Matrix Synapse Server Setup

Installations- und Konfigurationshandbuch

•      Docker und Docker Compose auf dem vServer

•      Plesk mit Nginx als Webserver

•      Domain mx.nanotec.org mit SSL-Zertifikat (Let's Encrypt via Plesk)

•      Postfix/Exim als Mailserver auf dem Host

Datei: /opt/dockers/synapse/docker-compose.yml

•      postgres – PostgreSQL 16 Alpine als Datenbankbackend

•      synapse – avhost/docker-matrix Image

•      /opt/dockers/synapse/data → /data

•      /opt/dockers/synapse/media_store → /media_store

•      /opt/dockers/synapse/pgdata → /var/lib/postgresql/data

•      3478:3478 – TURN/STUN (Coturn)

•      8008:8008 – Client-Server API (intern, Nginx leitet weiter)

Wichtig: Port 8448 wird nicht in Docker gemappt – Nginx übernimmt diesen direkt.

Damit der Container den Host-Mailserver erreichen kann:

extra_hosts:  - "host.docker.internal:host-gateway"

Prüfen ob der Eintrag gesetzt ist:

docker exec synapse cat /etc/hosts

docker run -it --rm \   -v /opt/dockers/synapse/data:/data \   -e SERVER_NAME=mx.nanotec.org \   -e REPORT_STATS=no \  avhost/docker-matrix:latest generate

In homeserver.yaml den SQLite-Block ersetzen:

database:   name: psycopg2   args:    user: synapse     password: PASSWORT     database: synapse     host: postgres     cp_min: 5     cp_max: 10

listeners:   - port: 8008     tls: false     type: http     x_forwarded: true     bind_addresses: ['0.0.0.0']     resources:       - names: [client, federation]         compress: false

Synapse kommuniziert intern mit dem Host-Mailserver auf Port 25 ohne TLS und ohne Authentifizierung.

email:   smtp_host: "host.docker.internal"  smtp_port: 25  require_transport_security: false  notif_from: "robot@nanotec.org"   app_name: "Matrix"   enable_notifs: true   notif_for_new_users: true   validation_token_lifetime: 1h

In /etc/postfix/main.cf das Docker-Subnetz ergänzen:

mynetworks = 127.0.0.0/8 172.16.0.0/12

Danach:

systemctl reload postfix

Federation erfordert Port 8448 von außen über HTTPS. Nginx übernimmt TLS-Terminierung und leitet intern auf Port 8008 weiter.

/etc/nginx/plesk.conf.d/vhosts/matrix-federation.conf

Hinweis: Nur Dateien in /etc/nginx/plesk.conf.d/vhosts/ werden von Plesk automatisch eingebunden.

server {     listen 8448 ssl;     listen [::]:8448 ssl;     server_name mx.nanotec.org;      ssl_certificate     /opt/psa/var/certificates/scf4nSFAB;     ssl_certificate_key /opt/psa/var/certificates/scf4nSFAB;     location / {         proxy_pass http://127.0.0.1:8008;        proxy_set_header X-Forwarded-For $remote_addr;         proxy_set_header X-Forwarded-Proto $scheme;         proxy_set_header Host $host;         client_max_body_size 50M;         proxy_http_version 1.1;     } }

Zertifikatspfad ermitteln:

grep ssl_certificate /etc/nginx/plesk.conf.d/vhosts/mx.nanotec.org.conf

nginx -t && systemctl reload nginx

ss -tlnp | grep 8448

Erwartet: nginx als Prozess (nicht docker-proxy)

Online-Tester:

https://federationtester.matrix.org/#mx.nanotec.org

Direkter API-Test:

curl -v https://mx.nanotec.org:8448/_matrix/key/v2/server

Plesk erneuert Let's Encrypt Zertifikate automatisch. Der Pfad in /opt/psa/var/certificates/ kann sich dabei ändern. Nach jeder Erneuerung Federation-Tester prüfen und ggf. matrix-federation.conf aktualisieren.

enable_registration: false

•      /opt/dockers/synapse/data – Konfiguration & Signing Keys

•      /opt/dockers/synapse/media_store – Mediendateien

•      /opt/dockers/synapse/pgdata – PostgreSQL Datenbank

•      /etc/nginx/plesk.conf.d/vhosts/matrix-federation.conf

•      Neustart (kein Datenverlust): docker restart synapse

•      Neu erstellen: docker compose up -d --force-recreate synapse

•      Logs: docker logs -f synapse

•      Extra-Hosts prüfen: docker inspect synapse | grep -A5 ExtraHosts

•      Hosts im Container: docker exec synapse cat /etc/hosts