Drive hinter Nginx Proxymanager erreichen.

[Berlon]

Nachdem meine Entscheidung gefallen ist, die Syno mittelfristig gegen eine Ugreen auszutauschen, bin ich nun dabei sie aus ihrer zentralen Rolle raus zu lösen. Dh. Proxymanager stilllegen und sie über Nginx verfügbar machen.
Aktuelle Konf:
Fritte verweist mit 80 und 443 auf nginx in einer Proxmox VM
nginx bezieht die Zertifikate von meinem DynDns Server.
Funktioniert alles, meine ganzen Server im Netzwerk erhalten eine verschlüsselte Verbindung.
Nur die DSM zickt.
Momentan erreiche ich die DSM über dsm.domain.de (nginx leitet dann auf 192.168.22:5001 um) und lande in der Weboberfläche. Alles schick.
photos.domain.de hat den nginx-Eintrag 192.168.6.22:443. Geht auch.

drive.domain.de will nicht, da Drive auch den Port 5001 will. Trage ich das so ein lande ich auf der DSM.

Wo muss ich stellen, damit ich Drive und Konsorten auch zugänglich machen kann?

Gruß
Bernd

 

[JohneDoe]

Du kannst unter Systemsteuerung -> Anmeldeportal -> Anwendungen (Tab) bei Drive und jeder anderen App von Synology einen Port eintragen. Dann musst du nur auf diesen Port umleiten.

 

[ctrlaltdelete]

DSM kannst du auch über den Proxy laufen lassen: https://dsm.domain.de auf 5001
DRIVE läuft über Port 6690 und geht m.E. nicht über Proxy, dafür habe ich im Router eine direkte Weiterleitung auf die DS.
Ich habe im Router nur 443 und 6690 offen, wofür brauchst du Port 80?

 

[JohneDoe]

@ctrlaltdelete ihm ging es ja darum, dass er Drive und DSM nicht separat ansprechen kann, weil beides aktuell übr 5001 läuft. Aber du hast recht, der Sync läuft auf 6690. Mit einem Nginx könnte man das mit einem Stream auch über den RP laufen lassen, aber das muss leider auf Port 6690 passieren, weil das ist hard coded im Client drin. Hast also keinen wirklichen Vorteil dabei. Nur dass das NAS nicht direkt erreichbar wär.

 

[ctrlaltdelete]

Drive-Clients und ABFB-Agents benutzen proprietäre Protokolle → die kannst du nicht „einfach so“ über den Proxy ziehen.
Edit: Ich meine ich hätte das schonmal versucht.

 

[w00dcu11er]

Port 6690 benötigt man nur für Clients, wenn die Synchronisationsaufgaben durchgeführt werden.
Aber zum Aufrufen der Drive-Website und die Sync über Browser o.ä. benötigt man diese Portnummer nicht.

Wie ihr schon korrekt geschrieben habt - über Anwendungsportal alles regeln und das bleibt dann sauber.

 

[ctrlaltdelete]

Genau deshalb brauche ich 6690 offen, da meine Drive-Clients von außerhalb syncen.

 

[JohneDoe]

Ich meine das müsste mit TCP Streams funktionieren. Das geht nicht über die GUI zu klicken soweit ich weiß. Aber da der NPM TCP Streams unterstützt müsste es funktionieren...

 

[ctrlaltdelete]

Ja, das ist richtig, mit TCP Streams geht es, aber dann muss man auch aufpassen, das TCP und HTTP verschiedene Hostnamen verwenden.

 

[JohneDoe]

Das würde sich ja alleine wegen dem Port lösen lasse. Aber wie gesagt, man hat keinen großen Vorteil dadurch, weil man es nicht über 443 laufen lassen kann

 

[plang.pl]

Das Problem ist ja, dass der Port im Drive Client hardcoded ist. Also bringt es nix, den serverseitig umzubiegen.

 

[ctrlaltdelete]

Yes, man müsste trotzdem die Ports 5510 und 6690 im Router auf den Proxy weiterleiten und dann im Proxy:

stream {
  upstream synodrive { server 192.168.2.10:6690; }
  upstream abfb      { server 192.168.2.10:5510; }

  server {
    listen 6690;
    proxy_pass synodrive;
  }
  server {
    listen 5510;
    proxy_pass abfb;
  }
}

192.168.2.10 ist in diesem Fall die interne IP der DS
Bringt halt nicht wirklich was.

 

[plang.pl]

Ja genau so sieht es aus
Man muss leider mal wieder sagen: Schade, Synology. Drive gibt es ja nicht erst seit gestern

EDIT: Mit den Drive Mobile Apps geht es ja auch über 443. Warum nicht am Desktop?

 

[w00dcu11er]

Warum nicht am Desktop

Ist mit der App DS File genau so - geht nicht über 443, aber FileStation an und für sich via Web schon ...

 

[Cmd. Toppik]

Also DSfile auf iOS geht über 443

Habe ich so eingerichtet. Mann muss nur hinter der Serveradresse:443 setzen

 

[plang.pl]

DS File nutze ich ebenfalls über 443 per RP
EDIT: Mit Android UND iOS problemlos

 

[ctrlaltdelete]

Dito, DS file geht, so habe ich das in der IOS App eingetragen: deineds.deinedomain.de:443

 

[KGBist2000]

Du kannst du Drive einen beliebigen Port (z.B.. 10443) im Anmeldeportal festlegen. Eine Domain kannst du auch hinterlegen Drive.domain.de.

Dann kannst du im Nginx Proxy Manager auf dem Port umleiten drive.domain.de (80,443) auf IP-Synology:10443.

Leider geht das nur für das Webportal und die mobilen Apps.

Für den Desktop-Client muss es Port 6690 zusätzlich umgeleitet werden vom Router direkt auf die Synology. Kannst einen nginx mlt tcp-Stream (ohne SSL) dazwischen schalten, hat aber keine Vorteile.

Bei dieser Config ist das Problem, dass die Synology keine SSL-Zertifikate für den Desktop-Client ziehen kann.

Das kannst du aber mit acme.sh lösen.

 

[plang.pl]

Wie meinst du das mit den Zertifikaten?
Das Zertifikat muss halt dann auf dem Reverse Proxy bereitstehen und nicht mehr auf der DS, wenn der RP die Anfrage annimmt.

 

[Berlon]

Danke für die vielen Vorschläge.
Funktioniert hat letztendlich, dass ich in den Anwendungen einen Port vergebe und den NPM darauf weiterleite.
Komme nun mit drive.domain.de, file.domain.de etc. nun auf die entsprechenden Teilbereiche der Syno.

Gruß
Bernd