ComputerBase Menü
Aktuelles

Mit Subdomains auf bestimmten Ports leiten

n3c2o

n3c2o

Ensign
Registriert
Dez. 2008
Beiträge
165
Hi,

hatte mehrere Threads in der suche gefunden, konnte mit diesen allerdings leider nichts anfangen.

Vorweg: ich bin leider nur ein Noob auf diesem gebiet, welcher das irgendwie hinbekommen möchte :)

Ich habe seit kurzem ein NAS und schon länger eine eigene Domain auf Strato.
Nun würde ich gern per Subdomains auf bestimmte Ports des NAS zugreifen.

Bestes Beispiel ist Port 8096 um auf Jellyfin (Ein Streamingdienst von eigenen Medien) zuzugreifen, wo ich meine Urlaubsvideos online von überall Streamen kann..

Wenn ich meine WAN IP + den Port eingebe komme ich auch auf den NAS/Jellyfin

Wie aber kann ich per einfacher Eingabe, zum Beispiel:
"stream.meinedomain.de"
auf genau diesen Port 8096 zugreifen?

Habe etwas gelesen, dass es mit Reverse Proxy ginge. Habe aber null Ahnung, wie man das einrichtet..

Bräuchte das auch für mindestens 2 Ports, 8000 (WebGui vom Asustor) und 8096 (Jellyfin)
GGfls. sogar HTTPS (8001 und 8920) ... später vielleicht mehr.

Mein NAS ist ein Asustor Lockerstor 2 AS6702T, welcher an meiner Fritz.Box hängt.. DynDNS ist schon eingerichtet und scheint zu funktionieren.

Kann da jemand helfen?

Vielen Dank!
 
n3c2o schrieb:
Wenn ich meine WAN IP + den Port eingebe komme ich auch auf den NAS/Jellyfin
Zum Vergrößern anklicken....
Bitte so nicht machen, unbedingt einen
n3c2o schrieb:
Reverse Proxy
Zum Vergrößern anklicken....
davor setzen, geht beispielsweise mit nginx.

Dort kann man auch auf bestimmte Ports leiten, auf DNS-Ebene geht das afaik nicht.
 
  • Gefällt mir
Reaktionen: guzzisti und NeMeSiS_tm
n3c2o schrieb:
Habe etwas gelesen, dass es mit Reverse Proxy ginge. Habe aber null Ahnung, wie man das einrichtet..
Zum Vergrößern anklicken....
Eine gute Anlaufstelle halte ich die vier Teile von Dennis:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
  • Gefällt mir
Reaktionen: n3c2o und NeMeSiS_tm
Anleitungen zu Reverse Proxy gibt es zu Hauf. Es ist nicht sinnvoll, das Rad hier im Forum neu zu erfinden.

Grundsätzlich möchte ich aber davor warnen, beliebige Dienste offen ins Internet zu stellen. Eine Sicherheitslücke reicht und über den fraglichen Dienst wird schlimmstenfalls dein Server gekapert und darüber womöglich der Rest deines Netzwerks angegriffen. Für reine Eigenbenutzung würde ich daher immer und ausschließlich über eine VPN-Verbindung auf heimische Server zugreifen.

Insbesondere bei Admin-Oberflächen bzw. WebGUIs sollte man sehr sehr vorsichtig sein, da ein Angreifer darüber im Zweifelsfalle das System vollständig unter seine Kontrolle bringen kann. Simples Beispiel: Zahlreiche Webseiten im Internet wie auch als GUI in Geräten sind leider auch im Jahr 2023 noch anfällig gegenüber SQL-Injection. Im lokalen Netzwerk ist das Risiko überschaubar, da ein Angreifer überhaupt erstmal ins Netzwerk gelangen muss, aber wenn man die GUI offen ins Netz stellt, ist sie für jedermann sicht- und angreifbar.
 
  • Gefällt mir
Reaktionen: guzzisti und F31v3l
Raijin schrieb:
Für reine Eigenbenutzung würde ich daher immer und ausschließlich über eine VPN-Verbindung auf heimische Server zugreifen.
Zum Vergrößern anklicken....
Braucht dann jeder eine VPN, also auch Familienmitglieder und verschiedene Geräte?
Bzw. anders gefragt: Wenn ich einem Kumpel mal den Link zu meinen Server schicke mit einem Gastlogin, braucht er dann auch eine VPN?

Und Anleitungen zu Reverse Proxy habe ich auch zu hauf gefunden, aber die waren alle nicht wirklich durchblickend für Laien. Bei vielen soll man irgendwelche Systemdateien verändern in irgendeinen nginx etc Order und pipapo - dabei hab ich ja nicht mal eine Ahnung wie man darauf zugreifen kann..


Ich schau mir das mit Portainer heut Nachmittag mal an..
 
n3c2o schrieb:
Braucht dann jeder eine VPN, also auch Familienmitglieder und verschiedene Geräte?
Bzw. anders gefragt: Wenn ich einem Kumpel mal den Link zu meinen Server schicke mit einem Gastlogin, braucht er dann auch eine VPN?
Zum Vergrößern anklicken....

Zugriff aufs NAS gibt es nur via VPN. Sprich derjenige, der darauf zugreifen will, muss mittels VPN reinkommen.

Entweder auf Nummer sicher gehen und einen VPN nutzen oder mit den Konsequenzen leben.
@Raijin hat die Risiken beschrieben. Guck dir nur mal ein bei welchen Versionen, die ganzen NAS OS hängen. Da ist es eigentlich nur eine Frage der Zeit, wann wieder eine Lücke auftaucht.
 
Hm.. Soo empfindliche Daten habe ich nicht. Beruflich Arbeite ich auch nicht mit der Hardware daheim, dass ich mir da sorgen machen müsste. Daher akzeptiere ich jetzt einfach mal das Risiko und ärgere mich erst, wenn ich alles neu aufsetzen muss.
 
n3c2o schrieb:
Braucht dann jeder eine VPN, also auch Familienmitglieder und verschiedene Geräte?
Bzw. anders gefragt: Wenn ich einem Kumpel mal den Link zu meinen Server schicke mit einem Gastlogin, braucht er dann auch eine VPN?
Zum Vergrößern anklicken....
Prinzipiell ja. Wobei man das auf mehreren Ebenen betrachten muss. Man kann, sollte und muss je nach Anwendungsfall durchaus zweigleisig fahren.

Ich kenne Jellyfin nicht und kann nicht einschätzen wie sicher es ist und ob es überhaupt für den Betrieb im Internet gedacht ist. Sofern es lediglich über https kommuniziert, keine Sicherheitslücken wie zB SQL-Injection enthält und du ausreichend starke Logins verwendest, ist das Gefahrenpotential vermutlich überschaubar und kann wie gewünscht mit einem Reverse Proxy eingesetzt werden, ohne VPN.

Die GUI für Router, NAS und Co sollten aber ausschließlich via VPN zugreifbar sein. Das ist insofern ja auch kein Problem, als dass dein Kumpel oder Familienmitglieder auf der Konfigurationsoberfläche deines NAS sowieso nichts zu suchen haben - wie eben auch der Rest der Welt dort nichts zu suchen hat, mit oder ohne Login. Unter Umständen hätte dein VPN also nur einen einzigen Client, zB dein Smartphone.


n3c2o schrieb:
Hm.. Soo empfindliche Daten habe ich nicht. Beruflich Arbeite ich auch nicht mit der Hardware daheim, dass ich mir da sorgen machen müsste. Daher akzeptiere ich jetzt einfach mal das Risiko und ärgere mich erst, wenn ich alles neu aufsetzen muss.
Zum Vergrößern anklicken....
Du denkst ein wenig zu kurz. Wenn dein System gekapert wird, sind nicht nur deine Daten in Gefahr, sondern dein System kann zudem als Ausgangspunkt für Angriffe auf andere Systeme missbraucht werden. Bot-Netze, die aus gekaperten Servern bestehen und wie sie von Hackergruppen eingesetzt werden, können beliebige Ziele im Internet mit DDoS-Attacken lahmlegen.
Das Risiko trägst also nicht du allein, sondern sogesehen jeder im Internet. Ich wäre vorsichtig, zu naiv an die Sache heranzugehen. Du musst sicher kein Hyper-Super-Duper-Hightech-Sicherheitskonzept ausarbeiten, aber zumindest kritische Systeme wie Konfigurationsoberflächen gehören einfach nicht offen ins Internet, sondern hinter ein VPN, wenn man überhaupt Fernzugriff auf die GUI benötigt...
 
  • Gefällt mir
Reaktionen: n3c2o und ulrich_v
n3c2o schrieb:
Daher akzeptiere ich jetzt einfach mal das Risiko
Zum Vergrößern anklicken....
Hier geht es nicht um deine Daten, sondern um das wozu jemand deinen Server missbrauchen kann.
Er wird in ein Bot-Netz eingebunden oder im Darknet werden illegale Waren über deine IP beschafft.
 
  • Gefällt mir
Reaktionen: n3c2o und Raijin
Na Okay - stimmt.
Dann lass ich den Port vom Gui lieber zu. So oft kommts ehh nicht vor, dass man Unterwegs was darin machen müsste.

Da schau ich jetzt mal, wie ich zumindest das mit dem Streamingdienst und Reverse Proxy hinbekomme.

Ich melde mich nochmal, bei Erfolg oder Versagen :)
 
Ähm, sowohl die GUI als auch der Streamingdienst (Jellyfin) laufen auf Port 8096, weil die Software für den Streamingdienst aus Anwendersicht beinhaltet auch die ganzen Einstellungsmöglichkeiten als Admin, oder ist hier was anderes gemeint?

Wobei, vielleich ist das unter Linux anders, bei mir läuft der (noch) auf Windows und nicht in einem Container oder Ähnliches.
 
@Drewkev :

Es geht speziell darum:

n3c2o schrieb:
Bräuchte das auch für mindestens 2 Ports, 8000 (WebGui vom Asustor) und 8096 (Jellyfin)
GGfls. sogar HTTPS (8001 und 8920) ... später vielleicht mehr.
Zum Vergrößern anklicken....

Jellyfin selbst ist (vermutlich) ok, kann ich aber nicht beurteilen, weil ich es nicht einsetze. Aber Router- und NAS-GUIs und dergleichen sind etwas anderes, weil man darüber im Falle eines Falles alles mögliche anstellen und eben nicht "nur" ein paar Media-Dateien löschen kann...
Ergänzung ()

Übrigens: Auf den Seiten von jellyfin.org gibt es offenbar zahlreiche Anleitungen für verschiedene Netzwerkkonfigurationen von jellyfin: Klick!

Neben nginx ist da beispielsweise auch eine Rubrik zu fail2ban. Damit kann man also potentielle Bruteforce-Attacken eindämmen, was bei so ziemlich allen öffentlich erreichbaren Logins sinnvoll ist.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Drewkev
Ich bekomms nicht hin. Das ist echt zu hoch für mich..

Docker sowie Portainer läuft auch, habe sogar "nginx port manager" hinbekommen aber Jellyfin nicht. Bzw. hab ichs hinbekommen aber das scheint ja dann irgendwie wie eine neue Installation zu sein?! Also wie als hätte ich dann zwei mal Jellyfin eins im Docker und eins normal über Asustor..

Asustor hat ja selbst ein reverse proxy.. damit gehts wohl nicht?
Ergänzung ()

Gibts irgendwie Dienstleister, welche die Einrichtung für Laien wie mich, bezahlbar erledigen?
 
n3c2o schrieb:
aber das scheint ja dann irgendwie wie eine neue Installation zu sein?!
Zum Vergrößern anklicken....
Wie meinst du? Sooo viele Einstellungsmöglichkeiten gibt's jetzt auch nicht und deine Bibliotheken kannst du ja easy übernehmen, bzw. kannst du den Pfad auch von einem Netzlaufwerk (NAS) angeben.
 
Drewkev schrieb:
bzw. kannst du den Pfad auch von einem Netzlaufwerk (NAS) angeben.
Zum Vergrößern anklicken....
Hab ich auch gemacht, sogar auf die Verzeichnisse, wo schon beim ersten Jellyfin alles liegt.. Bin genau nach der Anleitung gegangen, von dem Youtube Kurs. Das Jellyfin im Docker startet auch, aber wenn man drauf zugreifen möchte spuckt es Fehler aus. Habe dann vor Wut alles wieder rückgängig gemacht.

Ich teste jetzt noch die Anleitungen direkt von Jellyfin, direkt ein Reverse Proxy in entweder apache oder nginx einzurichten..

Wenn das nicht klappt, geb ich auf.

Und wenn man das mit den Subdomains vergessen würde? Alles andere im Prinzip auch? Und einfach die Domain, welche ja quasi auf Port 80 standartmäßig zugreifen möchte auf die 80 zugreifen lässt, was ja der Webspace ist (Da, wo ich ja quasi ne index.html hab.. kann man da irgendetwas erreichen? Quasi in die Index.html, eine weiterleitung oder so?

Oder kann der router/Firewall nicht umleiten? Wenn ich meine Domain eingebe, wird ja auf eine ip zugegriffen, das ist ja meine Wan ip.. Und dann wird ja meines wissens nach automatisch auf port 80 verwiesen.. Kann man das nicht im Router oder Firewall dann umleiten lassen, dass dann automatisch von 80 auf 8096 umgeleitet wird?
 
Glaub mein Text ist nicht verständlich oder wir reden einander vorbei oder ich weiß nicht was du damit meinst.. sorry.
Wo meinst du die Weiterleitung machen? Und Pfad?
 
n3c2o schrieb:
Oder kann der router/Firewall nicht umleiten?
Zum Vergrößern anklicken....
Doch klar, in meinem Router bspw. muss ich bei der Portfreigabe auch eine IP-Adresse eingeben.

Du kannst für Jellyfin auch den Port ändern. Zudem reicht die bloße IP-Adresse mit dem Port dahinter, du landest automatisch auf der index.html von Jellyfin.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
Sicherheit des Synology-Reverse Proxy: Gibt es eine Art öffentliches Verzeichnis von Subdomains?
2
Antworten
29
Aufrufe
10.827
sinkpäd
S
O
Strato Domain, mehr Subdomains oder wie löse ich das
Antworten
8
Aufrufe
10.770
opoderoso
O
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz