Synology achter Nginx Proxy Manager (via raspberry Pi) certificaat vernieuwen

[rwzdoorn]

Hi,

Ik gebruik thuis veel de 'Synology Drive' om met meerdere computers in sync te blijven. De Synology zelf zit momenteel achter een Raspberry Pi Nginx Proxy Manager (subdomein.domein.nl > forward naar intern IP op poort 5001). Dit werkt. echter, nu is het Lets Encrypt certificaat verlopen en geeft drive de melding 'Onbetrouwbaar SSL-certificaat'. Lets encrypt kan dus niet het certificaat auto renewen (geen verbinding met port 80/443?). Hoe moet ik Nginx Proxy Manager inrichten om letsenecrypt wel het certificaat te laten vernieuwen?

Alvast bedankt,

[Babylonia]

En via welke link wordt het  Let's Encrypt  certificaat geüpdatet?
Via de NAS  of Rasberry Pi  ??
Daar ligt volgens mij een probleem als het niet rechtstreeks via de NAS gaat.

[zandhaas]

Om de certificaten te kunen vernieuwen moet je de poorten 80 en 443 op je router doorverwijzen naar je Raspberry-PI

[Briolet]

Ligt. eraan Voor certificaten op een 'xxx.synology.me' naam hoeven geen poorten geforward te worden. En anders alleen poort 80. De Pi blijft dan gewoon benaderbaar op poort 443.

[zandhaas]

De topic starten gebruikt de nginx-pm (https://github.com/NginxProxyManager/nginx-proxy-manager) als reverse reverse proxy. Deze draait hij op een raspberry-pi. De nginx-pm vraagt zelf de lets-encrypt certificaten aan voor de verschillende (sub) domein namen die geconfigureerd zijn.
En om dan de certificaten te kunnen aanvragen en automatisch te kunnen verlengen zullen poort 80 en 443 naar de raspberry moeten wijzen.
En als ik de opening post lees lijkt het erop dat de TS een eigen domein naam gebruikt niet zijnde een Synology.me domein naam.

[Birdy]

Dat is ook te lezen in de Quick Setup, is wel voor Docker maar zal ook gelden voor RPI.

[Briolet]

als reverse reverse proxy.

Dat een reverse proxy betreft, stond er niet bij in het stuk van TS.  Dan is het inderdaad de Raspberry die de certificaten verzorgd en de nas heeft geen certificaten nodig. De buitenwereld ziet alleen het certificaat op de Pi.


Ik doe iets soortgelijks met mijn 2e nas. Poort 443 wijst naar Nas-1, maar 1 bepaald domein wordt via een reverse proxy doorgestuurd naar nas-2. Het certificaat moet dan op nas-1 staan.

En hoe je certificaten op een Pi vervangt is meer voor een Pi forum. 

[zandhaas]

En hoe je certificaten op een Pi vervangt is meer voor een Pi forum.

Dat zit standaard ingebakken in de NGINX-proxy manager. Die vraagd indien gewenst de certificaten aan en verlengt die dan ook automatisch op het moment dat het nodig is. Maar hiervoor moeten de nginx-pm wel van buitenaf bereikbaar zijn via de poorten 80 en 443.

Lees anders even https://nginxproxymanager.com/guide/

[Birdy]

Staat ook in Reactie #5.

[rwzdoorn]

Dank allen voor de reacties!

Zandhaas heeft gelijk, ik gebruik NGINX-proxy manager op de Raspberry Pi. Deze vernieuwd alle certificaten (en dus ook mijn sync.domein.nl) voor poort 5001.

Het probleem is dat de Synology 'Drive' app nu moeilijk doet en niet meer synced. Want ik heb een "onbetrouwbaar" (verlopen) certificaat nog op de NAS. Als ik het certificaat wil vernieuwen dan krijg ik de foutmelding dat de poorten niet open staan. NGINX-Proxy manager kan enkel 1 poort forwarden per domein en in dit geval is dat 5001 (ipv 80 & 443).

Ik heb zojuist SSL bij Synology 'Drive' uitgeschakeld en dan synced alles wel via sync.domein.nl. Zal het probleem zijn dat ik bij de Nginx proxy manager EN Synology hetzelfde certificaat laat maken voor hetzelfde domein?

PS: Ik probeer het certificaat ook te verwijderen, echter mag dit niet. Ik mag enkel vernieuwen of bewerken.

[zandhaas]

NGINX-Proxy manager kan enkel 1 poort forwarden per domein en in dit geval is dat 5001 (ipv 80 & 443).]NGINX-Proxy manager kan enkel 1 poort forwarden per domein en in dit geval is dat 5001 (ipv 80 & 443).

Poort 80 en 443 hebben niets te maken met drive. Maar die heeft nginx-PM nodig om de certificten te kunnen vernieuwen.
Je moet deze poorten in je router dus forwarden naar de nginx-PM niet naar drive.

[rwzdoorn]

Hoi Zandhaas,

Vanuit mijn router (UDM PRO SE) staan 443 en 80 netjes open en geforward naar mijn Raspberry Pi met NGINX. Daar worden de certificaten automatisch renewed zonder problemen. Om Drive met SSL te gebruiken ben ik verplicht een certificaat op de Synology te draaien (maar ik heb die al draaien via NGINX?).

Bij de instellingen van Drive heb ik nu de optie 'SSL-gegevensoverdrachtcodering inschakelen' uitgevinkt. Omdat het verkeer wel via sync.domein.nl loopt zou dit in theorie wel via SSL dan lopen, toch?

[zandhaas]

OK.....

Daar dacht ik dus  iets te simpel. Maar volgens https://www.synoforum.com/threads/reverse-proxy-for-synology-drive-client.5793/ zou je het wel werkend moeten krijgen.

Zoals ik het begrijp moet je een nieuw subdomein aanmaken " drive.<domein.nl>" bij je domein-naam leverancier.  Die voeg je dan toe binnen nginx-pm en laat je daar door verwijzen naar de juiste poort op je NAS die je via het "aanmeldingsportaal - toepassingen"  hebt ingesteld.

Zelf gebruik ik het quick-connect ID voor de drive client.