Synology Let's Encrypt Zertifikat & internet-box.ch: Kein HTTPS

Makrien

Hallo zusammen

Ich habe neu eine Synology - NAS und möchte die Verbindungen wegen Sicherheit über HTTPS nutzen.

Dabei habe ich zuerst auf der IB2 den DynDNS Dienst aktiviert und mir eine DNS Namen angelegt. (xxx.internet-box.ch)

Dann habe ich auf der IB2 die folgenden Portweiterleitungen hinzugefügt:

- HTTP: 80/TCP (Router) auf 80/TCP (Diskstation)
- HTTPS: 443/TCP (Router) auf 443/TCP (Diskstation)
- DSM HTTPS: 5001/TCP (Router) auf 5001/TCP (Diskstation)

Info: Im DMS der Synology NAS ist HTTP 5000 und HTTPS 5001 konfiguriert.

Danach habe ich ein Let’s Encrypt Zertifikat in der Synology-NAS mit demselben Namen wie zuvor der DNS-Namen der IB2 (xxx.internet-box.ch) erstellt und im DMS der Synology den HTTPS Port 5001 aktiviert.

Doch nach dem Service-Neustart der Synology kann ich mich noch immer nicht mit https anmelden. Das Zertifikat ist nicht vertrauenswürdig und im Browser wird die Seite zum Einstieg in das Webinterface als nicht sicher angezeigt.

Meldung: Der Hostname im Sicherheitszertifikat der Website unterscheidet sich von der Website, die Sie besuchen möchten.

Was habe ich falsch gemacht? Mit dem Let’s Encrypt Zertifikat in der Synology-NAS möchte ich einfach die Möglichkeit eine HTTPS und damit sichere Verbindung auf mein NAS zu erhalten.

Danke für eure Hilfe.

Gruss Makrien

POGO 1104

Du möchtest von extern zugreifen?

Mit was für einem Gerät? Welche App?

Tipp: Mach ein VPN und du hast eine sichere Verbindung in dein Heimnetz

PowerMac

@Makrien: Habe dir eine PN geschickt.

Makrien

Ich habe auf der IB2 den VPN-Server aktiviert und einen VPN Benutzer hinzugefügt. Die VPN-Verbindung von extern klappt. Geräte waren Handy und Notebook.

Ich wollte lediglich die Sicherheit auf meiner Synology erhöhen (gemäss Empfehlungen von Synology selbt) in dem HTTPS auf Port 5001 im DSM aktiviert wird. Dabei soll auch gleich ein Zertifikat installiert werden.

Stimmt denn das von mir erstellte Zertifikat von Let’s Encrypt mit dem Domain-Namen xxx.internet-box.ch nicht?

FlySmurf

Du musst das zertifikat noch als standard definieren und den diensten zuweisen

Makrien

Ja, ich habe es als Standard (im nachhinein und nicht beim erstellen) gesetzt und alle Dienste (FTPS, Systemvoreinstellung, Drive und Protokollempfang) auf xxx.internet-box.ch konfiguriert. Leider ist die Verbindung zum Webinterface (192.168.x.x) der DS noch immer nicht https, obwohl im DSM bei Netzwerk-Systemsteuerung-DSMEinstellungen der Haken bei “HTTP-Verbindungen automatisch zu HTTPS umleiten” aktiviert ist.

Tux0ne

Mach mal einen Reboot des ganzen NAS. Eventuell hat sich da was verstrickt. Aktuell ist bei dir noch das selbstsignierte Original von Synology aktiv.

Port 5001 musst du auf dem Router für die Zertifizierung nicht weiterleiten. Das würde ich löschen, da du die Konfig via VPN erreichen kannst.

Dani CH

Ich habe damals den dyndns dienst vom Synology genommen und dann das Lets Encrypt vom Synology verknüpft, und zwar nicht das von Swisscom (also: deines@synology.me, also unter Synology->Externer Zugriff->DDNS). Danach hats bei mir funktioniert.

Makrien

Danke für eure Antworten.

Ich habe einen Reboot des NAS gemacht, doch beim Starten des Webclients DSM mit https://192.168.x.x:5001 wird noch immer angezeigt, dass es nicht sicher ist und wenn ich auf das Zertifikat klicke um es anzuschauen, heisst es es sei ungültig. Wenn ich das Zertifikat mir öffnen lasse zum Anschauen steht dort "Ausgestellt für xxx.internet-box.ch, also diejenige Domäne, die ich in der IB2 beim DynDNS hinzugefügt habe. Ist das richtig? Ich bin mir nicht sicher.

wolewo

Also wenn ich bei mir mit der internen IP auf die Syno zugreife, dann steht das mir auch so drinn wie bei Dir.

Wie sieht es aus wenn Du vonn aussen auf die Syno zugreifst??

Dani CH

https://192.168.x.x:5001/

Via IP ists IMMER unsicher. Wenn Du aber via zb. ds.deinesyno.synology.me gehst, dann sollte es aber gehen. Browser Cache gelöscht?

Tux0ne

Ja richtig. Das Zertifikat ist immer für den Namen oder Namen gültig für welches es ausgestellt ist.

Du musst also via https://deinddns.internet-box.ch:5001 zugreifen.

Ich denke, dies funktioniert auch aus dem internen Netz, weil Swisscom für ihre Kunden NAT Loopback aktiv hat.

Ob das Zertifikat als sicher oder nicht sicher angezeigt wird, ist in diesem Fall eh relativ. Die Verbindung ist und bleibt verschlüsselt. Das Zertifikat ist einfach beglaubigt oder halt nicht, was bei internen Diensten nicht so schlimm ist.

Selber möchte ich auch das das die Verbindung grün ist. Das hier das Zertifikat spätestens alle 3 Monat erneuert werden muss, ist sicher auch ein Vorteil. Allerdings kann man für interne Clients auch ein selbstsigniertes Zertifikat importieren.

Makrien

Hallo zusammen, besten Danke für eure Antworten, es hat mir geholfen.

Ich habe mein gestern erstelltes Let’s Encrypt Zertifikat mit xxx.internet-box.ch als Standard gesetzt und alle Dienste darauf konfiguriert.

Es stimmt, wenn ich mich im Browser mit dem Domain-Namen des hinzugefügten Zertifikat https://xxx.internet-box.ch:5001 anmelde, dann klappt die verschlüsselte (https) Verbindung zum DSM.

Betreffen der Portweiterleitung in der IB2 muss ich jedoch schon den Port 5001 an die Synology weiterleiten, ansonsten ich so nicht auf die Webanmeldung vom DSM gelange.

Die Portweiterleitung TCP 80 von IB2 nach Synology muss ich schon aktiv setzen und halten, oder? Ich habe gelesen, dass das Let’s Encrypt Zertifikat den Port TCP 80 zur Überprüfung und Aktualisierung benötigt. Auch habe ich Port 443 HTTPS von IB2 nach Synology weitergeleitet. Weiss jemand, ob dies auch nötig ist?

Ich bin mir da ein wenig unsicher. Ich möchte sicher gehen, dass niemand ausser mir von unterwegs bzw. aus dem Internet auf meine Synology zugreifen kann. VPN-Zugriff funktioniert ja bestens. Ist es dann nur via VPN möglich? Dies ist natürlich sicher. Kann sonst niemand auf meine Synology aus dem Internet nicht autorisiert zugreifen?

Nochmals die Frage betreffend Domain-Name und dem erstellten Zertifikat. Wie oben erwähnt, habe ich in der IB2 bei DynDNS mir einen Domain-Namen erstellt. (xxx.internet-box.ch). Übrigens, damit klappt auch die VPN-Verbindung von unterwegs ohne Probleme. Auf denselben Namen habe ich auch ein Zertifikat von Let’s Encrypt auf der Synology erstellt und als Standard gesetzt. Muss das genau so übereinstimmen? Oder hätte ich auch den Domain-Namen des Syno-Zertifikats einen anderen Namen erstellen können? Ich blick’ da jetzt nicht grad durch.

Danke für eure Hilfe.

Gruss Makrien

Tux0ne

@Makrien schrieb:

Hallo zusammen, besten Danke für eure Antworten, es hat mir geholfen.

Ich habe mein gestern erstelltes Let’s Encrypt Zertifikat mit xxx.internet-box.ch als Standard gesetzt und alle Dienste darauf konfiguriert.

Es stimmt, wenn ich mich im Browser mit dem Domain-Namen des hinzugefügten Zertifikat https://xxx.internet-box.ch:5001 anmelde, dann klappt die verschlüsselte (https) Verbindung zum DSM.

Zum Verständnis. Die Verbindung ist mit https so oder so verschlüsselt. Mit einem gültigen Zertifikat reklamiert der Browser einfach kein Problem.

Betreffen der Portweiterleitung in der IB2 muss ich jedoch schon den Port 5001 an die Synology weiterleiten, ansonsten ich so nicht auf die Webanmeldung vom DSM gelange.

Ich weiss nicht wie NAT Loopback auf dem Router realisiert wird. Ob es nur für spezifische Ports funktioniert oder eine NAT Regel nötig ist. Wie auch immer, das ist schade. Denn du musst eine Portweiterleitung, sprich die DSM Verwaltung extern öffnen, was man nicht machen sollte, wenn man das nicht braucht.

Da die Swisscom Router keinen konfigurierbaren DNS anbieten, müsste man mit einem Workaround arbeiten. https://www.tuxone.ch/2013/12/dns-im-lokalen-netzwerk.html

Ja das ist für die Überprüfung, Beglaubigung durch den Bot nötig. Das Script von Synology ist dazu ausgelegt, ein Zertifikat über die HTTP resource zu beziehen. Wenn man jetzt einen Webserver betreibt und der auch öffentlich zugänglich ist, ist das ja kein Problem. Du hast aber keinen Webserver aktiv. Wenigstens wird der Webserver nur im Moment der Challenge aktiv. Somit ist das für diesen Augenblick noch kein Problem. Aber irgendwie gefallen mir solche Dinge nicht.

Da du nun Port 5001 weiterleitest, ist dieser natürlich öffentlich zugänglich. So lange deine Passwörter sicher sind, kein Zeroday oder ungepatchte Lücke besteht, möchte ich nicht von einem unautorisiertem Zugriff sprechen. Das Risiko reduzierst du natürlich indem die Syno nicht von extern erreichbar ist…

Ja das machen noch viele so wenn man hier schaut: https://crt.sh/?q=%25.internet-box.ch

Du hast jetzt den DDNS Namen den du über die Internet Box generieren kannst als Zertifikat auf deiner Synology verwendet. Kann man machen. Macht man vor allem wenn man einen Webserver betreiben würde.

Falls du einen anderen Domain Namen hast, könnte man natürlich auch für diesen ein Zertifikat anfordern.

Verschlüsselung ist heutzutage ein Muss. Let’s encrypt hat hier einen eintscheidenden Beitrag geleistet um das Web, sprich die Webserver zu verschlüsseln. Die Browserhersteller forcieren das auch, indem sie Verbindungen die nicht sicher sind entsprechend kennzeichnen oder warnen.

Jetzt macht es aber nicht in jedem Fall Sinn auch ein gültiges Zertifikat haben zu wollen, nutzt man die Dienste nur privat. Hier musst du Port 5001, 80 und 443 weiterleiten um in den Genuss eines gültigen Zertifikates zu kommen und um es auch richtig nutzen zu können. Das ist nicht optimal.

Ich selber verwende auch auf vielen meiner Geräte, auch solchen die nur privat sind, die gültigen Zertifikate von let’s encrypt. Aber ich muss dazu nicht “unnötige” Ports weiterleiten.

Würden die Swisscom Router einen konfigurierbaren DNS anbieten, würden die Zertifikate auch für den einen oder anderen Homeuser mehr Sinn ergeben. Nicht nur dass, man könnte die Geräte auch umfassender mit Namen ansprechen, in Anbetracht der aktuellen IP Version also fast schon ausschlaggebend.

Makrien

Hallo Tux0ne

Besten Dank für deine ausführliche Antwort.

Die Portweiterleitung 5001 auf IB2 zur Synology habe ich wieder gelöscht. Du hast Recht, zur Sicherheit ist das wohl besser.

Das mit dem Zertifikat ist mir nun klarer. Jedoch schreibst du, dass du selber private Geräte verwendest, bei denen du auch ein Let’s Encrypt Zertifikat hast, aber im Vergleich zu mir keine Ports weiterleitest oder musst. Wie ist das auszuführen?

Gruss Makrien

Tux0ne

Ich nutze mit eigenen Domains meistens das acme.sh Script und DNS-01 Challenge.

https://github.com/Neilpang/acme.sh

Auf dem Firewall Verbund läuft dann ein Host Override für die entsprechenden Clients auf die IP und notfalls auf die interne legacy IP.

Auf dem Zone File sind dann noch CAA Records.

Michali

Hallo zusammen

Danke für diesen spannenden Thread. Ich hätte hierzu auch noch ein paar Anfängerfragen:

Ich greife per OpenVPN mit dem Handy/Tablet/MacBook mittels der Drive App (und DS Photo) auf meine Dateien zu. In der App verwende ich dann zum Anmelden ja die “LAN-Interne-Adresse” (z.B. 192.168.x.xxx:5001). Muss/sollte dieser Zugriff (Port-Weiterleitung) auch über https sein? Ich habe irgendwo gelesen, dass die verschlüsselte Variante besser ist (5001), weiss aber nicht, ob das auch per Zugriff über VPN eine Rolle spielt?
Die Weiterleitung für den Port 80 habe ich in der IB2 deaktiviert. Diesen muss ich aber ca. alle drei Monate für die Erneuerung des Let’s encrypt Zertifikats erneuern. Geht das irgendwie auch einfacher, ohne diesen Port offenhalten zu müssen?
In diesem Thread steht, dass das Weiterleiten des Ports 5001 nicht so eine gute Idee sei (sicherheitstechnisch), aber ohne diese Weiterleitung kann ich doch auch z.B. per VPN gar nicht auf meine Dateien (mit der App “Drive”) zugreifen?

Danke für eure Hilfe.

Werner

@Michali

Die kurze Antwort ist:

Falls Du auf den Open VPN Server der. Synology aus dem Internet von aussen zugreifst ist bereits nach Aufbau der Verbindung der komplette Datenverkehr verschlüsselt.

Es ist also völlig egal ob Du anschliessend via HTTP oder HTTPS arbeitest.

Der Port für den Open VPN Server (normalerweise 1194 UDP) ist auch der einzige, den Du von der Internetbox auf die Syno weiterleiten musst.

Wenn Du den Open VPN Server richtig konfiguriert hast:

- kompletter Internetverkehr des Clients über die VPN-Verbindung

- im Konfig-File zusätzlich die DHCP-Option auf die IP-Adresse des Routers im Heimnetzes gesetzt hast

bist Du direkt nach Aufbau der VPN-Verbindung vollständig im Heimnetz drin und kannst arbeiten wie wenn Du zuhause wärst…

Michali

Werner

Vielen Dank für deine Erklärungen, Shorty!

Dann könnte ich also eigentlich sämtlichen anderen Ports deaktivieren? Ich hoffe ich vergesse da nicht einen Dienst, der noch eine Verbindung benötigt…

Ja, ich habe es nach der Anleitung von iDomix (Youtube) mit 1194 UDP eingerichtet (Einstellungen wie im angehängten Screenshot aus dem iDomix Video. https://www.youtube.com/watch?v=OYXv9tNeE10).
- Ich weiss nun aber leider nicht genau, ob der Internetverkehr des Clients bei Aktivierung nun komplett über die VPN-Verbindung läuft (sollte aber ja hoffentlich schon der Fall sein!?).
- Im Konfig-File musste ich gemäss der Anleitung die “remote” Adresse (xxx.internet-box.ch) eintragen. Ich kenne mich mit der ganzen Materie leider zu wenig aus (DHCP-Option?).

Blöde Frage betreffend dem “arbeiten wie wenn ich zuhause vor Ort wäre”:
Muss ich mir da einfach die internen IP-Adressen “merken”? Respektive in der Handy-App “Drive” habe ich nun die interne IP (192.168.x.xxx:5001) hinterlegt und die Login-Einstellungen auf https gesetzt. Der Zugriff klappt soweit, aber wenn ich dann die Portweiterleitung 5001 entferne ja nicht mehr.
Bei der DS Photo App habe ich die 192.168.x.xxx/photo hinterlegt und bei den Sicherheitskameras (sind fangs bestellt aber noch nicht da) kann man anscheinen auch einen “Aliasnamen” wie z.B. 192.168.x.xxx/cam anfügen. Benötigen diese Aliasnamen auch eine spezielle Portweiterleitung?

Danke & Gruss,
Michali Bildschirmfoto 2019-09-09 um 20.13.26.png

Werner

@Michali

Wenn Sicherheit einen hohen Stellenwert hat, würde ich auf der Internetbox möglichst nur den Open VPN Port öffnen und alle Verbindungen von aussen nur noch über den VPN-Server leiten.

Ein Zertifikat welches zur Überprüfung eine weitere Portöffnung verlangt, würde ich gar nicht einsetzten, denn der potentielle Schaden ist eher grösser als der mögliche Zusatznutzen, kommt noch dazu, dass ein Zertifikat für eine privat genutzte Diskstation in einer gut abgeschotteten Umgebung im eigenen Heimnetz eigentlich mehr Probleme als zusätzlichen Nutzen bringt. (falls Du einen öffentlichen Web-Server betreiben würdest, sähe das natürlich anders aus)

Die Konfig-Seite Deiner Syno sieht eigentlich gut aus und wenn Du auch noch die Benutzerverwaltung und die Syno-interne Firewall aktiviert hast, bist Du da sicher im grünen Bereich.

Die von mir erwähnten 2 Parameter für die genaue Steuerung der Open VPN-Verbindung sind aber manuelle Einträge im.ovpn File, welches Du von der Syno nach Grundkonfiguration exportierst und dann vor dem Import in die Clients noch mit dem Editor manuell anpassen kannst.

Für die genaueren Details siehe meinen Beitrag 9 in einem ähnlichen Post von vorgestern:

https://community.swisscom.ch/t5/Router-Hardware/VPN-Internetbox-2-Synology-NAS/m-p/581048#M25488

Nachtrag: Wenn Du die DHCP-Option in der VPN-Verbindung drin hast und auf der Synology auch die Unterstützung für die Windows-Netzwerksuche von SMB- Freigaben aktiviert hast, sollten eigentlich alle logischen Namensauflösungen funktionieren. Falls aber mal nicht, ist als Fallback die Verwendung der internen IP-Adressen eine immer funktionierende Variante.

Nächste Seite »