Ich habe ja gesagt, dass wir inzwischen eigentlich vom Thema abweichen…
Das Thema VPN funktioniert jetzt (auch mit der schrottreifen Fritte), ich beobachte mal ob es so bleibt.
Nun zurück zur Ursprungsfrage (diesmal ganz ausführlich):
Da ich das böse Wort mit „S“ ja jetzt ohnehin schon erwähnt habe, ganz konkret am Beispiel der 3 genannten Dienste.
Um mein Link-Limit zu umgehen, schreibe ich statt „http“ immer „hxxp“.
Ich habe auf einer Synology 3 Docker-Container für jeden Dienst und dort jeweils deren Default-Ports freigegeben. Somit sind alle 3 im LAN über die IPv4 und auch IPv6 der Synology erreichbar:
FHEM unter hxxp://synology.fritz.net:8083/
EVCC unter hxxp://synology.fritz.net:7070/
Jellyfin unter hxxp://synology.fritz.net:8096/
Als nächstes sollen diese aus dem Internet erreichbar werden (von der Sinnhaftigkeit bitte mal absehen, ich habe die 3 nur als Beispiel für unterschiedliche Ports gewählt), also gehe ich in die Fritte und richte eine IPv6-Freigabe für die Ports 8083, 7070 und 8096 für die IPv6 der Synology ein und suche mir einen DNS-Anbieter, bei dem ich ein AAAA-Record für die Synology eintragen kann, bspw. als „sven77.ipv64.net“.
Von jetzt an ist alles schick und die Dienste sind von extern erreichbar:
FHEM unter hxxp://sven77.ipv64.net:8083/
EVCC unter hxxp://sven77.ipv64.net:7070/
Jellyfin unter hxxp://sven77.ipv64.net:8096/
ABER - natürlich nur, solange der Client und das Netz auch IPv6 können!
Da das leider heutzutage immer noch nicht alle Netze mitmachen, hätte ich gern (nur für diese Ausnahme) einen ReverseProxy, über den ich die Dienste dennoch erreiche.
Aus Faulheit aber bitte recht transparent, ohne mir alle Lesezeichen doppelt für IPv4 und IPv6 abzuspeichern.
Problem 1: das geht nicht, weil ich den CDN-ReverseProxy nicht zum Lauschen auf den Ports 8083, 7070 und 8096 überreden kann.
Daher der nächste Zwischenschritt: ich aktiviere den in DSM integrierten ReverseProxy und richte für alle 3 Services ein eigenes AAAA-Record mit Verweis auf die gleiche IPv6-Adresse ein. In diesem Zuge kann man dann auch gleich hxxpS aktivieren, auch wenn die eigentlichen Dienste das nicht können oder wollen. (Falls hier jemand mitliest, der das nutzen möchte: weiterhin trage ich alle 3 als Ausnahme beim DNS-Rebind-Schutz der Fritte ein).
Von nun an sind die Dienste (über IPv6!) mit folgenden URLs erreichbar:
FHEM unter hxxps://fhem.sven77.ipv64.net/
EVCC unter hxxps://evcc.sven77.ipv64.net/
Jellyfin unter hxxps://jellyfin.sven77.ipv64.net/
Die Verteilung auf die verschiedenen Ports je nach genutzem FQDN übernimmt der ReverseProxy der Synology.
Damit zurück zur IPv4-Erreichbarkeit von außen bzw. Problem 2:
Der CDN-ReverseProxy kann die Anfragen ja nur direkt an die IPv6-Adresse der Synology weiterreichen, ohne einen FQDN zu nutzen (denn der führt ja zu ihm selbst). Daher kann der ReverseProxy in der Synology nun nicht mehr wissen, welcher Service denn gewünscht wird.
Also weiter zum 2. Zwischenschritt:
Zusätzlich zu den o.g. Namen richte ich drei weitere ReverseProxy-Einträge ein, die unabhängig vom benutzten Namen auf verschiedenen Ports lauschen:
FHEM unter hxxps://*:58083/
EVCC unter hxxps://*:57070/
Jellyfin unter hxxps://*:58096/
Dann gebe ich diese 3 Ports ebenfalls in der Fritte frei und bin endlich soweit, dass ich für jeden der 3 einen CDN-ReverseProxy konfigurieren kann.
Doch hier kommt dann eben Problem 3:
Für die 3 verschiedenen Präfixe „fhem“, „evcc“ und „jellyfin“ kann ich zwar verschiedene AAAA-Records anlegen, in meinem Fall sind die aber alle identisch und ich müsste vielmehr verschiedene Backend-Ports eingeben!
Erst dann könnte ich die einfachen FQDNs nutzen, die dann im Falle von IPv4 (oder für „Full Proxy“ in jedem Fall) folgenden Weg gehen, diesmal nur an einem Beispiel:
hxxps://fhem.sven77.ipv64.net/ → CDN-ReverseProxy → hxxps://[2a01::1234]:58083/ → Synology-RevervseProxy → hxxp://127.0.0.1:8083/
Da aber die ReverseProxy-Einstellungen für ALLE Präfixe einer Subdomain gleich sind, ginge das aktuell nur über 3 verschiedene Subdomains, z.Bsp. „fhem-sven77.ipv64.net“, „evcc-sven77.ipv64.net“ und „jellyfin-sven77.ipv64.net“.
Das macht aber einerseits die Zertifikatsverwaltung umständlicher und limitiert letztlich im freien Account auch auf 3 Dienste…