"Vorschaltseite" für Dienste und Docker - Aus dem Internet erreichbar

[kos]

Guten Tag,

bislang greife ich auf diverse Dienste meiner Synology mittels C-Name (eigene Domain) und Reverse Proxy zu.

Beispiel: Chromium Webbrowser im VPN viewer -> (webbroser.meinedomain.de)

Das hat nur einen kleinen Nachteil, der integrierte Reverse-Proxy unterstützt keine User-Authentifizierung und mein Domain-Anbieter limitiert C-Name Einträge auf 5 Stück.

Meine Idee daher: Mittels eigener Domain auf eine simple HTML Seite, ggf. Passwortgeschützt, zugreifen und von dort über Links meine Dienste öffnen.

Ich möchte NGINX auf dem NAS eigentlich vermeiden, da ich dann entweder Ports ändern müsste oder das ganze im Docker Container laufen lassen müsste. Das wäre allerdings Plan-B.

Ist das technisch praktikabel? Wie wäre euer Lösungsansatz?

 

[blurrrr]

Schon mal daran gedacht, dass Du einfach Deinen Domainanbieter wechselst (was ich bei Einschränkungen dieser Art sowieso machen würde), oder einfach mit einem Wildcard-Record arbeitest?

 

[kos]

Was genau nützt mir ein Wildcard-Record wenn ich meine Dienste gezielt ansprechen will?

 

[blurrrr]

Eigentlich ist mir grade extren nach: "..........."

Aber ich versuch es mal anders: Du hast aber schon verstanden, wie genau das ganze abläuft, oder? Also vom DNS hin zum Server, zum Dienst und der Entscheidung was mit welcher Anfrage passiert bzw. wie diese entsprechend umgesetzt werden?

 

[kos]

Ja sicher, deswegen verstehe ich auch nicht was mir der Wildcard-Eintrag bringt. Wenn ich alle *.meinedomain.de gleichermaßen auflöse kann ich keinen individuellen Dienst mehr ansprechen. Bzw. erhöht es die Summe der ansprechbaren Dienste nicht.

 

[blurrrr]

Ich frag nochmal vorsichtig nach: Ziel ist doch sowieso in allen Fällen Dein NAS (was via Portfreigabe auf dem Router erreichbar gemacht wurde), oder?

 

[kos]

Korrekt. Und auf dem NAS laufen entsprechende Dienste bzw. Docker Container.

Sprich, ich löse beispielsweise nas.meinedomain.de mittels reverse proxy -> 192.1.1.1:5000
Dann beispiel.meinedomain.de -> 192.1.1.1:8080
Dann beispiel2.meinedomain.de -> 192.1.1:8081
usw.

 

[blurrrr]

Ok und wie kommst Du jetzt darauf, dass Dich ein Wildcard-Record daran hindern könnte, es genau so weiter zu betreiben?

EDIT: P.S.: Gut, dass wir darüber gesprochen haben ?

 

[kos]

Ich verstehe was du meinst, intern (sofern eine IP) kann ich natürlich alles mit Wildcard entsprechend auflösen und weiterleiten. Ich hab mich zugegebenermaßen auch etwas spärlich ausgedrückt, ich nutze die Domain nicht exklusiv für's Heimnetzwerkwerk sondern u.a auch für einen externen Mailserver und Hosting- Mein Fehler. Daher sind die C-Name Einträge für's Heimnetzwerk Pflicht und limitiert. (Ja, Anbieterproblem)

Mein Hauptanliegen ist aber immer noch die Authentifizierung und Vorschaltseite.

 

[blurrrr]

Eine "Vorschalt"-Seite wird sicherlich ein komplizierteres Vorhaben (die müsste man sich ja auch erstmal bauen), wobei diese dann auch als Proxy genutzt wird (ansonsten würdest Du ja nicht über diese Seite, sondern wieder direkt mit den Diensten kommunizieren). Eine "Möglichkeit" (mit Sicherheit NICHT die beste!) wäre z.B. einen Proxy mit Authentifizierung zu nutzen. So musst Du Dich erstmal am Proxy anmelden, um über diesen dann mit den internen (oder öffentlichen) Dingen zu kommunizieren. Dein Client spricht mit dem Proxy, der Proxy mit den Diensten dahinter. Allerdings wäre es dann durchaus vorteilhaft, wenn dieser nur Verbindungen von bestimmten Adressen zulassen würde.

So oder so, definitiv kein Vorhaben, was sich "mal eben" umsetzen lässt. Für die internen Dinge wäre es ggf. vorteilhafter einfach ein VPN zu nutzen, dann kann man das ganze nämlich direkt sparen und von aussen ist nur erreichbar, was von externen Personen (also nicht Dir) genutzt werden soll.

EDIT: Was den Wildcard-Record angeht, den kannst Du "zusätzlich" nutzen. Als Beispiel:

1) www -> A -> 1.2.3.4
2) * -> CNAME -> DynDNS-Adresse

Wird nach "www" gefragt, wird auch 1.2.3.4 ausgegeben, wird nach www2 gefragt, wird der Wildcard-Record genutzt.

EDIT2 - der Vollständigkeit halber - hab hier kurz mal temporär was angelegt:

DNS-Einträge:



DNS-Lookups sehen dann wie folgt aus:



Hoffe, dass das jetzt noch ein bisschen Licht ins Dunkel gebracht hat ??

 

[peterhoffmann]

Was den Wildcard-Record angeht, den kannst Du "zusätzlich" nutzen.

Das war auch mein erster Gedanke. Bei meinem Anbieter funktioniert das problemlos.
123.domain.tld => Ziel1
456.domain.tld => Ziel2
*.domain.tld => Ziel3
Alles was nicht Ziel1 und Ziel2 entspricht, geht zu Ziel3.

Edit: "Alles" ist nicht ganz richtig, da in der Liste ja noch "domain.tld" (ohne Sub) fehlt.