Zugriff auf mehrere Synology Apps über Reverse Proxi

Status
Für weitere Antworten geschlossen.

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Guten Abend. Ich möchte mehrere Synology Dienste (z. B. Note, Drive, Photo etc.) über Subdomains erreichen, z. B. „note.domain.de“, dabei aber möglichst nur einen Port (443) öffnen. Die fehlenden Portfreigaben sollten durch den Einsatz des Reverse Proxi auf der Syno kompensiert werden.

Ich habe Folgendes bereits erledigt:

Die Syno ist generell über die “Hauptdomain“ (“domain.de“) erreichbar, aktuell über eine zweite Portfreigabe. Die relevanten Subdomains habe ich eingerichtet und jeweils mit dem entsprechenden A-Record versehen. Im Router wird der Port 443 an die lokale IP der Syno weitergeleitet. Bei den einzelnen Anwendungen habe ich jeweils benutzerdefinierte Ports eingerichtet und diese in der Syno-Firewall weitergeleitet. Für die Subdomains habe ich jeweils eigene Zertifikate eingerichtet und die Anwendungen zugeordnet.

Unter Ameldeportal/Erweitert/Reverse Proxi habe ich die beigefügten Einstellungen vorgenommen.

Der Aufruf der Links z. B. „https://note.domain.de“ innerhalb des WLAN!! klappt sofort, nur von außen (Internet) komme ich nicht drauf. Da erhalte ich die Fehlermeldung: „An SSL error has occurred an a secure connection to the server cannot be made“. Wo kann hier noch ein SSL-Fehler sein bzw. wo habe ich etwas übersehen? Oder habe ich bei der Idee, mehrere Dienste allesamt über den Port 443 aufzurufen, einen gedanklichen Fehler?

Viele Grüße

Schoeli
 

Anhänge

  • PNG-Bild.png
    PNG-Bild.png
    148 KB · Aufrufe: 40

BigRonin

Benutzer
Mitglied seit
08. Mai 2015
Beiträge
1.156
Punkte für Reaktionen
131
Punkte
89
Ich mache es genau so … bei mir funktioniert das sogar mit Weiterleitung auf eine 2. Diskstation im gleichem localem Netz. Was mir spontan einfällt … FireWall ? ( IP range Blokiert?)
Ich habe bei mir zu dem Port 443 jeweils noch einen ReverseProxy über Port 80 eingerichtet. Nur um zu testen ob eine normale Verbindung funktioniert. Vielleicht kommst du so weiter.
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Danke für die schnelle Antwort. Es klappt jetzt. Habe bei den getesteten Browsern mal den Cache gelöscht..

Allen einen schönen Abend!
 
  • Like
Reaktionen: BigRonin

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.760
Punkte
468
Die relevanten Subdomains habe ich eingerichtet und jeweils mit dem entsprechenden A-Record versehen
A-Records? Wären nicht CNAMEs auf die Haupt-Domain besser?

„An SSL error has occurred an a secure connection to the server cannot be made“
Sowas passiert eigentlich nur, wenn man https auf http umleitet. Da braucht es dann noch irgendwelche Rewrite-Rules.
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Das mit den CNAMEs hatte ich irgendwo auch gelesen. Wie würde so ein Eintrag aussehen? Zusätzlich zu den erstellten Subdomains? Für ein Beispiel wäre ich sehr dankbar. Sorry, habe ich bislang noch nicht benötigt… Das Laden der Seiten braucht übrigens ewig, wie ich soeben feststellte. Vielleicht gibt es da ja einen Zusammenhang…
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Hab’s hinbekommen mit den CNAMEs, jetzt ist die Seite auch fix ausgebaut. Wieder was gelernt, vielen Dank!
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.760
Punkte
468
(y)
CNAMEs haben halt den Vorteil, dass sie nur sowas wie Aliase für die Hauptdomain sind. Man braucht also nur die Hauptdomain per DDNS zu aktualisieren und die CNAMEs gehen automatisch mit.
 

King3R

Benutzer
Mitglied seit
14. Mrz 2017
Beiträge
361
Punkte für Reaktionen
82
Punkte
28
Hab’s hinbekommen mit den CNAMEs ...
Du kannst dir die Vergabe der Portnummern für die Synology eigenen Dienste auch sparen. Wenn du unter Einstellungen > Anmeldeportal > Anwendungen bei den jeweils von dir genutzten Diensten unter Benutzerdefinierter Domain deine genutzten CNAMEs einrichtest.
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Das ist auch nochmal ein klasse Tipp, werde ich nachher gleich ausprobieren. Vielen Dank! Welche Zielports gebe ich dann im Reverse Proxi an?
 

King3R

Benutzer
Mitglied seit
14. Mrz 2017
Beiträge
361
Punkte für Reaktionen
82
Punkte
28
Du kannst/musst aber keine Ports über das Anmeldeportal definieren, das Gleiche gilt für Benutzerdefinierte Domains und Aliasse. Dort lässt sich halt relativ schnell ein interner Dienst nach außen erreichbar machen. Natürlich nur, sofern die nötigen Vorarbeiten (wie z. B. CNAMEs, DDNS ...) geleistet wurden. Wenn keine Ports definiert sind, sind die benutzerdefinierten Domains ganz normal über Port 80/443 erreichbar, je nachdem ob der Zugang zu deiner Diskstation über HTTP/HTTPS läuft. Zu empfehlen ist natürlich HTTPS. Solltest du Ports definieren, müssen diese natürlich dann auch bei der URL mir angegeben werden. Wenn diese aber dann nicht nach außen geöffnet werden sollen, bist du wieder beim Reverse Proxy. Daher kann man sie, meiner Meinung nach, auch gleich weglassen, wenn man das Anmeldeportal nutzt.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.760
Punkte
468
Ziel ist es ja, alle Anwendungen über https/443 zu schleusen und erst auf dem Reverse Proxy zu rangieren, zu welchem Ziel es weitergeht.
Auch bitte daran denken, dass das Zertifikat auf der DS auch alle CNAMEs abdecken (Stichwort "Alternate Names" bzw. "Alternative Antragstellernamen") und auch den Diensten zugeordnet werden muss.
 

King3R

Benutzer
Mitglied seit
14. Mrz 2017
Beiträge
361
Punkte für Reaktionen
82
Punkte
28
Das ist mir bewusst, ich wollte nur noch einen alternativen Weg aufzeigen. Natürlich hat man bei dieser Herangehensweise zwei Baustellen, die man beachten muss. Muss man aber nicht sowieso ins Anmeldportal, wenn man die Ports für die Diskstation-Dienste ändern möchte oder geht das noch woanders? Das könnte man sich halt damit sparen, wenn man sie gleich ganz weglässt. Ich habe das bei mir ebenfalls so gelöst und es funktioniert bis jetzt ohne Probleme. Des Weiteren bleibt der Reverse Proxy übersichtlich. (Bis auf die Tatsache das man bei v7.x das Fenster des Reverse Proxys nicht in der Größe ändern kann. :rolleyes:) Aber im Endeffekt muss jeder für sich ein Best Practice finden ...

Das mit dem Zertifikat ist ein guter Punkt. Da sucht man sich bei Fehlern schnell den Wolf, wenn man das nicht auf dem Schirm hat.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.760
Punkte
468
Bei den Standard-DSM-Diensten (Drive, Filestation, ...) braucht man ja nur den CNAME unter Anmeldeportal, Anwendungen bei "Domain" einzutragen, schon ist man fertig. Da ist es m.E. auch egal, ob es über Port oder über Alias weitergeht.
Alles andere (Docker-Container, andere interne Ziele/Geräte, ...) über Erweitert, Reverse Proxy mit Port.
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
dass das Zertifikat auf der DS auch alle CNAMEs abdecken (Stichwort "Alternate Names" bzw. "Alternative Antragstellernamen") und auch den Diensten zugeordnet werden muss.
Nochmals vielen Dank an euch beide, da habt ihr mir wirklich sehr geholfen! Eine Nachfrage: was hat das mit den „Alternate Names“ auf sich? Ich habe aktuell für jeden CNAME ein Zertifikat erstellt (Let’s encrypt) und muss die Dienste aktuell jeweils 2-fach dem jeweiligen Zertifikat zuordnen (z. B. beim Dienst „Note“: „Note-1234“ (benutzerdefinierter Port) PLUS „note.domain.de“ (Angabe im Reverse Proxi). Geht das mit den „Alternate Names“ evtl. unkomplizierter, da es bei den Zertifikaten schon etwas unübersichtlich wird?

Viele Grüße und einen schönen, sonnigen Tag!
 

King3R

Benutzer
Mitglied seit
14. Mrz 2017
Beiträge
361
Punkte für Reaktionen
82
Punkte
28
Bei den Diskstation-Diensten solltest du dich auf eine der Varianten (Anmeldeportal / Reverse Proxy) beschränken. Wenn du beide Varianten einrichtest, tauchen auch beide bei den Zertifikaten auf.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.760
Punkte
468
Du brauchst nicht für jeden CNAME ein eigenes Zertifikat (geht zwar auch, wird aber schnell unübersichtlich). Es reicht aber auch ein Zertifikat für die Haupt-Domain mit allen CNAMEs als Alternate Names (s. Hilfetext). Wildcard-Zertifikate gibt es zwar auch, aber über die DSM-Oberfläche nur für synology.me.

1646730173460.png

Edit: Da hat @King3R Recht. Entweder Domain bei der Anwendung oder Reverse Proxy, nicht beides für den gleichen Dienst.
 
Zuletzt bearbeitet:

King3R

Benutzer
Mitglied seit
14. Mrz 2017
Beiträge
361
Punkte für Reaktionen
82
Punkte
28
Falls du ein Wildcard-Zertifikat einrichten möchtest, empfehle ich dir, dich bei acme.sh einzulesen. Ich hab das bei mir als Docker-Container laufen und wenn man sich ein bisschen damit beschäftigt hat, ist das eigentlich keine große Sachen mehr. Das funktioniert aber nur automatisch, wenn der Domain Registrar eine API zur Verfügung stellt, ansonsten ist Handarbeit angesagt.

Natürlich geht das Ganze auch über die Alternate Names, wie @Benares schon schrieb.
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Alles klar. Dann weiß ich nun Bescheid und werde jetzt etwas „aufräumen“ in der DS. Dankeschön für eure Hilfe und Geduld!
 

schoeli

Benutzer
Mitglied seit
23. Nov 2013
Beiträge
366
Punkte für Reaktionen
12
Punkte
24
Eine kleine letzte Frage: ich habe jetzt die CNAMES als „Alternate Names“ eingegeben und alles läuft prima! Wenn ich jetzt im Nachhinein noch einen „Alternative Name“ ergänzen möchte, geht das und falls ja, wie? (Ich habe mangels erkannter Möglichkeit das Zertifikat der Hauptdomain gelöscht und mit den Alternative Names neu erstellt).
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.760
Punkte
468
CNAMEs nachträglich hinzufügen geht nicht. Du musst ein neues Zertifikat "hinzufügen" und das alte damit ersetzen (1. Dialog), Dann bleibt auch die Zuordnung zu den Diensten erhalten. Löschen brauchst du das alte nicht zuvor.
Aber glaub mir, das macht man am Anfang 2-3 Mal, dann stabilisiert sich das. Besser gleich etwas vorplanen, was in Zukunft noch kommen könnte und die Namen gleich aufnehmen.
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat