Dreammachine Pro und Synology, VLAN mit Portweiterleitung

Nein. Es kann portweiterleitung nur auf eine ip legen.

Wenn der port belegt ist musst ein anderen nehmen. 443 und 80 ist für webseiten. Für dienst seiten wie webinterfaces kann man auch andere ports nehmen.

Wie meinst du vlan portweiterleitung?

Zitat von jensche

Das ist genau das Problem. Von aussen ist ja nur 1 443 und 80er Port offen.

443 und 80 ist für HTTP und HTTP. In der Synology braucht es diese Dienste für Standards wie Zerfifikatserneuerung,

Die Lösung heißt Reverse Proxy. Dann kannst Du schön mit Namen arbeiten und alles mit 80/443 machen. Da gibt es sogar ein Docker Projekt für: Nginx Proxy Manager - nur als Idee.

Zitat von razor

Die Lösung heißt Reverse Proxy. Dann kannst Du schön mit Namen arbeiten und alles mit 80/443 machen. Da gibt es sogar ein Docker Projekt für: Nginx Proxy Manager - nur als Idee.

würde ich auch so machen.

nur bei den Zertifikaten wird es kompliziert.

Ich denke jensche will die Synology eigene LE Zertifizierung nutzen. Da müsste dann ja direkt weitergeleitet werden und immer zu einer anderen Syno ?

Wenn du ein LE Zertifikat als wildcard oder cname erstellst und per ssh verteilst kann das funktionieren.

Steht die Hardware so schon bereit oder musst du die noch beschaffen ?

Ist es nicht evtl sinnvoller eine große Syno für alle Abteilungen zu kaufen und dann einfach mit freigaben usw zu arbeiten ?

Oder braucht jede Abteilung zwingend eine eigene Syno ?

Zitat von amaskus

Wenn du ein LE Zertifikat als wildcard oder cname erstellst und per ssh verteilst kann das funktionieren.

Wildcard geht mWn bei kostenlosen LE-Zertifikaten nicht.

Zitat von jensche

Laut meinen Recherchen scheint es ein IPv4-NAT-spezifisches Problem am Router, den auch der Reverse Proxy nicht löst.

Da Du nichts von IPv6 geschrieben hast bin ich von IPv4 ausgegangen. Das ist mMn allerdings kein Router-, sondern ein IPv4-Problem - besteht also bei jedem IPv4-Router.

Aber die Lösung könnte wie oben beschrieben sein:

Du leitest Port 80/tcp + 443/tcp an den Reverse Proxy weiter, der den DNS-Namen/SNI (bei https) aus dem http-Header auswerten können muss, um dann zu entscheiden, an welches nachgelagerte Gerät 01.domain.com, 02.domain.com uswusf. weitergeleitet werden soll.

Dann kannst Du auch in jedem NAS ein eingenes Zertifikat beantragen, da es unter z.B. nas-01.domain.com auf Port 80/tcp und 443/tcp von außen erreicht werden kann.

Zitat von jensche

iPv4 und iPv6 sind vorhanden. Aber ich glaube bei v6 gibts dann einiges an weiteren Sicherheitsproblemen.

Ich würde IPv6 hier völlig außer Acht' lassen.

Zitat von razor

Wildcard geht mWn bei kostenlosen LE-Zertifikaten nicht.

Doch geht mit Certbot und ner DNS Challenge

Hatte ich schon einmal erfolgreich aufgesetzt zum Testen. Mangels produktiver Umgebung noch nicht dauerhaft umgesetzt. War ein Test fürs Haus später.

Wenn es sich um einzelne Firmen handelt benutzen die vermutlich auch unterschiedliche Domains oder ? Oder läuft das alles über eine Bürodomain ?

Sonst lässt sich das evtl mit nem Tunnel und einem günstigen Vserver lösen pro Firma / Syno

Also bei mir läuft genau das sehr erfolgreich.

Ein Nginx Reverse Proxy der sämtliche LE Zertifikate verwaltet und nur https durchlässt. Der verteilt auf drei verschiedene Maschinen. Die sind mit dyndns und cname erreichbar.

Gruß

M.

Zitat

Ist es möglich für einzelne VLANs Portweiterleitungen zu machen oder was gibts für andere Möglichkeiten?

Das genau macht ja der Reverse Proxy auf der Synology, dh. Über die unterschiedlichen DNS Namen welche auf die Synology treffen, werden die Anfragen an die weiteren Synology au den anderen VLAN weiter geleitet. Heißt, diese Synology mit dem Reverse Proxy muss später im Setup als Ausnahme in der Firewall eingetragen werden, damit diese die Anfragen dann (als einzige) weiterleiten kann. Dazu brauchst du nur eine port Weiterleitung, nicht mehrere.

Bei der Synology empfehle ich das rewrite der http Anfragen auf https, damit alle Anfragen tatsächlich über das Zertifikat geprüft werden. -> alle Port 80 Anfragen werden auf Port 443 gesetzt

Synology - Reverse Proxy with HTTP to HTTPS rewrite

Synology How To - Configure Reverse Proxy for HTTP (80) and HTTPS (443) with rewrite to HTTPS for a Docker container running Ghost blog on blog.example.com

blog.golimb.com

Die Zertifikate aller anderen Abteilungen (Synology) müssen dann in dem einen Synology gepflegt werden wo der Reverse Proxy drauf läuft. Falls mehrere vorhanden sind empfiehlt sich hier vielleicht eine abteilungsübergreifende Synology für diesen Zweck.

Man kann sowas auch Virtualisieren und zb nginx oder treafic oder so benutzen, ich nutze beide Möglichkeiten bei mir zu Hause welche einwandfrei, auch über VLAN hinweg funktionieren.

Wie gesagt müssen entsprechende Ports und ip für die Ziele in einem Firewall Setup für den Reverse Proxy Server frei gegeben sein.

PS: das Reverse Proxy ist auf der Synology ein wenig versteckt unter Systemsteuerung-> Anmeldeportal -> Erweitert

Die lets encrypt Zertifikate fügst du unter Sicherheit -> Zertifikat ein, nicht vergessen den Zertifikaten den DNS Namen aus dem Reverse Proxy über das Auswahlmenü zuzuweisen.

jensche Moin, hast du es mal mit UPNP Versucht das ging bei mir ohne Probleme und funktioniert noch immer...

mfg

jensche Ich habe das in der Dream so drinn....

Du musst dann nur noch unten deine Netzwerke entsprechend auswählen.

In der Synology bin ich dann auf neuen Router einrichten gegangen und dort wurde Ubuquiti auch anerkannt und die entsprechenden Ports wurden Freigemacht, völlig automatisch und der Verbindungstest in der Synology sagte mir dann das alles ok ist.

Hoffe das hilft dir ein wenig weiter.

mfg

Ich habe meine Synology auch an Port 1-4 an meinem Switch hängen als Link Agreation und so mit halt auch nur eine IP Adresse. Dann kann ich mir nur noch erklären das du vlt noch was an deiner Firewall schrauben musst, das dort noch irgendwas hakt und vlt verbietet.

mfg

Hier so habe ich das bei meiner gemacht.

mfg