Photo Station Weiterleitung auf Subdomain

[deltapapa]

Hi,
kurze Frage. Ich habe eine CNAME Weiterleitung auf meine DS mit dsnas.domain.de mit LE Zertifikat. Jetzt möchte ich gerne für Drive und Moments ebenfalls eigene Subdomains erstellen. Aber wie lasse ich die Weiterleitung aussehen? id.synology.me/moments auf moments.domain.de und Drive dann auf id.synology.me/drive auf drive.domain.de?
Leider gibts dazu nirgends Anleitungen oder Hinweise
Vielen Dank,
deltapapa

 

[Fusion]

dsnas.domain.de zeigt per CNAME auf id.synology.me?
Wie wäre es mit moments.domain.de per CNAME ebenfalls auf id.synology.me?
etc.

 

[himitsu]

Ob unterschiedliche Subdomains oder Domains ist erstmal egal ... kommt auf's Gleiche raus.

Einmal kann man die (Sub)Domains jeweils auf unterschiedliche IPs weiterleiten.
Das kan CNAME weiterleiten an Name/IP.
* bei uns in der Firma sind das unterschiedliche Server, bzw. virtuelle Server

Beim Eintreffen könnte die Quelle erkannt werden und auf unterschiedliche Ports geleitet werden.
SRV-Record statt CNAME
* z.B. DomainA:80 auf Server:80 und DomainB:80 auf Server:81 (hier mehrere Webserver auf einem Rechner)

Und bei HTTP könnte man im Webserver auch auf unterschiedliche Pfade weiterleiten.
htaccess, apache virtual server setting und wer weiß wie sonst noch.
* z.B. DomainA/xyz auf /web/A/xyz und DomainB auf /web/B/xyz

 

[deltapapa]

Moin Moin,
vielen Dank für die Antworten.
Das ist mir jedoch noch immer nicht ganz klar. Ich würde gerne für jeden Dienst eine Sub-Domain einrichten, einfach um eine einfache Adresse zu haben. Den CNAME Eintrag muss mein Provider setzen, das kann ich leider nicht selber, daher kann ich auch nicht so viel probieren.
Ich habe bis jetzt folgende Adresse mit LE Zertifikat: ds.domain.de. Damit würde ich ja gerne auf die DSM Oberfläche kommen, aber ich weiß nicht genau wie ich das einstelle.
Für FTPS klappt ds.domain.de schon sehr gut, da würde ich jedoch gerne dsftp.domain.de nutzen, für Moments moments.domain.de, für Drive drive.domain.de und für WebDav webdav.domain.de
Wenn ich das richtig verstehe, leite ich diese alle mit CNAME auf meineadresse.synology.me weiter, ohne Alias. In den Anwendungseinstellungen kann ich ja auf meine Quickconnect Adresse Aliase einstellen, die gelten aber nur für QuickConnect, oder?

Vielen Dank,
deltapapa

 

[TeXniXo]

Den CNAME Eintrag muss mein Provider setzen, das kann ich leider nicht selber, daher kann ich auch nicht so viel probieren.

Wie hast du dann zb. ds.domain.de einrichten (lassen)? Normalerweise ist es so: Du loggst dich bei dem Domainanbieter ein und da siehst du oft an linker Seite den Menüpunkt "Domain" o.ä. - dort kannst du Subdomains anlegen.

 

[Fusion]

xyz.meine-domain.de > CNAME > meine.dynDNS.de, du kannst beliebig viele CNAME Einträge anlegen die damit alle auf die IP hinter der dynDNS verweisen.

ds.domain.de > Systemsteuerung > Netzwerk > DSM Einstellungen > benutzerdefinierte Domain
- damit lauscht der DSM auf diesem Hostname. Andere Dienste laufen dann aber gewollt ins Leere. z.B. ds.domain.de/photo geht dann nicht mehr, nur meine.dynDNS.de/photo geht dann noch.

dienst.domain.de > Systemsteuerung > Anwendungsportal > Anwendungen
- für alle dort aufgeführten Anwendungen kannst du ebenfalls benutzerdefinierte Domains anlegen unter denen sie lauschen
- Bsp. Audio Station > musik.domain.de
- Legst du (zusätzlich) ein Alias an wäre sie z.B. unter ds.domain.de/audio erreichbar

Die Einstellungen sind kumulativ. Stelle ich im Anwendungsportal etwas ein heißt dies nicht, dass dieser Dienst nun nur noch ausschließlich unter diesem Weg erreichbar ist. Es gibt zu viele Kombinationen als dass ich diese jetzt hier einzeln auflisten könnte. Relevante Bereich sind in der Systemsteuerung: QuickConnect, Externer Zugriff, Netzwerk und Anwendungsportal.

Um mir das Leben etwas zu erleichtern habe ich bei mir persönlich im Bereich QuickConnect und Externer Zugriff keinerlei Einstellungen vorgenommen bzw alles deaktiviert und arbeite nur noch mit benutzerdefinierten Domains unter Netzwerk > DSM Einstellungen und Anwendungsportal > Anwendungen / Reverse Proxies. Damit bleiben immer noch genug Kombinationen übrig. z.B. DS Audio auf dem Smartphone würde im lokalen WLAN mit nas-ip:dsm-port, oder nur nas-ip (wenn Standard-Port) immer noch Verbindung bekommen zur Audio Station.

Für FTPS kann man keinen eigenen Hostnamen setzen. Ob man da via Reverse Proxy eventuell was machen kann.... Ich weiß es leider nicht.

Zum Provider. Welcher ist das denn? Bekommst da irgendwas besonderes?
Weil viele bieten selbst in den billigsten Tarifen für wenige € im Jahr sogar dynDNS und Zugriff auf die DNS Einstellungen.
Selbst so Funzeln wie 1Blu mit den 2.50 pro Monat für 12 .de Domains haben inzwischen Zugriff auf DNS Einstellungen, aber kein dynDNS.
Für unter €10 pro Jahr bekommst auch dyn+DNS, z.B. bei Strato. Sind nur zwei Beispiele, gibt noch viele andere Anbieter.

 

[deltapapa]

Hi,
und vielen Dank für die sehr ausführliche Antwort, sehr cool.
Ich werde mal versuchen, für meine Dienste ebenfalls Sub-Domains einzurichten, so wie du es oben beschrieben hast. Für Drive habe ich ja eigentlich auch gar keine Verwendung, aber Moments benötigt ja Drive, also richte ich das auch so ein bisschen ein.
Ich habe einen Managed Server, da ich meine Kunden hier selber Verwalte. Ich werde meinen Provider mal fragen, ob es Plesk zuläßt, das ich dort in den DNS Einstellungen arbeiten kann. Im Moment setzt er die Werte für mich.

Ich bin ja noch ziemlich am Anfang mit meiner DS218+, und aus Neugierde und Interesse möchte ich das Geräte halt so genau wie möglich kennenlernen.
Ich möchte intern auch noch einen kleinen Webserver aufsetzen, aber das kommt nach Moments und dem Einrichten der Handys.

Was bei Synology krass ist, sind die unendlichen Möglichkeiten, die es alle gibt, da braucht man wirklich sehr viel Geduld....

Vielen Dank,
deltapapa

 

[deltapapa]

Moin Moin,
ich habe nocheinmal zwei kurze Fragen:
Legt ihr für jede Subdomain ein eigenes Zertifikat an, oder gehen da irgendwie wildcards? Ich habe jetzt ds.domain.de auf meine DSM gelegt, und das LE Zertifikat zu der Domain passt perfekt. Wenn ich jedoch drive.domain.de aufrufe, wird mir eine unsicher Verbindung angezeigt. Ich würde jetzt für jede Subdomain ein eigenes Zertifikat erstellen, macht Ihr das auch so?

Zweite Frage: In den DSM Einstellungen und in den Anwendungseinstellungen kann ich den Punkt HSTS bei den Subdomains aktivieren. Ist das ein Zusatz zu https erzwingen? Aktiviert ihr das?

Vielen Dank,
deltapapa

 

[Fusion]

Kannst du halten wie du willst. Wildcards laufen über DNS Validierung, das ist Handarbeit, aktuell noch nicht wirklich praktikabel auf der DS.
Ansonsten kannst du für jeden Dienst ein eigenes Zertifikat anlegen, oder du kann in einem Zertifikat auch noch alternative Namen / Subject Alternate Name angeben (per Semi-Kolon getrennt).

Ich habe eine Mischen laufen. z.B: drive.domain.de, moments.domain.de, kalender.domain.de in einem Zertifikat. ds.domain.de, bla.dynDNS.de in einem zweiten. Eine Art Gruppierung.

HSTS sorgt dafür, dass wenn ein Client per https Kontakt hatte, er auch für die nächsten 3-6 Monate (oder ähnlich, je nachdem welches Intervall am Server in der config steht) nur via https versucht sich zu verbinden. Das basiert auf dem Ansatz "Trust on first contact", sprich es wird vorausgesetzt, dass der erste Kontakte vertrauensvoll ist und es sich um das korrekte Ziel handelt. Danach wird das Intervall bei jedem Kontakt verlängert und es bleibt dauerhaft bei https.
Ausnahmen: Man wechselt den Browser oder das Gerät und hat wieder einen "First contact".
Und es besteht eine kleine Möglichkeit sich auszusperren, wenn am SSL etwas "kaputt" ist. Weil der Client dann keinen unverschlüsselten Zugriff mehr erlaubt.
Solange man allerdings direkten / lokalen Zugriff auf die DS hat kann man immer mit IP eine Verbindung bekommen und es "reparieren".

 

[deltapapa]

Moinsen,
ich habe mal wieder zwei kleine Fragen:
Wenn ich die Ports in den DSM Einstellungen ändere (also den 5000/5001), sind dann auch die Dienste davon betroffen, die in der Synology Auflistung diese Ports nutzen?
Noch eine Verständinsfrage: Ich habe im Moment keine Portweiterlung auf den 5000/5001 Port, komme aber mit meiner Sub - Domain und der CNAME Weiterleitung auf meine synolgy.me Adresse auf meine DSM. Hat dann meine Fritzbox ein Problem?

Nachtrag: Das selbe auf Drive: Ich habe den Port 6690 nicht freigegeben, und kann trotzdem mit SubDomain und synolgy.me Adresse Dateiene hochladen....

Vielen Dank,
deltapapa

 

[Fusion]

Wenn du unter Systemsteuerung > Netzwerk > DSM Einstellungen die Ports veränderst, dann betrifft das alle Dienste die auch über diese Ports angesprochen werden können, ja.

Über ds.domain.de gelangst du via 80/443 auf den DSM. Das ist ein zusätzlicher Weg. Der Weg via 5000/5001 sollte ja nicht gehen, weil darüber kein Zugang von extern besteht.
Wieso sollte also deine Fritzbox ein Problem haben?

Über drive.domain.de kommt du auf das Web-Interface von Drive im Browser. Ebenfalls Port 80/443. Darüber kannst du auch Dateien runter/hochladen.
Was nur über Port 6690 geht ist der Sync von Dateien zwischen den Desktop Clients und dem Drive Server.

 

[deltapapa]

Mega, danke.
Jetzt habe ich das System dahinter verstanden.
Drive läuft für mich jetzt soweit, jetzt kommt WebDav dran und dann Moments.
Webdav habe ich auch schon eingerichtet, komme jedoch irgendwie von unterwegs nicht durch.
Habe gelesen, das es an der Firewall der FB liegen kann, aber das muss ich ersteinmal alles testen und melde mich dann im entsprechenden Thread dazu, wenn es nicht klapp.

Aber die DS ist jetzt auf jeden Fall mein neues Lieblingsspielzeug (da hat die RasPi - B2 wohl erstmal ausgedient)

 

[deltapapa]

Moin Moin,

ich habe wieder einmal eine kleine Frage zum Zugriff auf meine DS:
Ich greife jetzt immer mit meiner SUB Domain auf meine NAS zu, auch von Zuhaue. Das klappt alles prima, Zertifikat ist eingebunden, alles gut.
Wenn ich jetzt aus meinem heimischen Netzwerk via der internen IP darauf zugreifen will, bekomme ich natürlich eine Warnung, weil das Zertifikat ja auf die Sub Domain ausgestellt ist.
Gibts dafür einen Weg, das wenn ich zuhause bin, ich gesichert via meiner IP auf die NAS zugreifen kann?
Ich frage wegen der Performance, weil der Zugriff über die SubDomain und DynDNS ja immer immers Internet läuft, oder?
Das ist ja im Regelfall etwas langsamer als direkt das über das Heimnetz zu machen.

Vielen Dank und viele Grüße,
deltapapa

 

[Fusion]

Nein, das läuft bis auf die erste Kontaktaufnahme nicht über das 'Internet'. Die Daten sollten maximal zweimal das NAT im Router passieren (NAT Loopback). Das kostet ein wenig CPU Leistung, je nachdem wie der Router konfiguriert ist und was er sonst gerade noch zu tun hat reduziert das den Datendurchsatz.
Beim reinen IP/IP vermittelten Verkehr sind die meisten Router heute nahe am GBit Maximum zwischen 900-950MBit/s. Wieviel weniger es wird beim Loopback kann ich dir allgemein nicht sagen, kommt auf die Einzelsituation an. Und das verwendete Protokoll und die beteiligten Apps die man verwendet sind auch nicht ohne Einfluss. Deshalb kann da zwischen 0-900 MBit/s alles rauskommen.
Wie viel du bekommst kannst du ja bei dir selber testen vor Ort in dem du Datentransfers über verschiedene Wege vergleichst und als Referenz die Verbindung per LAN-IP nimmst (nein, die Zertifikatswarnung Names vs IP bekommst du nicht weg, das wäre sonst eine konzeptionelle Schwäche. Aber auch mit Warnung sind die Verbindungen sicher verschlüsselt).

Das Loopback loswerden kannst du wie gesagt nur durch korrekte lokale Namensauflösung / DNS.
Ob das eine Hosts Datei auf dem Client ist, oder ein DNS Server auf der NAS oder dem Raspi etc ist dann egal.

 

[deltapapa]

Hi Fusion,

vielen Dank für die wieder sehr kompetente und ausführliche Antwort. Ich habe zwar jetzt nicht alles zu 100% verstanden, aber ich glaube wenn ich meine DS via Subdomain aufrufe mache ich gar nicht soviel verkehrt.

Vielen Dank
deltapapa