Synology Diskstation: Filestation als https default?

[Ash-Zayr]

Hallo,
ich bin gerade von einer DS214 auf eine DS220+ migriert.

Die neue DS läuft ja....aber Pustekuchen...die mir wichtigen Settings der DS214 wurden nicht mit auf die DS220 migriert....DDNS musste ich neu einrichten und auch in der Fritzbox musste ich festestellen, dass die Port-Freigaben nicht eben an den Ports hängen. sondern per ip explizit am Gerät, und da beide Diskstations parellel online sein mussten, hatten sie auch erstmal unterschiedliche ip-Adressen.
Also musste ich alle Portfreigaben neu einrichten. bzw. bin gerade dabei.

Proplem:
intern errreiche ich alle apps...wenn ich die Fritz-Standard ip 192.168.178 und in meinem Falle 3 eingebe, kommt die DSM Oberfläche.
Extern ist das Problem...auch hier würde ich alle apps erreichen, sofern ich in der Fritzbox Portfreigaben anliegen habe....ich muss aber der Server Adresse immer noch den DS Port beigeben.....also für die Filestation https://mein-server.de/7001.....oder für die Audio Station https://mein-server.de/8801

Ich möchte: wenn ich https://mein-server.de im Browser eingebe (ohne Portangabe!) , soll die Filestation über das Internet kommen.

Welcher Portfreigabe in der Fritzbox bedarf das, und was ist im DSM im "Anwendungsportal" einzustellen? Ich habe dort nur die beiden Haken gesetzt, die 7000 als http und 7001 als https definieren.

danke & Gruß
Ash

 

[morcego]

https://imaginado.de/2019/07/synology-filestation-und-co-besser-bereitstellen/
Reverse proxy

 

[Ash-Zayr]

Hallo,
das Video zeigt genau mein gewünschtes Endresultat, aber leider setzt es einiges voraus, was ich nicht auf Anhieb aus eigener Kraft könnte: die Dienste, die ich im reverse proxy anlegen möchte, müssen als Quell-Local-Host offensichtlich als eigenständige Sub-Domains vorliegen, die dann auch später namentlich aufgerufen werden statt wie jetzt meine eigentliche DynDNS Domain + Portangabe.
Ist es richtig, dass ich die DS-Web-Station installieren muss? Das habe ich getan, bin nun aber ratlos.

Ich würde gern anlegen:

file.mein-server.de
audio.mein-server.de
video.mein-server.de

Zusatzfrage: muss zwingend "mein-server" Bestandteil des subdomain Namens sein, also mein vollständiger DynDNS Name, oder kann hier namentlich frei gestaltet werden, so dass auch z.B. "file.mein.de" möglich wäre?

danke für einen weiteren Rat.

Gruß
Ash

 

[morcego]

Nein, die WebStation benötigst du nicht.
Die Subdomains werden dort angelegt wo auch dein DynDNS registriert ist.
Also nehmen wir mal an das wäre Strato und deine Domain zayr.de ist dort registriert, der DynDNS landet auch dort und aktualisiert sich.
Dann musst du dort DNS Alias für die benötigten Dienste anlegen die auch auf den DynDNS Eintrag zeigen.

Das beantwortet dann auch den zweiten Teil. Im Prinzip ist es ein Trichter der Anfragen von mehreren Subdomains über den DynDNS Eintrag an deine öffentliche IP zu hause weiterleitet. Da kein Port angegeben ist, wird Standard https 443 in der Firewall/Portfreigabe des Routers an die Diskstation geleitet.
Da kommt dann der volle aufgerufene Name file.zayr.de an und der Reverse Proxy nimmt des gesamten Namen um ihn an localhost:7001, oder was halt eingestellt ist, weiterzuleiten.

Spannender wird der interne Zugriff. Wenn du keinen eigenen DNS-Server betreibst, kannst du diesen Trichter nicht basteln. Bisher habe ich das nur in Netzwerken mit Windows Domäne betrieben, da gibt es zwangsläufig einen eigenen DNS-Server. Die Fritzbox kann das nicht leisten. Das NAS kann einen eigenen DNS betreiben, aber da muss ich passen. Das habe ich noch nie eingerichtet. Geht aber sicherlich.

 

[Ash-Zayr]

hey, danke Dir soweit...bin schon recht gut davor...ich bin bei selfhost.de und habe mir die 3 subdomains erstellt...so, im DSM Anwendungsportal kann ich mir die nun zwar alle für den reverse proxy anlegen jeweils als http und https Version und sie auch so im Anwendungsportal als benutzerdefinierte Ports angeben....aber nun fehlt mir wieder irgendwas in der Fritzbox....ich muss ja Port 80 für http und 443 für https zugänglich machen, oder?
Wenn ich in der FB eine Freigabe einrichte für z.B. die Filestation mit Port am Gerät 7001 und Port extern 443, und Port 7000 am Gerät mit Port extern 80...alles gut....so...aber nun kommen ja weitere Anwendungen...Audio Station will Port 8800 und 8801 an 443 und 80.....geht in der FB aber nicht mehr! Fehlermeldung, vonwegen für diesen Port (wohl extern 80/443) bestehe schon eine Freigabe.
Was nun? Ich kann doch nicht in der FB für 80 und 443 pauschal den gesamten Portbereich freigeben?? Ich dachte, genau das sei nicht nötig als großer Sicherheitsvorteil.

Wo ist mein Fehler?

danke Euch
Ash

 

[morcego]

Die Ports an der Fritzbox werden nicht umgemappt. Das ist ja überhaupt der Grund wieso man den Reverse Proxy benutzen muss. Pro Leitung kann eine Portfreigabe nur einmalig erfolgen.
Für deinen Anwendungsfall gibt es noch genau 2 Freigaben:
Internet 80 -> NAS 80
Internet 443 -> NAS 443

Den Rest macht das NAS selber.
Eigentlich bräuchte man nichtmal benutzerdefinierte Ports im Anwendungsportal anklicken, 7000 ist ja der Standardport für die FileStation.

Praktischer Hintergrund zum wie: Weil wir den Netzwerkverkehr nicht auf Netzwerkebene verändern können, also den Port am Router, müssen wir das auf Anwendungsebene machen. Der Reverse Proxy ist ein Webserver (nginx) der schlichtweg Webseiten anhand einer Subdomain zuordnet.

Damit entfällt auch die Sicherheitsempfehlung die man gern im Netz findet:
"Sie sollten den DSM Port ändern und ihn nicht auf 5000/5001 belassen damit Hacker nicht so einfach angreifen können."
Diese beiden Ports werden einfach nicht im Router freigegeben, es gibt nur 80/443 und damit ist DSM auch sicher. DSM wird ausschließlich aus dem internen Netzwerk oder per VPN benutzt.

 

[Ash-Zayr]

super, danke Dir....über den Internet-Browser lässt sich nun alles korrekt aufrufen. In der FB habe ich nur die Freigaben für 80 auf 80 und 443 auf 443 eingerichtet. Auf der DS die Web-Station wieder deinstalliert.

Auffälligkeiten:
ich habe ein gerade vorgestern erneuertes Let's encrypt Zertifikat...nennt sich jetzt wohl R3.
Dennoch sagt mir Firefox bei https Aufruf vonwegen Sicherheits-Risiko, und ich muss es als Ausnahme hinzufügen für das Aufrufen. Das SSL Zertifikat scheint also nicht zu greifen.

Der Aufruf der Filestation über die DS File Smartphone app schlägt nun fehl. Warum?

danke & Gruß
Ash

 

[morcego]

Schau mal ob das Zertifikat als Standard definiert ist und bei allen Diensten genutzt wird.
[PS: Und alle Subdomains müssen natürlich im Zertifikat registriert sein. Wildcard kann das Syno glaube ich nicht selbst erzeugen]

In der App muss der Port mit angegeben werden, so wie ich das in meinem Artikel auch erklärt habe.
Also file.domain.de:443

 

[Ash-Zayr]

mobile apps klappen nun, danke!

Beim Zertifikat, ist als einziges als Standard eingestellt, sehe ich allerdings keine Möglichkeit, dieses explizit für mehrere domains zu konfigurieren. Die Dienste an sich sind im Zertifikat benannt, aber das Zertfikat selbst läuft ja auf meine Haupt DynDNS Domain....

ash

 

[morcego]

Mehr als die SAN muss man eigentlich nicht machen. Das hat bei uns auch immer automatisch mit allen Webseiten geklappt. Eventuell grätscht aber der Browser Cache rein. Ich teste nach einem Zertifikatswechsel auch immer mit Edge oder IE quer da ich die sonst nie verwende und sicher bin das er die Seiten wirklich neu lädt.

 

[Ash-Zayr]

ok, ich muss für die Dienste also explizit weitere Zertifikate neben dem Standard-zertfikate anlegen. Dann habe ich auch im Pulldown-Menü der Zertfikats-Konfi die weitere Möglichkmeit der Zuordnung der Dienste zu den sub-domains.
Klappt!

Super, danke!

Gruß
Ashg