Zugriff auf mehrere Synology Apps über Reverse Proxi

[schoeli]

Guten Abend. Ich möchte mehrere Synology Dienste (z. B. Note, Drive, Photo etc.) über Subdomains erreichen, z. B. „note.domain.de“, dabei aber möglichst nur einen Port (443) öffnen. Die fehlenden Portfreigaben sollten durch den Einsatz des Reverse Proxi auf der Syno kompensiert werden.

Ich habe Folgendes bereits erledigt:

Die Syno ist generell über die “Hauptdomain“ (“domain.de“) erreichbar, aktuell über eine zweite Portfreigabe. Die relevanten Subdomains habe ich eingerichtet und jeweils mit dem entsprechenden A-Record versehen. Im Router wird der Port 443 an die lokale IP der Syno weitergeleitet. Bei den einzelnen Anwendungen habe ich jeweils benutzerdefinierte Ports eingerichtet und diese in der Syno-Firewall weitergeleitet. Für die Subdomains habe ich jeweils eigene Zertifikate eingerichtet und die Anwendungen zugeordnet.

Unter Ameldeportal/Erweitert/Reverse Proxi habe ich die beigefügten Einstellungen vorgenommen.

Der Aufruf der Links z. B. „https://note.domain.de“ innerhalb des WLAN!! klappt sofort, nur von außen (Internet) komme ich nicht drauf. Da erhalte ich die Fehlermeldung: „An SSL error has occurred an a secure connection to the server cannot be made“. Wo kann hier noch ein SSL-Fehler sein bzw. wo habe ich etwas übersehen? Oder habe ich bei der Idee, mehrere Dienste allesamt über den Port 443 aufzurufen, einen gedanklichen Fehler?

Viele Grüße

Schoeli

 

[BigRonin]

Ich mache es genau so … bei mir funktioniert das sogar mit Weiterleitung auf eine 2. Diskstation im gleichem localem Netz. Was mir spontan einfällt … FireWall ? ( IP range Blokiert?)
Ich habe bei mir zu dem Port 443 jeweils noch einen ReverseProxy über Port 80 eingerichtet. Nur um zu testen ob eine normale Verbindung funktioniert. Vielleicht kommst du so weiter.

 

[schoeli]

Danke für die schnelle Antwort. Es klappt jetzt. Habe bei den getesteten Browsern mal den Cache gelöscht..

Allen einen schönen Abend!

 

[Benares]

Die relevanten Subdomains habe ich eingerichtet und jeweils mit dem entsprechenden A-Record versehen

A-Records? Wären nicht CNAMEs auf die Haupt-Domain besser?

„An SSL error has occurred an a secure connection to the server cannot be made“

Sowas passiert eigentlich nur, wenn man https auf http umleitet. Da braucht es dann noch irgendwelche Rewrite-Rules.

 

[schoeli]

Das mit den CNAMEs hatte ich irgendwo auch gelesen. Wie würde so ein Eintrag aussehen? Zusätzlich zu den erstellten Subdomains? Für ein Beispiel wäre ich sehr dankbar. Sorry, habe ich bislang noch nicht benötigt… Das Laden der Seiten braucht übrigens ewig, wie ich soeben feststellte. Vielleicht gibt es da ja einen Zusammenhang…

 

[schoeli]

Hab’s hinbekommen mit den CNAMEs, jetzt ist die Seite auch fix ausgebaut. Wieder was gelernt, vielen Dank!

 

[Benares]

CNAMEs haben halt den Vorteil, dass sie nur sowas wie Aliase für die Hauptdomain sind. Man braucht also nur die Hauptdomain per DDNS zu aktualisieren und die CNAMEs gehen automatisch mit.

 

[King3R]

Hab’s hinbekommen mit den CNAMEs ...

Du kannst dir die Vergabe der Portnummern für die Synology eigenen Dienste auch sparen. Wenn du unter Einstellungen > Anmeldeportal > Anwendungen bei den jeweils von dir genutzten Diensten unter Benutzerdefinierter Domain deine genutzten CNAMEs einrichtest.

 

[schoeli]

Das ist auch nochmal ein klasse Tipp, werde ich nachher gleich ausprobieren. Vielen Dank! Welche Zielports gebe ich dann im Reverse Proxi an?

 

[King3R]

Du kannst/musst aber keine Ports über das Anmeldeportal definieren, das Gleiche gilt für Benutzerdefinierte Domains und Aliasse. Dort lässt sich halt relativ schnell ein interner Dienst nach außen erreichbar machen. Natürlich nur, sofern die nötigen Vorarbeiten (wie z. B. CNAMEs, DDNS ...) geleistet wurden. Wenn keine Ports definiert sind, sind die benutzerdefinierten Domains ganz normal über Port 80/443 erreichbar, je nachdem ob der Zugang zu deiner Diskstation über HTTP/HTTPS läuft. Zu empfehlen ist natürlich HTTPS. Solltest du Ports definieren, müssen diese natürlich dann auch bei der URL mir angegeben werden. Wenn diese aber dann nicht nach außen geöffnet werden sollen, bist du wieder beim Reverse Proxy. Daher kann man sie, meiner Meinung nach, auch gleich weglassen, wenn man das Anmeldeportal nutzt.

 

[Benares]

Ziel ist es ja, alle Anwendungen über https/443 zu schleusen und erst auf dem Reverse Proxy zu rangieren, zu welchem Ziel es weitergeht.
Auch bitte daran denken, dass das Zertifikat auf der DS auch alle CNAMEs abdecken (Stichwort "Alternate Names" bzw. "Alternative Antragstellernamen") und auch den Diensten zugeordnet werden muss.

 

[King3R]

Das ist mir bewusst, ich wollte nur noch einen alternativen Weg aufzeigen. Natürlich hat man bei dieser Herangehensweise zwei Baustellen, die man beachten muss. Muss man aber nicht sowieso ins Anmeldportal, wenn man die Ports für die Diskstation-Dienste ändern möchte oder geht das noch woanders? Das könnte man sich halt damit sparen, wenn man sie gleich ganz weglässt. Ich habe das bei mir ebenfalls so gelöst und es funktioniert bis jetzt ohne Probleme. Des Weiteren bleibt der Reverse Proxy übersichtlich. (Bis auf die Tatsache das man bei v7.x das Fenster des Reverse Proxys nicht in der Größe ändern kann. ) Aber im Endeffekt muss jeder für sich ein Best Practice finden ...

Das mit dem Zertifikat ist ein guter Punkt. Da sucht man sich bei Fehlern schnell den Wolf, wenn man das nicht auf dem Schirm hat.

 

[Benares]

Bei den Standard-DSM-Diensten (Drive, Filestation, ...) braucht man ja nur den CNAME unter Anmeldeportal, Anwendungen bei "Domain" einzutragen, schon ist man fertig. Da ist es m.E. auch egal, ob es über Port oder über Alias weitergeht.
Alles andere (Docker-Container, andere interne Ziele/Geräte, ...) über Erweitert, Reverse Proxy mit Port.

 

[schoeli]

dass das Zertifikat auf der DS auch alle CNAMEs abdecken (Stichwort "Alternate Names" bzw. "Alternative Antragstellernamen") und auch den Diensten zugeordnet werden muss.

Nochmals vielen Dank an euch beide, da habt ihr mir wirklich sehr geholfen! Eine Nachfrage: was hat das mit den „Alternate Names“ auf sich? Ich habe aktuell für jeden CNAME ein Zertifikat erstellt (Let’s encrypt) und muss die Dienste aktuell jeweils 2-fach dem jeweiligen Zertifikat zuordnen (z. B. beim Dienst „Note“: „Note-1234“ (benutzerdefinierter Port) PLUS „note.domain.de“ (Angabe im Reverse Proxi). Geht das mit den „Alternate Names“ evtl. unkomplizierter, da es bei den Zertifikaten schon etwas unübersichtlich wird?

Viele Grüße und einen schönen, sonnigen Tag!

 

[King3R]

Bei den Diskstation-Diensten solltest du dich auf eine der Varianten (Anmeldeportal / Reverse Proxy) beschränken. Wenn du beide Varianten einrichtest, tauchen auch beide bei den Zertifikaten auf.

 

[Benares]

Du brauchst nicht für jeden CNAME ein eigenes Zertifikat (geht zwar auch, wird aber schnell unübersichtlich). Es reicht aber auch ein Zertifikat für die Haupt-Domain mit allen CNAMEs als Alternate Names (s. Hilfetext). Wildcard-Zertifikate gibt es zwar auch, aber über die DSM-Oberfläche nur für synology.me.



Edit: Da hat @King3R Recht. Entweder Domain bei der Anwendung oder Reverse Proxy, nicht beides für den gleichen Dienst.

 

[King3R]

Falls du ein Wildcard-Zertifikat einrichten möchtest, empfehle ich dir, dich bei acme.sh einzulesen. Ich hab das bei mir als Docker-Container laufen und wenn man sich ein bisschen damit beschäftigt hat, ist das eigentlich keine große Sachen mehr. Das funktioniert aber nur automatisch, wenn der Domain Registrar eine API zur Verfügung stellt, ansonsten ist Handarbeit angesagt.

Natürlich geht das Ganze auch über die Alternate Names, wie @Benares schon schrieb.

 

[schoeli]

Alles klar. Dann weiß ich nun Bescheid und werde jetzt etwas „aufräumen“ in der DS. Dankeschön für eure Hilfe und Geduld!

 

[schoeli]

Eine kleine letzte Frage: ich habe jetzt die CNAMES als „Alternate Names“ eingegeben und alles läuft prima! Wenn ich jetzt im Nachhinein noch einen „Alternative Name“ ergänzen möchte, geht das und falls ja, wie? (Ich habe mangels erkannter Möglichkeit das Zertifikat der Hauptdomain gelöscht und mit den Alternative Names neu erstellt).

 

[Benares]

CNAMEs nachträglich hinzufügen geht nicht. Du musst ein neues Zertifikat "hinzufügen" und das alte damit ersetzen (1. Dialog), Dann bleibt auch die Zuordnung zu den Diensten erhalten. Löschen brauchst du das alte nicht zuvor.
Aber glaub mir, das macht man am Anfang 2-3 Mal, dann stabilisiert sich das. Besser gleich etwas vorplanen, was in Zukunft noch kommen könnte und die Namen gleich aufnehmen.