Photo Station Photo Station 6 hinter Apache Reverse Proxy

[hakiri]

Hallo Syno-Kollegen,

nach den einschlägig bekannten Sicherheitsproblemen einiger Syros, möchte ich keine Dienste mehr direkt vom Internet aus für meine Syno erreichbar machen.
Da nicht für alle VPN in Frage kommt, möchte ich die Photo Station via Reverse Proxy für Leute aus dem Internet zugänglich machen.
(Leider kenne ich keine gute Alternative zur Photo Station )
Folgende Config habe ich auf einem Debian Server eingetragen:

<VirtualHost _default_:443>
        ProxyRequests off
        ProxyPass /ds http://diskstation/
        ProxyPassReverse /ds http://diskstation/
        ...

Klappt auch soweit recht gut... AAAABBERR einen kleinen Schönheitsfehler gibt es. Das Logo oben links (Photo Station 6 Logo) wird nicht dargestellt. Sondern als "Missing Element". Hier scheint das Rewriting nicht zu funktionieren.

Folgende Module habe ich im Apache konfiguriert:

proxy proxy_html proxy_http

Hat da jemand Erfahrung mit und kann mir eventuell Tipps geben?

Danke!

 

[Thorndike]

Mir ist jetzt nicht genau klar welches Icon du vermisst aber mit den folgenden Settings sieht alles für mich normal aus. Da ich von der DS nur noch die Photostation verwenden will und sonst nichts leite ich direkt auf die Station weiter.

<VirtualHost *:443>
ProxyPass /photo http://IPAdresse/photo
ProxyPassReverse /photo http://IPAdresse/photo

Wo ich schon einmal dran war habe ich dann auch gleich das SSL vom Apache erledigen lassen und mir die weiter Config der Syno geschenkt.

 

[hakiri]

Ja, via SSL habe ich das ganze auch von außen erreichbar gemacht.
Vom Proxy zur DS reicht mir die non-SSL Port 80 Variante.

Oben links das Logo.
Habe auch schon mit rewrite-html und diversen URL Mappings rumexperimentiert. Leider keine Veränderung.

 

[hakiri]

Interessant...:
Mit Deiner Config klappt es tatsächlich auch mit dem icon.
Ich dachte immer ein ReverseProxy würde damit keine Probleme haben, eine URL komplett anders zu nennen...

 

[Thorndike]

Es kann ja durchaus sein das irgendein Schlauling einen absoluten Pfad für das Icon verwendet hat, der würde von deiner Config nicht mit erfasst. Wenn es dich interessiert kannst du ja in deinem Proxy Apache das access log aktivieren und mal nach 404 suchen und dort die URI kontrollieren. Natürlich erst nachdem du die Config wieder zurückgedreht hast.

 

[grueni_fa]

Hallo Syno-Kollegen,

nach den einschlägig bekannten Sicherheitsproblemen einiger Syros, möchte ich keine Dienste mehr direkt vom Internet aus für meine Syno erreichbar machen.
Da nicht für alle VPN in Frage kommt, möchte ich die Photo Station via Reverse Proxy für Leute aus dem Internet zugänglich machen.
(Leider kenne ich keine gute Alternative zur Photo Station )
Folgende Config habe ich auf einem Debian Server eingetragen:

<VirtualHost _default_:443>
        ProxyRequests off
        ProxyPass /ds http://diskstation/
        ProxyPassReverse /ds http://diskstation/
        ...

Klappt auch soweit recht gut... AAAABBERR einen kleinen Schönheitsfehler gibt es. Das Logo oben links (Photo Station 6 Logo) wird nicht dargestellt. Sondern als "Missing Element". Hier scheint das Rewriting nicht zu funktionieren.

Folgende Module habe ich im Apache konfiguriert:

proxy proxy_html proxy_http

Hat da jemand Erfahrung mit und kann mir eventuell Tipps geben?

Danke!

<VirtualHost _default_:443>
        ProxyRequests off
        ProxyPass / http://diskstation/
        ProxyPassReverse / http://diskstation/
        ...

Wenn du willst, dass alles funktioniert, musst du eine ganze Domain auf der Root-Ebene opfern.
Ansonsten kommt es immer wieder irgendwo zu Problemen. Synology ändert auch oft (mit Updates) etwas an der Hierarchie und Lenkstruktur, so dass der Proxyzugriff plötzlich mal nicht gehen will.
Wenn du von der Root-Ebene als Proxy auf die DS zugreifst, sollte es immer funktionieren.

Das was du hier machst ist aber sicherheitskritisch. Du setzt nach außen auf eine SSL abgesicherte Domain und greifst umverschlüsselt auf deine DS zu.
Das ist eigentlich sinnlos, da der ganze Verkehr zu deiner DS belauscht werden kann.
Das ginge aber auch per Proxy:

	SSLProxyEngine on
	ProxyRequests Off
        ProxyPreserveHost On

        ProxyPass        /             https://diskstation/
        ProxyPassReverse /             https://diskstation/

 

[Thorndike]

Ich denke doch das der Proxy und die DS im selben Netz stehen und die Daten somit nicht unverschlüsselt durch das Internet geistern. Wer das abhören will muss schon Zugriff auf das interne Netz haben.

 

[grueni_fa]

Ich denke doch das der Proxy und die DS im selben Netz stehen und die Daten somit nicht unverschlüsselt durch das Internet geistern. Wer das abhören will muss schon Zugriff auf das interne Netz haben.

Ok, wenn das so ist, wäre die SSl-Problematik erledigt. Aber dann macht der aus Proxy sicherheitsmäßig keinen Sinn, so wie das Szenario vom Threadersteller beschrieben wurde. Der Proxy schleift einfach einen Port komplett durch. Alle Angriffe, die auf der DS möglich wären, gehen dann auch über den Proxy.
Aber das ist dann Sache des Betreibers.

 

[Thorndike]

Ich betreibe das auch so weil auf meiner DS nur noch die PhotoStation läuft und ich z.B. eine Joomla Instanz auf einem Server habe. So kann ich von einem Proxy aus alles per namensbasierten virtual host verteilen.

 

[grueni_fa]

Ich betreibe das auch so weil auf meiner DS nur noch die PhotoStation läuft und ich z.B. eine Joomla Instanz auf einem Server habe. So kann ich von einem Proxy aus alles per namensbasierten virtual host verteilen.

Ok - jetzt ist's klar. Und das funktioniert sauber, wenn du Unterverzeichnisse verwendest? Oder nimmst du für jeden Zweck einen eigenen VHOST mit der Domain auf der root-Ebene?

 

[Thorndike]

Ich habe für jedes Ziel einen VHost der allerdings dann mehrere DNS Namen abdeckt. Innerhalb eines VHost hatte ich allerdings bisher keine Probleme mit Unterverzeichnissen.