synology beschikbaar maken via domein.

Een beetje naar aanleiding van KLB / Ik ben een IT idioot. maar dat is allemaal wel gefixt nu (de openingspost dan, die hele ruzie van self-signed en CA signed zal wel nooit uitgepraat worden )

Ik heb dus bij transip een domein en webhosting gehuurd en nu wil ik bepaalde zaken die ik thuis heb draaien via de website bereikbaar maken. Ik heb nu wel al een certificaat via synology aan laten maken en het portnummer van de DSM van synology beetje random gemaakt en kan er nu ook bij maar ik kan nog niet bij andere apps/sites die op het lokale netwerk wel draaien en zoals ik het lees is het bij sommige nog best wat gekloot om de apps via https en het aanemaakte certificaat te laten lopen. Nu heb ik een subdomein aangemaakt voor toegang tot mijn synology en denk ik erover om dáár een login te maken, eventueel 2 way authentication en daarachter mijn synology beschikbaar te maken en de pagina's desnoods over http. Kan dit 'veilig'? Een soort 'sandbox' achtige constructie of zo?

Dus in plaats van https://[subsite].[domein].nl:[portnummer] en via de portnummers dus naar de respectievelijke apps gaan gewoon https://[subsite].[domein].nl > inlogpagina met https en daarachter de minder veilige http pagina's maar wel allemaal dus in de schil van het subdomein zeg maar.

Of zeg het in paint.



Dat dus en als het kan met 2 way authentication. .

Oh en mijn kennis reikt nog niet verder dan 'wordpress is moeilijk' maar ben wel goed in het opvolgen van instructies en wil wel leren wat nodig is om het veilig te krijgen uiteraard.

quote:

Op woensdag 24 mei 2017 10:56 schreef pnxsinned het volgende:
Ja, dit kan
Hier kun je de Reverse Proxy voor gebruiken binnen DSM.
Je kunt dan al je services koppelen aan een zogenaamde hostname, en deze intern doorlussen naar je service.

Dus via de reverse proxy van DSM kan ik al die andere sites aanroepen? Is het niet makkelijker om een goede inlog te maken op de site zelf en daarachter pas de synology pagina's weer te geven?

Maar stel dus dat ik een pagina op port 8989 heb (dus https://[subsite].[domein].nl:8989 ) hoe moet ik het dan invullen in de DSM om ervoor te zorgen dat het veilig doorkomt zonder dat ik op die pagina een certificaat moet installeren?

quote:

Op woensdag 24 mei 2017 11:00 schreef pnxsinned het volgende:
Ik had het op de volgende manier gedaan;

- Betreffende DSM Website, laten draaien op bv nas.jogy.nl (Los even of het https is of niet).
- In de Reverse Proxy heb jij aangegeven dat een hostheader wat binnenkomt met NAS.JOGY.NL doorgelust moet worden naar LOCALHOST:5001.

Zo zou je dit kunnen doen met al je services, dus maak je:
darkstat.jogy.nl aan, lus je ook correct door, hetzelfde geld voor calendar.jogy.nl

Cert eraan hangen en done.

Ah check, op die fiets. Dus cname records aanmaken op het domein, deze via de reverse proxy van synology aangeven als doel adres en dan kan ik in DSM het certificaat hangen. Hoef ik het niet via die app te doen?

quote:

Op woensdag 24 mei 2017 11:04 schreef pnxsinned het volgende:

[..]

Klopt idd
Wat bedoel je precies met die laatste vraag?

Nou, ik zat bijvoorbeeld gisteren nog een beetje te vogelen met sonarr en als je daar een certificaat op wil installeren heeft dat nog best wat voeten in de aarde, je moet het certificaat weer omzetten naar een ander certificaat en dat weer via ssh ergens in gooien en bestandjes aanpassen etc. Dat zal voor andere apps niet anders zijn, dus dat deel wil ik centraal geregeld hebben en niet per app moeten klootviolen om het goed te krijgen.

quote:

Op woensdag 24 mei 2017 11:49 schreef pnxsinned het volgende:

[..]

Ik zou het certificaat installen op de Reverse Proxy van DSM en deze dus dooslussen naar Sonarr service, dan heb je geen cert install nodig @ Sonarr

Van dattum dus. Ga ik me even in verdiepen .

Nou, stapje verder. Ik heb nu nog wel dezelfde subsite dus https://synner.domein maar een reverse proxy ingesteld dat als er een bepaald portnummer ingesteld wordt dat ik dus wordt doorgeleid naar de http site van een app. Ondertussen blijft het 'buiten' nog https:// met groen hangslotje. dat is wel leuk. Ik moet eerst thuis nog een portje open zetten op mijn router voor ik het in kan stellen naar verschillende subsites en zonder extern portnummer. Maar het gaat de goede kant op.

Weer een stapje verder. (wat een feestje).

Via dat reverse proxy gedoe nu meerdere subdomeinen gemaakt waar ik op kan inloggen en allemaal met een certificaat. Geen portnummertjes meer nodig ( ). Al zit ik nog wel een beetje te kijken of ik voordat ik toegang krijg tot de daadwerkelijke pagina nog een 2 way authentication voor elkaar kan boksen.

Eigenlijk het liefst eerst 2 way authentication en daarna pas de pagina zelf waar ik op moet inloggen. En als ik daar klaar mee ben ff kijken wat ik met de hosting ga doen want die heb ik tot nu toen nog helemaal niet nodig gehad .

Iemand nog een idee?

Het is onderhand al zo lang geleden dat ik er een topic van wilde maken maar gaandeweg kwam ik erachter dat ik het al eerer gevraagd had .

Dus via mijn website met 2 factor autentication inloggen op de synology subsites thuis. Maar dan zo dat men er niet heen kan via IP adres of andere lolligheden, alleen als het via die portal gaat dan geeft de synology toegang en anders geeft het niet thuis. Iemand een helder idee?

quote:

Op woensdag 27 september 2017 20:06 schreef KomtTijd... het volgende:
Wat ik zelf gedaan heb: bij duckdns.org een dynamic DNS adres gemaakt voor de NAS (geloof dat ze voorbeelden hebben hoe je dat opzet op je Synology Nas), en vervolgens een cname record gemaakt naar dat duckdns adres. Beetje een omweg maar het werkt als een tiet.

Kwam laatst ook dit tegen als je het echt fancy wilt doen: https://ict-crew.nl/2013/11/transip-ddns/
Maar da's misschien niet zo'n goed idee als je Wordpress installeren al spannend vindt.

Dat is ook wel handig, al heb ik vooralsnog geen problemen met het sporadisch aanpassen van het doel IP van mjin thuisverbinding. Wat ik nu voor elkaar wil krijgen is dat ik via één webportaal met 2 factor authentication naar mijn NAS en de gehoste pagina's op die NAS wil gaan (Alle synology apps die bereikbaar zijn om de DSM heen) en dat men dan dus niet buiten die pagina om erop kunnen komen.

quote:

Op donderdag 28 september 2017 09:50 schreef Awsom het volgende:
Waarom gebruik je niet gewoon een VPN?

Ik wil het wel bereikbaar hebben zonder extra stappen (buiten die 6 cijfers van 2 factor). Ook wanneer ik op een relatief beperkt netwerk zit in een hotel of wat dan ook. En VPN is weer een extra barriere. In principe heb ik wel een vpn verbinding die ik kan activeren en dan zit ik op mijn eigen LAN, dus dat werkt verder wel.

Ja die synology portal is perfect inderdaad maar ik heb ook andere pakketten erop staan met hun eigen niet zo goed beveiligde portals en die wil ik ook uniform kunnen bereiken via een 2 factor die ze dus zelf niet hebben.

quote:

Op zaterdag 30 september 2017 13:28 schreef KomtTijd... het volgende:
Sja dan houdt het wel een beetje op. VPN is idd de geëigende oplossing hiervoor.

Misschien zou je een PHP-proxy kunnen installeren en met slimme firewall rules alleen je webhosting bak toegang geven tot die portals, maar dat klinkt nu al als een disaster waiting to happen...

Nou zeg. (Waarschijnlijk wel inderdaad, ik zie mezelf best iets verkeerd doen waardoor ik er helemaal niet meer in kom ).