DSM & Webserver über SSL mit 2 Sub-Domains erreichbar machen

[NSFH]

Warum sollte er keine 2 Zertifikate von LE für 2 verschiedene Subdomains bekommen/verwenden können?
Alternativ kann er ein Wildcard verwenden, dann hat er nur ein Zertifikat für alles.

 

[heavy]

es sind 2 haupt domains. aber ja auch damit sollte es gehen.

 

[MDler]

Ich muss mich für meine "DSM-Vermutungen" entschuldigen !
Ich habe nun herausgefunden was das tatsächliche Problem war/ist und muss zugeben, dass ich hierbei nicht ganz mitgedacht habe. Es funktioniert nun alles so wie es soll, mit genanntem "Reverse-Proxy". Wem die "Lösung" interessiert, kann gerne weiterlesen und macht möglicherweise nicht den gleichen "Denkfehler", falls er/sie mal vor ähnlichem Problem steht:

Der Zugriffsport zum DSM via SSL (443/5001) aus dem Internet funktionierte wie folgt über den Port 1919: https://web.meinedomain.de:1919 - Im Router waren selbstverständlich die Portweiterleitungen von Port 1919 (extern) auf Port 5001 (intern) eingerichtet und wurde auch dementsprechend geroutet. Bei der "neuen" Verwendung eines "Reverse Proxys" habe ich somit die neue Sub-Domain https://web.meinezweitedomain.de:1919 (Port 1919) eingetragen (extern) und intern auf http://localhost:5000 (Port 80) weiterleiten wollen. Wie beschrieben funktionierte das auch, jedoch mit Zertifikatsfehler von der "alten" Sub-Domain. Irgendwie muss mir hierbei der Denkfehler unterlaufen sein, dass sich der "Reverse Proxy" ja schon "hinter" dem Router befindet und somit der Port 1919 eigentlich gar nicht als Quelle infrage kommt, sondern nur noch der Port 5000/5001 für DSM zur Verfügung steht. Also, einfach bei der Quelle der neuen Sub-Domain den Eingangsport 5001 (für SSL) gewählt und dann intern auf DSM (Port 5000) weitergeleitet. Und tatsächlich: Es funktioniert jetzt.

Ich bedanke mich bei allen die mich hierbei unterstützt haben und bedauere gleichzeitig meinen Denkfehler !

Vielen Dank !

 

[NSFH]

Trotzdem ist die Verwendung Port 1919 Unsinn, löchert nur deine Firewall und erfordert zusätzliche Konfiguration. Einfach alles was reinkommt über 443 laufen lassen. Erst im RP wird neu verteilt.

 

[hblein]

Wenn ich nicht total verwirrt bin vor lauter 1919 und 5000, 5001... kommt es mir so vor, als hätte er den RP durch die Portweiterleitung(en) in der FB ausgehebelt... (mal ganz davon abgesehen, dass es Unsinn ist den 1919 zu verwenden.)
Soweit ich das für mich entwirrt habe, leitet(e) er den Port 1919 in der FB schon auf 5001. Das ist aber kein RP, sondern nur eine Weiterleitung. Der in der DS auf Port 1919 lauschende RP bekommt damit nix zu hören, außer galaktisches Hintergrundrauschen, da er nicht angesprochen werden kann.
(unter der Annahme, dass ich #23 richtig interpretiert habe)

 

[Kachelkaiser]

ja das würde ich auch so sehen.

wie @NSFH schon sagt, ich würde alle Konfigs in der Fritte löschen und nur den 443 an die DS zulassen. den Rest macht der RP

 

[MDler]

Hallo Forenmitglieder !

Nachdem jetzt mehrfach an meinem Port 1919 "genörgelt" wurde, möchte ich jetzt doch nochmal für etwas Aufklärung sorgen. Für mich ist die ganze Angelegenheit mit dem Port 1919 kein Unsinn und hat auch einen für mich relevanten Hintergrund. Wie ich im Ausgangspost geschrieben habe, bin ich auf einen 2. Webhoster umgestiegen (Netcup). Hierbei nutze ich die von Netcup angebotene "DNS-Api" um von der Synology unter dem Menüpunkt "Externer Zugriff" / "DDNS" einen "Ping" an ein PHP-Script zu übermitteln und den DNS A-Record auf die SUB-Domain automatisch einzutragen und die Ziel-IP der Synology in ein INI-File speichert. Das Problem, welches sich mir jedoch stellt ist folgendes:
Netcup schreibt, beim Update eines A-Records kann es mitunter bis zu 48 Stunden dauern, bis die Änderungen aktiv werden. Da die Synology NICHT in meinem Haus steht, sondern woanders und ich jedoch desöfteren darauf zugreifen muss, ist dies, wie man sich vorstellen kann, nicht gerade praktikabel. Es bringt mir also nichts, wenn die Sub-Domain innerhalb von 48 Stunden nicht auf die richtige, aktive IP verweist. Sollte dies der Fall sein, kann ich noch immer über die zuletzt gespeicherte IP des INI-Files auf den Synology-Server zugreifen. Wenn ich die ganze Angelegenheit NUR mit dem Reverse-Proxy umsetzen würde (welcher nur auf Sub-Domains anspringt), wäre mir diese Option quasi verbaut. Ich hoffe das dies nun doch mehr Einsicht bei dem einen oder anderen bringt ...

Grüße !

 

[NSFH]

1. Wer sagt, dass der RP nur Subdomains verwaltet? Der frisst alles, auch andere Server-IPs als die der Syno auf der der RP läuft
2. Könnte man als dual use einrichten, bis dann die Umsetzung des A-Records funktioniert
3. Kann 48 Stunden dauern, hat in der Realität noch nie mehr als eine Stunde gebraucht, auch nicht bei NC

 

[MDler]

Hallo NSFH !

Zu 1. Und was würdest du mir raten im Reverse-Proxy einzutragen, wenn ich mittels eines einfachen Windows-Clients und Webbrowser darauf zugreifen möchte, wo sich meine Client-IP abhängig vom Internet-Provider / Mobilanbieter (Smartphone) ständig ändert ?

Zu 2. Muss ich zugeben, dass ich hierbei nicht genau weiß was gemeint ist. Ich komme nicht aus der Administrations-Branche und genau darum bin ich auch hier.

Zu 3. Nachdem ich vor ca. 2-3 Wochen zu Netcup gewechselt bin und den ganzen DDNS/DNS-Api - Spaß umgesetzt habe, hat das DNS-Update (mittels Api) beim 1. mal ca. 14 Stunden gedauert. Genau aus diesem Grund frage ich hier nach. Wäre mir dies nicht aufgefallen, würde ich diesen Aufwand auch nicht betreiben. Innerhalb dieser Zeit hat sich zum Glück die IP der Synology beim Internet-Provider noch nicht wieder geändert. Da die Synology jedoch hinter einem Telekom-Provider sitzt, (ohne feste IP) kann man davon ausgehen, dass diese auch nicht ewig gleich bleibt.

 

[heavy]

Wenn ich höre was du für einen Aufwand treiben musst um deine DDNS Adresse upzudaten bin ich froh dass ich bei meinem Anbieter dieses Problem nicht habe, dafür zahle ich dann gerne die 1,5 € im Monat (es ist noch mehr in dem Paket dabei als nur die Domain). Wenn du so Angst hast dann kannst du dir doch bei No-IP oder ähnlichem einfach eine kostenlose Domain anlegen und die durch die Synology, oder Fritzbox, erneuern lassen, denn bei beiden ist No-IP schon mit der Api hinterlegt und du musst nur deine Daten (Domain/User/Passwort) eintragen und schon hast du ein Backup mit dem du immer deine DS erreichen können solltest. Ich habe insgesamt 3 Anbieter bei denen ich meine IP aktualisiere. Meine Hauptdomain bei meinem Anbieter (selfhost.de), dann welche bei No-ip und dann noch der Dienst der Fritzbox selber. Die Adresse kann man ja dann wiederum (weil sie so gut zu merken ist) in seiner eigenen Domain als Umleitung zu einer Subdomain eintragen, die man sich besser merken kann.

 

[Hagen2000]

Für mich schaut das auch so aus, als ob Du die DNS-API von Netcup für dynamische IP-Adressen missbrauchst. Dafür nimmt man normalerweise einen Dyn-DNS-Anbieter, da laufen die Updates der IP-Adressen in wenigen Minuten (teilweise unter einer Minute) durch. Und praktischerweise hast Du als Synology-Kunden einen kostenlosen Dienst - nämlich bei Synology - mit an Bord. Dann sollten sich die meisten Probleme in Luft auflösen.
Edit: @heavy war schneller.

 

[NSFH]

Irgendwie blicke ich da immer noch nicht durch.
Für NC hast du doch für den dort angemieteten Server/Domain bestimmt eine feste IP. Was hast du dort? Domain oder nur Web?
Dann brauchst du doch nur noch einen DynDNS um eine IP für deine Syno zu bekommen, unter der sie immer per DSM erreichbar sein soll. Oder hast du vielleicht sogar eine feste IP für zu Hause?