By kage2k in synology — Jun 17, 2025

Moving from Synology Reverse Proxy to Nginx Proxy Manager

📋 개요

기존에 시놀로지 NAS의 내장 역방향 프록시와 Let's Encrypt 인증서로 운영하던 서비스들을 별도의 NPM(Nginx Proxy Manager)으로 통합 관리하는 과정을 기록했습니다.

🏗️ 기존 환경

NAS1 (192.168.1.13): 시놀로지 메인 서버
Let's Encrypt SSL 인증서 관리
시놀로지 내장 역방향 프록시로 서브도메인 관리
공유기 포트포워딩: 80/443 → NAS1
NAS2 (192.168.1.158): 새로운 NPM 전용 서버

🎯 목표 환경

NAS1: 내부 서비스만 담당
NAS2: NPM으로 모든 외부 트래픽 처리 및 SSL 관리

와일드카드 * 사용하신다면 꼭 아래 필수 설정을 하세요.

🚀 마이그레이션 과정

1단계: 기존 설정 백업

NAS1에서 백업한 정보:

기존 역방향 프록시 규칙 전체 목록
각 서브도메인별 연결 정보 (포트, 서비스)
Let's Encrypt 인증서 목록

2단계: NPM 설치 및 설정

Portainer Stack을 이용한 NPM 설치:

version: "3.8"
services:
  npm:
    container_name: npm
    image: 'jc21/nginx-proxy-manager:latest'
    restart: unless-stopped
    ports:
      - '380:80'    # HTTP (기본 80에서 변경)
      - '3443:443'  # HTTPS (기본 443에서 변경)  
      - '381:81'    # 관리 페이지
    environment:
      DB_MYSQL_HOST: "db"
      DB_MYSQL_PORT: 3306
      DB_MYSQL_USER: "npm"
      DB_MYSQL_PASSWORD: "npm"
      DB_MYSQL_NAME: "npm"
      DISABLE_IPV6: 'true'
    volumes:
      - /volume1/docker/npm/data:/data
      - /volume1/docker/npm/letsencrypt:/etc/letsencrypt
    depends_on:
      - db
    networks:
      - npm-network

  db:
    container_name: npm-db
    image: 'jc21/mariadb-aria:latest'
    restart: unless-stopped
    environment:
      MYSQL_ROOT_PASSWORD: 'npm'
      MYSQL_DATABASE: 'npm'
      MYSQL_USER: 'npm'
      MYSQL_PASSWORD: 'npm'
      TZ: 'Asia/Seoul'
    volumes:
      - /volume1/docker/npm/db:/var/lib/mysql
    networks:
      - npm-network

networks:
  npm-network:
    driver: bridge

포트 변경 이유:

시놀로지 웹 서버와 포트 충돌 방지
380/3443 포트로 변경하여 안정성 확보

3단계: Cloudflare API를 이용한 와일드카드 SSL 인증서 발급

Cloudflare API 토큰 생성:

Zone:Zone:Read + Zone:DNS:Edit 권한
해당 도메인에만 제한

DNS에 사용하지 않는 cname레코드는 전부 지운다.

NPM에서 와일드카드 인증서 발급:

Domain: *.abc.com, abc.com
DNS Challenge: Cloudflare
API 토큰 입력으로 자동 인증

4단계: 공유기 포트포워딩 변경

기존: 외부 80 → 192.168.1.13:80 외부 443 → 192.168.1.13:443

변경 후: 외부 80 → 192.168.1.158:380 외부 443 → 192.168.1.158:3443

5단계: SSL 리다이렉션 루프 문제 해결

문제점:

Cloudflare 프록시(🟠)와 NPM Force SSL이 동시에 작동하면 무한 리다이렉션 발생

해결방법:

Cloudflare DNS 레코드를 모두 DNS만(🔘) 설정으로 변경
NPM에서 Force SSL 활성화하여 SSL 리다이렉션 처리

6단계: 기존 환경 정리

NAS1에서 제거한 항목:

Let's Encrypt 인증서 삭제
모든 역방향 프록시 규칙 삭제
시놀로지 기본 인증서로 재발급 (내부 접속용)

⚙️ 서비스별 NPM 설정 권장사항

NAS1 (192.168.1.13) 서비스

서비스	Cache Assets	Block Common Exploits	WebSocket Support	비고
Nextcloud	✅	✅	✅	파일 동기화 + 실시간 알림
Memos	✅	✅	✅	노트 앱, 실시간 동기화
Transmission	✅	❌	✅	토렌트 웹UI, API 호출 많음
Vaultwarden	❌	✅	✅	보안 중요, 캐싱 위험
Watchtower	❌	❌	❌	컨테이너 자동 업데이트 도구

시놀로지 내장 서비스

서비스	Cache Assets	Block Common Exploits	WebSocket Support	비고
Synology Drive	✅	❌	✅	파일 동기화, API 호출 많음
Synology Chat	❌	✅	✅	실시간 메시징, 캐싱 위험
Synology Mail	❌	✅	✅	이메일 보안 중요
Synology Photos	✅	✅	✅	이미지 썸네일 캐싱 효과적
WebDAV	❌	❌	❌	파일 무결성 우선
시놀로지 DSM	✅	❌	✅	관리 인터페이스

NAS2 (192.168.1.158) 서비스

서비스	Cache Assets	Block Common Exploits	WebSocket Support	비고
시놀로지 DSM	✅	❌	✅	관리 인터페이스
Jellyfin	✅	❌	✅	미디어 스트리밍
Kavita	✅	✅	✅	만화/책 리더
MinIO	❌	❌	✅	S3 호환 스토리지
PicoShare	✅	✅	❌	파일 공유 서비스
Calibre-web	✅	✅	✅	전자책 관리
Uptime Kuma	✅	✅	✅	서비스 모니터링
Outline	✅	✅	✅	팀 위키/문서
Mazanoke	✅	✅	✅	만화 관리 도구

🎉 마이그레이션 완료 후 장점

통합 관리

모든 SSL 인증서를 NPM에서 중앙 관리
와일드카드 인증서로 새 서브도메인 추가 시 인증서 재발급 불필요

고급 기능

더 많은 프록시 설정 옵션
실시간 로그 모니터링
더 나은 웹 인터페이스

안정성

시놀로지 업데이트와 무관하게 독립적 운영
포트 충돌 없는 안정적인 서비스

🔧 문제 해결

NPM 컨테이너 상태가 "inactive"로 표시되는 경우

# 실제 상태 확인
docker ps -a

# 로그 확인
docker-compose logs -f npm

# 재시작
docker-compose restart npm

SSL 인증서 자동 갱신 확인

NPM 관리 페이지에서 인증서 만료일 확인
90일마다 자동 갱신되므로 별도 관리 불필요

📝 결론

기존 시놀로지 내장 기능에서 NPM으로 마이그레이션함으로써 더 전문적이고 안정적인 리버스 프록시 환경을 구축할 수 있었습니다. 특히 와일드카드 SSL 인증서를 통한 통합 관리와 Cloudflare와의 원활한 연동이 큰 장점으로 작용했습니다.

참고: 이 가이드는 실제 마이그레이션 경험을 바탕으로 작성되었으며, 환경에 따라 세부 설정이 달라질 수 있습니다.

추가 필수 설정

만일!! 와일드카드가 cloudflare dns에 등록 되어있다면,

꼭 아래 설정 하세요. 아래 설정 안하면,
랜덤서브도메인.도메인 으로 접속하면 npm 환영페이지로 가버립니다
조심하세요!!

NPM SSL 모니터링 스크립트 설정 가이드

텔레그램으로 NPM의 상황을 전달받을 수 있습니다.

npm_ssl_telegram_monitor

npm_ssl_telegram_monitor.zip

3 KB

압축파일을 풀고, sh 파일을 열면 아래의 사용자 수정 필수 항목을 수정해야합니다.

🔧 사용자 수정 필수 항목

1. 텔레그램 설정 (필수 ⭐⭐⭐)

# 라인 7-8: 본인의 텔레그램 정보로 변경
TELEGRAM_BOT_TOKEN="YOUR_BOT_TOKEN_HERE"        # ← 실제 봇 토큰으로 변경
TELEGRAM_CHAT_ID="YOUR_CHAT_ID_HERE"           # ← 실제 챗 ID로 변경

2. NPM 컨테이너 이름 (환경에 따라)

# 라인 11: NPM 컨테이너 이름 확인/변경
NPM_CONTAINER="npm"                            # ← docker ps로 확인 후 변경

3. 호스트 경로 (필수 ⭐⭐⭐)

# 라인 46: Let's Encrypt 마운트 경로 확인/변경
local host_letsencrypt_path="/volume1/docker/npm/letsencrypt"  # ← 실제 경로로 변경

4. 서버 정보 (선택사항)

# 라인 102, 147, 195, 233: IP 주소 변경
message+="🏠 <b>서버</b>: NPM (192.168.1.158)"   # ← 실제 NPM 서버 IP로 변경

📋 확인 방법

텔레그램 정보 확인

1. 텔레그램 봇 생성 및 Chat ID 확인

여러 블로그에서 소개 된것이 많이 있습니다. 아니면 기존 소유한것을 활용해도됩니다.

Docker 정보 확인

# NPM 컨테이너 이름 확인
docker ps | grep nginx-proxy-manager

# 마운트 경로 확인
docker inspect npm | grep -A5 -B5 letsencrypt

경로 확인

# Let's Encrypt 인증서 파일 존재 확인
ls -la /volume1/docker/npm/letsencrypt/archive/npm-*/

# 실제 경로 구조 확인
find /volume1/docker/npm/letsencrypt -name "*.pem" -type f

⚠️ 주의사항

필수 항목을 수정하지 않으면 스크립트가 작동하지 않습니다
경로가 틀리면 "인증서 정보를 찾을 수 없습니다" 에러 발생
컨테이너 이름이 틀리면 수동 갱신 기능이 작동하지 않습니다
텔레그램 정보가 틀리면 메시지 전송 실패

🧪 설정 완료 후 테스트

1. 권한 설정

chmod 700 npm_ssl_telegram_monitor.sh

755를 권한을 하여도 상관없습니다.

2. 테스트 실행

# 인증서 상태 확인 및 전송
./npm_ssl_telegram_monitor.sh -s

# 수동 갱신 시도 (주의: 실제 갱신 실행됨)
./npm_ssl_telegram_monitor.sh -r

# 사용법 확인
./npm_ssl_telegram_monitor.sh -h

📱 정상 작동 시 텔레그램 메시지 예시

📋 NPM SSL 인증서 상태 보고

📅 확인 시간: 2025-06-17 15:30:00
🏠 서버: NPM (192.168.1.158)

📜 인증서: npm-1 (v2)
🌐 도메인: *.example.com
   └ 와일드카드 포함 2개 도메인
📅 만료일: 2025-09-14 23:54
⏰ 남은 일수: ✅ 89일 (안전)
🔄 갱신 시기: 59일 후
📂 파일: fullchain2.pem

💡 참고: 만료 30일 전부터 자동 갱신됩니다.

🔄 자동 실행 설정 (선택사항)

Cron 설정 보다는 시놀로지 작업스케줄에서 root 작업을 만드세요

🚨 문제 해결

일반적인 오류와 해결책

"인증서 정보를 찾을 수 없습니다"
경로 확인: ls -la /volume1/docker/npm/letsencrypt/
Docker 마운트 확인: docker inspect npm
텔레그램 전송 실패
봇 토큰 재확인
Chat ID 재확인
네트워크 연결 확인
권한 오류
스크립트 권한: chmod 700 npm_ssl_telegram_monitor.sh
파일 소유권 확인

이 4가지 항목만 올바르게 수정하면 스크립트가 정상 작동합니다! 🎯