Qnap System Reverse proxy für eigene Webservices nutzen

Hallo Zusammen,

Ich war auf der Suche nach einem einfachen Weg um einige Webservices sicher per Qnap extern bereit zu stellen. Erst hatte ich an einen extra Reverse Proxy gedacht, aber das fühlte sich falsch an. hier eine kurze Beschreibung die anderen vielleicht hilft, wie ich es bei meiner TVS-471 aufgesetzt habe.

Bevor wir starten ein kleiner Hinweis. Ich beschreibe hier meine Schritte nach bestem Wissen und Gewissen, aber jeder der es nachmachen will tut dies auf sein eigenes Risiko.

Hier nun die Schritte:

- Zuerst müssen wir auf dem NAS myqnapcloud mit allem drum und dran einrichten. Dazu hat Qnap schon einige Anleitungen geschrieben eine Internetsuche zum Beispiel nach "Zugriff via myQNAPcloud einrichten" sollte helfen.

Jetzt wäre es super man könnte in QTS weitere Einträge für den Zugriff einrichten um zum Beispiel über das Unterverzeichnis /our_test/ per Passwort auf den http Server unter 192.168.2.4 Port 80 zugreifen zu können. Aber leider gibt es diese Option nicht. Aber mit der unteren Anleitung geht es doch und die Anpassungen überleben auch einen Systemneustart.

Ein Risiko besteht natürlich, da wir dafür den System Proxy anpassen müssen. Daher ist es wichtig einen ssh Zugriff immer aktiv zu lassen damit man im Bedarfsfall per Kommandozeile die Änderungen einfach zurücknehmen kann. Mehr dazu am Ende dieser Anleitung.

- Der System Webserver basiert auf Apache, daher müssen wir 2 zusätzliche config Files erstellen und auf dem NAS ablegen die auch nach einem Neustart noch vorhanden sind. Man kann dafür jedes Fileshare auf dem NAS nutzen. Ich habe dafür ein eigenes Fileshare mit dem Namen myApps angelegt.

- Da wir unsere Zugriffe per Passwort schützen wollen, legen wir eine sogenannte htpasswd Datei an. Im Internet gibt es dafür tools - schaue einfach nach 'htpasswd generator'.

- Danach benötigen wir noch ein Config File mit den Eintragungen für unseren Service. Für das Beispiel hier sagen wir wir speichern dieses File unter dem Namen apache-sys-proxy-ssl.conf

- Der Inhalt muss der Notation für Apache Reverse Proxy Server entsprechen, hier ein Beispiel um wie oben als Beispiel gewählt einen http Webserver auf Port 80 und der ip Adresse 192.168.2.4 via Subdirectory 'our_test' bereit zu stellen:

<VirtualHost *:443>

ServerName your_name.myqnapcloud.com
ServerAdmin your_email_adress


ProxyPass "/our_test/" "http://192.168.2.4:80/"
ProxyPassReverse "/our_test/" "http://192.168.2.119:80/"


DocumentRoot /share/Web/


<Location />
AuthType Basic
AuthName "Test Access"
AuthUserFile /share/myApps/.your_htpasswd_file
Require valid-user
</Location>


ErrorLog /share/myApps/your_access-error.log
CustomLog /share/myApps/your_access.log


SSLEngine on
SSLProxyEngine on
SSLProxyCheckPeerName off
SSLProxyCheckPeerCN off
SSLHonorCipherOrder off
SSLCipherSuite EECDH+CHACHA20:EECDH+AES
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCertificateFile "/etc/stunnel/stunnel.pem"
SSLCertificateChainFile "/etc/stunnel/uca.pem"

</VirtualHost>

- Nun muss diese Konfigurationsdatei noch als neue Zeile in der Original Konfiguration eingefügt werden, dazu die Zeile

Include /share/myApps/proxy-extension.conf

ans Ende der Datei /etc/apache-sys-proxy-ssl.conf einfügen und der Server via des folgenden Kommandos neu starten. Das Neustarten geht mit dem Kommando

/etc/init.d/Qthttpd.sh restart

Das wars und man kann es wie folgt testen. Einfach die folgende Adresse aufrufen.

https://your_name.myqnapcloud.com/our_test/

- Allerdings würde diese Erweiterung bei jedem Neustart verloren gehen. Dazu lassen wir einen kleinen Cronjob alle 5 Minuten prüfen ob die Erweiterung noch ok ist. Falls nicht wird die Zeile wieder eingefügt und der Server neu gestartet.

- Das dazugehörige Batch File ist

#!/bin/sh
if grep -q proxy-extension.conf /etc/apache-sys-proxy-ssl.conf ; then
echo "Qnap Reverse Proxy extensions OK."
else
echo "Qnap Reverse Proxy extensions not OK, correcting..."
/sbin/write_log "Missing Proxy extensions..., trying to adjust" 2
cat /etc/apache-sys-proxy-ssl.conf > /share/myApps/apache-sys-proxy-ssl.conf
echo "" >> /share/myApps/apache-sys-proxy-ssl.conf
echo "Include /share/myApps/configs/internal_proxy/proxy-extension.conf" >> /share/myApps/apache-sys-proxy-ssl.conf
mv /share/myApps/apache-sys-proxy-ssl.conf /etc/
echo "... restarting server."
/etc/init.d/Qthttpd.sh restart
fi

- Mit dem Kommando

chmod +x /share/myApps/check_extensions.sh

machen wir das Batchfile ausführbar.

Jetzt müssen wir nur noch folgende Zeile in die Crontab eintragen

*/5 * * * * /share/myApps/check_extensions.sh > /dev/null 2>/dev/null

Wie man eigene Einträge permanent in die Qnap einträgt findet man im Internet.

- Wie oben schon beschrieben sollte man einen shh Zugriff offen haben. Im Fall von Problemen geht man per SSH auf das NAS, löscht den Eintrag aus der Crontab und startet das NAS neu. Dann sollte alles wieder OK sein.

Das war's gebt Bescheid ob die Beschreibung geholfen hat.

Hallo rws,

Danke - ja habe ich natürlich auch gemerkt, schon ein wenig ärgerlich. Ich schließe daraus, dass man die Qnap Apps am besten einfach so läßt wie sie sind und es Qnap überlässt damit zu machen was sie wollen.

Und richtig nginx ist eine Alternative. Allerdings habe ich mit nginx irgendwie Probleme gehabt auf das Qnap direkt zuzugreifen, daher habe ich es mit traefik gelöst, traefik gibt es als App für die Qnap, es kommt direkt mit Letsencrypt Verschlüsselung, hat ein nettes Dashboard und das ging gefühlt sogar noch besser und daher will ich es hier gerne teilen.

Hier meine Anleitung...

Wie immer zuerst der Disclaimer, wer die Anleitung nachmacht tut dies auf eigene Gefahr.

Falls nicht schon vorhanden tragen wir uns Qnapclub.eu als weiteres Apparchiv ein. Eine Anleitung dazu findet man unter https://qnapclub.eu/de/howto/1 . Von dem Qnapclub App-archiv installieren wir uns die App Traefic (ich habe Traefic 2.3.1.0 installiert).

Zuerst machen wir uns ein Verzeichnis für unsere Konfigurationsdateien, zum Beispiel mit dem Laufwerksnamen 'myApps' und dem Verzeichnis 'traefik'. Als Ports wählen wir 8500 bis 8502 und mit diesen Daten erzeugen wir die Datei 'traefik.toml' in dem Verzeichnis. Diese sieht wie folgt aus

[entryPoints]
[entryPoints.web]
address = ":8500"


[entryPoints.websecure]
address = ":8501"


[entryPoints.traefik]
address = ":8502"


[api]
dashboard = true
insecure = true


[certificatesResolvers.myresolver.acme]
email = "Deine_Email_Adresse"
storage = "/share/myApps/traefik/acme.json"
[certificatesResolvers.myresolver.acme.httpChallenge]
entryPoint = "web"


[providers.file]
filename = "/share/myApps/traefik/traefik-dynamic.toml"

Wie man sieht nutzen wir auf der Qnap den Port 8501 für https Zugriffe. Dieser Port muss also im eigenen Router von aussen weiter geleitet werden. Im Detail den externen Port 443 auf 8501 und den Port 80 für die Letsencrypt Identifizierung auf 8500 auf der Qnap.

Wie man an der letzten Zeile erkennt habe ich die Services selbst in eienr Extradatei 'traefik-dynamic.toml'. Hier ein Beispiel für den Qnap-Dienst. Weitere Dienste kann man einfach durch Hinzufügen erzeugen. Ein Service besteht immer aus 3 Teilen. Zuerst der 'http.services', dann optional die 'http.middleware' die z.B. Adressen verändern kann und zuletzt der 'http.router' der externe Anfragen an den lokalen Service umleitet.

Hier das Beispiel für die 'traefik-dynamic.toml':

[http.services]
[http.services.qnap.loadBalancer]
[[http.services.qnap.loadBalancer.servers]]
url = "http://192.168.x.x:8080/"


[http.routers]
[http.routers.myqnapcloud]
rule = "Host(`xxxx.myqnapcloud.com`)"
entrypoints = ["websecure"]
service = "qnap"
[http.routers.myqnapcloud.tls]
certResolver = "myresolver"

Im oberen Beispiel muss man jetzt noch die lokale IP anpassen und den myQnapcloud Hostnamen anpassen.

Das wars, jetzt startet man traefik mit ssh Befehl auf dem Qnap mit dem Befehl:

/usr/bin/traefik --configFile=/share/myApps/traefik/traefik.toml >> /share/myApps/traefik/traefik.log &

Und man kann ausprobieren, es sollte alles klappen. Das Dashboard erhält man unter http://IP_der_Qnap:8502

Jetzt müssen wir schauen, dass traefic auch immer schön nach einem Neustart gestartet hat. Analog zu oben habe ich alle 5 min einen Job laufen der Überprüft, ob bestimmt Services laufen, und falls nicht diese zum Beispiel bei einem Neustart wieder startet. Die Zeilen in meinem Prüfskript für Trafik ist:

if ( ps | grep "traefik" | grep -v grep )
then
echo "traefik is running..."
else
echo "traefik NOT running! Restarting..."
/usr/bin/traefik --configFile=/share/myApps/traefik/traefik.toml >> /share/myApps/traefik/traefik.log &
echo "traefik restarted"
/sbin/write_log "traefik neu gestartet." 2
fi

Das war's. Viel Spaß damit.

Ingo

Meines Wissens geht es nur über die toml Dateien. Allerdings merkt traefik jede Änderung. Ein Neustart ist nicht erforderlich. Geht eigentlich sehr bequem.