Reverse proxy alleen toegankelijk via VPN lukt niet

Ik heb hier een Synology DS920+ die ik onder andere in heb gezet als een reverse proxyserver voor dingen als WireGuard, AdGuard, Omada, Plex, de Marantz web GUI, etc. Ik dacht door middel van de Access Control Profile pagina mooi twee regels te hebben gemaakt, waarbij ik wil dat de reverse proxy benaderbaar is door:

• alle apparaten op het lokale netwerk, en:
• alle apparaten die via WireGuard verbonden zijn met mijn VPN

De rest moet geblokkeerd zijn. Nu dacht ik dit in te kunnen stellen door het volgende in te voeren:



Mijn interne subnet is dus 10.0.0.0/24 en WireGuard staat zo ingesteld:



Ik krijg het niet voor elkaar als ik de regels zo heb, dat ik dan toegang heb tot die reverse proxies, zowel lokaal als via WireGuard niet. Dan krijg ik de melding (van Synology): "Sorry, de pagina die u zoekt kan niet weergegeven worden." Het lijkt er dus op dat de Deny rule van toepassing is. Zowel op de iPhone via Safari als lokaal op Windows 11 met Chrome krijg ik deze melding dan.

Als ik de Deny rule in zijn geheel weghaal om te testen, lukt het wel. Wat zie ik over het hoofd?

Frogmen schreef op woensdag 14 juni 2023 @ 12:45:
Ik neem aan dat je intern een DNS server hebt draaien, als je verder vanuit je router geen poort forwards hebt naar Synology is dit volgens mij niet nodig en mag die reverse proxy door iedereen te benaderen zijn. Het enige met je VPN moet je wel je interne DNS meepushen anders kent hij die niet.

Dit snap ik niet. Ja, ik heb op de Synology in Docker AdGuard draaien die dienstdoet als DNS-server (en hetzelfde ip-adres heeft als de Synology), maar wat heeft dit te maken met access control? Ik heb het net even getest trouwens, door het ip-adres van AdGuard in het lijstje erbij te zetten, maar dat verandert niks.

Frogmen schreef op woensdag 14 juni 2023 @ 12:59:
Waarvoor wil je access control op je reverse proxy server?

Omdat ik niet wil dat die open en bloot aan het internet hangen. Behalve Plex dan.

Frogmen schreef op woensdag 14 juni 2023 @ 14:13:
[...]

Tja als je dat niet duidelijk meld samen met het feit dat je IP6 gebruikt dan wordt het knap lastig. Is niet echt iets standaards dat je per reverse proxy instance access rules kan definieren.

Dat ik het niet meldde, komt omdat ik daardoor nog niet getriggerd was. En die access control rules functionaliteit (dus instellen per reverse proxy) zit standaard in DSM, maar was niet relevant, want het ging me om missende rules in het algemeen, niet of die functionaliteit per reverse proxy was in te stellen.

Mooi dat het opgelost is, al ben ik wel benieuwd naar je router instellingen en moet je nog steeds heel erg goed kijken of wat je dicht wil hebben ook dicht zit.
Persoonlijk zou ik alles achter VPN houden en plex niet bereikbaar vanaf internet alleen via VPN.

Het hele punt van reverse proxies is juist dat je behalve poort 443 niks open hoeft te zetten naar de NAS. Daarnaast is Plex achter een VPN niet handig, want ik gebruik mijn Plex-server voor vrienden en familie en om ze nou allemaal uit te gaan leggen hoe ze een bepaalde tv of Apple TV met mijn VPN moeten laten verbinden.... tja. Daarnaast heb ik 2FA actief voor Plex.