Liebe QNAP-Gemeinde,
nach längerem Forschen habe ich mich nun doch entschlossen, einen Hilferuf im Forum abzusetzen.
Ich bin auf der Suche nach einer sinnvollen Struktur, um meine unterschiedlichen Web-Services, die auf unterschiedlichen Servern im lokalen Netz laufen, über die Ports 80 bzw. 443 verschlüsselt nach außen zugänglich zu machen. Eigentlich dachte ich, spätestens seit den Virtualisierungsmöglichkeiten der QNAP und da viele User in ihrer Firma ausschließlich über die Ports 80 und 443 arbeiten können, wäre dies ein häufig anzutreffendes Problem. Im Forum findet sich aber keine einheitliche Vorgehensweise.
Bislang hatte ich eine ältere TS-119 PII, auf der ein Zarafa-Server lief, der im Web-Server der QNAP als Unterordner verfügbar war. Jetzt bin ich stolzer Besitzer einer TS253A (QTS 4.3.3) und habe hier eine Univention-VM mit Kopano laufen, die beeindruckend performant ist (ich nutze sie nur im Familienkreis -> 4 User).
Dadurch ergeben sich zwei unterschiedliche IPs und unterschiedliche Ports, um die Services von Kopano und QNAP zu nutzen. Die QNAP hängt direkt an einer FritzBox, auf der zwar Ports geroutet werden können, die aber keine subdomain- oder ordnerabhängige Portweiterleitung unterstützt.
Wenn ich es recht verstanden habe, ist ergo ein Proxy als Reverse Proxy nötig was auch aus Sicherheitsgründen schlau wäre. Nun habe ich drei Varianten angetestet, bin aber mit meinem gefährlichen Halbwissen bislang nicht weiter gekommen, weshalb ich die Gemeinde um Rat fragen wollte, welche Konfiguration generell erfahrungsgemäß einfach zu verwalten und sinnvoll ist.
Meine bisherigen Versuche und Erfahrungen:
- Apache des QNAP als Reverse Proxy einrichten
Leider ist es gar nicht so einfach, manuelle Konfigurationen vorzunehmen. Eine Lösung, die ich im Forum gefunden habe, erstellt erst einen vhost, weil dessen Konfigurationen nicht automatisch zurückgesetzt werden, und versucht dann diesen vhost als Reverse Proxy zu betreiben. Hat - offen gestanden - bei mir nicht funktioniert. Ich habe die Umleitung per Subdomain und per Subfolder ausprobiert, wobei ich die Subdomain bei Strato auf dieselbe dynamische IP weitergeleitet habe, wie die Ausgangs-Domain.
- QNAP Proxy Server:
Zum Caching und als Schutzmechanismus leicht zu verwalten und sicherlich sinnvoll, Reverse_Proxy aber nur per manueller Konfiguration möglich, wobei ich den Eindruck hatte, dass hier die Vorkonfiguration, die für die QNAP nötig ist, mit den Reverse_Proxy-Einstellungen kollidieren. Zumindest schien es mir sinnvoller eine separate Lösung zu fahren, die real/virtuell zwischen der FritzBox und der QNAP hängt.
- SQUID auf dem Univention-Kopano-Server als APP nachinstalliert
Auch hier wäre eine manuelle Konfiguration nötig, bei der ich den Eindruck hatte, dass ähnliche Kollateral-Effekte, wie bei der Installation des QNAP-Proxy-Servers auftreten. Wiederum erschien mir eine separat Lösung zweckmäßiger.
- Traefik in einem Docker-Container
Hier hänge ich gerade. Habe es nicht soweit gebracht, als dass ich das Web-Interface zu Gesicht bekommen hätte. Es könnte daran liegen, dass hierzu erst die virtuellen/realen Netzwerkschnittstellen so geschaltet werden, dass Traefik nicht mit anderen, auf Port 80 laufenden Services, kollidiert. Da bin ich aber noch nicht weiter gekommen.
Ihr seht - viele Versuche, wenig Erfolge. Deshalb bitte ich Euch um einen Tipp, der näheres Einarbeiten lohnt
Vielleicht noch ein paar Worte zu meinem Szenario:
- ich möchte folgende Dienste/Sevices möglichst verschlüsselt auf Port 443 extern nutzen
* QNAP-Webdav (intern IP 1, QNAP-https-Webserverport)
* QNAP-Webserver (intern IP1, QNAP-https-Webserverport)
* Kopano Webapp (intern IP2, Kopano-https-Webserverport)
* Kopano ActiveSync (intern IP2, Kopano-https-Webserverport)
* QNAP-FileStation (intern IP1, QNAP-System-Webserverport)
* QNAP-PhotoStation (intern IP1, QNAP-System-Webserverport)
Ich hänge an einer 50/10Mbit-Leitung mit einer FritzBox 7560, habe die Domain bei Strato und verbinde sie per dyndns zur FritzBox. Auch der MX-Record ist gesetzt und Kopano/postfix läuft als eigenständiger Mailserver und versendet und empfängt wunderbar Mails. Hier möchte ich zukünftig noch das Spam-Management optimieren, aber das ist OffTopic. Von außen kann ich nur die Ports 80 und 443 verwenden. Mein derzeitiger Trick ist, die FritzBox den QNAP-https-Webserverport auf Port 80 zu routen und die Kopano-https-Services auf Port 443, weshalb keine Homepage und auch keine QNAP-eigenen Services verfügbar sind. Nicht schick, aber im Moment ausreichend.
Ich würde mich über alle Tipps freuen.
Herzliche Grüße,
Marco