[gelöst] Deutsche Glasfaser: Strato Subdomain auf Synology-NAS umleiten, geht das?

Mit einer Link Local Adress wird das auch gar nicht funktionieren können.

Nun sind wir schon beim Thema IPv6 und hier empfehlen ich folgenden Inhalt zu lesen und zu verstehen:

IPv6-Address-Scopes (Gültigkeitsbereiche)

www.elektronik-kompendium.de

@alfalfa und frank_m können hervorragend über das Thema referieren.

Du musst dein NAS dazu bewegen, eine IPV6-Adresse zu erzeugen, die sich nicht verändert (also keine mit Privacy Extensions verwenden/veröffentlichen). Zusammen mit dem Präfix ergibt das die Adresse, die aus dem Internet erreichbar ist. Diese Adresse und evtl. benötigte Ports müssen in der FRITZ!Box freigeschaltet werden. Das ist DSM Konfiguration, da kann ich nicht mit verwertbaren Know-How dienen.

Du hast, wie schon erwähnt wurde, sehr komplexe Anforderungen. An deiner Stelle würde ich erst einmal versuchen mit dem Synology QuickConnect das NAS aus dem Internet heraus anzusprechen. Sobald das funktioniert, kann man an den weiteren Anforderungen arbeiten.

Zitat von nubi_dg

Jetzt gibt es nur noch den Schönheitsfehler, dass sich meine SSL-Zertfikate bei Strato nicht auf Subdomains legen lassen. Aber das soll nicht Inhalt dieses Threads sein, dafür finde ich noch eine Lösung.

Hast Du die Möglichkeit im CSR mehrere Subject Alternative Names (SAN) mitzugeben? Dann kannst (und solltest Du auch) alle deine Subdomains und Hostnamen darin aufnehmen, kann zwar eine längere Liste werden. Schau dir mal das SAN Feld in einem Google Zertifikat an, dann weißt Du was ich meine.

Ich weiß nicht in wie fern nginx proxy manager IPv6-Probleme hat... Aber wenn nicht, dann würde ich nur noch mit einem Reverse Proxy arbeiten. Hier werden zwei Ports geöffnet: 80(http) und 443(https).

Der Reverse Proxy macht dann sämtliche "SSL-Arbeit" und stellt Zertifikate (Let's encrypt) bereit, sodass selbst Dienste die nur per http erreichbar sind verschlüsselt werden. So erspart man sich den ganzen Zertifikatskram auf den einzelnen Servern/Diensten. Obendrauf kann man auch noch GeoIP-Blocking betreiben und die ganzen Russen und Chinesen von vorneweg aus seinem Netz fern halten.*

*Sofern die nicht per VPN mit deutscher IP vorbeischauen.

Ein SSL (eigentlich ja TLS) Zertifikat wird zur Feststellung der Identität eines Gegenübers verwendet, um eine verschlüsselte Kommunikation aufbauen zu können.

Diese Zertifikate erhält man von einer Certification Authority (CA), die eine besondere Vertrauensstellung genießt.

Derjenige, der ein Zertifikat erhalten möchte, muss bei der CA den Certificate Signing Requests (CSR) einreichen. Im CSR stehen im Prinzip schon die Angaben, die später im Zertifikat enthalten sein sollen. Für die Erstellung eines CSRs wird ein Private Key benötigt, der absolut schützenswert ist, da mit diesem Private Key beliebige CSRs gestellt werden können! Hinzu kommt noch, das ein CSR und ein Private Key keine zeitlich eingeschränkte Gültigkeit haben (im CSR kannst Du zwar einen Zeitraum angeben, der wird jedoch üblicherweise von der CA ignoriert).

Ich habe nun das Pferd von hinten gezähmt und hoffe das es verständlich war.

Hier gibt es gutes deutsches How-To:

NGINX Proxy Manager - NGINX Reverse Proxy vorgestellt

NGINX Proxy Manager - NGINX Reverse Proxy vorgestellt

schroederdennis.de

Kurz zusammengefasst:

Ein Reverse-Proxy macht nichts anderes als die Datenpakete die zu Diensten/Servern in dein Netzwerk wollen zu routen. D.h. zum richtigen Server mit dem richtigen Port weiterzuleiten. Nach außen zum Internet gibst du aber nur Port 80 und 443 frei - diese "zeigen" auf den Reverse Proxy.

Ohne einen Reverse Proxy musst du einzelne Ports zu deinen jeweiligen lokalen Servern ins Internet freigeben, was man eigentlich sehr ungerne macht, weil jeder offene Port ein weiterer Angriffsvektor für dein Netzwerk wäre.