Synology Reverse Proxy einrichten: Schutz vor ungewolltem Zugriff

Ein korrekt konfigurierter Reverse Proxy auf deiner Synology NAS ist der Schlüssel, um deine selbst gehosteten Dienste sicher über das Internet zugänglich zu machen, während du gleichzeitig unerwünschte Zugriffe effektiv blockierst. In diesem umfassenden Leitfaden zeige ich dir, wie du einen Reverse Proxy auf deiner Synology DiskStation einrichtest, welche Sicherheitsmaßnahmen du implementieren solltest und wie du gezielt den Zugriff auf deine Dienste kontrollierst. Mit den richtigen Einstellungen kannst du deine Netzwerkstruktur verbessern, die Sicherheit erhöhen und den Komfort beim Zugriff auf deine Dienste deutlich steigern.

Grundlagen zum Reverse Proxy

Was ist ein Reverse Proxy?

Ein Reverse Proxy ist ein Server, der zwischen Clients (wie deinem Webbrowser) und Backend-Servern (deinen Diensten) steht. Im Gegensatz zu einem gewöhnlichen Proxy, der Anfragen von internen Clients an externe Server weiterleitet, nimmt ein Reverse Proxy Anfragen von externen Clients entgegen und leitet diese an die entsprechenden internen Server weiter. Dies geschieht für den Client völlig transparent – er merkt nicht, dass er mit einem Proxy kommuniziert.

Wenn du beispielsweise eine Webadresse in deinen Browser eingibst, landet deine Anfrage nicht direkt beim Zielserver, sondern zunächst beim Reverse Proxy. Dieser entscheidet dann, an welchen internen Server oder Dienst die Anfrage weitergeleitet werden soll – sei es ein Docker-Container oder ein physischer Server in deinem Netzwerk. Der Zielserver verarbeitet die Anfrage und sendet das Ergebnis zurück an den Reverse Proxy, der es wiederum an dich weiterleitet.

Der Reverse Proxy übernimmt dabei mehrere wichtige Funktionen: Er kann den gesamten Verkehr verschlüsseln, verschiedene Anfragen an verschiedene Server weiterleiten und als zentrale Schnittstelle für alle Zugriffe von außen dienen. Auf einer Synology DiskStation ist der Reverse Proxy direkt ins Betriebssystem integriert und kann ohne zusätzliche Software genutzt werden.

Vorteile eines Reverse Proxy auf der Synology NAS

Ein Reverse Proxy auf deiner Synology NAS bietet zahlreiche Vorteile, die sowohl die Sicherheit als auch den Komfort bei der Nutzung deiner selbst gehosteten Dienste verbessern:

1. Zentrale SSL/TLS-Verschlüsselung: Der Reverse Proxy kann den gesamten Datenverkehr vom Internet bis zu deiner NAS verschlüsseln, selbst wenn die eigentlichen Dienste nur unverschlüsseltes HTTP unterstützen. Dies erhöht die Sicherheit deiner Daten erheblich.
2. Vereinfachter Zugriff durch URL-Umschreibung: Statt komplizierte IP-Adressen und Portnummern zu verwenden (wie http://192.168.0.10:18431), kannst du benutzerfreundliche Domains nutzen (wie https://dienst.meinedomäne.de).
3. Reduzierte Angriffsfläche: Du musst nur die Ports 80 und 443 in deinem Router freigeben, anstatt für jeden Dienst einen separaten Port zu öffnen. Jeder offene Port ist ein potenzielles Sicherheitsrisiko, daher ist es besser, so wenige wie möglich zu haben.
4. Verbesserte Sicherheit: Der Reverse Proxy schützt deine internen Server, da diese nicht direkt aus dem Internet erreichbar sind. Zudem kannst du auf der NAS zusätzliche Sicherheitsmaßnahmen implementieren.
5. Zentralisierte Verwaltung: Alle externen Zugriffe auf deine verschiedenen Dienste können über eine einzige Schnittstelle verwaltet werden, was die Administration erheblich vereinfacht.
6. Flexibilität: Du kannst dynamisch entscheiden, welche Dienste du nach außen freigibst und unter welchen Bedingungen sie erreichbar sein sollen.

Typische Anwendungsfälle

Ein Reverse Proxy auf deiner Synology NAS eignet sich hervorragend für verschiedene Anwendungsfälle:

1. Zugriff auf selbst gehostete Dienste: Mache deine Docker-Container wie Nextcloud, Webservices oder selbst entwickelte Anwendungen über das Internet sicher zugänglich.
2. Heimnetzwerk-Dienste: Greife von unterwegs auf deinen Home Assistant, Media-Server oder andere Smart-Home-Geräte zu.
3. Gemeinsame Nutzung von Inhalten: Teile Fotos, Videos oder Dokumente mit Freunden und Familie über die Synology-Anwendungen Photos, Video Station oder Drive, ohne direkt Zugriff auf deine NAS zu gewähren.
4. Entwicklungsumgebungen: Teste deine Webprojekte in einer realen Umgebung, indem du temporären Zugriff auf Entwicklungsserver ermöglichst.
5. Geschäftliche Anwendungen: Ermögliche Mitarbeitern den sicheren Fernzugriff auf interne Ressourcen, ohne ein komplexes VPN einrichten zu müssen.

Voraussetzungen für die Einrichtung

Hardware- und Systemanforderungen

Um einen Reverse Proxy auf deiner Synology DiskStation einzurichten, benötigst du:

• Eine Synology NAS mit aktuellem DSM-Betriebssystem (DSM 6.x oder höher)
• Ausreichend Systemressourcen, insbesondere wenn der Proxy bei hoher Last und/oder mit vielen SSL-Verbindungen arbeiten soll
• Freien Speicherplatz für SSL-Zertifikate und Protokolldateien
• Optional: Docker-Unterstützung, falls du zusätzliche Proxy-Lösungen wie NGINX Proxy Manager verwenden möchtest

Die gute Nachricht ist, dass der integrierte Reverse Proxy relativ ressourcenschonend ist und auf den meisten Synology-Modellen problemlos läuft. Bei einer größeren Anzahl von gleichzeitigen Verbindungen oder komplexeren Konfigurationen solltest du jedoch ein leistungsfähigeres Modell verwenden.

Netzwerkvoraussetzungen

Für eine erfolgreiche Einrichtung deines Reverse Proxy sind folgende Netzwerkvoraussetzungen zu erfüllen:

1. Stabile Internetverbindung: Eine zuverlässige Verbindung mit ausreichender Bandbreite, idealerweise mit einer statischen IP-Adresse oder einer DDNS-Lösung.
2. Router mit Port-Forwarding: Dein Router muss die Möglichkeit bieten, Ports weiterzuleiten. Dies ist notwendig, um Anfragen von außen an deine Synology NAS weiterzuleiten.
3. DualStack-Internetanschluss: Wie in den Suchergebnissen erwähnt, funktioniert ein Reverse Proxy nicht mit DS-Lite-Anschlüssen, da hier kein direktes Port-Forwarding möglich ist. Du benötigst einen DualStack-Anschluss.
4. Korrekte Portfreigaben: Die Ports 80 (HTTP) und 443 (HTTPS) müssen in deinem Router auf die interne IP-Adresse deiner Synology DiskStation weitergeleitet werden.
5. Feste interne IP-Adresse: Deine Synology NAS sollte eine feste IP-Adresse im lokalen Netzwerk haben, damit die Portweiterleitung stabil funktioniert.

Erforderliche Domaineinstellungen

Ein wichtiger Aspekt beim Einrichten eines Reverse Proxy ist die Konfiguration der Domain:

1. Eigene Domain: Du benötigst eine eigene Internet-Domain. Dies kann eine kostenpflichtige Domain sein oder du nutzt den kostenlosen Synology DDNS-Dienst mit Subdomains wie name.synology.me.
2. DNS-Konfiguration: Bei einer eigenen Domain muss diese auf deine externe IP-Adresse zeigen. Dazu richtest du A-Records ein, entweder für die Hauptdomain oder für Subdomains wie dienst.meinedomäne.de.
3. Subdomains: Für jeden Dienst, den du über den Reverse Proxy erreichbar machen möchtest, solltest du idealerweise eine eigene Subdomain einrichten.
4. DDNS-Setup: Falls du keine statische IP-Adresse hast, solltest du einen DDNS-Dienst einrichten, der deine wechselnde IP-Adresse automatisch mit deiner Domain verknüpft. Synology bietet einen kostenlosen DDNS-Dienst an, du kannst aber auch Drittanbieter wie no-ip.com nutzen.
5. DNS-Einstellungen beim Provider: Du musst Zugriff auf die DNS-Einstellungen deiner Domain haben. Nicht alle Domain-Anbieter erlauben umfangreiche DNS-Konfigurationen, daher solltest du dies vor dem Kauf einer Domain prüfen.

Schritt-für-Schritt-Einrichtung des Reverse Proxy

Zugriff auf die Systemsteuerung der Synology

Um mit der Einrichtung deines Reverse Proxy zu beginnen, musst du zuerst auf die Systemsteuerung deiner Synology DiskStation zugreifen:

1. Öffne einen Webbrowser und gib die lokale IP-Adresse deiner Synology NAS ein, z.B. http://192.168.0.100:5000
2. Melde dich mit deinem Administratorkonto an
3. Klicke in der DSM-Benutzeroberfläche auf das Icon "Systemsteuerung"
4. Im Bereich "Anwendungsportal" findest du die Option "Reverse Proxy"

Falls du den Bereich "Anwendungsportal" nicht finden kannst, stelle sicher, dass du mit einem Administratorkonto angemeldet bist und überprüfe, ob du eventuell eine ältere DSM-Version verwendest. In diesem Fall kann der Pfad leicht abweichen.

Aktivierung des Reverse Proxy

Bevor du Regeln für den Reverse Proxy erstellst, solltest du sicherstellen, dass die erforderlichen Dienste aktiviert sind:

1. Gehe in der Systemsteuerung zu "Anwendungsportal"
2. Wechsle zum Tab "Erweitert" (oder "Advanced")
3. Klicke auf "Reverse Proxy"
4. Wenn hier bereits eine Übersicht angezeigt wird, ist der Dienst bereits aktiviert
5. Falls nicht, überprüfe in den allgemeinen Einstellungen des Anwendungsportals, ob der Dienst aktiviert ist

Erstellung und Konfiguration von Proxy-Regeln

Nun kannst du beginnen, Proxy-Regeln für deine verschiedenen Dienste einzurichten:

1. Klicke im Reverse-Proxy-Bereich auf "Erstellen" (oder "Create")
2. Gib einen beschreibenden Namen für die Regel ein, z.B. "Mein-Docker-Container"
3. Konfiguriere die Quellen-Einstellungen:
   • Quelle-Protokoll: HTTPS (für verschlüsselten Zugriff)
   • Hostname: Deine Domain oder Subdomain, z.B. dienst.meinedomäne.de
   • Port: 443 (Standardport für HTTPS)
4. Konfiguriere die Ziel-Einstellungen:
   • Ziel-Protokoll: HTTP oder HTTPS (je nach Dienst)
   • Hostname: Lokale IP-Adresse des Dienstes (kann deine NAS oder ein anderes Gerät im Netzwerk sein)
   • Port: Der spezifische Port, auf dem der Dienst läuft (z.B. 8080 für einen Docker-Container)
5. Optional: Konfiguriere benutzerdefinierte Header unter dem Tab "Custom Header"
   • Für WebSocket-Unterstützung: Klicke auf "Create" und wähle "WebSocket" aus
6. Klicke auf "Speichern", um die Regel zu erstellen

SSL-Zertifikate einrichten und verwalten

Für eine sichere Verbindung über HTTPS benötigst du SSL-Zertifikate:

1. Gehe in der Systemsteuerung zu "Sicherheit" und dann zu "Zertifikat"
2. Klicke auf "Hinzufügen" und wähle "Neues Zertifikat hinzufügen"
3. Wähle "Zertifikat über Let's Encrypt anfordern"
4. Gib deine Domain oder Subdomain ein
5. Füge deine E-Mail-Adresse hinzu
6. Wähle "Domainvalidierung" als Validierungsmethode
7. Klicke auf "Anwenden"

Nach erfolgreicher Erstellung des Zertifikats musst du es noch deiner Domain zuweisen:

1. Gehe zurück zum Bereich "Reverse Proxy"
2. Klicke auf "Einstellungen" (oder "Settings")
3. Wähle deine Domain aus der Liste
4. Wähle das entsprechende SSL-Zertifikat aus
5. Bestätige mit "OK"

Beachte, dass Let's Encrypt-Zertifikate nur 90 Tage gültig sind. Die Synology erneuert diese jedoch automatisch, solange deine Domain korrekt konfiguriert ist und die Ports 80 und 443 weiterhin auf deine NAS weitergeleitet werden.

Sicherheitsmaßnahmen implementieren

Firewall-Konfiguration auf der Synology

Eine der wichtigsten Sicherheitsmaßnahmen, die du implementieren solltest, ist die Aktivierung und korrekte Konfiguration der Synology-Firewall:

1. Gehe in der Systemsteuerung zu "Sicherheit" und dann zu "Firewall"
2. Aktiviere die Firewall, indem du den Schalter auf "Ein" stellst
3. Optional: Aktiviere Firewall-Benachrichtigungen, um über blockierte Verbindungen informiert zu werden
4. Wähle die entsprechende Netzwerkschnittstelle aus (in der Regel LAN)
5. Stelle sicher, dass die Option "Bei Nichtzutreffen einer Regel: Zugriff verweigern" aktiviert ist
6. Klicke auf "Bearbeiten", um Regeln hinzuzufügen

Nun kannst du spezifische Regeln für deine Reverse-Proxy-Dienste erstellen:

1. Klicke auf "Erstellen", um eine neue Regel hinzuzufügen
2. Wähle bei Ports die Ports aus, auf denen dein Reverse Proxy läuft (80 und 443)
3. Definiere die Quellen, von denen aus der Zugriff erlaubt sein soll (z.B. bestimmte IP-Adressen oder IP-Bereiche)
4. Wähle "Erlauben" als Aktion
5. Speichere die Regel

Geografische Zugriffsbeschränkungen einrichten

Eine effektive Methode, um unerwünschte Zugriffe zu blockieren, ist die Einschränkung des Zugriffs auf bestimmte geografische Regionen:

1. Gehe in der Systemsteuerung zu "Sicherheit" und dann zu "Firewall"
2. Erstelle eine neue Regel
3. Wähle bei Ports die Ports aus, auf denen dein Reverse Proxy läuft
4. Klicke auf "Quell-IP" und dann auf "Land"
5. Wähle die Länder aus, aus denen der Zugriff erlaubt sein soll (z.B. nur Deutschland)
6. Stelle sicher, dass bei "Aktion" die Option "Erlauben" ausgewählt ist
7. Aktiviere die Option "Zugriff verweigern" am Ende der Regel
8. Speichere die Regel

Mit dieser Konfiguration wird der Zugriff auf deine Dienste nur aus den ausgewählten Ländern möglich sein, während Anfragen aus allen anderen Ländern blockiert werden.

Schutz vor direkten IP-Zugriffen

Ein häufiges Problem bei der Nutzung eines Reverse Proxy ist, dass Dienste trotz des Proxy direkt über die IP-Adresse und den entsprechenden Port erreichbar sein können. Um dies zu verhindern:

1. Konfiguriere deine Anwendungen so, dass sie nur auf localhost oder auf der internen Netzwerkschnittstelle lauschen
2. Nutze die Synology Firewall, um direkten Zugriff auf die Ports deiner Anwendungen zu blockieren
3. Implementiere Host-Header-Prüfungen, um sicherzustellen, dass nur Anfragen mit der korrekten Domain akzeptiert werden

Ein Beispiel für eine Firewall-Regel zum Schutz vor direkten IP-Zugriffen:

1. Erstelle eine neue Firewall-Regel
2. Definiere als Quell-IP "Alle" oder spezifische externe IP-Bereiche
3. Wähle bei den Ports die Ports deiner internen Dienste (nicht 80/443)
4. Setze die Aktion auf "Ablehnen"
5. Speichere die Regel

Authentifizierung hinzufügen

Für eine zusätzliche Sicherheitsebene kannst du eine Authentifizierung für deine über den Reverse Proxy erreichbaren Dienste einrichten. Der integrierte Synology Reverse Proxy bietet diese Funktion jedoch nicht direkt an. Hier einige Alternativen:

1. Dienst-eigene Authentifizierung: Nutze die in deinen Diensten eingebauten Authentifizierungsmechanismen
2. 2-Faktor-Authentifizierung (2FA): Aktiviere 2FA für deine Dienste, wo immer möglich
3. Erweiterte Reverse-Proxy-Lösungen: Erwäge die Nutzung von NGINX Proxy Manager oder einem benutzerdefinierten NGINX-Setup, das Authentifizierung unterstützt

Für eine fortgeschrittene Authentifizierung mit dem Synology Reverse Proxy benötigst du SSH-Zugriff und musst die Konfigurationsdateien direkt bearbeiten:

1. Aktiviere SSH in der Systemsteuerung unter "Terminal & SNMP"
2. Verbinde dich via SSH mit deiner DiskStation (z.B. mit PuTTY)
3. Logge dich zunächst als Admin-Benutzer ein und wechsle dann zu Root-Rechten
4. Bearbeite die entsprechenden Konfigurationsdateien, um Authentifizierung hinzuzufügen

Beachte, dass dieser Ansatz fortgeschrittene Kenntnisse erfordert und bei Updates verloren gehen kann.

Anwendungsbeispiele

Reverse Proxy für interne Docker-Container

Docker-Container sind eine beliebte Methode, um verschiedene Dienste auf einer Synology NAS zu betreiben. Mit einem Reverse Proxy kannst du diese Container elegant und sicher über das Internet zugänglich machen:

1. Erstelle eine neue Reverse-Proxy-Regel
2. Konfiguriere als Quelle deine Subdomain, z.B. container.meinedomäne.de mit Port 443
3. Stelle als Ziel die interne IP deiner Synology und den Port des Docker-Containers ein
4. Falls der Container WebSockets verwendet, füge einen entsprechenden Custom Header hinzu
5. Speichere die Regel und weise ein SSL-Zertifikat zu

Ein konkretes Beispiel für einen Vaultwarden-Container:

• Quell-Protokoll: HTTPS
• Hostname: vaultwarden.meinedomäne.de
• Port: 443
• Ziel-Protokoll: HTTP (oder HTTPS, falls der Container selbst HTTPS unterstützt)
• Hostname: 192.168.0.100 (IP deiner Synology)
• Port: 8080 (Port, auf dem der Vaultwarden-Container läuft)

Zugriff auf andere Geräte im Heimnetzwerk

Der Reverse Proxy kann auch genutzt werden, um auf andere Geräte in deinem Heimnetzwerk zuzugreifen, wie beispielsweise einen Home Assistant auf einem Raspberry Pi:

1. Erstelle eine neue Reverse-Proxy-Regel
2. Konfiguriere als Quelle deine Subdomain, z.B. homeassistant.meinedomäne.de mit Port 443
3. Stelle als Ziel die interne IP des Geräts (z.B. 192.168.0.200) und den entsprechenden Port ein
4. Füge bei Bedarf WebSocket-Unterstützung hinzu
5. Speichere die Regel und weise ein SSL-Zertifikat zu

Ein praktisches Beispiel:

• Quell-Protokoll: HTTPS
• Hostname: home.meinedomäne.de
• Port: 443
• Ziel-Protokoll: HTTP
• Hostname: 192.168.0.200 (IP des Home Assistant)
• Port: 8123 (Standard-Port für Home Assistant)
• Custom Header: WebSocket aktivieren

Webdienste mit individuellen Subdomains

Für verschiedene Webdienste auf deiner Synology, wie Photos, Drive oder Video Station, kannst du individuelle Subdomains einrichten:

1. Erstelle pro Dienst eine eigene Subdomain in den DNS-Einstellungen deiner Domain
2. Richte für jeden Dienst eine separate Reverse-Proxy-Regel ein
3. Stelle sicher, dass für jede Subdomain ein gültiges SSL-Zertifikat zugewiesen ist

Beispielkonfiguration für den Zugriff auf Synology Drive:

• Quell-Protokoll: HTTPS
• Hostname: drive.meinedomäne.de
• Port: 443
• Ziel-Protokoll: HTTPS
• Hostname: localhost
• Port: 5006 (interner Port für Synology Drive)

Diese Einrichtung ermöglicht es Benutzern, direkt auf den Dienst zuzugreifen, ohne sich zuerst am DSM anmelden zu müssen. Das verbessert die Benutzererfahrung erheblich und macht die Nutzung deiner Synology-Dienste fast so komfortabel wie die Nutzung von Cloud-Diensten.

Fazit und Ausblick

Die Einrichtung eines Reverse Proxy auf deiner Synology DiskStation bietet dir eine leistungsstarke Möglichkeit, deine selbst gehosteten Dienste sicher und komfortabel über das Internet zugänglich zu machen. Durch die Zentralisierung des Zugriffs, die SSL-Verschlüsselung und die verschiedenen Sicherheitsmaßnahmen erhöhst du nicht nur die Sicherheit deiner Daten, sondern auch die Benutzerfreundlichkeit deiner Anwendungen.

Mit den in diesem Artikel beschriebenen Schritten und Sicherheitsmaßnahmen kannst du einen robusten Schutz vor unerwünschten Zugriffen implementieren und gleichzeitig die Flexibilität bewahren, deine Dienste genau so zu nutzen, wie du es benötigst. Die Kombination aus Firewall-Regeln, geografischen Zugriffsbeschränkungen und Domain-basierter Authentifizierung bietet mehrere Sicherheitsebenen, die zusammen ein starkes Schutzschild bilden.

In Zukunft wird die Bedeutung sicherer Selbsthosting-Lösungen weiter zunehmen, da immer mehr Menschen ihre Daten unter eigener Kontrolle halten möchten. Synology entwickelt seine Produkte kontinuierlich weiter, und wir können davon ausgehen, dass zukünftige DSM-Versionen noch mehr integrierte Sicherheits- und Proxy-Funktionen bieten werden. Bis dahin bietet dir der aktuelle Reverse Proxy in Kombination mit den vorgestellten Sicherheitsmaßnahmen eine solide Grundlage für dein sicheres Heimnetzwerk.

Häufig gestellte Fragen