VPN Tunnel auf Virtual Host leiten

[Hruendel]

Hallo,
ich versuche einen Virtual Host üver VPN von extern erreichbar zu machen.
Ist Zustand:

• Gemeinsamen Ordner "dyn_dns" eigerichtet
• Virtual Host für diesen Ordner eingerichtet
• im Ordner eine PHP-Anwendug platziert
• VPN-Tunnel bei einem Anbieter bestellt und auf Synology eigerichtet

Die aufgezählten Punkte funktionieren. Wenn ich die VPN-IP-Adresse aus dem Internet aufruffe sehe ich den Standart-Ordner der Webstation. Möchte jedoch, dass die VPN-Verbindung die durch Synology aufgebaut wird auf den Virtual Host im gemeinsamen Ordner "dyn_dns" zeigt.

Hat jemand Erfahrung mit so etwas? Bin schon sämtliche Einstellungen durchgegangen konnte jedoch nichts passendes finden.

 

[blurrrr]

Dann sollte wohl die Tunnel-IP in der vHost-Definition angegeben werden... (ansonsten greift der Default-Wert "*")

 

[Hruendel]

Nein, das funktioniert auch nicht. Ich glaube du hast recht, V-Host versteht auch IP-Adressen. Nur im Virtual-Host-Formular von Synology kann man nur Buchstaben sogar ohne Unterstriche eingeben. IP-Adresse will Synology nicht annehmen.

Im Moment mache ich das so, dass ich eine LAN-Buchse (DS220+ hat zwei) in der Fritzbox per DynDNS an den V-Host leite, die zweite ist local erreichbar. Mit DynDNS kann ich auf den V-Host zugreifen. Habe noch Paar Domains bei HostEurope könnte eine davon auf DS laufen lassen. Spaßhalber...

Feste IP kann / will ich mir im Moment nicht leisten. Per VPN wo ich eine Feste IP habe könnte ich lokal einen Server betreiben.

Eine Option gibt es noch. Habe einen Linksys / Cisco Router herum liegen. Denn kann ich mit VPN verbinden und an seine LAN-Buchse die zweite LAN-Buchse von DS anbinden. Nur wollte ich den zusätzlichen Router sparren wegen Latenzen, zusätzlichen Fehlerquellen und so...

 

[blurrrr]

Also irgendwie versteh ich Dich nicht so recht...

- Du hast eine öffentliche IP via VPN-Tunnel (1.2.3.4)
- Du hast einen A-Record (oder eine DynDNS-Adresse)... (domain.tld)
- domain.tld zeigt auf 1.2.3.4

...externes Zeugs... check!

- In der Webstation existiert ein vHost-Eintrag für "domain.tld"
- Der Webkram wird durch den Tunnel zur Syno gebracht
- Die Firewall der Syno lässt den Webkram auch zu
- Webserver ist "auch" an die VPN-Tunnel-Schnittstelle gebunden und lauscht dort

Theoretisch sollte das schon funktionieren...

Aber davon ab...

Möchte jedoch, dass die VPN-Verbindung die durch Synology aufgebaut wird auf den Virtual Host im gemeinsamen Ordner "dyn_dns" zeigt.

Beim vHost ist auch der entsprechende Ordner angegeben und dieser lauscht auch auf domain.tld? Wenn IP nicht geht, ist es ja nicht weiter tragisch, da Du ja anscheinend sowieso via FQDN dran willst.

 

[Hruendel]

- Webserver ist "auch" an die VPN-Tunnel-Schnittstelle gebunden und lauscht dort

Dieser Punkt hat bis jetzt bei mir nicht funktioniert. De IP ist rot und lässt sich nicht speichern. VPN-Namen habe ich auch probiert - zeigt immer auf Hauptverzeichniss und ich kann DSM am Port 5000 aufrufen. Wenn ich in der Routing Tabelle die IPs eingebe kann ich auf DS nicht mehr zugreife da die DS die entfernte IP kriegt.

Ich glaube es ist zu speziell...

 

[blurrrr]

VPN-Namen habe ich auch probiert - zeigt immer auf Hauptverzeichniss und ich kann DSM am Port 5000 aufrufen.

na dann läuft es doch? domain.tld auf die vpn-ip, vhost in der syno anlegen der auf domain.tld hört, dort auch das gewünschte verzeichnis angeben und jut?

Wenn ich in der Routing Tabelle die IPs eingebe

Da musste eigentlich nix anfassen, Routing funktioniert ja (sonst würde es ja "generell" nicht funktionieren)

 

[Hruendel]

Ich werde es in den nächsten Tagen bzw Wochen testen. Ich muss eine Domain bei HostEurope umleiten, das dauert. Da muss ich mich auch etwas durchfuchsen.

Außerdem man benötigt eine vernünftige Firewall wie OpnSense oder ähnlich. Direkte Verbindung in den Server?!
Die Sicherheit "by default" von Synology macht mir noch viele Bauchschmerzen.
Da ist zum Beispiel /proc Verzeichnis kaum abgesichert. Und wer weiß wie viele Lüken es noch gibt:

Was mir solche Schätzchen ausgeben ist leicht erschreckend. Davon kennt man einige:

<?php
    $fh = fopen('/proc/cpuinfo','r');
    while ($line = fgets($fh)) {
        echo "<p>" . $line . "</p>";
    }
?>

Synology ist da meiner Meinung nicht ganz Hackerfest. Pesk und co sind da etwas besser eingerichtet.
Neulich habe ich spaßhalber aktuelle Version von Wordpress auf Sicherheit getestet. Die ist bei dem ersten XSS-Tests durchgefallen.
Da kommen den Hackern solche Ordnereinstellungen gerade recht. Wenn man in den Arbeitsspeicher scheiben kann...
Als Entwicklungsumgebung ist Synology fast perfekt aber für ernsthaften Betrieb kommt mir etwas anderes in Erwägung.

Danke für den Tipp!

 

[blurrrr]

Plesk kostet auch "nur" n 10er pro Monat, ne statische IP (beim Businessanschluss) nix, oder n 5er... einfach alles beim Hoster lassen... vermutlich weniger ??