INTERNE Portweiterleitung zu Containern

jschw680 · 18. November 2021

Hallo zusammen,

ich hatte zwar schon etwas häufiger vor meiner Registrierung hier und in anderen diverse Beiträge zu Portweiterleitungen durchforstet, allerdings leider noch keinen passenden Eintrag gefunden.

Oder ich seh den Wald vor lauter Bäumen nicht ...

Vielleicht könnt ihr mir ja helfen.

Hier mal ein "kurzer" Überblick:

Ich bin bei mir an Arbeit etwas ins kalte Wasser geworfen worden. Zwar bin ich jetzt nicht gerade unwissend, aber momentan steh ich etwas am Schlauch.

Wir haben ein ht973-ax mit QuTS hero im Einsatz auf dem ich einen Gitlab-Server und zukünftige ein paar weitere Serveranwendungen einrichten soll.

Bei der bereits via Containerstation vorgefertigten GitLab-APP kann ich ja den http und ssh port bei der Einrichtung über das Frontend angeben und kann dann auch aus dem Firmennetz auf die GUI vom NAS u. Gitlab sowie SSH zugreifen. Da man bei der APP allerdings etwas eingeschränkt ist und ja noch weitere Anwendungen/Dienste hinzukommen sollen,

habe ich mich dazu entschlossen, einen Ubuntu Server via LXD aufzusetzen und dort u.a. den Gitlab-Server drauf zu packen.

Funktioniert soweit auch, solange ich von der QNAP GUI via Terminal bzw. über die Browserstation auf den Gitlab drauf will.

und somit zu meinem Problem:

Seitens unserer IT darf und wird das NAS nicht supported. Habe lediglich 3 IP-Adressreservierungen auf die MAC-Adressen des NAS eingetragen bekommen und kann auch nicht auf einen full qualified domain name oder routing einträge zurückgreifen. Somit bleibt mir nur der Zugriff via DNS-Name oder IP-Adresse des NAS + die Portangaben. Und hier such ich nun die möglichkeit, via interne Portweiterleitung im NAS aus dem Firmennetz auf die unterschiedlichen container zu kommen.

Also z.b. //NASName:18180 >> Container A:80 oder //NASname:18181 >> ContainerB:80 oder //NASName:18122 >> Container A:22 oder //NASname:18123 >> ContainerB:22.

Wie gesagt, entweder seh ich vor lauter Bäumen den Wald nicht oder steh vollkommen auf dem Schlauch.

Wie kann ich innerhalb des NAS sagen, kommt eine anfrage auf port xx, dann leite diese auf den container mit port xx weiter.

Vielen Dank schon einmal für das durchlesen der "kurzen" Ausführung und eventuelle Hilfestellung.

VG, Jan

dolbyman · 18. November 2021

Wenn die Containerstation GUI verwendet wird, gibt's hier die Potweiterleitungen für Container NAT

pasted-from-clipboard.png

Azrael783 · 19. November 2021

Naja du musst die Ports bei der Container Erstellung dementsprechend angeben. Aber warum gehst du den Umweg über LXC / LXD? Du kannst die Container ja auch einzeln, oder als App über die Container Station erstellen. Als bsp. hier mal mein Gitea, Wiki.js, mariadb Stack:

Code

version: "2"
services:
  db:
    image: mariadb
    container_name: mariadb
    environment:
      - MYSQL_ROOT_PASSWORD=supergeheimespasswort
    volumes:
      - /hostpfad-zur-db:/var/lib/mysql
    ports: 
      - 3306:3306
    restart: unless-stopped
    networks:
      - gitea
      
  phpmyadmin:
      image: phpmyadmin/phpmyadmin
      container_name: phpmyadmin
      environment:
        - PMA_HOST=db
      restart: unless-stopped
      ports:
        - 8085:80
      volumes:
        - /sessions
      networks:
        - gitea

  gitea:
    image: gitea/gitea:latest
    container_name: gitea
    volumes:
      - /host-pfad-zur-gitea-config:/data
      - /etc/timezone:/etc/timezone:ro
      - /etc/localtime:/etc/localtime:ro
    ports:
      - "3000:3000"
      - "222:22"
    depends_on:
      - db
    restart: unless-stopped
    environment:
      - USER_UID=0
      - USER_GID=0
      - DB_TYPE=mysql
      - DB_HOST=db:3306
      - DB_NAME=gitea
      - DB_USER=gitea
      - DB_PASSWD=gitea-db-user-passwort
    networks:
      - gitea

  wiki:
    image: requarks/wiki:2
    depends_on:
      - db
    environment:
      DB_TYPE: mariadb
      DB_HOST: db
      DB_PORT: 3306
      DB_USER: wiki
      DB_PASS: wiki-db-user-passwort
      DB_NAME: wiki
    restart: unless-stopped
    ports:
      - "8095:3000"
    container_name: wikijs
    networks:
      - gitea

networks:
  gitea:
    external: false

Alles anzeigen

Alle Container sind unter der IP des NAS zu erreichen. In deinem LXC / LXD Setup sollte das genauso umsetzbar sein (behaupte ich jetzt mal, da ich noch nicht mit LXC / LXD gearbeitet hab).

jschw680 · 20. November 2021

moin moin

dolbyman Super, vielen Dank - ich sag doch, den Wald vor lauter Bäumen nicht gesehen.

Allerdings klappt es bei mir nur mit den Standartports - also wenn ich z.b. 22 auf 22 weiterleite zum Container. Dann komm ich von extern auch via ssh auf die Ubuntu LXD. Wähle ich die Ports z.B. 18022 >> 22 dann habe ich keinen Zugriff. Muss ich denn im QuTS noch irgendwo zusätzlich was einstellen ?

Azrael783

Danke für den Hinweis - ja, hatte ich auch versucht, allerdings ist Container/Docker Neuland für mich - wohingegen ich mich bei einem "reinen" Ubuntu sicherer im Umgang fühle - daher viel meine Wahl aktuell auf Ubuntu via LXD.

Bei deinem Beispiel nutzt du ja das Gitea - ich muss halt leider auf Gitlab bleiben, weil die komplette bestehende DB des alten Gitlabservers auf meinen umgehoben werden soll.

VG, Jan

dolbyman · 20. November 2021

Läuft hier einwandfrei...ist die QuFirewall aktiv?

jschw680 · 22. November 2021

Moin Moin....

Nein, die Firewall war nicht aktiv - bzw. es sind alle Verbindungen zugelassen und auch keine IP- oder Netzwerkbindungen eingetragen.
Die Ports hatte ich auch entsprechend bei der Installation weitergeleitet. Aktuell die Standart und auch die modifizierten Ports.

Zugriff bekomme ich aber sowohl für http wie auch für ssh nur über http:80 und ssh:22.

VG, janPortweiterleitungen.png

Firewall.png

Azrael783 · 22. November 2021

Dann lass doch mal die Standardports weg. Bei deinem SSH Client musst du dann natürlich auch den korrekten Port angeben. Wahrscheinlich kommt es zum durcheinander, da du die Port mehrmals vergeben hast.

jschw680 · 22. November 2021

Die Standart-Ports habe ich erst nachträglich hinzugefügt. Aber ich probiere es nochmal ohne die aus. Hatte nur die Vermutung, dass die eigenen Ports von mir nicht vom NAS durchgereicht werden.

Azrael783 · 22. November 2021

Warum sollten die nicht durch gereicht werden? Du kannst mit nmap relativ leicht überprüfen welche Ports offen sind.

jschw680 · 26. November 2021

Hallo,

sorry, für die späte rückmeldung...
Hatte mich via ssh direkt auf das NAS aufgeschaltet und die Ports geprüft. Alle Ports sind offen.

Azrael783 · 26. November 2021

Ok, und du kannst dich immer noch nur mit den Standardports anmelden? Sorry, bin grade ein wenig raus wo jetzt das Problem liegt, bzw was der letzte Stand ist ...

jschw680 · 30. November 2021

Hi… war mal ein paar Tage am ausspannen

Ja, bisher klappt es weiterhin nur über die Standartports. Mit ausnahme der Gitlab Installation, die von QNAP vorgefertigt ist. Da kann ich mich auch via ssh auf dem während der Installation angegebenen Port anmelden.
Bei allen anderen Containern nur, wenn ich http 80 oder ssh 22 nutze…

VG

Azrael783 · 30. November 2021

Zitat von jschw680

war mal ein paar Tage am ausspannen

Muss auch mal sein Und hast du jetzt mal versucht, die Standardports rauszulassen und nur "deine" anzugeben?

jschw680 · 1. Dezember 2021

Moin... ja hatte die standartports entfernt (jetzt natürlich wieder drin für den zugang) aber gebracht hatte es nichts. Hatte auch nach der Änderung das NAS neu gestartet, aber kein Erfolg.
Firewalls und Sichheitseinstellungen sind (noch) komplett offen, da kann es dann auch nciht dran liegen.

Azrael783 · 1. Dezember 2021

Dann bin ich leider überfragt. Sowas hatte ich bisher noch nicht. Hast du mal in die Logs der Anwendungen geschaut, mit denen du dich verbinden willst?

jschw680 · 1. Dezember 2021

Kein Problem, danke trotzdem für deine Mühen
Gab keine nütlichen Infos in den Logs, durch die ich auf eine Ursache schließen könnte.....

Werde jetzt erst einmal auf die Gitlab app in der Containerstation zurück greifen, damit mein Chef erstmal beruhigt ist.

Werde es aber parallel weiter versuchen.

INTERNE Portweiterleitung zu Containern

QuTS hero h5.1.6.2734 Build 20240414

QTS 5.1.6.2722 Build 20240402

Vulnerability in XZ Utils

Vulnerability in Network ＆ Virtual Switch

Paperless-NGX Installationsanleitung in der Container Station

Fehler beim Importieren von LXD

Wie erreiche ich die Oberfläche Von Pi allert

LXD Container zu VM umwandeln / migrieren

Datei im Container Terminal editieren ?

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

VPN - ganz allgemein

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur