Server im Heimnetz über https freigeben

[cbkoerncb]

Hallo zusammen,
aktuell habe ich einen normalen Telekom-Vertrag (mit wechselnder IP-Adresse) und ein (Synology)-NAS im lokalen Netzwerk.

Damit ich von außen auf das NAS zugreifen kann, habe ich in meiner Fritzbox einen Port freigegeben, der dann zu meinem Synology-NAS routet. Damit ich nicht jedes mal meine ip ermitteln muss, greife ich auf die Fritzbox über dyndns zu.

Damit nicht jeder gleich mitlesen kann, was ich da mache, habe ich auch ein LetsEncrypt-Zertifikat auf mein NAS deployt.
Das funktioniert erst mal alles prima.

Jetzt möchte ich ein wenig rum experimentieren und einen eigenen Server mit SpringBoot aufsetzen, der auf dem NAS läuft. Natürlich würde ich jetzt gern auch über https und meiner dyndns-adresse auf den Server zugreifen.

Jetzt zur eigentlichen Frage: Was muss ich dafür tun? Muss ich meinen Server jetzt auch ein LetsEncrypt-Zertifikat spendieren oder kann ich den über das Nas irgendwie durchrouten lassen, sodass ich das Zertifikat vom DSM weiterverwenden kann?

Ich hoffe ihr versteht halbwegs was ich will- ansonsten fragt einfach nochmal nach :-)

Vielen Dank

Viele Grüße

Micha

 

[Old Knitterhemd]

Du hast dein NAS per Portweiterleitung hart im Netz hängen?!

Für was soll das denn genutzt werden?

Wenn es um eigentlichen NAS Betrieb geht, dann mach das mal flott wieder weg und richte dir VPN ein!

 

[cbkoerncb]

Ich nutze das NAS gern als Server für die Synology-Dienste. Wie zum Beispiel PhotoStation etc. Klar könnte ich jetzt per VPN die Photostation genauso nutzen und hätte gar keine Probleme- leider kann ich aber jetzt anderen keinen Zugriff darauf gewähren. Richtige Serverdienste, fallen bei der VPN-Variante leider aus.
Über die Spring-Boot-Applikation würde ich jetzt gern auch ein richtiges Backend bauen.

Einen Server mieten ist mir persönlich zu teuer, da es wirklich nur für kleinere Experimente dienen soll.
Danke aber für den Hinweis mit der Sicherheit.

 

[Helge01]

Als erstes schreibst du 100 mal auf " ein NAS gehört nicht ins Internet" und dann stelle deine Frage erneut.

Auch wenn gleich wieder welche um die Ecke kommen und sagen, dass sie sowas seit Jahren ohne Einbruch oder Datenklau betreiben.

Ein richtiger Webserver wird täglich mit Sicherheitsupdates versorgt und sitzt hinter einem Reverse Proxy und IPS mit Application Firewall. Es werden täglich Logfiles ausgewertet und trotz alledem kann man sich nicht 100% sicher sein. Jetzt kommt einer mit einem NAS und hängt das einfach so ins Internet...

 

[dideldei]

Damit ich nicht jedes mal meine ip ermitteln muss, greife ich auf die Fritzbox über dyndns zu.

Wenn du über den Port 5000 - 5001 und 443 (TCP) gehst, ersparst du dir den Zugriff über die dyndns Abfrage bei der Fritzbox und hast gleichzeitig dein Zugang über https zum NAS. Ohne VPN würde ich von außen auch keine Verbindung empfehlen. Die Synology Software bietet doch den VPN Server an.

 

[cbkoerncb]

Danke für die Antworten. Mit VPN habe ich doch aber dann das Problem, dass ich den Server nicht frei aus dem Netz erreichen kann. Hier mein konkretes Beispiel: Ich möchte einen Alexa-Server bauen, den ich selbst hoste. Von Amazon aus benötige ich nun einen REST-Server, der https versteht.

 

[dideldei]

Darum sollst du dein dyndns auch in die Synology(Konnektivität - externer Zugriff) eintragen, statt in der Fritzbox. Die Rechte in der Benutzung müssen natürlich konfiguriert werden. Von Alexa war doch im Eingangspost gar nicht die rede?!

 

[cbkoerncb]

OK, das habe ich gemacht. Die Ports leiten nun in der Fritzbox auf die Synology weiter. dort ist dyndns konfiguriert.

Stimmt von Alexa habe ich am Anfang nichts erzählt, um nicht zu sehr zu verwirren.
Hier kurz zum Alexa-Hintergrund:
Der eigene SpringBoot-Server ist der Alexa-Server (also das Backend, mit dem der Alexa-Dienst sprechen kann).
Programmiertechnisch funktioniert der 1A (konnte es schon wo anders testen), allerdings kenne ich mich mit Netzwerken nicht genug aus, um ihn vom Internet aus über https ansprechen zu können.

Wenn ich diesen Server nun starte, dann läuft er z.B. über Port 8888. Wie bekomme ich jetzt die Synology dazu diesen Port aus dem Internet zugänglich zu machen? Kann ich sie eventuell auch wie einen Reverse Proxy konfigurieren, sodass sie z.B. bei https://meinedomain.de/alexa alle Anfragen auf den Port 8888 weiterleitet?

Ergänzung (3. November 2018)

OK, ich glaube ich habe nen Hinweis gefunden. Scheint wohl wirklich so zu sein, dass der Tomcat im Spring Boot selbst ein Zertifikat benötigt.

 

[cbkoerncb]

Falls noch jemand über dieses oder ein ähnliches Problem stößt, habe ich hier noch eine einfachere Lösung parat:

Eigentlich ist es so, wie ich oben geschrieben habe- man benötigt für einen eigenen Server auch ein eigenes Zertifikat. Allerdings kann man die Diskstation, wie schon vermutet, auch als ReverseProxy verwenden (es scheint auch nur ein normaler nginx zu laufen).

So gehts:
- ein neues Zertifikat von z.B. Lets Encrypt ausstellen lassen (z.b meinedomain.de) und als alias einen neue Subdomain vergeben - z.B. alexa.meinedomain.de (geht alles aus dem dsm heraus)

- jetzt kann man im Anwendungsportal -> Reverse Proxy einen Reverse Proxy konfigurieren, der alles was alexa.meinedomain.de heißt, auf localhost:8888 umleitet

- wenn jetzt dort noch der eigene Server läuft, ist alles paletti :-)

Viel Spaß damit!