Pomoc w ustawieniu Reverse Proxy na DS923+

[Jarol]

Mam sprzęt: router RT2600ac, NAS DS923+. Do tego zewnętrzny stały adres IP 178.xxx.xx.xxx. Chciałem spróbować zamknąć kilka otwartych (zmienionych w stosunku do standardowych) portów z wykorzystaniem Reverse Proxy, ale do tej pory mi się nie udało skutecznie tego zrobić. Tutoriali przejrzałem kilka, żaden nie jest wystarczająco kompletny przy mojej wiedzy. Możliwe, że mam jakieś wcześniejsze babole w ustawieniach (zapora routera, przekierowania portów), ale najpierw trzeba zweryfikować to, co zrobiłem teraz. Proszę o pomoc w znalezieniu błędów.

==============================

W routerze porty 80 i 443 przekierowane na serwer NAS, zapora otwarta dla przekazywania tych portów do serwera. Działanie sprawdzone testerem z yougetsignal.com (przy czym o ile w LAN mam porty DSM standardowe, o tyle do WAN są wystawione pod zupełnie zmienionymi, wysokimi numerami, nie ma co próbować ):
https://www.flickr.com/gp/143048953@N05/1gDq6i43k2
https://www.flickr.com/gp/143048953@N05/90C5HR8K1B
https://www.flickr.com/gp/143048953@N05/5F9XBj3m6c
https://www.flickr.com/gp/143048953@N05/988su91h37

Wypróbowałem też w przekierowaniu na routerze zmianę portów docelowych z 5000/5001 na 80/443 - bez efektu.

Ustawiłem na NASie Reverse Proxy jak na zrzutach:
https://www.flickr.com/gp/143048953@N05/Yk382U8y40
https://www.flickr.com/gp/143048953@N05/26y84y6U97

Mam swoją domenę jarobox.eu hostowaną przez CyberFolks. Mam dostęp do ustawień rekordów. Założyłem subdomenę XXX.jarobox.eu (na razie jedną, dla sprawdzenia, czy dam sobie z tym radę) i wprowadziłem dla niej rekordy CNAME jak na zrzucie, wszystkie przekierowane na mój adres zewnętrzny adres (routera) 178.XXX.XX.XXX:
https://www.flickr.com/gp/143048953@N05/z6q5427b84
https://www.flickr.com/gp/143048953@N05/6XuR135ie8
Rekordy CNAME edytowane wczoraj, czas propagacji wynosi już ok. dobę.

zgodnie z instrukcją https://cyberfolks.pl/pomoc/jak-zmienic-rekordy-dns/ czyli jeden wpis dokładnie dla subdomeny XXX.jarobox.eu, jeden dla tych, co wpisują to z "www" (www.XXX) i jeden dla samego XXX (bez kropki).

Dla domeny XXX.jarobox.eu uzyskałem certyfikat Let's Encrypt i połączyłem go z tą usługą:
https://www.flickr.com/gp/143048953@N05/iP7129H5J6

No i nic, cały czas to samo:
https://www.flickr.com/gp/143048953@N05/i2z3LBc70Y

Ktoś ma pomysł, co zrobiłem źle?

[look12]

Podpowiem jak ja mam ustawione i działa.
Przekierowany port na routerze 443.
Na NAS: Panel sterowania -> Portal logowania-> Aplikacje -> (wybrać aplikację) -> Dostosowany port https, np. dla aplikacji AS 5555.
Następnie zakładka Zaawansowane -> Odwrócony serwer proxy -> Utwórz
Źródło:
Protokół: https
Nazwa hosta: as.Twoja_domena.com
Zaznaczony Włącz HSTS

Miejsce docelowe:
Protokół: https
Nazwa hosta: localhost
Port: 5555 (przykładowy zgodny z określonym wcześniej dla aplikacji AS)

Wywołanie z przeglądarki: https://as.Twoja_domena.com
Powinna otworzyć się aplikacja AS z zamkniętą kłódką certyfikatu przypisanego do Twoja_domena.com

Dla połączeń do interfejsu NAS’a ustawiasz Reverse proxy z portem zgodnym w ustawieniach w zakładce DSM, a nazwę hosta w źródle Reverse proxy np. ds.Twoja_domena.com

[Jarol]

Podpowiem jak ja mam ustawione i działa.
Przekierowany port na routerze 443.
Na NAS: Panel sterowania -> Portal logowania-> Aplikacje -> (wybrać aplikację) -> Dostosowany port https, np. dla aplikacji AS 5555.
Następnie zakładka Zaawansowane -> Odwrócony serwer proxy -> Utwórz
Źródło:
Protokół: https
Nazwa hosta: as.Twoja_domena.com
Zaznaczony Włącz HSTS

Miejsce docelowe:
Protokół: https
Nazwa hosta: localhost
Port: 5555 (przykładowy zgodny z określonym wcześniej dla aplikacji AS)

Wywołanie z przeglądarki: https://as.Twoja_domena.com
Powinna otworzyć się aplikacja AS z zamkniętą kłódką certyfikatu przypisanego do Twoja_domena.com

Dla połączeń do interfejsu NAS’a ustawiasz Reverse proxy z portem zgodnym w ustawieniach w zakładce DSM, a nazwę hosta w źródle Reverse proxy np. ds.Twoja_domena.com

Dziękuję

Po długich walkach, bo nie wszystko było tak proste jak w Twoim opisie, sporo zwojowałem, ale nie wszystko.

Wczoraj założyłem nową domenę JJJ.eu, do niej na razie 2 subdomeny: foto.JJJ.eu i notatki.JJJ.eu (JJJ to "zaślepka"). Na hostingu dodałem rekordy CNAME dla subdomen. Na routerze przekierowany port zewnętrzny 443 na NAS port 443 i skuteczne (sprawdziłem na przejście przez firewall na https://www.yougetsignal.com/tools/open-ports/) odblokowanie portu na firewallu routera (regułę przepuszczania ruchu z Internetu dla portu 443 do LANu na IP NASa i port 443 przesunąłem na samą górę i to chyba była niezbędna zmiana, bo wcześniej dostawałem komunikat od Synology, że nie ma takiej strony - pewnie port 443 był przejmowany przez router, zamiast wychodzić do NASa).

Na NASie uzyskałem certyfikaty Let's Encrypt dla domeny (DSM) i subdomen. W portalu aplikacji ustawiłem dostosowane porty dla Synology Photos i Note Station (i tylko to). W reverse proxy ustawiłem po 1 regule dla ruchu szyfrowanego dla domeny i subdomen, z tym że jako host docelowy wpisałem stały adres LAN serwera NAS. HSTS włączone.

No i teraz z adresu JJJ.eu dostaję się do strony logowania DSM, z adresu notatki.JJJ.eu do Note Station, a foto.JJJ.eu nadal nie działa. Posprawdzałem już wszędzie literówki i kropki - poprawiłem literówkę w adresie hosta RP, w innych miejscach nie znalazłem błędu, ale foto.JJJ.eu nadal nie działa - nie odnaleziono serwera (DNS_PROBE_FINISHED_NXDOMAIN)

Nie sądzę, żeby trzeba było czekać na jakieś propagacje związane z DNS, więc pozostaje mi jeszcze restart co najmniej komputera. A potem to już tylko czekanie na cud techniczny

[look12]

Dla DS Photo użyj adresu (jak do interfejsu DSM) dodając /photo/:
https://JJJ.eu/photo/
W części konfiguracji aplikacji dopisz alias photo

[Jarol]

Dla DS Photo użyj adresu (jak do interfejsu DSM) dodając /photo/:
https://JJJ.eu/photo/
W części konfiguracji aplikacji dopisz alias photo

Zadziałało od razu Ale nie da się z subdomeną? To psuje estetykę, bo tu tak, tam inaczej :-/ To w takim razie niepotrzebna walka z subdomenami, jak aliasami można załatwić wszystko. To tylko ja tak kombinowałem?

[look12]

„Ale nie da się z subdomeną?”

Tego nie wiem, nie miałem okazji „przetrenować” takiego przypadku.