Weiterleitung von Wildcards auf Webseiten?

[Brian!]

Hallo Zusammen,

ich habe nun schon einige recht erfolglose Versuche und Recherchen unternommen, ob und wie es vielleicht möglich wäre, von einer Wildcard, zum Beispiel mail.<meinedomain>.de auf http(s)://www.<meinedomain>.de/mail umzuleiten?

Ich habe einen Domain über Selfhost eingerichtet unter der meine DS (209+ FW832) zu erreichen ist.

Habe mich nun schon durch ne menge Artikel im Internet gekämpft aber für diese Spezielle Aufgabenstellung noch kein konkretes geht/geht nicht bzw. einen entsprechenden Lösungsansatz gesehen.

Für irgendwelche Tipps oder Anregungen wäre ich sehr dankbar!

 

[fjstrauss]

du willst doch vermutlich nur, daß deine domain mit und ohne "www" erreichbar ist.

ich habe in der virtuellen hostliste doppelt eingetragen, beide domains verweisen auf denselben Ordner, http, 80

123456.dyndns.org und nochmal www.123456.dyndns.org

 

[ag_bg]

du willst doch vermutlich nur, daß deine domain mit und ohne "www" erreichbar ist.

ich habe in der virtuellen hostliste doppelt eingetragen, beide domains verweisen auf denselben Ordner, http, 80

123456.dyndns.org und nochmal www.123456.dyndns.org

Das alleine bringt in aber noch nicht auf seine MAil-Adresse, sprich den Zusatz des "/Mail", da es sich dabei ja nicht um einen "reelen" Ordner handelt, sondern um die Adresse der Mailstation. diese wird bereits inder conf des Appache "zurecht" gebogen. JEdoch kann man den Ansatz in meinen Augen weiter verfolgen und eben in den gelinkten Ordner (so wie fjstrauss beschrieben hat) einen htaccess mit :

permanent redirect / www.deinedyndns.dyndns.org/mail

reinlegen.
Manchmal kann es auch sein, dass er den Quellpfad nicht nehmen will, dann legst du einfach einen index.htm in den betreffenden Webordner und leitest halt die anfrage auf die um:

permanent redirect /index.htm www.deinedyndns.dyndns.org/mail

Ist ein wenig hintenrum gedacht, hat aber bei mir eigentlich immer recht gut funktioniert (habe es so mit der photostation gemacht)

best regards

 

[Brian!]

Das ganze nochmal etwas konkreter

Also erstmal danke für eure Anregungen!

Ich denke ich sollte mein Anliegen genauer erklären:

also ich kann über Selfhost für meine Domain, welche ja auf meine DS weiterleitet, beliebig viele Wildcards einrichten.
Jetzt habe ich mich gefragt, ob ich mir diese Wildcards nicht irgendwie für gezielten Content meiner DS nutzbar machen kann, indem ich zum Beispiel den Wildcard Paul auf dessen user Bereich /~Paul weiterleite sprich:

paul.<meinedomain>.de -> www.<meinedomain>.de/~paul

oder:

peter.<meinedomain>.de -> www.<meinedomain>.de/~peter
mail.<meinedomain>.de -> www.<meinedomain>.de/mail
photo.<meinedomain>.de -> www.<meinedomain>.de/photo

und so weiter...

der Vorschlag mit der .htaccess würde ja nur jeglichen Zugriff auf den User Apache auf eine bestimmte andere Adresse umleiten, aber nicht mehrerer verschiedene Aufrufe auf verschiedene spezielle HTTP Seiten.

Mittlerweile zweifle ich an, ob das überhaupt möglich ist. Und als letzten Versuch wollte ich gerne noch eure Meinung dazu hören.

Über Selfhost kann ich verschiedene Record Typen als Ziel für die Wildcards einrichten oder konkrete IP Adressen / Webseiten (welche aber auch nur auf die IP der entsprechenden Seite weiterleitet). Ich habe da noch keine Möglichkeit gesehen spezielle Seiten oder Ports anzugeben - noch ist mir da was seitens der DS bekannt, wie der Web Server der DS die Anfragen aus dem Internet evtl. separieren und entsprechend intern aufteilen könnte.

 

[Ozymandias]

Probiers doch mal über die in der Firmware integrierten Möglichkeit.

Netzwerkdienste - Webdienste - Button Virtueller Host

Dann erstellst du soviele Virtuelle Hosts wie du brauchst.
Bedingung der Ordner muß sich dierekt im Ordner web befinden, darum geht hier der photo Ordner nicht, da sich dieser woanders befindet.

z.B.

Sollte eigentlich funktionieren. Bei mir hat's geklappt

Gruß Tino

 

[itari]

Die Lösungen von ag_bg sowie von Ozymandias gehen. Im Grunde macht die DS das standardmäßig sowieso schon so (in diesen Fall per alias). Ein Blick in folgende Datei zeigt das:

/usr/syno/apache/conf/extra/httpd-autoindex.conf-user

Warum diese Dinge ausgerechnet in dieser Datei passieren, ist purer Zufall/Willkür. Die Datei wird auf jeden Fall in die httpd.conf-user inkludiert, so dass die Umleitungen auch wirksam werden.

Itari

 

[ag_bg]

Die Lösungen von ag_bg sowie von Ozymandias gehen. Im Grunde macht die DS das standardmäßig sowieso schon so (in diesen Fall per alias). Ein Blick in folgende Datei zeigt das:

/usr/syno/apache/conf/extra/httpd-autoindex.conf-user

Warum diese Dinge ausgerechnet in dieser Datei passieren, ist purer Zufall/Willkür. Die Datei wird auf jeden Fall in die httpd.conf-user inkludiert, so dass die Umleitungen auch wirksam werden.

Itari

Als Ergänzung dazu auch noch mal der Link zum Betreff im Apache-Handbuch:
http://httpd.apache.org/docs/1.3/mod/mod_alias.html

Allgemein sollte man aber Vorsicht walten lassen, da man sich durchaus vieles verschlimmbessern kann (mir vor ein paar tagen so passiert).

best regards

 

[itari]

Allgemein sollte man aber Vorsicht walten lassen, da man sich durchaus vieles verschlimmbessern kann (mir vor ein paar tagen so passiert).

Klar ohne Sicherung bzw. Kopie der Datei sowieso nie was machen. Ich hab auf meinen PC auch immer eine XAMPP-Installationen und teste meist dort erstmal aus, bevor ich es auf die DS übernehme ... Ändern und Nicht-Funktionieren ist auf dem PC einfacher zu handhaben.

Itari

 

[Brian!]

Soweit sogut!

Also erstaunlicher Weise funktioniert das mit dem Virtual Host tatsächlich!
Das es dann doch so einfach sein konnte!
Also erstmal vielen Dank für die Hinweise!!!

Meine bisherige Lösung sieht nun wie folgt aus:
User Paul bekommt nun im Webordner den Ordner Paul, damit er über den Virtual Host angesprochen werden kann.

paul.<meinedomain>.de -> http://www.<meinedomain>.de/paul

in dem Ordner paul liegt eine .htpaccess mit folgendem Inhalt:

<FilesMatch "^\." >
deny from all
</FilesMatch>

<Files .htaccess>
order allow,deny
deny from all
</Files>

redirect permanent / https://www.<meinedomain>.de/~paul

Somit führ der Aufruf von paul.<meinedomain>.de zu einer Umleitung auf https://www.<meinedomain>.de/~paul.
(Frage am rande hierzu: kann man diese Umleitung so gestallten, dass trotzdem in der Adressleiste des Browsers paul.<meinedomain>.de anstatt der umgeleiteten URL stehen bleibt?)

Für das von mir gewünschte Ergebnis ist das aber wohl erst der Anfang einer Lösung. Bisher habe ich die DS so konfiguriert, dass alle HTTP Zugriffe automatisch auf HTTPS umgeleitet werden. Das führt nun zu Problemen, da mein Zertifikat nur für www.<meinedomain>.de ausgestellt ist und nicht für Wildcard-Domains (diese Zertifikate sind ja dann auch gleich um ein vielfaches teurer).

Das führt nun bei dem beschriebenen Beispiel (und aktivierter Umleitung von HTTP auf HTTPS) dazu, dass VOR dem Zugriff auf die .htaccess der Browser schon meckert, da dass Zertifikat nicht für paul.<meinedomain>.de ausgestellt ist sondern eben für www.<meinedomain>.de.

Soweit ist das ja jetzt alles schon mal sehr funktional - bis auf eben dieses durchaus große Problem für mich, dass der HTTP Zugriff über Port 80 nun für den ganzen User und System Apache offen ist - und das stört mich natürlich entsprechend (sonst würde ich für meine ganzen Passwort Abfragen auch kein Zertifikat für HTTPS brauchen).

Also nun die neue Herausforderung:
Wie kann ich alle Zugriffe auf die DS nun wieder über .htaccess oder sonst was "sicher" machen, also so, dass die aufgerufenen Seiten wieder auf die entsprechenden HTTPS Seiten umgelegt werden?

Eine Möglichkeit wäre wohl, in jeden Ordner eine .htaccess zu legen, die auf sich selbst, nur eben auf HTTPS umleitet (per redirect permanent). Erscheint mir aber etwas umständlich - vorallem wegen dem System Apache und der in der DS "verstreuten" Webinhalte (Webalizer, Mail, Photo, eXplorer etc.).

Oder muss ich dafür gar den bisherigen Lösungsansatz wieder verwerfen?

Also wer hat rat?

Grüße,
Brian

 

[ag_bg]

in meinen Augen ist das einfachste, wenn du den Port 80 zumachst und den Ordner beim Virtual Host als Protokol https vorgibst. Nachteil der Lösung ist aber, dass alle http-Anfragen verworfen werden. Wenn du hingegen umleiten willst, kommst du mit der jetzigen Lösung nur in so weit weiter, als dass du einem 2ten Virtual Host einen 2. Ordner (beides in dem Fall https zuweißt, hast es ja schon mit http) und diesen dann mit auf die https schickst. Innerhalb eines Ordners wird es mit einer htaccess nur dann möglich sein, wenn du dem Pfad verschiedene Ursprünge zuweißt, sprich einmal z.B index1.htm und einmal index2.htm. Das setzt aber auch wieder deren Abfrage voraus, die deine Nutzer vielleicht nicht unbedingt machen wollen. Deshalb würde ich einfach die Ordner eben kurz duplizieren und im Management die virtual Host zuweisen.
Hoffe ich war eieigermaßen verständlich.

best regards und good n8

 

[Brian!]

Bin etwas verwirrt...

Hmm... also um ehrlich zu sein bin ich doch etwas verwirrt. Vielleicht kannst du das nochmal etwas genauer ausführen?

Also den Port 80 wieder komplett sperren wäre zwar sicherlich am einfachsten, dann kann ich aber leider meine Seiten nicht wie gewünscht betreiben, da ich meinen Nutzern das voranstellen des https:// nicht unbedingt zumuten möchte.
Wenn ich meine DS allerdings mit offenem Port 80 nicht richtig sicher kriege werde ich das wohl doch nochmal in Erwägung ziehen müssen.

Bei mir funktioniert das in ein paar Test Ordnern jedenfalls schon mal ganz gut, wie ich das zuvor beschrieben habe. Sprich bei Virtual Hosts ist nur eine HTTP Weiterleitung eingerichtet und die .htaccess im angesprochenen Ordner verrichtet den Rest. Musste ich nur ein wenig aufpassen, dass ich kein unendliche schleife beim weiterleiten bekomme, scheint aber nun auch soweit zu funktionieren.

(Auch nochmal ein) Beispiel:

• /web/paul angelegt
• im Virtual Host paul / paul.<meinedomain>.de / HTTP / 80 eingerichtet
• im ordner /web/paul eine .htaccess mit redirect permanent / https://www.<meinedomain>.de/~paul angelegt (ansonsten ist der Ordner leer)

Ein Aufruf von paul.<meinedomain>.de führt nun zu https://www.<meinedomain>.de/~paul/

Habe das ganze auch schon mit einer Umleitung auf den eigenen Ordner probiert und das hat soweit auch funktioniert.

Beispiel:

• im Virtual Host opengoo / opengoo.<meinedomain>.de / HTTP / 80 eingerichtet
• die .htaccess im web/opengoo Ordner bearbeitet und ein redirect permanent /index.htm/ https://www.<meinedomain>.de/opengoo/ eingefügt (musste so geschrieben werden um die schleife zu vermeiden)

Und nun führt ein Aufruf von opengoo.<meinedomain>.de zu https://www.<meinedomain>.de/opengoo/index.php?c=access&a=login.

Ob das nun so die feine Art ist oder irgendwelche Nebeneffekte haben kann vermag ich leider nicht zu beurteilen. Mit dieser Variante müsste eben nun "nur" dafür gesorgt werden, dass ALLE sicherheitsrelevanten Inhalte der DS die über's Web erreichbar sind entsprechend geschützt werden - und da hört mein bisheriges Wissen auf, denn ich weiß nicht wo ich zum Beispiel die .htaccess für die Mailstation finden und verändern müsste ...

 

[ag_bg]

Ich meinte es eigentlich genau so, wie du es jetzt gemacht hast. Einzige Sache, welche jetzt noch nicht funktionieren dürfte ist die Auflösung der Subdomain mit https, sprich:

https://paul.test.testdns.org

Hierfür müßtest du einen weiteren VH anlegen. Ich weiss aber gerade nicht, ob man in dem Fall noch einmal den gleichen Ordner vorgeben kann oder nicht.
Für die Mailstation kannst du eigentlich das gleich Spiel wie mit den benutzerbezogenen HP machen (sprich ordner mail, mail.testdns.org darauf umleiten und von dort auch https://testdns.org/mail mit permant redirect.
Da Synology aber selber die Umleitungen mit alias umsetzt, könnte man auch in der hier von itari genannten Datei direkt "herumspielen". Dies ist aber ein direkt Systemeingriff, welcher unbedingt empfiehlt, dass man sich ein Backup der gleichen Datei vorher anlegt.

best regards

 

[Brian!]

Ich meinte es eigentlich genau so, wie du es jetzt gemacht hast. Einzige Sache, welche jetzt noch nicht funktionieren dürfte ist die Auflösung der Subdomain mit https, sprich:

https://paul.test.testdns.org

Hierfür müßtest du einen weiteren VH anlegen. Ich weiss aber gerade nicht, ob man in dem Fall noch einmal den gleichen Ordner vorgeben kann oder nicht.

Okay, jetzt habe ich es glaube verstanden was du meintest . In der Tat führt ein direkter https://paul.<meinedomain>.de ins leere bzw. zu einem 403 forbidden. Allerdings bevor irgend ein Fehler kommen kann schlägt der Browser schon zu und beschwert sich darüber, dass das Zertifikat der Seite nicht für paul.<meinedomain>.de sonder für www.<meinedomain>.de ausgestellt ist - und genau das wollte ich durch den HTTP Aufruf und die Umleitung ja vermeiden . Also werde ich hierfür wohl keinen zusätzlichen Eintrag im VH einstellen.

Für die Mailstation kannst du eigentlich das gleich Spiel wie mit den benutzerbezogenen HP machen (sprich ordner mail, mail.testdns.org darauf umleiten und von dort auch https://testdns.org/mail mit permant redirect.
Da Synology aber selber die Umleitungen mit alias umsetzt, könnte man auch in der hier von itari genannten Datei direkt "herumspielen". Dies ist aber ein direkt Systemeingriff, welcher unbedingt empfiehlt, dass man sich ein Backup der gleichen Datei vorher anlegt.

Das klappt leider anscheinend nicht so einfach. Wenn ich einen Mail Ordner im Web Ordner anlege und dort eine .htaccess einfüge (oder auch eine index.htm), dann wird die vollkommen ignoriert und der Aufruf von mail.<meinedomain>.de führt zu einem 403 forbidden.

Auch wenn ich mir die von itari angegebene Datei anschaue, so kann ich dort leider keine Einträge zur Mailstation oder zu den VH Einträgen finden. Bloß Einträge zur Photostation, zum Blog, der ganze Kram fürs Fancy Indexing (existieren die ganzen dort angegebenen Icons eigentlich wirklich irgendwo auf der DS!??) und natürlich die Einträge zu itaris excellentem "CMS learning by doing" cms4ds Einträgen.

Somit bleibt für mich die Frage wie ich das zum Beispiel für die Mailstation (und Photstation etc.) umsetzten kann leider weiterhin noch offen...

Grüße und gute Nacht,
Brian

 

[ag_bg]

Auch wenn ich mir die von itari angegebene Datei anschaue, so kann ich dort leider keine Einträge zur Mailstation oder zu den VH Einträgen finden. Bloß Einträge zur Photostation, zum Blog, der ganze Kram fürs Fancy Indexing (existieren die ganzen dort angegebenen Icons eigentlich wirklich irgendwo auf der DS!??) und natürlich die Einträge zu itaris excellentem "CMS learning by doing" cms4ds Einträgen.

ICh bin mir gerade nicht sicher, in welcher ich die alias dem letzt Mal hatte, sollte aber die conf.user gewesen sein, schau die die 3 conf der Apachen mal an, dann siehst du unten bei einem die alias und meine auch aliasmatch, aber Vorsicht, wenn man falsch spielt zerschießt man sich leider viel (so wie ich)

Somit bleibt für mich die Frage wie ich das zum Beispiel für die Mailstation (und Photstation etc.) umsetzten kann leider weiterhin noch offen...

Was hindert dich den, genau das, was du mit paul gemacht hast auch für photo oder mail zu machen? Ich habe das bis dato bei mir so laufen gehabt und kein Problem damit. Hier könntest du ja z.B: auch die photostaton über http laufen lassen ohne das es ein Problem gibt, solange du deine PAsswortabfragen dort nicht übers I-net schickst.

best regards

 

[itari]

Auch wenn ich mir die von itari angegebene Datei anschaue, so kann ich dort leider keine Einträge zur Mailstation oder zu den VH Einträgen finden. Bloß Einträge zur Photostation, zum Blog, der ganze Kram fürs Fancy Indexing (existieren die ganzen dort angegebenen Icons eigentlich wirklich irgendwo auf der DS!??) und natürlich die Einträge zu itaris excellentem "CMS learning by doing" cms4ds Einträgen.

Somit bleibt für mich die Frage wie ich das zum Beispiel für die Mailstation (und Photstation etc.) umsetzten kann leider weiterhin noch offen...

Das mit den VH und anderen Spezialitäten steht hier: /usr/syno/etc/httpd* Ob deine Mailstation auch dabei ist, weiß ich nicht, da ich das schrottige Teil nicht verwende. Mail-Server hat man beim Provider und nicht zu Hause; aber das ist Anschauungssache. Bei meinen 345 Mail-Accounts wäre mir die Verwaltung auch zu üppig. Immer dran denken, nur durch Menge stiftet man Verwirrung

Ansonsten noch eine Bemerkung zu dem Stehenlassen der URL-Zeile ... ich hab das mal mit einem Application-Proxy vor Monaten hinbekommen, es aber wieder vergessen mit welchem und wie das geht. Application-Proxies gibt es ein paar per IPKG ...

Itari

 

[Brian!]

Was hindert dich den, genau das, was du mit paul gemacht hast auch für photo oder mail zu machen? Ich habe das bis dato bei mir so laufen gehabt und kein Problem damit. Hier könntest du ja z.B: auch die photostaton über http laufen lassen ohne das es ein Problem gibt, solange du deine PAsswortabfragen dort nicht übers I-net schickst.
best regards

Eben genau das mit der Passwortabrafe hindert mich daran, es so nur über den VH zu machen, halt ohne eine weitere Umleitung auf HTTPS. Denn das Risiko, dass meine Nutzer dann anfangen über HTTP ihre Passwörter durchs Internet zu schicken ist mir da dann einfach zu groß.

Ich hatte gehofft, ohne großes weiteres rumschrauben an den Configs "einfach" den "tatsächlichen" Ordner für die Mail-/Photostation u.s.w. zu finden und dort eine entsprechende Umleitung per .htaccess zu machen.

Bei meinen 345 Mail-Accounts wäre mir die Verwaltung auch zu üppig. Immer dran denken, nur durch Menge stiftet man Verwirrung

345 Mail-Accounts !?? Ich hoffe das war eine völlig überzogene übertreibung von dir !!???

 

[ag_bg]

Eben genau das mit der Passwortabrafe hindert mich daran, es so nur über den VH zu machen, halt ohne eine weitere Umleitung auf HTTPS. Denn das Risiko, dass meine Nutzer dann anfangen über HTTP ihre Passwörter durchs Internet zu schicken ist mir da dann einfach zu groß.

Solange du den Port 80 aufläßt, wirst du wohl nicht darum herumkommen, da das grundsätzlich Problem immer das sein wird, dass ein einfacher Protokolwechsel dich trtzdem auf der Seite rausbringt, und das mit all seinen für und wieder (ich meine die /photo, /mail usw.). Hier ist der einfachste Step definitiv das dichtmachen von 80 oder eben die Vorgabe im Apachen. Wenn ich mich nicht irre gibt es dort auch eine Möglichkeit, die Adresse immer auf https umzuleiten, dafür müsstest du vielleicht einmal ein wenig googeln.

Ich hatte gehofft, ohne großes weiteres rumschrauben an den Configs "einfach" den "tatsächlichen" Ordner für die Mail-/Photostation u.s.w. zu finden und dort eine entsprechende Umleitung per .htaccess zu machen.

345 Mail-Accounts !?? Ich hoffe das war eine völlig überzogene übertreibung von dir !!???

Wieso 50 oder mehr hat man recht schnell

 

[Brian!]

Ich habe nun eine menge Konfigs zu diesem Thema angeschaut und "verbogen".

Daher danke schon mal für die vielen Tips von euch!

Ansonsten noch eine Bemerkung zu dem Stehenlassen der URL-Zeile ... ich hab das mal mit einem Application-Proxy vor Monaten hinbekommen, es aber wieder vergessen mit welchem und wie das geht. Application-Proxies gibt es ein paar per IPKG ...

Mir scheint ohne eine mod_proxy für ProxyPass und ProxyPassReverse werde ich (erstmal) nicht weiter kommen. Es sei denn ich finde noch einen Application-Proxie der mir diese Funktion mit anbietet. Hierzu habe ich mich bisher mal mit pound näher beschäftigt, da er mir zu meiner gewünschten Funktion am ehesten zu passen scheint. Aber auch noch nicht wirklich weiter gekommen.

Habe zu diesem Thema (mod_proxy/application-proxy) mal einen neuen Threat eröffnet.

Wieso 50 oder mehr hat man recht schnell

Da stehe ich mal voll auf dem Schlauch - wie soll das denn funktionieren!? Wozu brauch ein einzelner Mensch soviele unterschiedliche Mail-Accounts?

Oder schließt das alle abuse@meinedomain.de, postmaster@meinedomain.de, admin@meinedomain.de etc. mit ein?

 

[ag_bg]

Da stehe ich mal voll auf dem Schlauch - wie soll das denn funktionieren!? Wozu brauch ein einzelner Mensch soviele unterschiedliche Mail-Accounts?

Oder schließt das alle abuse@meinedomain.de, postmaster@meinedomain.de, admin@meinedomain.de etc. mit ein?

Ich habe zu allen möglichen Kram eine e-mail-Addy, das kommt immer auf meine Lust und Laune an, welche ich gerade angebe. Als die Mailstation noch nicht in der DS integriert war und es kein googlemail gab, kam für mich noch dazu, dass ich so meine E-Mails recht gut archivieren konnte, von daher bei mir auch ein relikt aus vergangenen Tagen.

best regards

PS und nein, sie sind bei verschiedenen Hostern