In einem vorhergehenden Artikel hatte ich bereits geschrieben, das ich ein paar wenige Keybase Einladungen zu vergeben habe. Ich habe nun noch ein paar zusätzliche bekommen und habe somit 17 weitere zu vergeben.
Wer Interesse hat, einfach hier kurz in die Kommentare posten oder mit mir Kontakt aufnehmen.
Da ich meinem Vater schon vor einer Weile eines meiner alten Raspberry Pi’s als Gateway für mein VPN zu Hause installiert habe, damit er z.B. meine NAS zu Hause einbinden kann und ich seine, kam mir neulich der Gedanke das ich ihm doch auch seine NAS Dienste über meinen Reverse Proxy zur Verfügung stellen könnte. Der Vorteil wäre das er keine Ports mehr in seinem Router zu Hause öffnen müsste und er meine Domain nutzen könnte, statt dieser verkrüppelten myfritz Domain, die er vorher nutzte.
Bei meiner alten Synology NAS (DS209j) ging das, indem ich einfach die entsprechenden ip addr add und ip route add Zeilen in die /etc/rc.local schreibe. Synology entschied aber scheinbar irgendwann zwischen DSM 4.2 und 6 diese zu deaktivieren. Im Synology Forum fand ich dann den Hinweis das man nun Scripte unter /usr/local/etc/rc.d/ ablegen kann, welche dann beim booten ausgeführt werden. Schöne Theorie, in der Praxis tat es das jedoch bei mir nicht.
Als ich mir dann mal den Aufgabenmanager des DSM anschaute, sah ich das man hier ja benutzerdefinierte Scripte ausführen kann und das nicht nur zeitgesteuert, sondern auch bei Events wie Boot oder Shutdown. Also habe ich hier eine entsprechende Aufgabe angelegt und mein Script in mein Home verlegt. Nach einem Neustart hatte das Interface jedoch immernoch keine zusätzliche IP bekommen, das Script wurde aber laut Eventlog ausgeführt und zwar ohne Fehler. Mir kam dann der Gedanke, das vielleicht das Script schon ausgeführt wird, bevor das Interface eigentlich Up gesetzt wird. Also schrieb ich einfach mal ein sleep 10 an den Anfang und siehe da, nun funktioniert es.
Sollte ja erstmal kein Akt sein. Nginx lief schon als Reverse Proxy auf einem meiner Server und ich fügte lediglich eine neue Server Sektion hinzu:
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name nas.de;
ssl_certificate /etc/letsencrypt/live/nas.de/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/nas.de/privkey.pem;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass https://1.1.10.20:5001;
}
}
An dieser Stelle habe ich das erste mal mit letsencrypt Zertifikaten gearbeitet. War sehr angenehm und einfach. Anschließend war die NAS schonmal erreichbar, man konnte sich einloggen und alles lief soweit – bis auf die Photostation.
Diese verwendet ja einen anderen Port, in meinem Fall 5002. Rief ich diese im lokalen Netz aus dem DSM heraus auf, hängt er lediglich /photo an die Domain an, machte ich es jedoch über den Reverse Proxy hängte er noch den Port mit an. In der Photostation ist es möglich den Routerport zu ändern, welchen ich dann in 443 abänderte. Anschließend versuchte ich es erneut, mit dem Ergebnis das er nun keinen Port mehr anhängt, die Adresse jedoch noch immer nicht erreichbar war. Ich fügte dann folgendes, zusätzlich, in die Server Sektion der Nginx Konfiguration ein, damit /photo intern auf Port 5002 weitergeleitet wird:
location /photo {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass https://1.1.10.20:5002/photo;
}
Das funktionierte dann auch und nun funktionierten alle Dienste soweit.
Da mein Vater die Apps von Synology ziemlich gut findet und diese auch ausführlich nutzt, müssen diese natürlich auch funktionieren. Ich ging also jede App durch und das Ergebnis war
Die Daten wurden von mir dabei in jeder App gleich eingegeben. Dann ging die Sucherei los, ich guckte auf der Synology Seite nach, ob diese Apps eventuell noch zusätzliche Ports benötigen oder man noch Rechte setzen musste und so weiter. Nachdem ich dabei zu keiner Lösung kam, schaute ich mir dann mal den Traffic mit tcpdump an und stellte fest das alle Apps, bis auf die DS Note, per Default, den Port 5001 nutzen, wenn man keinen anderen in die Domain anhängt. Also per iptables einen Redirect von port 5001 nach 443 auf dem Reverse Proxy eingrichtet und dann lief alles:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5001 -j REDIRECT --to-port 443 -m comment --comment "syno port fix"
Mir stellt sich da wieder die Frage was das soll. Entweder nutzt man den Standart HTTPS Port, wenn der Haken bei HTTPS gemacht wird oder man setzt einen Hinweis, das bei HTTPS der Port 5001 benutzt wird. Und das macht man dann bitte auch in jeder App einheitlich und nicht mal da so und da anders.
Alles in allem ist mein Vater nun glücklich und es funktioniert alles.
Ein Kollege hat sich in unserem Redmine eine benutzerdefinierte Abfrage für Abrechnungen gebastelt. Als er aus der Anzeige heraus dann ein PDF genieren wollte, bekam er nur die Error Page von Redmine zu sehen. Als Fehler bekam ich im Log folgendes:
ArgumentError (invalid byte sequence in UTF-8): lib/plugins/rfpdf/lib/tcpdf.rb:3037:in `gsub' lib/plugins/rfpdf/lib/tcpdf.rb:3037:in `escape' lib/plugins/rfpdf/lib/tcpdf.rb:3028:in `escapetext' lib/plugins/rfpdf/lib/tcpdf.rb:1748:in `Cell' lib/plugins/rfpdf/lib/tcpdf.rb:1968:in `Write' lib/plugins/rfpdf/lib/tcpdf.rb:3530:in `block in writeHTML' lib/plugins/rfpdf/lib/tcpdf.rb:3501:in `each' lib/plugins/rfpdf/lib/tcpdf.rb:3501:in `writeHTML' lib/plugins/rfpdf/lib/tcpdf.rb:3612:in `writeHTMLCell' lib/redmine/export/pdf.rb:141:in `RDMwriteHTMLCell' lib/redmine/export/pdf.rb:483:in `block in issues_to_pdf' app/helpers/issues_helper.rb:29:in `block in issue_list' app/helpers/issues_helper.rb:25:in `each' app/helpers/issues_helper.rb:25:in `issue_list' lib/redmine/export/pdf.rb:444:in `issues_to_pdf' app/controllers/issues_controller.rb:93:in `block (2 levels) in index' app/controllers/issues_controller.rb:86:in `index'
Es stimmte also etwas mit der Codierung nicht. Nun sah ich das in manchen Beschreibungen U+FFFD Charaktere (Unicode Replacement Charaktere) enthalten waren. Als ich dann mal nach dem Problem suchte in Bezug auf das PDF Plugin von redmine, fand ich dann auch einen entsprechenden Forumpost. Also hab ich kurzer Hand, wie beschrieben mal die Datei gepatcht:
patch /usr/share/redmine/lib/plugins/rfpdf/lib/tcpdf.rb < /tmp/tcpdf.diff
Anschließend funktionierte das PDF erstellen wieder ohne Probleme. In neuere Redmine Versionen ist dies natürlich schon behoben, die PPA Version hat aber nie ein Update erfahren, weswegen ich diese auch demnächst ersetzen werde.