Externer Zugang über eigene Domain und Reverse Proxy

[Grischabock]

Guten Tag Zusammen

Ich habe einige Anwendungen die ich gerne extern verfügbar machen will, theoretisch klappt es über einen umständlichen Weg auch aber es ist halt recht umständlich finde ich und ich denke das müsste auch einfacher gehen.

Ich habe auf meinerdomain.com ein ein DynDNS Service des Registrars am laufen, diesen habe ich mit der Synology verbunden und klappt soweit auch.
Nun will ich als beispiel nehmen wir die FileStation verfügbar machen. Ich muss nun zum Registrar gehen, da erstelle ich file.meinerdomain.com dann muss ich zur Synology gehen den als DynDNS eintragen, dann einen reverse proxy setzen auf die FileStation, dann ein Zertifikat ausstellen mit Let`s Encrypt und das der subdomain zuweisen.

1. Subdomain eintragen beim Registrar mit DynDNS Service
2. DynDNS Sub-Domain Adresse in Synology eintragen
3. Reverse Proxy setzen für den Service
4. Zertifikat ausstellen für die Sub-Domain
5. Zertifikat der Anwendung zuweisen
6. Warten bis DNS durch ist

Das sind so viele Punkte und angenommen ich nehme MEINNAME.synology.me dann kann ich einfach einen reverse Proxy Eintrag machen und es klappt weil man da ein Wildcard Zertifikat erstellen kann was man bei einer eigenen Domain nicht kann. Ist es wirklich so umständlich oder mache ich etwas falsch?

Mein Gedanke war auch ich erstelle meinerdomain.com trage diese als DynDNS Service ein, erstelle ein Wildcard Zertifikat und kann dann mittels Reverse Proxy die Sub-Domains auf die Services legen.

Der aktuelle Workflow klappt eigentlich fast, nur gerade um mich im DSM einzuloggen klappt es nicht. Ich habe da versucht mal testweise admin.meinerdomain.com zu nehmen aber ich bekomme ein 404er und nicht weiter. Ich dachte dann okay vielleicht geht das halt nicht und habe mal login.meinerdomain.com genommen aber auch da. Also habe ich einen Fantasie Namen genommen aber auch da ein 404er. Muss für den Zugang zum DSM noch mehr gemacht werden als für alles andere?

Wie kann ich vorgehen mit der eigenen Domain das es weniger Aufwand gibt in der Einrichtung wie aber auch in der Pflege? Dazu halt auch wenn man schnell mit einem Container etwas erstellt und da extern drauf zugreifen will dann erstelle ich ja nicht alles komplett wie ich es aktuell machen muss um es danach dann vielleicht wieder in die Tonne zu hauen. Ja ich weiss man könnte dann auch mit der IP drauf aber teilweise nutzen wir für ein paar Tage ein Tool / Service und dann haue ich den wieder raus weil es nicht immer verfügbar sein muss aber in dem Moment halt verfügbar sein soll damit andere darauf zugreifen können.

Danke für eure Feedbacks

 

[JohneDoe]

Du kannst auch Wildcard bei deiner Domain verwenden. Ich habe *.meine-domain.de auf meine IP gesetzt. Das passiert mit einem Docker Container der bei Cloudflare den A/AAAA Record aktualisiert. Dann kannst du über all Wildcard benutzen. Auch beim Zertifikat. Hat man auch weniger Bots, weil die LE Zertifikate öffentlich einsehbar sind. Also für welche Domains die ausgestellt wurden.

 

[Grischabock]

okay muss ich mir mal ansehen, das heisst danach kann ich nur noch mit reverse arbeiten dann würde alles andere entfallen?

Cloudflare bietet dann den dyndns service an?

 

[Benares]

Das aufwandsärmste ist es sicherlich, bei synology.me zu bleiben, auch wenn der Name nicht so schön ist wie ein eigener. Da hast du Wildcard-DNS und ein Wildcard-Zertifikat, das sich sogar automatisch verlängert. Bei neuen Web-Apps, egal wo die laufen, musst du dich dann nur noch um die Reverse-Proxy-Einstellungen (also 3.) kümmern, der Rest bleibt gleich.

 

[ctrlaltdelete]

Ich würde auch einfach bei synology.me bleiben und als Wildcard nutzen.

 

[JohneDoe]

Hiermit kannst du deine Records bei Cloudflare aktualisieren lassen. Das passiert automatisch und der Container muss nur laufen. Dann kannst du nur noch mit dem Reverse Proxy arbeiten. Ich würde halt nicht auf Synology Dienste setzen.

 

[Benie]

Ich nutze das von Synology schon seit langem und habe keine Probleme damit

 

[Benares]

Das ist m.E. reine Geschmackssache. Nicht jeder mag diese komischen Synology.me-Namen, insbesondere wenn man sie weitergibt. Ein eigener Name sieht da irgendwie "professioneller" aus . Das ist auch schon alles.

 

[JohneDoe]

Vor allem, wenn man mal umsteigen will von Synology auf was anderes. Dann müsste man alles neu machen, weil ohne Synology kein DynDNS von denen. Also macht man sich da wieder nur mehr abhängig von Synology. Daher einmal direkt richtig machen und dann hat man Ruhe.

 

[Benie]

Mich stört das nicht

 

[Grischabock]

Vielen Dank für die vielen Antworten, Grundsätzlich ja bei mir hat synology.me auch immer geklappt. Grund ist das ich gewisse Kundenanliegen dann auf der Synology hoste diese kurz bereitstelle und dann wieder weghaue. Da ist es halt Geschäftlich nicht sonderlich schön wenn da plötzlich Synology steht, es geht da mehr um Verwirrung bei Kunden als um Geschmackssache. Natürlich ist der Aspekt der Bindung bei einem wechsel sicher auch nicht verkehrt sonst ist man an etwas gebunden an was man sich ausserhalb von Synology nicht binden kann. Da ich schon viele Jahre eigentlich zufriedener Kunde bin, denke ich nicht das ich weg gehe von Synology aber man weiss ja nie und ist ein Faktor mehr. Ich werde mir mal die Lösung via Cloudflare von @JohneDoe anschauen, wenn das klappt wäre es ja wunderbar.

Danke nochmals allen

 

[Grischabock]

Irgendwo habe ich noch einen denkfehler, der container läuft und meine IP wurde automatisch bei cloudflare als A-Record hinterlegt hat also bestens geklappt. Auf meinem Router habe ich die Freigabe für die Synology gemacht für http und https als 80 & 443. Die Reverse Proxy Einträge sind angelegt aber ich komme da nicht drauf. Habe ich etwas vergessen? Muss ich den DynDNS noch einrichten in der Synology für den Zugriff, eigentlich ja nicht oder weil ja CF den DDNS Service macht. Muss ich die Domain noch irgendwo sonst anlegen / hinterlegen in der Synology?

Vielen Dank

 

[Benares]

Überprüf nochmal die ganze Kette, von der DDNS-Namensauflösung angefangen (nslookup ...). Denk auch dran, dass IPv6 da oft in die Suppe spukt, da braucht es die IPv6 des Endgeräts und nicht die externe IPv6 der Fritte.
Wenn es nur um IPv4 geht, muss die IPv4 auch öffentlich erreichbar sein, d.h. es darf kein CGNat, DS-Lite etc. im Spiel sein.

 

[Grischabock]

Also in den Logs sieht es so aus

🌐 Detected the IPv4 address 92.104.XXX.XXX
🐣 Added a new A record of MEINEDOMAIN.TLD (ID: XXXXXXXXXXXXXX)
😞 Failed to send HTTP(S) request to "https://api.cloudflare.com/cdn-cgi/trace": GET https://api.cloudflare.com/cdn-cgi/trace giving up after 1 attempt(s): context deadline exceeded
😞 Failed to detect the IPv6 address
💡 If you are using Docker or Kubernetes, IPv6 might need extra setup. Read more at https://github.com/favonia/cloudflare-ddns/blob/main/README.markdown. If your network doesn't support IPv6, you can turn it off by setting IP6_PROVIDER=none
💡 If your network is experiencing high latency, consider increasing DETECTION_TIMEOUT=5s
⏰ Checking the IP addresses in about 4m52s . . .

Die IP in CF ist auch korrekt und sieht so aus


Mit der IPv6 stimmt schon etwas nicht, aber wie bekomme ich denn die aktualisiert?

In der Fritzbox dann so



dns lookup bring nichts und findet nichts.

 

[Benares]

Sorry, bei CF bin ich raus, da muss dir @JohneDoe weiterhelfen.
Edit: Und auf "Selbstständige Portfreigaben" würde ich auch verzichten, da bestimmt nämlich das Endgerät, was Sache ist. Willst du das?

 

[Grischabock]

Hatte eine verschobene Zeile in der ENV nun hat er die IPv6 auch abgerufen

🌐 Detected the IPv4 address 92.XXX.XXX.XXX
🤷 The A records of MEINEDOMAIN.TLD are already up to date
🌐 Detected the IPv6 address fec0:XXXX:X::40
🐣 Added a new AAAA record of MEINEDOMAIN.TLD (ID: XXXXXXXXXXXXXX)
⏰ Checking the IP addresses in about 4m56s . . .

Hat also soweit geklappt aber das mit den Subdomains klappt noch nicht, keine Seite wird geöffnet obwohl ich die reverse Proxys angelegt habe wie auch zuvor schon mit dem synology ddns (die url habe ich natürlich geändert auf die eigene domain und nicht mehr synology.me).

Muss ich die Domain noch irgendwo in der Synology eintragen? Habe ich da etwas verpasst?


Edit: Nur über die domain also nicht Subdomain via reverse Proxy komme ich auf die default website der synology. Aber weiter gehts nicht. das heisst ja irgendwas klappt aber nicht alles wie es soll. Ich denke ich habe in der Synology noch was vergessen.

 

[Benares]

"fec0:.." halte ich für suspekt, das sind m.W. interne IPv6. Extern erreichbare sind eher "2001:..." o.ä.
Sag doch endlich mal, was ein "nslookup ..." ausspuckt, nur das ist Fakt.
Mit http://meinedomain.tld solltest du auf der Demo-Seite der Webstation landen, falls diese installiert ist, ansonsten halt auf der Seite, die im RP für MEINEDOMAIN.TLD:80 definiert ist oder im DSM.
Unterstützt CF Wildcard-DNS, sprich, löst irgendwas.MEINEDOMAIN.TLD auf die gleiche IP auf wie MEINEDOMAIN.TLD?

 

[Grischabock]

Ja nslookup löst CF auf das klappt und ich lande mit meiner meindomain.tld auf der DSM Login Page irgendwas.meinedomain.tld löst nicht auf

 

[Grischabock]

"fec0:.." halte ich für suspekt,

ja war blöd da irgendwas einzubauen, es kommt sowas hier raus das ist in CF im AAA Record drinnen: 2a02:1210:301f:XXXX:XXX:XXXX:

(also klar die XXX nicht)

 

[Benares]

irgendwas.meinedomain.tld löst nicht auf

Das ist blöd, also fehlt Wildcard-DNS. Das brächtest du um z.B. file.meinedomain.tld für die Filestation zu verwenden.
2a02:1210:301f:XXXX:XXX:XXXX hört sich schon besser an, ob das passt musst du schon selbst herausfinden, erreichbar?