Dreammachine Pro und Synology, VLAN mit Portweiterleitung

[jensche]

Hallo zusammen

Ich möchte eine Dreammachine Pro mit VLANs einrichten. Folgendende Ausgangslage:

– Vlans für verschiedene Abteilungen
– Pro Abteilung eine Synology mit diversen Diensten

Einzele Standardservices der Synology (SVN, Synology Drive, Zerfitikate) braucht es das Portweiterleiten der Standard Ports 443 und 80.

Da wir nun mehrere Synology Stationen haben kann man nicht einfach eine globale Weiterleitung haben.

Ist es möglich für einzelne Vlans Portweiterleitungen zu machen?
Oder was gibts für andere Möglichkeiten.

 

[Wuchtbrumme]

Hi,
die DM Pro arbeitet als Router mit einem IPv4-Anschluss?
Dann kannst Du zwar mehrere Portforwardings einrichten, aber jeder Port von aussen muss unique sein. Bildlich gesprochen:

Client-Internet-Browser: http://-DM Pro-NAT:tcp/80- <interne Synology:80>

Client-Internet-Browser: http://-DM Pro-NAT:tcp/80- <weitere interne Synology:80>

Client-Internet-Browser: http://-DM Pro-NAT:tcp/80- < dritte interne Synology:80>

Beantwotet das Deine Frage?

 

[jensche]

Die DM wird Router sein mit IPv4 und v6.

Zur Zeit haben wir noch eine Fritzbox welche dann durch die DM ersetzt wird. Leider kann man in der Fritzbox nur 1 Globale Weiterleitung z.B. auf den 80er oder 443 er Port machen auf eine Synology machen. Alles andere muss via anderen Port passieren. Jedoch kann man gewisse Ports in der Synology nicht anpassen.

 

[Wuchtbrumme]

Die DM wird Router sein mit IPv4 und v6.

Zur Zeit haben wir noch eine Fritzbox welche dann durch die DM ersetzt wird. Leider kann man in der Fritzbox nur 1 Globale Weiterleitung z.B. auf den 80er oder 443 er Port machen auf eine Synology machen. Alles andere muss via anderen Port passieren. Jedoch kann man gewisse Ports in der Synology nicht anpassen.

auf der Fritzbox ist einiges kaputt by design, aber es ist eben auch für ganz einfach für Homeuser gemacht.
Allerdings müsste das auf der FB definitiv eben auch funktionieren, jedenfalls wenn man von drr VLAN-Geschichte absieht (kennt die nicht), da müsste man entsprechend subnetten. Was ich oben beschrieb, ist ein normales Vorgehen für IPv4-Internetanschlüsse, für UDM Pro ebenso wie für FB.

Dass Du IPv6 hast, glaube ich fast nicht.

 

[jensche]

Dass Du IPv6 hast, glaube ich fast nicht.

wie meinst du?
Nach aussen haben wir IPV6 und V4.

VLAN soll auf der neuen Dreammachine umgesetzt werden. Zur Zeit teilen sich alle Firmen das gleiche Netz.
Hier eine Skizze wie ich mir das vorstelle. Was meint ihr dazu?

Reverses Proxy mit Subdomains?

 

[Scotch]

Ist es möglich für einzelne Vlans Portweiterleitungen zu machen?

Klar - aber nicht für ein- und denselben Port. Was du vorhast, dürfte ohne einen lokalen DNS nicht funktionieren.

Oder was gibts für andere Möglichkeiten.

Relay benutzen, z.B. QuickConnect für Synos. Firewalls auf den NAS nicht zu konfigurieren vergessen.

Subdomains anlegen, die dann auf die via DDNS erreichbaren NAS weiterleiten (DDNS pro NAS muss konfiguriert werden, jedes NAS braucht seine eigene Firewall!) Alternativ CNAME pro Subdomain konfigurieren. Damit das funktioniert, musst du in der UDMP eigene Subnetze anlegen (nicht nur VLANs taggen) - aber das ist bei 'ner UDMP eh' der Königsweg. Firewalls zwischen den LANs nicht vergessen - die UDMP ist im Auslieferungszustand (wie auch die Synos) komplett offen. Ist halt keine Fritzbox.

Zum Einlesen. Ist 'ne ziemlich aufwändige Konfiguration, die ihr da vorhabt, vor allem mit beträchtlichem Absicherungs- und Wartungsaufwand. Ich würd' mir überlegen, ob's nicht eine zentrale Server-Infrastruktur die bessere Lösung ist. Ich würd' mir auch überlegen, ob das nicht vielleicht ein Job für einen Profi ist.

Dass Du IPv6 hast, glaube ich fast nicht.

Wieso das nicht? Hab' ich auch, auch wenn meine UDMP das noch nicht so richtig will. Meine Fritze kann das problemlos, ich krieg' von meinem ISP ein 48er Segment.

 

[jensche]

Zur Zeit sind auch alle Synologys mit DYNDNS via einer Domain von Extern zugreifbar. Das klappt gut. Auf der Synology nutze ich aber ein Lets Encrypt Zertifikat. Welches eben diese beiden Ports offen braucht um diese zu erneuern.

Dass Du IPv6 hast, glaube ich fast nicht.

Wir stehen sogar vor der Entscheidung auf einen Internetanschluss mit 25GBit Synchron oder eben 10Gbit.


Oder via Reversed Proxy lösbar?
Subdomains:
01.Domain.com:80
02.domain.com:80 usw. usw.

 

[Wuchtbrumme]

Du meinst vermutlich nicht synchron, sondern symmetrisch. Und vermutlich hat sich bei SPF+ ein Fipptehler eingeschlichen; es muss SFP+ heißen. IPv6 ist noch sehr unüblich; man muss schon explizit danach fragen. Es gibt einige, die trotz des Grundproblems aufgebrauchter IPv4-Adressen IPv6 als gescheitert ansehen (!). Solltest Du IPv6 haben, solltest Du das nicht glauben, sondern wissen.

Nochmal: Wenn Du von außen auf nicht exponierte Hosts mit spezifischem Port zugreifen können willst, muss man im Fall eines IPv4 mit NAT und einer IP für das NAT-Interface je Endgerät einen Port reservieren und "freigeben", die unique sein müssen.

Subdomains:
01.Domain.com:80
02.domain.com:80 usw. usw.

was soll denn ein Apache-Virtual Host dabei helfen? oder ein DNS-Server, der auch nicht mehr IP-Adressen auf das NAT-Interface zaubert? Das behebt nichts am Grundproblem. Die Einschränkung ist das o.g.:

Nochmal: Wenn Du von außen auf nicht exponierte Hosts mit spezifischem Port zugreifen können willst, muss man im Fall eines IPv4 mit NAT und einer IP für das NAT-Interface je Endgerät einen Port reservieren und "freigeben", die unique sein müssen.

Deine Ideen gehen nicht. Das Internet sieht ja nur das Router-Interface (die eine IP) und der Router muss intern eine Translationtabelle aufbauen, die nach dem Schema Source-IP, Source-Port, Destination-IP, Destination-Port, interne IP, interner Port aufgebaut ist.

Was ist NAT (Network Address Translation)?

Network Address Translation (NAT) ermöglicht es, die Ziel- oder Quell-IP-Adressen eines Datenpakets durch eine andere Adresse zu ersetzen. NAT wird häufig verwendet, um aufgrund der Knappheit öffentlicher IP-Adressen mit privaten IP-Adressen im Internet zu kommunizieren. Diese Maskierung...

www.ip-insider.de

Die nennen das dort "PAT"; umgangssprachlich benutzen auch Fachleute einfach NAT. Jedenfalls sollte aus dem Kontext der Anforderungen klar werden, was genau davon gemeint ist.

Mit IPv6 sieht das alles anders aus. Da kannst Du quasi jedem Endgerät eine von außen erreichbare IP vergeben, sofern Du am Router kein NAT machst.

 

[jensche]

IPv6 ist noch sehr unüblich; man muss schon explizit danach fragen. Es gibt einige, die trotz des Grundproblems aufgebrauchter IPv4-Adressen IPv6 als gescheitert ansehen (!).

IPv6 wäre da eine Lösung?

ich bin in der Schweiz. Nicht Steinzeit-Welt Deutschland.
Wir haben das Luxusproblem hier im Office ob wir 10Gbit Symmetrisch oder 25Gbit nehmen sollen. 25Gbit macht absolut keinen Sinn, obwohl wir für exakt den gleichen Preis 1Gbit, 10Gbit oder 25Gbit haben.

Die Umstellung auf ein 10Gbit Netzwerk ist schon "mühsam" genug. (Adapter etc.)

Bisher ist der Zugriff via DynDNS auf die Synologys ohne Probleme möglich. Sprich: srv.domain.comort
Jedoch geht das eben nicht mit den Standard Ports.

was soll denn ein Apache-Virtual Host dabei helfen? oder ein DNS-Server, der auch nicht mehr IP-Adressen auf das NAT-Interface zaubert?

Auf einem Ubiquity Forum empfehlen sie eben Reversed Proxy:

Die Lösung heißt Reverse Proxy. Dann kannst Du schön mit Namen arbeiten und alles mit 80/443 machen. Da gibt es sogar ein Docker Projekt für: Nginx Proxy Manager – nur als Idee.

 

[Wuchtbrumme]

ich bin in der Schweiz. Nicht Steinzeit-Welt Deutschland.

IPv6 wäre da eine Lösung?

mit einem Schlag, allerdings holst Du Dir damit zahlreiche andere Probleme ins Boot. Hauptsächlich Sicherheit - bisher ist allein das NAT bereits ein Sicherheitsfeature, weil eben kein Rechner aus dem Internet erreichbar ist. Mit IPv6 gibt es eigentlich keinen Rechner, der das nicht ist. Aber schon die Implementation von IPv6 ist nicht trivial bzw. oft verwenden Provider IPv6-IPv4-Gateways mit unterschiedlichen Methoden, die auch wiederum Nachteile haben. Auf jeden Fall viel Spaß!

Die Umstellung auf ein 10Gbit Netzwerk ist schon "mühsam" genug. (Adapter etc.)

genau. Katastrophe.

Auf einem Ubiquity Forum empfehlen sie eben Reversed Proxy:

wie gesagt, für Deinen Fall ist es ein IPv4-NAT-spezifisches Problem am Router, den auch der Reverse Proxy nicht löst.
Denn Du musst:

Client-Internet-Browser: http://-DM Pro-NAT:tcp/80- <interne Synology:80>

Client-Internet-Browser: http://-DM Pro-NAT:tcp/80- <weitere interne Synology:80>

Client-Internet-Browser: http://-DM Pro-NAT:tcp/80- < dritte interne Synology:80>

das Regelwerk auf der FB/UDM Pro für den reverse proxy genauso tun wie Du es auch für die drei beispielhaften Synologys hättest tun müssen.

 

[jensche]

genau. Katastrophe.

Wirklich mühsam. Mit Dicken schweren Adaptern usw. Wenn man es dann noch aufgeräumter haben will braucht man dann ein TB Dock und daran angeschlossen ein 10Gbit Adapter. Kostenpunkt schnell 350 Euro oder mehr. Aus diesem Grunde werde ich vorab auf 2.5 oder 5Gbit umstellen. Das sind viel kleinere Adapter und vorallem enorm günstiger. Zudem meine Synology nur 2 Gbit kann. (auch die Festplatten usw. wären dann zu langsam.) usw. usw.

Konkret haben wir 4 Synologys. Nur eine hat die Standardports offen.
Die Dream Maschine löst ja dann die Fritzbox ab.

Wäre eine mögliche Lösung: Feste IPs?

Aber die Lösung könnte wie oben beschrieben sein:

Du leitest Port 80/tcp + 443/tcp an den Reverse Proxy weiter, der den DNS-Namen/SNI (bei https) aus dem http-Header auswerten können muss, um dann zu entscheiden, an welches nachgelagerte Gerät 01.domain.com, 02.domain.com uswusf. weitergeleitet werden soll.

Dann kannst Du auch in jedem NAS ein eingenes Zertifikat beantragen, da es unter z.B. nas-01.domain.com auf Port 80/tcp und 443/tcp von außen erreicht werden kann.

wäre das keine Lösung? @Wuchtbrumme

 

[Wuchtbrumme]

Wäre eine mögliche Lösung: Feste IPs?

nochmal: Dein Problem ist, dass Du nur eine IP auf der Internetseite Deines Routers hat und der eine Liste aufbauen muss, welche IP, welcher Port wohin gehen soll.

Mit mehreren IPs auf der Internetseite sollte Dein Problem eigentlich behoben werden können - sofern man das entsprechend einstellen kann. Die Variante wäre IP1:80-Router-Zielhost1:80, IP2:80-Router-Zielhost2:80 usw. Die Fritzbox kann es definitiv nicht, ein Linux-PC mit iptables kann das sicher, bei der UDM Pro muss ich gestehen, dass ich diese nicht habe und nicht weiß, wie intelligent diese ist (Blabla, ich meinte, wie detailliert sich Einstellungen tätigen lassen). Ich habe relativ erschreckendes gehört (quasi "Fritzbox" für teurer), ich mag meine Hand nicht für ins Feuer legen.

 

[smoe]

nochmal: Dein Problem ist, dass Du nur eine IP auf der Internetseite Deines Routers hat und der eine Liste aufbauen muss, welche IP, welcher Port wohin gehen soll.

Vielleicht stehe ich grade total auf dem Schlauch, aber genau dafür ist ja ein Reverse-Proxy da? Der macht nicht nur stur NAT anhand von IP-Adressen und Ports, sondern beachtet auch die aufgerufene Domain als Routing-Kriterium. Ob die DM sowas eingebaut hat weiß ich nicht, gibt aber durchaus Router/Firewalls die sowas mitbringen, zb von Sophos.

Aber anders gefragt: Müssen es denn unbedingt die Standardports sein? Wäre halt die einfachste Lösung Port 4431 auf NAS1:443 zu leiten und Port 4432 NAS2:443 etc.

 

[hutzi20]

nochmal: Dein Problem ist, dass Du nur eine IP auf der Internetseite Deines Routers hat und der eine Liste aufbauen muss, welche IP, welcher Port wohin gehen soll.

Vielleicht stehe ich grade total auf dem Schlauch, aber genau dafür ist ja ein Reverse-Proxy da? Der macht nicht nur stur NAT anhand von IP-Adressen und Ports, sondern beachtet auch die aufgerufene Domain als Routing-Kriterium.

Richtig. Daher verstehe ich auch nicht warum hier so vehement die Reverse Proxy Lösung abgelehnt wird. Die IP auf Internetseite ist immer ein und die selbe. Je nachdem mit welcher (Sub)Domain und Port auf die IP zugegriffen wird kann der Reverse Proxy zu verschiedenen internen IPs und/oder Ports weiterleiten.

 

[Wuchtbrumme]

Richtig. Daher verstehe ich auch nicht warum hier so vehement die Reverse Proxy Lösung abgelehnt wird. Die IP auf Internetseite ist immer ein und die selbe. Je nachdem mit welcher (Sub)Domain auf die IP zugegriffen wird kann der Reverse Proxy zu verschiedenen internen IPs und/oder Ports weiterleiten.

ok, vermutlich bin ich mangels Nutzung eines Reverse Proxy nicht informiert genug. Aber wie modifiziert der den Traffic? Die Limitierung ist doch der Router mit nur einer IPv4-Adresse, der kann mit PAT einfach nur einen Port auf Internetseite auf einen Port intern umleiten. Diese Limitierung wird auch durch einen Reverse Proxy nicht aufgehoben, d.h. der letztgenannte muss die notwendige Arbeit erledigen.

 

[hutzi20]

Die Limitierung ist doch der Router mit nur einer IPv4-Adresse, der kann mit PAT einfach nur einen Port auf Internetseite auf einen Port intern umleiten.

Richtig, deswegen schickt der Router einfach alle Anfragen von außen an den Reverse Proxy und dieser teilt dann auf.

 

[jensche]

Was brauchts denn für einen Reversed Proxy? Hardware?

Ich hätte ein Hosting mit NGINX... könnte man das über den laufen lassen?

 

[smoe]

Es gibt da diverse Möglichkeiten. Entweder eine Firewall die sowas schon eingebaut hat oder du bastelst dir selber etwas zb mit einem Linux-Server der den Traffic dann verteilt, zb so https://linuxiac.com/reverse-proxy-with-nginx/

Wenn’s hier um eine Firma geht würde ich aber empfehlen da einen Dienstleister mit ins Boot zu holen, es geht da ja auch um die Sicherheit der Firmendaten, und interne Systeme von Außen erreichbar zu machen ist immer ein potentielles Sicherheitsproblem.

 

[jensche]

Ja. ich habe gerade rausgefunden das Synology dies sehr einfach schon integriert hat. Am besten hat man dann einfach eine eigene Domain und gut ist.

Oder es gibt die Möglichkeit mit einem Nginx Proxy Manager... mal recherchieren.

 

[Scotch]

Am einfachsten wirst du es mit Subdomains -> CNAME -> RP auf einer der Synos lösen können.