Portfreigabe mit Nginx und Synology im Netzwerk führen zu Problemen

[8u3631984]

Hallo zusammen,
ich habe folgedenes Setup.
Ich habe in meinem lokalen Netzwerk einen Raspberry Pi laufen. Darauf laufen verschiedene Service als Docker Container. So z.b Grafana. Außerdem läuft dort ein Nginx Proxy Manager. Ich habe bei duckdns eine Domain registiert (myservice.duckdns.org - heißt anders ist aber egal). Nun möchte ich, dass meine Dienste über https://grafana.myservice.duckdns.org erreichbar sind. Das klappt auch wunderbar, da ich auf meinem Router den Port 443 zu meinem Rasberry Pi durchgerereicht habe. Und dort lauscht ja der Nginx

Nun habe ich folgendes Problem. In meinem Netzwerk ist noch eine Synlogy enthalten. Diese liefert live bilder von einer Camera. Wenn ich nun über die App DS Cam versuche mich auf die Synology zu verbinden (über https) klappt dies nicht. Grund ist die Portweiterleitung am Router.

Nun meine Frage:
Welche Möglichkeiten habe ich, dass ich die Synology wieder von außen erreichen kann?
Kann ich etvl. für meine Dokcer Deinste einen anderen Port verwenden z.b https://grafana.myservice.duckdns.org:9876 , damit ich nur diesen Port an der fritzbox freigeben muss.

Hat jemand damit erfahrung ?

 

[KonradN]

Also ich sehe hier mehrere Möglichkeiten:

a) Ja, du kannst nach außen unterschiedliche Ports verwenden. Die Ports kannst Du dann im Router auf unterschiedliche Systeme weiter leiten.
b) Du hast doch bereits einen nginx - den kannst Du verwenden, um dann bei Webzugriffen über den Hostnamen zu unterscheiden, was angesprochen werden soll.

Beide Schritte haben Vor- und Nachteile. Bei a hast Du den Vorteil, dass es generell für alle Protokolle funktioniert. Du bist also nicht nur auf ein Protokoll wie http(s) beschränkt. Bei b hast du den Nachteil, dass der nginx eine Art "single point of failure" ist. Dafür kannst Du da einige Themen zentral handhaben. So schätze ich die Möglichkeit, das dort dann die SSL Konfiguration zentral stattfinden kann.

Ich habe so bei mir z.B. auch nginx als Proxy laufen. Da habe ich dann Konfigurationen, die dann Zugriffe weitergeben. Lediglich die certbot/letsencrypt Aufrufe gebe ich weiter an ein Verzeichnis, so dass die Zertifikate dann aktualisiert werden können. (Aufbau b). Aber die Portweiterleitungen mit unterschiedlichen Ports habe ich auch etwas im Einsatz. So hat mein Gitea für sein ssh den Port 2222. Die Portweiterleitung ist aber nach außen der Port 22. Das zeigt dann etwas den Einsatz mit wechselnden Ports.

 

[Oneixee5]

Bei meiner Fritz Box kann ich auch Subdomains erreichbar machen. Man könnte im Nginx einen Host für die Subdomain anlegen und intern auf eine andere Maschine/Port weiterleiten.

 

[Big Brother Daemon]

Nbnd,
Du kriegst kein SSL cert für eine dynamische IP bzw. DNS. Damit ist deine Frage ganz einfach beantwortet.
Schönen Abend noch

 

[KonradN]

Nbnd,
Du kriegst kein SSL cert für eine dynamische IP bzw. DNS. Damit ist deine Frage ganz einfach beantwortet.
Schönen Abend noch

Komisch, dass ich dann auch für dynamische DNS Einträge SSL Zertifikate von LetsEncrypt erzeugen konnte.

Und das ist für den TE auch keinerlei Thema, denn er schreibt ja explizit, dass https://grafana.myservice.duckdns.org wnderbar klappt.

Ich frage mich wirklich, wieso jemand ständig neue Accounts erstellt nur um dann so Beiträge voll von falschen Dingen zu schreiben....

 

[Nutzlast]

Ja, das verstehe ich schon. Aber nicht jeder Webbrowser kommt damit zurecht, wenn einmal pro Tag das Cert erneuert wird.

Rein von Protocol her ist das natürlich nicht ausgeschlossen.

 

[KonradN]

Ja, das verstehe ich schon. Aber nicht jeder Webbrowser kommt damit zurecht, wenn einmal pro Tag das Cert erneuert wird.

Rein von Protocol her ist das natürlich nicht ausgeschlossen.

Da das Zertifikat auf den DNS Namen ausgestellt ist, kann sich die IP so oft ändern, wie sie will … Bitte nutze die Zeit doch einfach einmal damit, dich mit einer Thematik zu beschäftigen anstelle ständig neue Accounts zu machen und so unsinnige Inhalte zu posten ….

 

[Marinek]

Accounts zu machen und so unsinnige Inhalte zu posten ….

Ich wette er ist gefrustet, weil er eine Thesis schreiben will aber aktuell eher einem Professor auf den Keks geht.

Vielleicht muss man da mal die Connections eröffnen zwischen dem wie man sich hier gibt und wie man an der Uni handelt.

 

[Patt2]

In der SAN des SSL Certs kann auch die IP-Adresse eingetragen sein.

 

[KonradN]

Niemand hat behauptet, dass es unmöglich ist. Dazu muss die IP Adresse einem aber gehören und dazu gehört halt etwas mehr. Und es ist schlicht unüblich, da IP Adressen sich halt generell ändern können. Daher hat man ja den Layer mit den DNS Namen.


Deine Aussage in #4 ist somit schlicht Quatsch. Wie aufgezeigt, ist der Punkt auch Off Topic. Und niemand will das mit Dir auch nur ansatzweise diskutieren. Wie kann es sein, dass jemand mit seiner Zeit nichts besseres anzufangen weiss, als ständig in ein Forum zu gehen, in dem er schlicht nicht willkommen ist um dort dann immer wieder seine Unwissenheit zu präsentieren? Und das geht ja schon über Jahre ...

Edit: Zukünftig gibt es auch keine Antworten mehr und Beiträge werden direkt komplett gelöscht.... Evtl. hilft Dir das ja, keine neuen Accounts mehr zu erstellen.