Tailscale und Docker-Container

[elfo11]

Hallo Synology-Community,

ich möchte meine Synology-Dienste wie Synology Drive aber auch meine Docker-Container nicht mehr direkt übers Internet freigeben, um die Sicherheit zu erhöhen. Stattdessen plane ich, Tailscale einzusetzen. Meine DS220+ läuft im lokalen Netzwerk unter der IP 192.168.1.5.

Ich verstehe, dass ich mit Tailscale auf Endgeräten (z. B. Smartphone oder PC) die DSM-Benutzeroberfläche über die Tailscale-IP (z. B. 100.x.x.x) und Port 5001 erreichen kann.

Nun zu meiner Hauptfrage: Wie integriere ich das am besten mit meinen Docker-Containern? Ich habe derzeit vier Container laufen, darunter Paperless-ngx auf Port 8777. Kann ich einfach über https://100.x.x.x:8777 darauf zugreifen? Ich vermute nein, da die Container typischerweise an die lokale IP der Synology gebunden sind.

Aus meiner Recherche ergeben sich zwei mögliche Ansätze:

1. Advertise Routes in Tailscale: Ich könnte eine Route für 192.168.1.5/32 einrichten, um nur die Synology freizugeben (nicht das gesamte Netzwerk). Danach sollte der Zugriff über http://192.168.1.5:8777 von überall aus möglich sein, solange Tailscale läuft.
2. Anpassung der Container-Konfiguration: Beim Neudeployen der Container die Variable APP_BASE_URL auf die Tailscale-IP (100.x.x.x) oder den Magic DNS-Namen setzen.

Gibt es weitere Varianten oder Best Practices? Insbesondere: Wie stelle ich sicher, dass ich Synology Drive und die vier Docker-Container (einschließlich Paperless-ngx) bequem und sicher über Tailscale erreiche?

Wäre über eure Tipps sehr dankbar.

BG
Elfo