Ich habe mal drei Fragen an die Netzwerkspezialisten. Eins vorab: Ich greife extern nur per VPN auf mein Synology-NAS zu.

Wenn ich bei meinem Webhoster (all-inkl) einen DDNS-Eintrag erstelle "vpn.example.com", kann ich diese Domain auf mein NAS zeigen lassen.
Dasselbe kann ich aber auch erreichen, wenn ich einen CNAME-Eintrag für die Domain example.com erstelle. Bei einem CNAME-Eintrag kann ich dann noch auf eine DynDNS von Synology zeigen, für die ein Zertifikat existiert.
Welcher Weg ist besser?

Dann habe ich noch ein zweites Problem. Bitwarden ist über die Mac-App mit http://bitwarden.example.com:1234 (nur) innerhalb des Netzes erreichbar. Die iOS-App weigert sich und verlangt https. Eine Reverse Proxy-Einstellung a la https://bitwarden.example.com (https 443 zu http localhost 1234) führt nicht zum Ziel. Bei anderen Anwendungen klappt das. In der iOS-Bitwarden-App kann ich nur die interne IP hinterlegen, das ist das einzige, was klappt. Hat jemand eine Idee, was das Problem ist? Es ist nicht das Ziel, dass Bitwarden von extern erreichbar sein soll.

Dritte Frage: Wenn ich so einen Reverse Proxy für eine Domain einrichte, ist dann der Netzverkehr ausschließlich innerhalb meines Netzes, wenn ich selbst innerhalb des Netzes bin oder wird das erst einmal über Cupertino oder sonst wo geleitet? Ist so ein nginx-Reverse Proxy sicherer als der Standard von Synology?

Frage 2 habe ich nun gelöst. Mit einer anderen Domain (beide haben Zertifkate von Let's Encrypt) hat es geklappt (samt Reverse Proxy) und die Bitwarden-App akzeptiert nun eine https-Adresse auf Port 443. Na gut, dann soll es so sein...

Ich kann Dir nur sagen wie ich das mache, ob das "gut" ist sei mal dahingestellt.

Ich verwende dyndns um von außen meinen Server zu finden. Auf dem ist Port 80 und 443 freigegeben um ein Letsencrypt Zertifikat automatisch erneuern zu können (certbot). Im lokalen Netz betreibe ich einen Caching DNS, der für meine Dyndns Adresse die lokale IP rausgibt. Alles andere wird nach außen abgefragt. Der lokale DNS wird per DHCP im Netz verteilt oder eben bei festen Rechnern fix eingestellt. Wenn ich also lokal unterwegs bin, bleibt definitiv alles intern (nicht mal die DNS Anfrage geht raus). Von extern wird die dyndns auf meine IP vom Provider aufgelöst. Ich muss nichts am iphone/MacBook umstellen, wenn ich von "innen" nach "aussen" wechsle.

Musste erstmal schauen, was Caching DNS ist.... Das erledigt ja der Reverse Proxy mit dem ich an "localhost" weiterleite. Deine Lösung erfordert sicherlich einen DHCP-Server, den ich nicht eingerichtet habe.

Das einzige, was mir einfällt, was bei CNAME statt DynDNS das Problem sein könnte, ist, dass bei DNS-Abfragen sichtbar ist, welche Subdomains ich betreibe. Keine Ahnung, ob das tatsächlich ein Problem ist. Ansonsten erscheint mir das komfortabler, da ich nicht kontrollieren muss, ob die DynDNS-Abfragen funktionieren.

Ich hoffe, ich habe deinen Post verstanden. Du möchtest per VPN auf dein NAS zugreifen und als Zieladresse einen eingängigen, hübschen Namen verwenden.
Ja, beim DynDNS von Synology (synology.me?) existiert ein Zertifikat, allerdings nur für diesen Namen. Wenn du einen CNAME auf die Adresse deuten lässt und damit einen Dienst verwendest, der das Zertifikat prüft, wirst du einen Fehler erhalten. Für VPN (alle außer SSL VPN) dürfte das aber keine Rolle spielen.
Grundsätzlich funktioniert DynDNS von all-inkl sehr gut und es ist keine dritte Partei mit im Boot, die die Anfragen annimmt und weiterleitet.
Somit sollte auch die Frage aus deinem letzten Post beantwortet sein.
Nur bin ich mir nicht sicher, was du mit Reverse Proxy meinst.
Ein Reverse Proxy steht i.d.R. zwischen zwei Netzen, nimmt Anfragen entgegen und leitet sie, ggfs. unter der Anwendung von Regeln, weiter. Dabei kann er die Verbindung auch unterbrechen, reinschauen und selbst wieder aufbauen.
Zur dritten Frage heißt das erstmal, dass synology.me kein Reverse Proxy ist. Vielmehr ist es eine Meta-Plattform, die dem Client mittels HTTP Callout den Pfad zu den eigentliche Daten (auf deinem NAS) serviert.
Somit laufen die Daten in diesem Fall wenigstens über deinen Router und nicht direkt zwischen Rechner und NAS.
Da du aber schreibst, dass du nur per VPN auf dein NAS zugreifen willst, brauchst du keinen Reverse Proxy.

Benutzt ihr beide eure öffentlichen Domains um lokale Adressen aufzulösen?

Nun, ich nutze die ipv6-Adresse der Diskstation. Die Diskstation ist von außen aber nur per VPN zu erreichen oder über den Port 443.
Mit dem Reverse Proxy der Synology (findet sich in den Systemeinstellungen) kann ich die Synology über https von außen zugänglich machen. Damit nur der Port 443 geöffnet ist, richte ich eine DynDNS-Adresse ein und leite dann z.B. https://vpn.example.com:443 an http://localhost:1234 weiter.
Diese Adresse vpn.example.com richte ich üblicherweise als DynDNS bei all-inkl. ein. Stattdessen kann ich aber auch vpn.example.com per CNAME-Eintrag auf eine Synology-DynDNS-Adresse zeigen lassen.
Damit ich ein Zertifikat von Let's Encrypt habe, fordere ich auf der Synology wiederum einfach ein weiteres Zertifikat an für vpn.example.com. Und das funktioniert sogar!
VPN ist bei mir das VPN Plus von Synology, was ein SSL VPN ist. Funktioniert auch.

Ich persönlich nutze die CNAME Einträge für Reverse Proxy wie mein Vorredner. So ist das einzige was ich freigegeben habe Port 80 und 443. VPN wäre noch sicherer, aber das ist ein guter Kompromiss. So hat man Subdomains für jeden Dienst. DynDNS für deine Domain brauchst du natürlich trotzdem. So kann man auch HTTP direkt auf HTTPS weiterleiten. Nachteil: Funktioniert nur mit HTTP/S Diensten. Ich habe das für RDP/SSH mit einem Apache Guacamole gelöst den man per 2FA sicherer machen kann.

marcel151
Danke. Wenn Du das ebenso mit CNAME machst, dann weiß ich, dass ich mir hier nicht mutwillig ein Einfallstor baue. Ich habe dann drei Ports offen 80, 443 und für VPN.

2FA hört sich gut an. Dann müsste ich Apache Guacamole per Docker installieren. Das wäre dann die nächste Ausbaustufe. Ich sollte IT-Sicherheit wie ein seltsames Hobby so wie eine Modelleisenbahn betrachten. Dafür muss schon viel Zeit investiert werden

So, nach einer Woche Erfahrung muss ich sagen, dass CNAME Einträge nicht gut funktionieren. Mit DDNS-Einträgen bei all-inkl funktioniert dagegen alles einwandfrei.
Hintergrund ist, dass ich einen Joplin Server auf einem Docker Container der Synology eingerichtet habe. Da ich bei einem CNAME-Eintrag nur eine Domain eingeben kann und keine IP, streikte irgendwann immer diese Synology-DDNS, auf die ich verwiesen habe. Nach einer paar Stunden funktionierte der Sync dann nicht mehr.
Nun, mit einem DDNS-Eintrag auf die IPv6 der Synology und dann per Reverse Proxy auf den Port des Joplin Servers funktioniert alles perfekt.

Frage: Kann mir jemand einen DDNS Updater für die Synology empfehlen? Das Paket DDNS Updater 2 funktioniert nicht mehr mit dem aktuellen DSM 7.

Leider nicht, aber hast du ne Fritzbox davor? Die macht DDNS von all-inkl hervorragend.
Unabhängig davon solltest du auch den Stealth-Mode aktivieren (falls Fritzbox).

Dass der CNAME nicht funktioniert liegt vermutlich weniger an ihm selbst, sondern an dem Namen, auf den du ihn verweist.

Btw ist deine Synology SO nicht nur per VPN zu erreichen, wie du es beschreibst.

Keine Fritzbox, sondern ein Synology Router. Der kann wohl DDNS für IPv4-Adressen von all-inkl. Muss ich mal probieren, wie gut das klappt.
Das denke ich auch, aber ich habe keinen besseren Namen (DDNS) zur Zeit. Eigentlich fand ich die Lösung mit CNAME recht elegant.

Es wird Port 80 oder 443 benötigt, in DSM 6.2.x beim Erneuern auch so angezeigt. Den unsicheren Port 80 würde ich also gleich wieder im Router bei den Port-Freigaben wegnehmen.

Danke für den Hinweis. Für den Router war der Port schon zu, aber durch eine Portweiterleitung war bei mir 80 noch für das NAS offen. Nun gibt es nur noch 443.