Verschiedene Domains und Wordpress

[t30]

Hallo,

ich bin recht neu mit der DSM und habe mittlerweile viele Dienste testweise darauf laufen und bin wirklich schwer begeistert. Es ist eine DS220+. Caldav, Carddav, Docker mit Pihole, Moments, Bitwarden Surveillance Station,... - geht alles. Und zwar über eine eigene Domain. Das läuft aktuell alles eher noch als proof-of-concept. Sicherheit und Ausfallschutz soll hier nicht das Thema sein. Thema VPN, das ich gerade sowieso im Alltag an verschiedenen Geräten teste, und grundsätzlich Sicherheit soll hier noch gar nicht das Thema sein.

Also DSM ist z.B. über https://A-domain.de:XXXXX erreichbar, auch die ganzen Dienste entsprechend mit anderer Portnummer oder domainA.de/dienst. Unser Kabelanschluss hat Dual Stack und DSM aktualisiert die IP über xyz.synology.me und bei der A-domain.de ist CNAME auf xyz.synology.me eingestellt. Zertifikat in der DSM für die A-domain.de. Bei Bitwarden läuft es zudem mit einem Reverse Proxy, hab ich nach einer Anleitung eingerichtet...

So, als nächstes möchte ich meine sehr kleine und überschaubare Wordpress Seite auf die DS220+ umziehen. Allerdings mit der bisherigen Domain B-domain.net und die Seite soll auch nur darüber erreichbar sien.

Da fängt es schon an. Installiere ich die Webstation, ist unter A-domain.de der Webstation Bildschirm zu sehen, nach dem Motto Hilfe anschauen für Web Station. Eigentlich würde ich unter A-domain.de gerne weiterhin nichts haben, lediglich unter A-domain.de:XXXX den DSM.

Lege ich den vHOST der Webstation auf A-domain.de, kommt hier auch meine Hello World Test HTML Datei. Lege ich den vHost auf B-domain.net, komme ich nicht drauf, egal ob ich Ports angebe oder sonstwas... Bei der B-domain.net habe ich beim Domainanbieter eine vHost Weiterleitung auf xyz.synology.me eingerichtet... Und irgendwo raucht mir jetzt der Kopf, weil es nicht funktioniert. Abgesehen davon möchte ich die Wordpress Seite manuell installieren und nicht über DSM, da hier die Updates zu langsam sind? Oder kann ich die DSM-Wordpress-Version auch ganz normal in Wordpress selbst entspreched updaten? Auch läuft Wordpress aktuell beim Hoster auf Apache und SQL, würde aber wenn es sich für die Perfomance der DS220+ und der Webseite lohnt auf nginx umsteigen und auch andere Datenbank... Im Prinzip muss Wordpress nur laufen, Import der alten Seite erfolgt dann mittels Plugin oder händischer Umzug,...

Aber primär wäre meine Frage, wie ich wo was einstellen muss, damit meine Wordpress Seite NUR unter B-domain.net auftaucht und die komplette a-domain.de der Diskstation damit keine Berührungspunkte hat, bestenfalls nicht mal was anzeigt von wegen Web Station... Und wo ich dann wie vHost, ggf. reverse Proxy, CNAME eintragen muss. Finde einfach keine Anleitung dafür und mir fehlt da auch das Fachwissen bei den Domaineinstellungen. Ports hatte ich für den Test mal 80/443/8443 eingestellt und in der Fritzbox auch als Portfreigabe drin...

Vielen Dank im Voraus.

 

[Fusion]

Also extern beim Domain Verwalter in den DNS Einstellungen erst mal alles identisch einrichten.
Beide Domains per CNAME auf die Synology dynDNS setzen.
Weil von außen musst du erst mal nur schauen, dass die Anfragen zu deinem Anschluss kommen. Was dann dort damit passiert ist eine andere Baustelle.

Das interne wird etwas unübersichtlich, weil nicht ganz klar ist was du wo wie alles eingestellt hast.

Für den DSM kannst du z.B. Die erste Domain unter Systemsteuerung > Netzwerk > DSM Einstellungen > benutzerdefinierte Domain eintragen. Dann antwortet der DSM auf 80/443 auf diesen Namen. Teilweise kann man noch Dateifreigaben und andere Syno Apps damit ansprechen, aber keine anderen web Dienste auf der Syno.
Oder man setzt für den DSM unter Systemsteuerung > Anwendungsportal > Reverse Proxy einen Eintrag für die Domain und leitet auf https, localhost, 5001 um.

Für WordPress kannst du in der webstation ein vHost setzen. Dann antwortet auch nur dieses darauf.

Was dann noch offen ist ist, dass man z.b. Über deine IP anruft. Da greift dann sozusagen die Müllabfuhr zu. Alle Anfragen für die kein Hostname definiert ist beantwortet am Ende die Dummy Seite der Web Station oder der Inhalt der direkt unter /web liegt. Das müsste man dann noch unterbinden.

 

[t30]

Hallo, danke schonmal. Bin ein Stückchen weiter, aber noch nicht viel.

Auf der DS220+ habe ich unter Systemsteuerung > Externer Zugriff > Erweitert die a-domain.de eingetragen und die Ports auf hohe fünfstellige Ports geändert.
Unter Systemsteuerung > Netzwerk > DSM Einstellungen habe ich dieselben Ports eingetragen und HTTPS Umleitung sowie HTTP/2 aktiviert. Aber unter der benutzerdefinierten Domain habe ich nichts angehakt und somit nichts eingetragen. Das wäre ja nur die Domain für das lokale Netzwerk?
Fällt mir auch jetzt erst auf, dass hier beide Male dieselben Ports stehen...
Aus dem Internet komme ich via a-domain.de nicht auf den DSM drauf sondern muss a-domain.de:XXXXX eingeben. Aus dem lokalen Netzwerk komme ich auch mittels a-domain.de drauf, das wird dann dennoch als a-domain.de:XXXXX angezeigt. In den Apps gebe ich a-domain.de:XXXXX ein als Host und aus dem Internet kann ich z.B. Notizen unter a-domain.de:XXXXX/note/ aufrufen.
Stelle ich wie du geschrieben hast Systemsteuerung > Netzwerk > DSM Einstellungen > benutzerdefinierte Domain auf a-domain.de, dann komme ich aus dem lokalen Netzwerk auf a-domain.de drauf und es wird auch a-domain.de angezeigt. Gebe ich a-domain.de:XXXXX mit Port an, kommt weiße Seite mit Synology Logo und dem Text: "Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden." Aus dem Internet hingegen kommt dann unter a-domain.de gar nichts mehr und unter a-domain.de:XXXXX auch weiße Seite mit Synology Logo und dem Text: "Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden." Auch funktionieren die DS Apps nicht mehr, die sind alle soweit über a-domain.de:XXXXX eingeloggt.

Lange Rede, kurzer Sinn: Hab ich das verkackt? DSM sollte für die Nutzer aus dem Web soweit erreichbar sein, dass Webkalender und Kontakte, Moments etc... alles erreichbar ist mittels Apps und Direktaufruf der Seiten über a-domain.de:XXXXX/note/. Gerne auch ohne die Portangabe, wobei das meinem Verständnis eben mit den Ports dazu dient, dass die DS220+ extern nicht sofort auffindbar ist durch Portscans auf 80/443... Letztendlich geht die Sicherheit aber über ein langes Passwort und die Synology Software selbst, alles darüber hinaus wirkt auch nicht wenn das Passwort 12345 ist.
Ansonsten könnte auch der Login für DSM auf a-domain.de oder a-domain.de/dsm liegen, in den Apps einfach a-domain.de eingeben und über Web als a-domain.de/note abrufbar. Wo sollte ich jetzt was einstellen für meine Zwecke? Gerne auch ohne Portangabe dann...

Und für das eigentliche Thema mit Wordpress dann: Die Domains liegen bei unterschiedlichen Anbietern. Die A-domain.de für die DSM kann ich komplett per CNAME weiterleiten, beim anderen Anbieter ist eine CNAME Weiterleitung der B-domain.net nicht möglich, nur für Subdomains. Gut, wie ich gelernt habe, irgendwie auch klar, weil ansonsten CNAME eigentlich komplett alle Einträge überschreibt... Aber für die a-domain.de brauche ich nichts anderes, lediglich Weiterleitung auf xyz.synology.me.
Insofern könnte ich ja die WWW.b-domain.net Subdomain per CNAME weiterleiten. Teste ich gerade, aber wie das bei DNS Einträgen so ist kann das Ewigkeiten dauern... Von der b-domain.net brauche ich ggf. dann noch für den Mailserver MX Einträge und SMTP Relay, das ist dann aber eine andere Geschichte...

 

[Fusion]

Nein, benutzerdefinierte Domain kann ein netbios hostname oder eine volle Domain (Fqdn) ala dsm.example.com sein. Das ist nicht auf intern beschränkt.

Der Eintrag unter 'Externer Zugriff > Erweitert' ist nur eine Info an den DSM unter welcher Domain man eventuell von extern erreichbar ist. Das ist keine Einstellung ala 'du hörst jetzt auf diesen Namen'. Die Einstellung brauchst du eigentlich gar nicht, wenn du benutzerdefinierte Domains oder reverse proxies oder vhosts benutzt.
Auch die Ports dort musst du nur angeben, wenn du eine Portumleitungen ala 12345 > 5001 benutzen willst. Auch hier ist dies nur eine Info an den DSM, da er den externen Port nicht erraten kann. Für 1:1 Portweiterleitung unnötig.

Ebenso müsste man die Ports unter Netzwerk > DSM Einstellungen nicht anfassen, da die Domains alle auf 80/443 hören würden.
Deshalb funktioniert der Aufruf ohne Ports und der Name bleibt auch so erhalten im Browser. Wenn das von extern nicht geht sind 80/443 nicht offen und auf die DS geleitet.
Unter der benutzerdefinierten Domain lauscht der DSM auch nur noch auf 80/443. Wenn du es mit SM-Port aufrufen willst müsstest du die IP oder einen Hostnamen benutzen der nicht anderweitig gebunden ist.

Die Frage ist welchen der vielen Wege du gehen willst.

Benutzt du mit 80/443 die benutzerdefinierte Domain dsm.example.com, dann musst du nur 80/443 weiterleiten im Router und kannst auch alle syno eigenen Apps damit aufrufen.
Nur wenn du im Browser direkt eine Anwendung aufrufen willst musst du noch im Anwendungsportal jeweils Aliase definieren. Z.b. dsm.example.com/note. Die Smartphone Apps wissen ja wen sie erreichen wollen und brauchen nur dsm.example.com als Eingabe bei den neueren. Bei den älteren leider dsm.example.com:443 da sie sonst im Hintergrund automatisch probieren dsm.example.com:5001 aufzurufen (das ist z.b. Bei DS file noch hart in der App programmiert).

Der scan des ipv4 Internet dauert wenige Minuten. Will man alle Ports scannen dauert es halt länger.
Lieber schauen, dass benutzer/pass (nicht als admin normal arbeiten) , eventuell 2FA, restriktive Rechte, geo-Firewall,... Gut aufgesetzt ist. Das ist wichtiger.
Zudem kannst ja mal schauen was kommt wenn du https://deine-IP aufrufst. Da sollte der DSM nämlich nicht antworten dann.

WordPress lese ich später noch und antworte drauf.

 

[Fusion]

Ja, CNAME normal nur für 'sub.example.com IN CNAME sub.example.de'. Für 2nd level domains ist es nicht üblich aber auch nicht verboten meines Wissens.
Der Nachteil ist eben, dass damit auch die Zonenverwaltung für example.com beim Provider flachfällt. Man kann also normal dann keine Dienste wie Mail etc dort noch nutzen sondern muss alles bei sich selbst regeln. Das will man normal eher nicht.

Von daher wäre der Weg mit wp.example.com per CNAME auf deine dynDNS vorzuziehen.
Normal geht dass in Sekunden bis Minuten, wenn der Provider was taugt. Dass man Stunden warten muss, oder es bis zum Limit (48h war das glaube) dauert habe ich in unseren Breiten noch nicht erlebt.

 

[t30]

Super, Dankeschön vielmals! DSM und die Anwendungen gehen jetzt ohne Portangabe! Mit dem Alias direkt domain.de/note/ und Apps auch alle ohne Portangabe. Bei Netzwerk > DSM Einstellungen alles gelöscht und entsprechend an der anderen Stelle benutzerdefiniert eingetragen.

Wenn ich die lokale IP der Synology im LAN angebe, kommt die Meldung "Web Station has been enabled. To finish setting up your website, please see the "Web Service" section of DSM Help." aus der index.html aus dem Root der Webstation. Hänge ich den entsprechenden Port dran, komme ich auf die DSM Oberfläche. Gebe ich die externe IPv4 ein, komme ich auch auf die gleiche Webstation Seite. Gebe ich den Port an, komme ich nur auf die unverschlüsselte Login Seite... Kann man das noch deaktivieren, dass das root Verzeichnis des Webservers gar nicht abrufbar ist sondern eben nur dann meine Wordpress Seite, die im root web/ordnername/ liegt?

Nun hakt es aber noch bei der Weiterleitung auf Wordpress, v.a. beim Hoster und auch beim Zertifikat.

Ich habe für www.b-domain.net eine CNAME Weiterleitung auf xyz.synology.me gemacht.
Für b-domain.net ein VHOST der auf www.b-domain.net weiterleitet. Somit müssten eigentlich www.b-domain.net und b-domain.net beides als www.b-domain.net auf der xyz.synology landen wobei www.b-domain.net im Browser angezeigt werden sollte.

Meine DS schafft es aber kein Let's Encrypt Zertifikat zu holen, egal was ich eingebe, ob www.b-domain.net oder b-domain.net und auch mit verschiedenen E-Mail Adressen ausprobiert wie auch die DS als Exposed Host freigegeben. Es kommt immer, dass die Verbindung zu Let's Encrypt nicht möglich ist und ich darauf achten soll, dass der Domainnamen gültig ist... Ich habe das Let's Encrypt Zertifikat beim Hoster mal gelöscht, womöglich dauert das jetzt alles mal bis sich das ordnet... Normalerweise geht's ja meistens innerhalb weniger Minuten bei DNS Änderungen, aber ist halt immer blöd wenn man es nicht genau weiß und verschiedene Geräte ggf. die Änderung nicht so schnell mitbekommen
Ich lass das jetzt mal so bis morgen ruhen, womöglich tut sich da ja noch was...

Den Virtual Host auf der DS habe ich so eingestellt wie angehängt. Oder erledige ich das über Reverse Proxy?

Mein Schädel hat ordentlich geraucht.

Wenn ich dir ein Bier spendieren kann oder ähnliches lass es mich wissen

 

[Fusion]

Was heißt 'gebe ich die externe IP... Port... unverschlüsselt Login Seite'
Ausser 80/443 sollst du gar kein Port auf die DS weiterleiten. Und die muss man nicht anhängen.
Kein Protokoll oder http == 80, https == 443. Automatisch im Hintergrund.

Wegen der b-domain musst du genauer schreiben welche Einstellungen du in der Domain Verwaltung und welche du in der DS tätigst. Ist etwas undurchsichtig. Und was ist ein 'weiterleitender vHost'?

Letzt encrypt beim Hoster ist komplett irrelevant.
Http Weiterleitungen können stören.

Mindestvoraussetzung für LE auf der DS.:
80/443 offen
Aufruf von sub.example.com welches im Zertifikats Antrag benutzt (und alle anderen Domains die mit angegeben werden) wird kann via http://sub.example.com aufgerufen werden und landet so auch auf der DS.
Firewall sperrt keine Anfragen auf 80/443 aus den USA.

Potentiell auskunftsfreudigere Logs bekommt man bei Syno und LE leider nur via SSH Terminal und der Zertifikats Anfrage auf der Konsole. Aber meistens liegt es an einem der oben genannten Verdächtigen.

Für konkretere Analyse, zumindest was den Weg von außen auf die DS anbelangt, bräuchte man die konkreten Daten im Klartext per PM, falls das gewünscht ist (und es so aktuell zu langsam geht).