Reverse proxy - 2x NAS - 2x Photo Station

[Babylonia]

Op dezelfde locatie twee NAS-apparaten met zelfde versie  DSM 6.2  en gebruik  Photo Station.
De twee Photo Station versies moeten echt gescheiden blijven als het gaat om vastleggen foto's.
Wil ze beide extern kunnen benaderen.   Gebruik een eigen NL-domein.

Heb bij oudere onderwerpen gekeken m.b.t. reverse proxy (o.a. < DEZE > ),
en gekeken bij Synology om poorten  aan te passen voor Photo Station.

Even geëxperimenteerd met alleen de aanpassing van die poorten voor één NAS,
(en in de router de betreffende aangepaste poorten doorverwezen).  Dat zou het gemakkelijkste zijn.
En aanvullend een toevoeging opnemen van die afwijkende poort in web-adres of bij gebruik van mobiele  DS Photo  apps.

Maar dat werkt niet als zodanig met alleen die aanpassingen.
Het werkt alleen als de poorten  80 en 443  eveneens  zijn doorgestuurd naar de NAS.

Kom je in een situatie dat je met of zonder toevoeging van die extra poort opgenomen in een web-adres, bij Photo Station uitkomt.
Maar ja, hoe kom je dan bij die andere NAS en gebruik van dezelfde poorten (80 en 443) voor Photo Station?

Mogelijk van daaruit dan die reverse proxy ingesteld in de NAS  (bij toepassingsportaal),
om van daaruit ook bij de andere NAS uit te kunnen komen?
En zijn er bijv. nog navolgende zaken nodig om in te stellen zoals bijv. een DNS-server?

Beide zaken geen ervaring in.

[Briolet]

Een reverse-proxy (RP) is inderdaad de meest simpele oplossing.  Al het verkeer van buiten laat je dan op nas-1 uitkomen. Hier staan dan ook alle certificaten.

Een RP stuurt verkeer door op basis van een domeinnaam. Dus laat je alles voor "nas2.mijndomein.nl" doorsturen naar je 2e nas. Het certificaat voor "nas2.mijndomein.nl" staat op je eerste nas en koppel je aan de RP. Het interne verkeer kun je als http afhandelen, of ook weer met een certificaat, maar dat is dan een certificaat die de gebruiker niet ziet. (Mag dus ook een self-signed certificaat zijn)

Bedenk wel dat al het verkeer voor nas2 dan eerste via nas1 loopt. Dat ik ok als het weinig verkeer is. Als het een drukke verbinding gaat worden is een andere oplossing wellicht efficiënter voor het netwerk.

[Babylonia]

Zoals ik het zie wordt er gebruik gemaakt van sub-domeinamen vóór het hoofd-domein.
Nu heb ik een  NL-domein  met SSL-certificaat, maar het betreft géén  wildcard certificaat  (alleen de toevoeging www voor een domein).

Omdat het een gewoon commercieel domein betreft heb ik indertijd niet gekozen voor een wildcard certificaat,
want dat kost echt aanzienlijk meer.    Met  Let's Encrypt  zijn er naar ik dacht wel wildcard certificaten voorhanden.
Maar dat 3 maandelijks moeten vernieuwen staat me eigenlijk ook niet aan,
en weet niet of dat makkelijk met zo'n commercieel domein is uit te voeren?

Mogelijk zou ik ook verschillende domeinnamen kunnen "combineren"?
De ene NAS op basis van een Synology DDNS domein - waar reeds een sub-domein in zit (met  Let's Encrypt  certificaat),
de andere NAS op basis van mijn eigen NL-domein (of eventueel "intern" een zelf-ondertekend certificaat)??

Kan men met zo'n reverse proxy ook iets doen met verwijzingen / toevoegingen achter het hoofd domein?
Of met lokale domein-namen van apparaten als je een DNS-server opzet?

Of mogelijk op termijn (als de nieuwe SRM 1.3 firmware van Synology voorhanden is voor hun routers),
Een 2e NAS apparaat in een ander lokaal netwerk zetten.
(Maar lijkt me dat het voor bij de "toegang" op router niveau niet uitmaakt in gebruik van port forwarders?)

[Gaffel]

Beste, ik heb ook een 2e Synology NAS via RP achter mijn hoofd NAS aangesloten.
Echter ik kan bij RP het niet voor elkaar krijgen om op de achterliggende NAS bij Photostation uit te komen.
Hoe vul ik die verwijzing  daar bij die RP in ?

[Robert Koopman]

Photostation bereiken via een reverse proxy is mij nooit gelukt.
Is en blijft een lastig pakket van Synology.

[Babylonia]

Vond nog wat aanvullende Youtube filmpjes.  Bijv.  < DEZE >  en  < DEZE >  met een IMO duidelijk te begrijpen uitleg.

Ga er later op de dag / avond mee experimenteren, waarbij ik voor de 2e NAS het Synology DDNS domein ga proberen.
wat (flink) afwijkt van mijn NL-domein.

Schijnbaar is de behoefte van een andere benadering van Photo Station ook bij Synology bekend.
Het nieuwere pakket  Photos  onder  DSM 7.0  gebruikt dezelfde poorten dan die om DSM zelf te benaderen.
Als je daar reeds andere poorten voor de DSM gebruiksinterface / File Station hebt ingesteld, geldt dat gelijk voor ook voor Photos.

[Briolet]

Met  Let's Encrypt  zijn er naar ik dacht wel wildcard certificaten voorhanden.
Maar dat 3 maandelijks moeten vernieuwen staat me eigenlijk ook niet aan,
en weet niet of dat makkelijk met zo'n commercieel domein is uit te voeren

Een wildcard via de software van Synology werkt alleen bij hun eigen ddns naam omdat de software toegang tot het ddns account nodig heeft. Maar wildcards zijn sowieso onveilig omdat je plotseling alles valideren.

In jou geval kun je een subdomein aanmaken die naar nas2 moet leiden*. Vervolgens laat je nas1 een Let'sEncrypt certificaat aanmaken voor alleen dat subdomein en dat certificaat gebruik je alleen voor deze reverse proxy.

Als het bevalt, kun je bij verlenging van je commerciële certificaat dat extra domein in het certificaat opnemen en dan met Let's Encrypt stoppen.

*) Of de synology ddns, zoals je aangeeft. De Synology ddns is op zich al een domein met wildcard. Dus daar kun je onbeperkt een subdomein voor zetten. Dus 'nas2.xxxx.synology.me", zodat je alleen deze url hoeft door te sturen. Maar voor het testen nog maar even de gewone ddns naam.

[Babylonia]

Het was wat hannesen met de certificaten die standaard moeten gelden en welke men voor de reverse proxy kiest.
Maar het is me gelukt m.b.v. het extra Synology DDNS domein. Ofwel het werkt !!

Heb echt maar één verwijzing opgenomen bij het reverse proxy menu.  Voor alle alle andere achterliggende services
met andere poorten dan 80 / 443 gelden de normale port forwarders die normaal reeds actief waren.

[Briolet]

Het kiezen van een certificaat is idd problematisch. Volgens mij moet je na de keuze nog een keer buiten het window klikken. Zo niet, wordt de keuze niet onthouden. (Of iets vergelijkbaars, want ik zit daar ook steeds te puzzelen en vergeet steeds hoe ik het de vorige keer deed)