DSM 6.x und darunter Zugriff über eigene Domain von Selfhost

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

sigmarostfrei

Benutzer
Mitglied seit
06. Aug 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich habe ein paar Fragen zum Zugriff auf den NAS über eine eigene Domain. Bei Selfhost habe ich mir bspw. rostfrei.de gesichert und schaffe es, über den dyndns Dienst auf meinen NAS über ddns.rostfrei.de zuzugreifen. Ich habe dazu einen reverse proxy aktiv, der von 443 zu 5001 umleitet, damit ich auch über öffentliche wlans auf den nas komme, falls diese einige ports dicht haben.
Mein Ziel ist es nun, über verschiedene subdomains die einzelnen Dienste des nas zu erreichen. Also z. B. Foto.rostfrei.de für die photostation oder Kalender.rostfrei.de für den Kalender.
Weder über reverse proxy, noch über cname Einträge bei selfhost klappt das aber. Wie muss man da vorgehen?

Ein weiteres Problem betrifft das Zertifikat. Wenn ich über den dsm bei lets encrypt eines einricjten will und rostfrei.de angebe (ihr habt es sicher schon gemerkt, dass ich nicht die tatsächliche Domain :p), sagt er mir, dass er nicht zugreifen kann und ich prüfen soll ob die Domain gültig ist. Habe ich eine Chance über selfhost an ein Zertifikat zu kommen? Oder wie bekomme ich es über LE? Auch, wenn ich da passende subdomains angebe, funktioniert es nicht.

Über ein wenig Ideen für diese beiden Probleme würde ich mich sehr freuen!
 

maxl-zwo

Benutzer
Mitglied seit
18. Apr 2015
Beiträge
74
Punkte für Reaktionen
6
Punkte
14
Zumindest zur zweiten Frage kann ich etwas beitragen: Über Selfhost kannst du problemlos ein Zertifikat bei let‘s encrypt beantragen über DSM, es muss nur für die Beantragung oder auch später für die Verlängerung kurzfristig Port 80 freigegeben sein. Bei mir hat es so problemlos funktioniert.
 

sigmarostfrei

Benutzer
Mitglied seit
06. Aug 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Die Toplevel Domain ist ja aber nicht selfhost.de, sondern rostfrei.de. Ich hatte vorher auch eine subdomain von selfhost, das funktionierte tatsächlich gut, jetzt aber mit eigener Domain leider nicht mehr.
 
Zuletzt bearbeitet von einem Moderator:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Das ändert nichts, ob dynDNS oder eigene Domain. Die Domain sub.example.com muss nur dorthin aufgelöst werden woher auch die let's encrypt Anfrage kommt, also Port 80 auf der DS. Dann sollte es auch mit dem Zertifikat klappen.
Für die Syno eigenen Dienste sollte man zudem die benutzerdefinierten Domains benutzen die sich unter Systemsteuerung > Anwendungsportal > Anwendungen finden. Dann arbeiten die auch auf Port 443 und eventuelle Fehler die man sich in die reverse proxies einbaut sind ausgeschlossen.

Bezüglich cname, DNS, Portweiterleitung und so weiter ist es sinnvoller deine Konfiguration zu sehen um Fehler erkennen zu können. Da es prinzipiell funktioniert hab zumindest ich wenig Lust, die konfig mal wieder komplett durch zu kauen, da sollte es eigentlich schon genug Lesestoff geben aus dem man Infos abstrahieren kann.
 

sigmarostfrei

Benutzer
Mitglied seit
06. Aug 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Ok, dann versuch ich das mal:
Es geht um eine Ds218+, die hinter einer Fritzbox 7590 hängt. In der Fritzbox sind derzeit die Ports 80, 443, 5001 und 5006 offen.
Ich habe bei Selfhost einen dyndns Account, der mit der subdomain ddns.rostfrei.de zusammenarbeitet.
Wenn ich nun bei Reverse Proxy alles lösche, kann ich über die sub Domain problemlos auf den nas zugreifen und auch das Zertifikat hat nun geladen.
Aber:
Aus dem Büro heraus ist bei mir ein Zugriff über Port 5001 nicht möglich, weil der dort gesperrt ist. Bislang bin ich das umgangen, indem ich zwei Subdomains genutzt habe. Für die Webstation habe ich bei Anfragen von sub1.synology.me, die am Port 443 ankamen, eine Umleitung auf localhost 5001 geschaltet. Dadurch konnte ich aber mit der sub1.synology.me nicht mehr auf die Photo Station kommen, weil die ja gerade diesen Port 443 braucht.
Also hatte ich eine zweite Subdomain sub2.selfhost.de, mit der ich direkt zur PS geleitet wurde. (In der PS habe ich in den Einstellungen nichts angegeben.)

Da ich nun aber nur noch eine Toplevel Domain nutzen möchte, nämlich rostfrei.de, kommen sich die Portweiterleitungen in die Quere. Ich habe zwei Subdomains angelegt, ddns.rostfrei.de und Foto.rostfrei.de Beide arbeiten mit dem gleichen dyndns Account. Bei selfhost kann man den aus einem dropdown Menü auswählen. Den Rest habe ich dort auf Standardeinstellungen gelassen.

Wenn ich keine Reverse Proxys einrichte, verweisen beide Subs auf die Webstation an Port 5001 und funktionieren auf der Arbeit nicht.

Richte ich einen Reverse Proxy für ddns.rostfrei.de ein wie oben beschrieben (443 zu localhost 5001) funktioniert diese Sub von der Arbeit. Will ich die Photostation über ddns.rostfrei.de/photo öffnen, kommt eine synology Fehlermeldung. Das ist logisch, weil die Anfrage (PS=443) ja auf 5001 umgeleitet wird. Hier beißt sich also der Reverse Proxy mit der PS.

Meine Idee war nun, auf die PS über die oben erwähnte Foto.rostfrei.de zuzugreifen, die ja eigentlich nicht vom reverse proxy betroffen sein dürfte. Öffne ich die sub aber nun, bekomme ich den Chrome Fehler dns_probe_finished_nxdomain. Ich habe auch schon versucht, einen weiteren Reverse Proxy fur die Foto Sub einzurichten, der dann auf 443 leitet (Was witzlos ist, weil das ja eh der Standardport ist).

Die Frage ist somit: Wie kann ich hier die Webstation und die PS mit zwei unterschiedlichen Subs erreichen, die beide am Port 443 ankommen?

Im Anwendungsportal habe ich den Kalender erfolgreich mit der dafür eingerichteten sub Kalender.rostfrei.de verknüpft. Allerdings sind hier ja weder Webstation noch photostation auswählbar. (Was ja auch nachvollziehbar ist weil beides eigene Webanwendungen sind.)

Welche Informationen über meine Konfig sind noch wichtig?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Für die PS kannst erst mal mit gui Mitteln keinen passenden reverse proxy oder benutzerdefinierte Domain anlegen.

foto.example.com ist wohl noch nicht überall im DNS angekommen, deshalb Chrome nxdomain (nix domain, nicht vorhanden). Sobald die erreichbar ist müsste es via foto.example.com/photo funktionieren. Hoffe Synology bringt da mit DSM 7 und Synology Photo dann endlich auch ne vernünftige Lösung, dass man hier nicht in den Webserver config Dateien gehen muss für foto.example.com direkt.

Wenn du für host.example.com nirgends auf der DS einen Host oder anderes definiert hast und die Web Station installiert ist sollte diese Anfrage immer auf 80/443 landen. Eine Umleitung woanders hin findet nur statt wenn du sonst noch irgendwo was verbogen hast.

Von daher musst du vermutlich nur aufs DNS warten. ddns.example.com per reverse auf 5001 und foto.example.com ohne Einträge im DSM für foto.example.com/photo für die PS.

Zum Kalender weiß ich nicht, was du damit sagen willst. Alles, vom DSM, Kalender bis zur PS sind Webanwendungen... Für was sollte man für einen Eintrag im Anwendungsportal web/PS auswählen?
 

sigmarostfrei

Benutzer
Mitglied seit
06. Aug 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Großartig, genau so funktioniert es jetzt! Vielen herzlichen Dank!!!

Einziges Problem bleibt noch das Thema Zertifikate:

Ich habe nun für die beiden subdomains ddns.rostfrei.de und Foto.rostfrei.de ein Zertifikat über LE erhalten. Das ddns habe ich als Standard zertifikat gesetzt. Gehe ich nun auf Foto.rostfrei.de, gibt er mir aber einen Zertifikatfehler aus, weil auch dort das ddns.rostfrei.de Zertifikat hinterlegt ist. Wie bekomme ich da noch einen Dreh dran, dass die Foto Sub ihr eigenes Zertifikat auch tatsächlich bekommt? Wie gesagt angelegt im DSM ist es ja.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
In dem du das ddns Zertifikat nicht als Standard setzt sondern nur für den ddns reverse proxy und das Foto Zertifikat als Systemvoreinstellung, da man der PS meines Wissens in der Gui kein separates Zertifikat zuweisen kann.

Alternativ könntest du dsm.example.com oder ähnlich für dein dsm reverse proxy nehmen, oder direkt die benutzerdefinierte Domain unter Systemsteuerung > Netzwerk > DSM Einstellungen (welche vor/Nachteile das zur Proxy Variante hat weiß ich grad nicht) und dafür ein Zertifikat anlegen und einstellen.
Und dann was unverfänglicheres wie DS.example.com für das Zertifikat und die Systemvoreinstellung. Dann die PS via DS.example.com/photo aufrufen. Also praktisch nur eine sub.example.com die eben nicht selbst direkt schon suggeriert sie wäre nur für Fotos.
 

tfoxbat

Benutzer
Mitglied seit
02. Jul 2014
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich krame das Topic einmal raus. Ich habe eine Domain bei Selfhost und DynDNS eingerichtet. Ich komme wenn ich Port 80 freigeschaltet habe von außen auf die DS rauf. Jetzt möchte ich ein Zertifikat von Lets Encrypt erstellen, das schlägt fehl mit der Meldung: Vorgang fehlgeschlagen. Bitte melden sie sich erneut im DSM an und versuchen sie es erneut.

Situation:
- Unify USG hier sind Ports 80, 5000 und 5001 auf die DS IP freigegeben
- auf der DS ist das USG als Default Gateway eingetragen und dienst auch als DNS alternativ Google DNS eingestellt
- DynDNS in der DS konfiguriert und läuft
- IPv6 deaktiviert
- DSM Oberfläche via Domain und DynDNS von außen erreichbar

Jemand eine Idee, warum ich kein Zertifikat von Lets Encrypt bekomme?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat