Domänenzugriff

Es gibt 9 Antworten in diesem Thema, welches 1.786 mal aufgerufen wurde. Der letzte Beitrag () ist von alxwolf.

    Hallo Zusammen
    Ich habe nun seit längerem mein Netzwerk mit Ubi bestandteilen aufgewertet. Doch nun stehe ich vor einem Problem. Ich habe die USG-3p und 3 APs im Einsatz. Auf einem Synology-NAS läuft über Docker das Controlcentrum. Nun habe ich vom Verein ein zweites NAs welches ebenfalls im Netzwerk ist. Ich kann beide über je eine domäne ansprechen und habe auch ein SSL-Zertifikat über Letsencript welches jeweils alle 3 Monate erneuert wird eingerichtet. Soweit funktioniert nun alles. Doch muss ich jedesmal wenn die Zertifikate erneuert werden die Portweiterleitung anpassen, das ist sehr umständlich. Nun ist meine Frage, gibt es eine Möglichkeit, dass ich die Portweiterleitung umgehen kann, in dem ich die Domäne an das jeweilige Nas weiterleite? Wenn ja wie mache ich das? Oder benötige ich noch etwas weiteres?


    folgendes scenario:

    Ich komme über ein Router der eigentlich nur als Bridge funtioniert auf die USG und da sollte es dann wie folgt aufgeschlüsselte werden:

    subdomain.domain1.ch --> NAS 1

    subdomain.domain2.ch --> NAS 2


    Ich finde einfach keinen Punkt wo ich zum Beispiel eine Domain an einen Server binden kann.


    Entweder ich bin völlig blind, oder das geht so nicht.


    Ich würde mich über eine Rückmeldung ob es funktionieren sollte mit meinem Setup freuen. Und wenn mir jemand noch eine Anleitung bieten könnte, dann wäre ich noch umso Dankbarer.


    Gruss bambid

    Das Problem wird sich nur mit einem Reverse-Proxy lösen lassen, da Du ja schon gemerkt hast, dass Du einen Port nicht an zwei unterscheidliche Ziele weiterleiten kannst.


    Der genannte Proxy kann den SNI auswerten und das Paket an das richtige Ziel weiterleiten.


    Da Deine NASe ja schon aus dem Internet erreichbar sind kannst Du das - falls NAS1 oder NAS2 es zulassen - als Docker-Container laufen lassen:

    Nginx Proxy Manager
    Docker container and built in Web Application for managing Nginx proxy hosts with a simple, powerful interface, providing free SSL support via Let's Encrypt
    nginxproxymanager.com

    Wie schon gesagt, mit einem Reverse Proxy lässt sich das sehr komfortabel lösen.

    Ich als Spaßverderber muss die Frage stellen, ob das NAS wirklich unbedingt im WAN erreichbar sein muss.

    Zwecks Angriffsmöglichkeiten muss man den Bedarf immer genau abwägen.


    Ich empfehle andernfalls den Wireguard VPN einzurichten, der bleibt auch bei Smartphone und Tablet aktiv bzw. aktiviert sich außerhalb des heimischen WLANs und man kommt immer bequem an seinen Kram heran.

    Die Synologys haben schon einen Reverse Proxy an Board. Der sollte dafür eigentlich ausreichen. Ich hatte das mal testweise eingerichtet und konnte über 4 verschiedene Subdomänen von ausserhalb auf 4 verschiedene Webinterfaces zugreifen. jeweils mit gültigem LE Cert welches auf der Synology lag, auf dem der Reverse Proxy mit den entsprechenden Domains eingerichtet war. Dorthin gingen dann auch alle benötigten Portweiterleitungen.


    Im DSM 7 unter Anmeldeportal - Erweitert - Reverseproxy zu finden.


    Für die Namensauflösung empfiehlt sich Split DNS, falls Loopback NAT nicht hinhaut (je nach Router) um im LAN die Auflösung auf die IP der Synology mit dem Reverse Proxy zu leiten um keine Cert Warnung zu bekommen.

    Zitat von DoPe

    Die Synologys haben schon einen Reverse Proxy an Board. Der sollte dafür eigentlich ausreichen. Ich hatte das mal testweise eingerichtet und konnte über 4 verschiedene Subdomänen von ausserhalb auf 4 verschiedene Webinterfaces zugreifen. jeweils mit gültigem LE Cert welches auf der Synology lag, auf dem der Reverse Proxy mit den entsprechenden Domains eingerichtet war. Dorthin gingen dann auch alle benötigten Portweiterleitungen.


    Im DSM 7 unter Anmeldeportal - Erweitert - Reverseproxy zu finden.


    Für die Namensauflösung empfiehlt sich Split DNS, falls Loopback NAT nicht hinhaut (je nach Router) um im LAN die Auflösung auf die IP der Synology mit dem Reverse Proxy zu leiten um keine Cert Warnung zu bekommen.

    Sehr richtig. Da der TE nicht genauer ausgeführt hat, ob eines der Geräte Docker "kann" bin ich so vage geblieben.

    Zitat von LachCraft

    Ich als Spaßverderber muss die Frage stellen, ob das NAS wirklich unbedingt im WAN erreichbar sein muss.

    Zwecks Angriffsmöglichkeiten muss man den Bedarf immer genau abwägen.


    Ich empfehle andernfalls den Wireguard VPN einzurichten, der bleibt auch bei Smartphone und Tablet aktiv bzw. aktiviert sich außerhalb des heimischen WLANs und man kommt immer bequem an seinen Kram heran.

    Ist auch meine Philosophie. Das Fass wollte ich aber nicht aufmachen.

    Hallo Zusammen

    Danke euch für die schnellen Rückmeldungen. Und die diversen ansätzen. Das NAS2 müsste von Aussen zugänglich sein. Da es sich um ein Vereins-NAS handelt. Da sind keine Sensiblen Daten drauf und wenn sich jemand doch die Mühe macht darauf zuzugreifen, dann wird er nicht belohnt.

    Das NAS1 ist mein HeimNAS somit könnte ich dies über die VPN Lösung zum Erreichen enrichten. Doch dies benötig sicherlich noch etwas Zeit.

    Die Variante mit dem Reverse Proxy im NAS1 auf das NAS2 hat irgendwie funktioniert aber trotzdem nicht wiklich. Von Aussen (ausserhalb DSM) komme ich wunderbar auf das NAS2 doch wenn ich auf Zertifikat erneuern klicke erhalte ich den Fehler:


    Kontrollieren Sie, ob IP-Adresse, Reverse Proxy-Regeln und Firewall-Einstellungen korrekt konfiguriert sind, und versuchen Sie es erneut.


    Leider kann ich keinen Fehler ausmachen. Entweder ich habe beim RP etwas falsch eingetragen oder ich habe mit der vorangegangenen herumprobiererei etwas verkonfiguriert.

    Oder gibt es eine Vom-Bauchaus-Lösung?


    Gruss bambid

    Zitat von bambid

    Da sind keine Sensiblen Daten drauf und wenn sich jemand doch die Mühe macht darauf zuzugreifen, dann wird er nicht belohnt

    je nach aktuellen SIcherheitslücken, Updatestand, LAN/VLAN Konfiguration... kann aber auch eine NAS als "Zugangstor" ins gesamte Lan genutzt werden. Ich würde so eine Kiste sehr genau vom heimischen LAN "abschotten" wenn sie von aussen erreichbar sein soll

    Zitat von anton

    je nach aktuellen SIcherheitslücken, Updatestand, LAN/VLAN Konfiguration... kann aber auch eine NAS als "Zugangstor" ins gesamte Lan genutzt werden. Ich würde so eine Kiste sehr genau vom heimischen LAN "abschotten" wenn sie von aussen erreichbar sein soll

    Mit anderen Worten empfiehlt er eine DMZ Zone, in der Server hausen. Geht da was schief, sind "nur" die Server betroffen und nicht dein Privatgemach

    Zitat von bambid

    Das NAS1 ist mein HeimNAS somit könnte ich dies über die VPN Lösung zum Erreichen enrichten.

    Noch eine Alternative: Die sichere™ Lösung wäre, auf dem Heim-NAS acme.sh zu installieren (z.B. in Docker) und dann mit dem DNS-01 Verfahren das Zertifikat erneuern. Damit kann das NAS hinter der Firewall bleiben. Unabhängig davon kann dann immer noch ein VPN-Zugang darauf eingerichtet werden.