Authelia mit internem NGINX Reverse Proxy von Synology

[knilch]

Nein, sofern Du zuvor keine Änderungen an den internen Einstellungen gemacht hattest...
Prüfe mal Systemsteuerung>Anmeldeportal>Anwendungen

Ansonsten nur den eigenen Proxy deaktivieren und die Änderungen in den Dateien
/usr/syno/share/nginx/*.mustache
rückgängig machen (siehe log in BACKUP_DIR).

Vielleicht auch nur ein weiterer Neutart der DS, der fehlt.

 

[update-freak]

Dank dir.
Hatte die Änderungen aus dem Skript von hier https://www.reddit.com/r/synology/comments/ahs3xh/prevent_dsm_listening_on_port_80443/ noch nicht rückgängig gemacht bevor ich das andere Skript ausprobiert hatte. Muss ich nun mal noch ausprobieren

 

[update-freak]

Zwei kurze Fragen noch:
Aktuell nutze ich Acme.sh als docker. Soweit ich weiß kann das ja nicht mehr verwendet werden bei nginx Reverse Proxy -> dann mit Certbot? Wie machst du das genau?

Bzgl Firewall. Greift die dann nicht mehr "normal" und was ist da zu berücksichtigen?

 

[plang.pl]

Ich nutze den Certbot im nginx RP ohne Probleme für mehrere Wildcard-Certs. Der aktualisiert das auch automatisch. Dafür brauchst auch keine Protfreigaben. Ich habe den acme.sh auf der DS aber zusätzlich am Laufen, sodass die DS selbst auch ein gültiges Cert hat. Das ist dann für Verbindungen relevant, welche nicht über den RP laufen.
Deploy von acme.sh nach nginx RP geht leider nicht, das habe ich schon versucht.

 

[knilch]

Bei mir läuft Certbot als Docker-Container (certbot/certbot:latest).
Certbot und NGINX sehen sich in einem Docker-Net und teilen sich die Ordner /var/www/certbot/ und /etc/letsencrypt/ .
Wildcards habe ich leider keine, so dass jede Service-Subdomain ("service.mydomain.de") ein eigenes LE-Zertifikat braucht.
Wie plang.pl schon schrieb: einmal registriert ist das dank Auto-Renewal stressfrei.

 

[Ulfhednir]

Würde da nicht Basic Auth reichen? Muss nur dafür wirklich Authelia eingerichtet werden? Vor allem weiß ich nicht wie gut du das bei Synology integrieren kannst, damit es auch Updates übersteht.

Wenn man Zeit und Lust hat, kann man das sicherlich ausprobieren. Die Chancen stehen aus meiner Sicht gut.
https://www.reddit.com/r/synology/comments/gue2ee/reverse_proxy_basic_http_auth_support/

Prinzipiell könnte man sicherlich auch Authelia in Synology einbetten.
https://www.authelia.com/integration/proxies/nginx/

Aber aus meiner Sicht setzt man hier auf tatsächlich auf das falsche Pferd.
@update-freak von meiner Warte: Klare Empfehlung für SWAG + Authelia. Wenn du das einmal eingerichtet hast, verstehst hast du in jedem Fall ein besseres Verständnis davon wie ein Nginx funktioniert und konfiguriert werden kann.

 

[alexhell]

SWAG + Authelia ist wirklich leicht und schnell einzurichten.

 

[dirk1305]

SWAG + Authelia ist wirklich leicht und schnell einzurichten.

Naja, wenn die nginx umstellung von der Syno nicht wäre ;-)

Funktioniert das Script noch unter DSM 7.2.1?

 

[alexhell]

SWAG wird doch im Docker installiert. Da nutzt du doch nichts von Synology. Das ist ja der Vorteil. Am Besten eh in einer VM installieren.

 

[dirk1305]

Die Syno nutzt doch den Port 443 und 80 intern für den Reverse Proxy.
D.h. man muss den Port für SWAG und Authelia freischaufeln. Siehe auch #22

 

[alexhell]

Deshalb ja in einer VM. Dann hat man diese Probleme nicht.

 

[dirk1305]

Hatte vorher Pi-hole und unbound auf einer Debian VM. Hab dann auf Docker gewechselt, da einfach für mich praktischer.
Kann ich dann SWAG und Authelia, Pi-hole und unbound auf einer VM laufen lassen? Hab pi-hole und unbound auf zwei VM gehabt.

Was macht denn überhaupt dann Sinn im Docker und was auf einer VM laufen zu lassen?
Und was nehme ich? Debian?

 

[alexhell]

Die Docker Version auf deiner Synology ist eh EOL im Moment. Kernel ist auch veraltet. Das kann bei einigen Images zu Problemen führen.
Du kannst die oben genannten Anwendungen alle in einer VM laufen lassen. Welches Linux ist dir überlassen. Ich verwende auf meinem Proxmox Host bei allen VMs Ubuntu-Server.

Was macht denn überhaupt dann Sinn im Docker und was auf einer VM laufen zu lassen?

Ich lasse fast alle Anwendungen im Docker laufen. Aber das meiste halt nicht auf der Synology.

 

[dirk1305]

Ich meinte auch den Container Manager ;-)
Kenne Docker seither nur von der Syno. Dann werde ich mal eine VM mit Ubuntu aufsetzen und testen.
Danke erstmal.

 

[alexhell]

Der Container Manager ist auch nur eine schlechte GUI für Docker. Leider muss man das installiert haben, damit Docker installiert wird. Ich würde, wenn man eine GUI haben will, Portainer oder Dockge empfehlen oder einfach docker-compose auf der Shell.

 

[dirk1305]

Ja, bin ich bei Dir. Habe alle Container mit Portainer Stacks installiert. Mach ein neues Aufsetzen recht einfach.

 

[Ulfhednir]

Die Syno nutzt doch den Port 443 und 80 intern für den Reverse Proxy.
D.h. man muss den Port für SWAG und Authelia freischaufeln. Siehe auch #22

Mit Verlaub: Ein Scheiß muss man.. Die einfachste Lösung läuft über ein angepasstes Port-Forwarding. Anstelle der Weiterleitung von 443 auf 443 machst du einfach eine Weiterleitung von 443 auf den HTTPS Port von SWAG, den du unter Docker selbst definieren kannst. So läuft das bei mir seit Langem - auch ohne, dass ich etwas "freischaufeln" musste.

 

[alexhell]

Aber wie machst du es dann, dass die Domains auch intern funktionieren ohne übers Internet geroutet zu werden? Du kommst ja so nur über den Router auf den richtigen Port. Ansonsten musst du den angeben.....

 

[dirk1305]

extern ist das ja kein Thema. Wohin die FW weiterleitet ist der egal
Intern dann über die DNS Umschreibung?

 

[alexhell]

Da gibst du aber keine Ports an, sondern nur die IP.