WebServer - Domain - Subdomain

[Duke100]

Hallo Zusammen,
bin damit beschäftigt die Umgebung für einen WebServer u. a. über die Web Station vorzubereiten. Ich bin Hoppyanwender und habe keine Erfahrung bei Einrichtung und Betrieb meiner DS220+, die mir dennoch viel "Spaß" macht.
Die DS220+(DSM 7.2) ist mit DDNS eingerichtet. Über Web Station habe ich die Hauptdomain automatisiert als Verzeichnis einrichten lassen - Web.
Eine Subdomain habe ich unter dem Web-Verzeichnis erstellt und eine textlich geänderte Index.html Datei hineinkopiert.
Das Zertifikat wurde für die Hauptdomain von Synology verwendet, die auch Subdomains als Wildcard unterstützen soll.
Die Einrichtung verlief ohne Probleme. Ein Hinweis dazu: Für die Subdomain habe ich ebenfalls ein Synology Zertifikat erstellt und zugeordnet. Was ansich ja überflüssig sein sollte.
In der Namenssystematik habe ich - Subdomain.HauptDomain.Synology.me - angegeben. Bei der Erstellung über die Web-Station wird der vollständige Link angezeigt, den ich dann auch über diese Anwendung ausprobiert habe. Das kopieren der URL in den Browser führte dazu, dass die Index.html der Hauptdomain als verschlüsselt ausgeführt wurde, aber der Link für die Subdomain führte nicht zur Ausführung der Index.html im Unterverzeichnis - Web\Demo
Ich betreibe eine FritzBox 7590 auf der ich die Portweiterleitungen eingerichtet habe.
- DNS Port Extern 5001
- HTTPS Server 443
- HTTP Server 80
Die Freigaben waren allerdings doppelt vorhanden. Mehr Freigaben bestehen nicht.
Die Routerkonfiguration auf der NAS besteht für Web Station und WebMail beide mit 80 und 443
Bei meiner der Fehlersuche komme ich leider nicht weiter.
Hat jemand eine Idee für die Lösung?

Gruß L.

 

[plang.pl]

Willkommen hier im Forum!
Unterlasse es lieber, einen öffentlich erreichbaren Web-Server auf deinem File-Server zu betreiben. Das ist sicherheitstechnisch eine Vollkatastrophe. Insbesondere dann, wenn man davon eigentlich keine Ahnung hat.
Ebenfalls eine Vollkatastrophe ist es, den 5001er Port einfach so ins Netz zu hängen. Von der automatischen Routerkonfiguration der DS ist auch abzuraten.
Ums zusammenzufassen: Ich rate dir eindringlich dazu, dies lieber bei einem Hoster deines Vertrauens abzubilden oder im Heimnetz eine DMZ dafür einzurichten. Da ist die FritzBox aber dann raus. Das bei einem Hoster zu machen, bereitet dir und uns deutlich weniger Kopfschmerzen und ist billiger und sicherer, als das daheim auf ordentlichem Sicherheitsniveau abzubilden.

 

[Duke100]

Hallo,
vielen Dank für deine Antwort. Ziel ist einen sicheren Server zu betreiben. Deshalb ist dein Hinweis auch nachvollziehbar und werde das Problem erst mal deaktivieren.
Die Lösung mich einfach einem anderen Hosting, als dem Angebot von Synology zuzuwenden, ist gemessen an den Möglichkeiten für mich keine Option. Aber ich habe sicher noch einiges zu lernen. Jedenfalls hatte ich angenommen, dass ich auch als noch nicht so Versierter Fragen stellen darf.
Gruß L.

 

[66er]

Jedenfalls hatte ich angenommen, dass ich auch als noch nicht so Versierter Fragen stellen darf.

Dafür ist so ein Forum ja da, ob einem die Antwort gefällt ist eine Andere.

Unter dem Aspekt Safety First kann ich der Antwort von @plang.pl nur zustimmen.

Wenn alle Deine Nutzdaten plötzlich verschlüsselt wären, wärst Du bestimmt noch weniger erbaut.

 

[plang.pl]

Na klar darfst du Fragen stellen. Aber gerade, weil du als weniger versierter Anwender davon keine Ahnung hast, habe ich meine Ausführungen so eindringlich formuliert.
Selbst mit allem Wissen der Welt würde man keine Webseite auf einem File-Server im LAN bereitstellen. Nicht nur das, sondern gerade dann würde man es nicht tun.
Ich möchte dich hier nur vor einem bösen Erwachen bewahren. Du hast 2 Optionen: Entweder DMZ im LAN aufziehen oder einen Hoster nutzen. Alles andere ist unverantwortlich und wird eher früher als später in die Hose gehen.

 

[alexhell]

Und wenn du trotzdem einen eigenen Webserver betreiben willst, dann befasse dich mal mit Reverse Proxy, dann musst du nur Port 443 freigeben. Docker, dann arbeitest du in einer "Sandbox" oder eine VM die kein Zugriff auf dein Netz hat. Aber ich würde auf keinen Fall die Webstation einfach so ins Netz stellen und wie @plang.pl geschrieben hat wirklich NIEMALS 5001. Das ist grob fahrlässig.

 

[Duke100]

Die Sicherheitsbedenken nehme ich sehr ernst. Mein Ziel ist es nur einem bestimmten Nutzerkreis den Zugang auf die WebSeiten zu ermöglichen, d. h. eine Art Extranet zu betreiben. Erst anmelden und nur bestimmte Anwendungen, wie dem Webangebot über den WebServer zu ermöglichen. Weitere Anwendungen sollen nur über eine zusätzliche Legitimierung ermöglicht werden.
Eine besondere WebSeite im Internet soll keine Verbindung zum WebServer haben. Es soll eine eigene Anmeldung über einen Account geben, über den ich dann die Legitimierung für Anwendungen (WebSeiten, etc.), Verzeichnisse einrichten möchte.
Was wären die richtigen Umsetzungsschritte, falls es nach meinen Vorstellungen überhaupt eine Lösung mit Synology geben sollte.

Gruß L.

 

[Kachelkaiser]

Sobald du die DS in Richtung Internet freigibst, steht sie im Internet egal ob mit Anmeldung oder ohne und ist auch angreifbar. Ich sehe das genauso: Webseite nur über ein Hoster für ein paar Euro im Monat. Dann ist sie sicher und vor allem auch immer erreichbar. Was ist, wenn du die DS runterfährst? Dann ist die Seite auch weg...

 

[Ulfhednir]

Die Sicherheitsbedenken nehme ich sehr ernst. Mein Ziel ist es nur einem bestimmten Nutzerkreis den Zugang auf die WebSeiten zu ermöglichen, d. h. eine Art Extranet zu betreiben. Erst anmelden und nur bestimmte Anwendungen, wie dem Webangebot über den WebServer zu ermöglichen. Weitere Anwendungen sollen nur über eine zusätzliche Legitimierung ermöglicht werden.

Dann ist die sicherste Variante die Einrichtung eines VPNs für den Nutzerkreis.