Hallo zusammen,
ich habe nunmehr an mehreren Baustellen festgestellt, dass ich für die Anwendungen, für die ich mein QNAP-System einsetzen möchte, ein reverse proxy wohl die sicherste und beste Lösung sein wird. Ich möchte eine owncloud/nextcloud-App von einem anderen System auf QNAP umziehen (auch wenn die OwnCloud-App mit dem letzten QTS-Update wegen PHP7 gerade runtergeflogen ist), dazu läuft auf dem QNAP ein Plex Mediaserver und ich möchte jitsi meet sinnvoll nutzen. Derzeit läuft das jitsi bei mir in einem LXC mit anderen Ports und ich hab im Router ein port mapping nach draußen, dass für die Welt die Standard ports gelten, in meinem LAN andere Ports laufen, die dann durch das port mapping der Container Station wieder zurückgebaut werden zu den Standartwerten für https und http. Dieser Workaround (weil ich die standard-ports für https und http des QTS nicht ändern will) ist insofern unschön, dass ich im LAN nun jitisi nur mit manueller Port-Angabe nutzen kann, außerhalb aber dann wieder ganz normal. Das nervt. Zudem ist es mir zu unsicher, den traffic so ungefiltert durch den port auf den Container loszulassen und zu hoffen, dass ich dort die Firewall sauber konfiguriert ist. Die von Plex und die von OwnCloud (was bald Nextcloud werden soll) ebenfalls. Kurz, zu viele Apps und Baustellen, die potentiell unsicher sind.
Daher ist mein plan, eine linux-vm (weil eigene IP-Adresse) aufzusetzen (Debian weil frei), mit nginx als reverse proxy auszustatten und, wenn mich der Hafer sticht, ein Web Frontend dazu. Aber auch ohne letzteres soll der nginx mit sauberen let's encrypt Zertifikaten ausgestattet den ganzen Traffic für alle Apps sauber routen und mit vernünftiger Firewall für mehr Sicherheit sorgen. diese VM kann dann in die DMZ und sich selbst um den traffic aus dem WAN kümmern. Dank vhost könnte ich dann ja auch den Port 443 mehrfach nutzen und entsprechend an die Applikationen in meinem LAN, eine Domain und subdomains mit A oder CNAME DNS Einträge habe ich. also z.B. nas.example.com für das qts, plex.example.com für Plex, cloud.example.com, meet.example.com für Jitsi etc. Und weil ich den DNS in meinem LAN eh schon voll kontrolliere, kann ich dort auch lokale DNS-Einträge für diese subdomains anlegen (was ich jetzt schon mache), um die interne Verwendung ohne Eingabe der IP-Adressen zu ermöglichen.
Meine erste Frage: Klingt das vernünftig und machbar soweit oder steh ich irgendwo auf dem autodidaktischen Schlauch?
Nun habe ich die Anleitungen hier im gesehen, die aber oftmals ganz andere Ansätze verfolgen und auch das QTS web interface torpedieren, was ich nicht will. Daher meine zweite Frage: Gibt es vielleicht ein out-of-the-box nginx image, was soweit schon abgesichert und, ich sag mal, sicher, ist, dass man es getrost verwenden kann, oder muss ich wirklich vom Reißbrett an linux aufsetzen und konfigurieren?