas angenehmer zu machen in Punkto Sicherheit.

 

[EDvonSchleck]

Wenn du vorher schon eine DS hattest und jetzt einen aktuelle sowie etliche Container betreibst, bist du kein Anfänger mehr. Entsprechend sollte man sich auch mit der Materie auseinandersetzen.

 

[schlenzie]

Das mache ich aktuell. Aber Zeit ist leider sehr begrenzt. Ich bin ja schon froh das inzwischen alles funktioniert was ich mir vorgenommen habe. Hätte das mit dem RP nicht geklappt wäre ich auf die einfachere Portweiterleitung mit natürlich nach außen gefakten Ports zurück gesprungen.
Wenn ich unterwegs vom Hotel aus zugreifen möchte, wäre es fatal, wenn mir hier die Tür zugeschlossen bleibt. Manchmal muss man etwas halt schnell ändern können an Einstellungen, wenn eines der Kinder Probleme hat mit Zugriffsrechten oder ähnliches.

 

[Benares]

Das klingt aber alles eher nach VPN