Virtual Machine über eigene Domain erreichen

[Papillon]

Hallo zusammen,

wie kann man eine virtuelle Maschine über eine eigene Domain aus dem Internet verfügbar machen?
Die Diskstation ist bereits über eine andere Domain von Außen erreichbar.

Auf der virtuellen Maschine läuft Debain Buster mit Yunohost. Als Domain fungiert xxx.nohost.me
Beim Aufruf dieser Seite wird mir der Login-Screen für die Diskstation angezeigt.
Der Zugriff auf Yunohost über die lokale IP funkioniert problemlos.

An welchen Schrauben muss ich drehen?

Vielen Dank und viele Grüße

Papi

 

[blurrrr]

Könntest den Reverse-Proxy der Syno nutzen. Alternativ eine Portweiterleitung auf die IP (und Port) der VM. Wenn das der gleiche Port wie für die Syno ist, wirst Du um einen Reverse-Proxy nicht herum kommen.

 

[Papillon]

Vielen Dank für den Tipp!

Habe den Reverse-Proxy der Syno folgendermaßen eingerichtet:
Quelle: https://xxx.nohost.me
Ziel (lokale IP der virtuellen Maschine bzw. des Debian-/Yunohost-Servers): https://192.168.178.xx

Die Diskstation und die Debian-Installtion in der virtuellen Maschine nutzen beide den Port 443.

Das Ergebnis ist leider dasselbe: Bei Aufruf von xxx.nohost.me lande ich auf dem Login-Screen der Diskstation.

 

[blurrrr]

Mooooomentchen... Grundsätzlich: Bei den meisten Dingen greift: Wer zuerst kommt, kriegt den Zuschlag, hast Du z.B. sowas hier:

1) https://xxx.nohost.me => https://192.168.178.10
2) https://xxx.nohost.me => https://192.168.178.20

Würde das erste greifen und das zweite nicht mehr beachtet werden. Realistisch sollte die Config aber so schon garnicht geschluckt werden (Systeme sind ja schlau und "xxx.nohost.me" existiert ja bereits, aber... wer weiss)

Grundsätzlich bleiben 2 Möglichkeiten, dazu muss man aber erstmal wissen, wie es funktioniert:

Deine öffentliche WAN-IP ist genau "einmal" da, das ist halt ein Fakt und da kommste auch nicht drum herum. Die Anzahl der "Ports" die Du dort zur Verfügung hast, ist auch eingeschränkt und jeder Port kann nur "ein einziges mal" weitergeleitet werden. Also bist Du dort einfach sehr beschränkt.

Variante 1) (die ganz einfache)

Du benutzt einfach einen "anderen" Port für z.B. Yuno-Host. Nicht intern, aber von extern, das könnte dann z.B. so aussehen:


Die "bunten" Zahlen sind die Portweiterleitungen vom Router. Also Ports 443 + 4443 vom Router (pro Port nur "eine" Weiterleitung), auf jeweils 443 der Endgeräte. Hierbei spielen "Namen" (DNS) erstmal "gar keine" Rolle. Die "Unterscheidungen" werden anhand der Portweiterleitungen getroffen (wenn (Router-)Port X dann Zielgerät Y + Port Z).

Variante 2) Reverse-Proxy

Hier findet die Unterscheidung (in der Regel, aber auch nicht immer) anhand des "angesprochenen" Namens statt, aber über die "gleichen" Ports. das Sieht dann z.B. so aus:

Beide "Namen" zeigen auf die gleiche WAN-IP, dort wird "nur" der https-Port auf den Reverse-Proxy weitergeleitet und dieser entscheidet dann, anhand der angesprochenen Ziele (domain-1.tld, oder domain-2.tld), wohin die Pakete weitergeleitet werden. Somit wären "beide" Installation ganz "normal" unter "https" erreichbar (über den Standardport 443), aber dennoch auf 2 getrennten Systemen. Die Unterscheidung, was (wie wo wann) wohin geschickt werden soll, wird dann auf dem Reverse-Proxy entsprechend konfiguriert.

EDIT: Ganz vergessen (wärste jetzt aber auch von selbst drauf gekommen) : Entweder nutzt Du noch einen zweiten (Dyn)DNS-Record für den anderen Host/YunoHost (s. 2), oder eben einen anderen "Port" (s. 1)

 

[Papillon]

Vielen Dank für die ausführliche Erklärung - sogar noch mit Bildern!

Mein Fehler war, dass ich direkt im Router den Port 443 auf den DSM Port 5001 weitergeleitet hatte. Das Durchreichen auf den Port 443 hat mein Problem geläst. Deine Abbildung 2 hat mich damit auf den richtigen Weg geführt.

Nochmals herzlichen Dank!

Papi

 

[blurrrr]

Gern ?? Durch die Nutzung des Reverse-Proxies kannst Du jetzt auch beliebig viele Dinge darüber laufen lassen (also sollte mal was dazu kommen, einfach über den sowieso schon vorhandenen RP laufen lassen, das ist dann auch alles etwas "stressfreier"

 

[Benares]

Das m.E. einzig "nervige" an dem Konstrukt ist, dass das/die verwendeten Zertifikate alle verwendeten Namen abdecken müssen.
Ein Wildcard-Zertifikat (*.meinedomain.de) erleichtert die Situation zwar, es ist aber leider als LE-Zertifikat nicht ganz ohne etwas Scripting auf der DS einricht-/aktualisierbar.