Hallo zusammen Ich habe neu eine Synology - NAS und möchte die Verbindungen wegen Sicherheit über HTTPS nutzen. Dabei habe ich zuerst auf der IB2 den DynDNS Dienst aktiviert und mir eine DNS Namen angelegt. (xxx.internet-box.ch) Dann habe ich auf der IB2 die folgenden Portweiterleitungen hinzugefügt: \- HTTP: 80/TCP (Router) auf 80/TCP (Diskstation) \- HTTPS: 443/TCP (Router) auf 443/TCP (Diskstation) \- DSM HTTPS: 5001/TCP (Router) auf 5001/TCP (Diskstation) Info: Im DMS der Synology NAS ist HTTP 5000 und HTTPS 5001 konfiguriert. Danach habe ich ein Let's Encrypt Zertifikat in der Synology-NAS mit demselben Namen wie zuvor der DNS-Namen der IB2 (xxx.internet-box.ch) erstellt und im DMS der Synology den HTTPS Port 5001 aktiviert. Doch nach dem Service-Neustart der Synology kann ich mich noch immer nicht mit https anmelden. Das Zertifikat ist nicht vertrauenswürdig und im Browser wird die Seite zum Einstieg in das Webinterface als nicht sicher angezeigt. Meldung: Der Hostname im Sicherheitszertifikat der Website unterscheidet sich von der Website, die Sie besuchen möchten. Was habe ich falsch gemacht? Mit dem Let's Encrypt Zertifikat in der Synology-NAS möchte ich einfach die Möglichkeit eine HTTPS und damit sichere Verbindung auf mein NAS zu erhalten. Danke für eure Hilfe. Gruss Makrien

[@Makrien](https://community.swisscom.ch/t5/forums/replypage/board-id/internet_de/message-id/55715) schrieb: Hallo zusammen, besten Danke für eure Antworten, es hat mir geholfen. Ich habe mein gestern erstelltes Let's Encrypt Zertifikat mit xxx.internet-box.ch als Standard gesetzt und alle Dienste darauf konfiguriert. Es stimmt, wenn ich mich im Browser mit dem Domain-Namen des hinzugefügten Zertifikat [https://xxx.internet-box.ch:5001](https://xxx.internet-box.ch:5001) anmelde, dann klappt die verschlüsselte (https) Verbindung zum DSM. _Zum Verständnis. Die Verbindung ist mit https so oder so verschlüsselt. Mit einem gültigen Zertifikat reklamiert der Browser einfach kein Problem_. Betreffen der Portweiterleitung in der IB2 muss ich jedoch schon den Port 5001 an die Synology weiterleiten, ansonsten ich so nicht auf die Webanmeldung vom DSM gelange. _Ich weiss nicht wie NAT Loopback auf dem Router realisiert wird. Ob es nur für spezifische Ports funktioniert oder eine NAT Regel nötig ist. Wie auch immer, das ist schade. Denn du musst eine Portweiterleitung, sprich die DSM Verwaltung extern öffnen, was man nicht machen sollte, wenn man das nicht braucht._ _Da die Swisscom Router keinen konfigurierbaren DNS anbieten, müsste man mit einem Workaround arbeiten. [https://www.tuxone.ch/2013/12/dns-im-lokalen-netzwerk.html](https://www.tuxone.ch/2013/12/dns-im-lokalen-netzwerk.html)_ Die Portweiterleitung TCP 80 von IB2 nach Synology muss ich schon aktiv setzen und halten, oder? Ich habe gelesen, dass das Let's Encrypt Zertifikat den Port TCP 80 zur Überprüfung und Aktualisierung benötigt. Auch habe ich Port 443 HTTPS von IB2 nach Synology weitergeleitet. Weiss jemand, ob dies auch nötig ist? _Ja das ist für die Überprüfung, Beglaubigung durch den Bot nötig. Das Script von Synology ist dazu ausgelegt, ein Zertifikat über die HTTP resource zu beziehen. Wenn man jetzt einen Webserver betreibt und der auch öffentlich zugänglich ist, ist das ja kein Problem. Du hast aber keinen Webserver aktiv. Wenigstens wird der Webserver nur im Moment der Challenge aktiv. Somit ist das für diesen Augenblick noch kein Problem. Aber irgendwie gefallen mir solche Dinge nicht._ Ich bin mir da ein wenig unsicher. Ich möchte sicher gehen, dass niemand ausser mir von unterwegs bzw. aus dem Internet auf meine Synology zugreifen kann. VPN-Zugriff funktioniert ja bestens. Ist es dann nur via VPN möglich? Dies ist natürlich sicher. Kann sonst niemand auf meine Synology aus dem Internet nicht autorisiert zugreifen? _Da du nun Port 5001 weiterleitest, ist dieser natürlich öffentlich zugänglich. So lange deine Passwörter sicher sind, kein Zeroday oder ungepatchte Lücke besteht, möchte ich nicht von einem unautorisiertem Zugriff sprechen. Das Risiko reduzierst du natürlich indem die Syno nicht von extern erreichbar ist..._ Nochmals die Frage betreffend Domain-Name und dem erstellten Zertifikat. Wie oben erwähnt, habe ich in der IB2 bei DynDNS mir einen Domain-Namen erstellt. (xxx.internet-box.ch). Übrigens, damit klappt auch die VPN-Verbindung von unterwegs ohne Probleme. Auf denselben Namen habe ich auch ein Zertifikat von Let's Encrypt auf der Synology erstellt und als Standard gesetzt. Muss das genau so übereinstimmen? Oder hätte ich auch den Domain-Namen des Syno-Zertifikats einen anderen Namen erstellen können? Ich blick' da jetzt nicht grad durch. _Ja das machen noch viele so wenn man hier schaut: [https://crt.sh/?q=%25.internet-box.ch](https://crt.sh/?q=%25.internet-box.ch)_ _Du hast jetzt den DDNS Namen den du über die Internet Box generieren kannst als Zertifikat auf deiner Synology verwendet. Kann man machen. Macht man vor allem wenn man einen Webserver betreiben würde._ _Falls du einen anderen Domain Namen hast, könnte man natürlich auch für diesen ein Zertifikat anfordern._ _Verschlüsselung ist heutzutage ein Muss. Let's encrypt hat hier einen eintscheidenden Beitrag geleistet um das Web, sprich die Webserver zu verschlüsseln. Die Browserhersteller forcieren das auch, indem sie Verbindungen die nicht sicher sind entsprechend kennzeichnen oder warnen._ _Jetzt macht es aber nicht in jedem Fall Sinn auch ein gültiges Zertifikat haben zu wollen, nutzt man die Dienste nur privat. Hier musst du Port 5001, 80 und 443 weiterleiten um in den Genuss eines gültigen Zertifikates zu kommen und um es auch richtig nutzen zu können. Das ist nicht optimal._ _Ich selber verwende auch auf vielen meiner Geräte, auch solchen die nur privat sind, die gültigen Zertifikate von let's encrypt. Aber ich muss dazu nicht "unnötige" Ports weiterleiten._ _Würden die Swisscom Router einen konfigurierbaren DNS anbieten, würden die Zertifikate auch für den einen oder anderen Homeuser mehr Sinn ergeben. Nicht nur dass, man könnte die Geräte auch umfassender mit Namen ansprechen, in Anbetracht der aktuellen IP Version also fast schon ausschlaggebend._

Du möchtest von extern zugreifen? Mit was für einem Gerät? Welche App? Tipp: Mach ein VPN und du hast eine sichere Verbindung in dein Heimnetz

@"Makrien"#21213: Habe dir eine PN geschickt.

Ich habe auf der IB2 den VPN-Server aktiviert und einen VPN Benutzer hinzugefügt. Die VPN-Verbindung von extern klappt. Geräte waren Handy und Notebook. Ich wollte lediglich die Sicherheit auf meiner Synology erhöhen (gemäss Empfehlungen von Synology selbt) in dem HTTPS auf Port 5001 im DSM aktiviert wird. Dabei soll auch gleich ein Zertifikat installiert werden. Stimmt denn das von mir erstellte Zertifikat von Let's Encrypt mit dem Domain-Namen xxx.internet-box.ch nicht?

Du musst das zertifikat noch als standard definieren und den diensten zuweisen

Ja, ich habe es als Standard (im nachhinein und nicht beim erstellen) gesetzt und alle Dienste (FTPS, Systemvoreinstellung, Drive und Protokollempfang) auf xxx.internet-box.ch konfiguriert. Leider ist die Verbindung zum Webinterface (192.168.x.x) der DS noch immer nicht https, obwohl im DSM bei Netzwerk-Systemsteuerung-DSMEinstellungen der Haken bei "HTTP-Verbindungen automatisch zu HTTPS umleiten" aktiviert ist.

Mach mal einen Reboot des ganzen NAS. Eventuell hat sich da was verstrickt. Aktuell ist bei dir noch das selbstsignierte Original von Synology aktiv. Port 5001 musst du auf dem Router für die Zertifizierung nicht weiterleiten. Das würde ich löschen, da du die Konfig via VPN erreichen kannst.

Ich habe damals den dyndns dienst vom Synology genommen und dann das Lets Encrypt vom Synology verknüpft, und zwar nicht das von Swisscom (also: deines@synology.me, also unter Synology->Externer Zugriff->DDNS). Danach hats bei mir funktioniert.

Danke für eure Antworten. Ich habe einen Reboot des NAS gemacht, doch beim Starten des Webclients DSM mit [https://192.168.x.x:5001](https://192.168.x.x:5001) wird noch immer angezeigt, dass es nicht sicher ist und wenn ich auf das Zertifikat klicke um es anzuschauen, heisst es es sei ungültig. Wenn ich das Zertifikat mir öffnen lasse zum Anschauen steht dort "Ausgestellt für xxx.internet-box.ch, also diejenige Domäne, die ich in der IB2 beim DynDNS hinzugefügt habe. Ist das richtig? Ich bin mir nicht sicher.

Also wenn ich bei mir mit der internen IP auf die Syno zugreife, dann steht das mir auch so drinn wie bei Dir. Wie sieht es aus wenn Du vonn aussen auf die Syno zugreifst??

[https://192.168.x.x:5001/](https://192.168.x.x:5001/) Via IP ists IMMER unsicher. Wenn Du aber via zb. ds.deinesyno.synology.me gehst, dann sollte es aber gehen. Browser Cache gelöscht?

Synology Let's Encrypt Zertifikat & internet-box.ch: Kein HTTPS

Werner

@Michali

Und nochmals ein Nachtrag:

Falls Du mit Deinen Clients öfters in privaten Swisscomnetzen von Kollegen unterwegs bist, kann es zu IP-Konflikten kommen, wenn deren Router gleich wie Dein Router eine Default-Stammadresse von 192.168.1.1 hat.

Abgesehen davon, dass Du einen Internetbooster der Swisscom in Betrieb hättest, welcher das nicht verträgt, solltest Du deshalb vorbeugend am besten noch Deine eigene Netzwerkadresse auf der eigenen Internetbox ausserhalb des Defaultbereiches der wichtigsten Internetprovider wählen.

Verändern musst Du dabei nur die zweitletzte Zahl, also z.B. 192.168.77.1 anstatt 192.168.1.1

Eventuell musst Du auch noch auf der Syno noch ein wenig nachkorrigieren, falls Du da fixe Adressen eingetragen hast.

Michali

Werner

Ui, jetzt wird es aber ziemlich kompliziert.

Könntest du mir ev. noch kurz eine Antwort auf meinen vorherigen Post geben? Bin mir nun recht unsicher, wie und ob ich das ganze file nun anpassen sollte (nebst meinen zwei bisherigen Anpassungen).

Wollte soeben in meiner Synology-Firewall den Port 5001 nicht mehr erlauben, da erhielt ich die folgende Fehlermeldung:

Erhalte ich diese Meldung weil ich gerade mit 192.168.x.xxx:5001 intern mit dem Browser zugreife? Wie kann ich den die Einstellung trotzdem ändern/entfernen?
Komme ich nachher nur mit der Eingabe von 192.168.x.xxx im Browser wieder auf die Verwaltungsoberfläche (und hat dies allfällige nachteile “ohne https” im eigenen LAN?

Was ich vergessen habe: Ich synchronisiere meine Dateien Lokal zur Diskstation mit Synology Drive. Das funktioniert anscheinend über die DynDNS Adresse xxx.internet-box.ch. Weisst du, ob dies auch ohne Portweiterleitung funktioniert (hoffentlich)?

Nachtrag: Ok, Danke! Ich werde in dem Fall dhcp-option DNS 192.168.1.1 direkt in die Leerzeile unter “# Repeat this option to set secondary DNS server addresses.” einsetzen.

Die 192.168.1.1. belasse ich wohl vorläufig mal so, da ich eigentlich nicht so oft in fremden Swisscomnetzen unterwegs bin (resp. das VPN bisher nur im Ausland genutzt habe) und ehrlich gesagt sehr unsicher bin, wo ich diese Einstellungen überall noch ändern müsste…

Werner

@Michali schrieb:

Danke Shorty!

Folgendes habe ich (anhand der Anleitung von iDomix) geändert:

- nach dem Wort “Remote” meine DynDNS Adresse gefolgt von einem Leerschlag und 1194 eingegeben.
- Den “Gartenhag” vor “redirect-gateway def1” entfernt

Hat dies einen Einfluss auf deine empfohlenen Änderungen?

Das der Upload zuhause dann bei bestehender VPN-Verbindung auf dem Client dann ja auch zur Download-Limite wird, hatte ich gar nicht bedacht! Habe leider mit dem Internet M von Swisscom nicht gerade einen sehr hohen Upload…

Der Gartenhag weg, ist mal gut, denn das bedeutet, dass nun alles über den Tunnel geht.

Zusätzlich musst Du aber als weitere Zeile auch noch die DHCP- Option ergänzen, damit auch die DNS-Server und die Namensauflösungen Deines Heimnetzes wirklich zum Zug kommen, sonst bedient sich Dein Client trotzdem weiterhin immer noch im externen Netz.

Bezüglich Upload Deines Heimnetzes: Wenn Du da 20-50 MBit/sec Upload hast, reicht das locker für die Belieferung der externen Clients.

Da wirst Du auf den Mobiles keine Einschränkungen verspüren.

Werner

@Michali

Also der Reihe nach.

Du kannst auf zwei Arten in Deinem internen Netz auf die Syno zugreifen.

Entweder:

http://diskstation —> dann muss auf der Syno-Firewall (nicht auf dem Router) Port 5000 der Syno zugänglich sein

https://diskstation —> dann muss auf der Syno Port 5001 zugänglich sein

Die Einstellung http oder https ist auf der Syno selbst.

Da Du Deine Syno nicht ins Internet stellen willst, kannst Du problemlos http verwenden und hast dann auch keine Probleme mit Zertifikaten.

Und noch zur Synchro von PC’s mit Synology Drive: Da diese innerhalb Deines Heimnetzes stattfindet, wirst Du nie eine Portweiterleitung aus dem Internet auf Dein Heimnetz benötigen. Wenn das Programm selbst auf der internen Firewall der Syno Einträge macht, ist das okay, das heisst aber nicht, dass diese Ports auf der Internetbox für Zigriffe aus dem Internet geöffnet werden müssen.

Falls Du einen PC von extern mit einer vollständigen VPN-Verbindung gültig angemeldet hast, und der eine Synchroaufgabe hat, läuft das dann einfach über die verschlüsselte Verbindung zuerst ins Heim-LAN, und dann zur Syno, ganz wie wenn Du tatsächlich zuhause wärst..

Michali

Uff, ok, ich habe nun in der IB2 die Portweiterleitungen 5001 und 6690 entfernt, so dass nur noch 1194 übrig ist.

In der Syno-Firewall ist noch 5000, 5001, 1194 und 6690 zugelassen. Sollte ich hier 6690 (und 5000 oder 5001?) auch entfernen? Spielt das für die Funktion des Services (hier glaubs Synology Drive) eine Rolle? Die Portweiterleitung wurde ja entfernt. Wenn ich deinen letzten Post richtig verstehe, sollte ich den Port 6690 NUR IN DER SYNO-FIREWALL erlauben, aber keinen Port weiterleiten aus der IB2? Ich verstehe das ganze nicht so richtig und merke gerade, wie schwer es mir fällt diese Einstellungen zu ändern, da ich nicht wirklich weiss was ich tue…

Ich kann nun weder über http://diskstation noch über https://diskstation die Verwaltungsoberfläche erreichen🙁. Allerdings weiterhin über die Ip gefolgt von:5001 (?)

Ich möchte meine Syno nur “nicht ins Internet stellen” (ist den Port 1194 weiterleitn nicht auch schon = ins Internet stellen?), wenn es folgende Dienste auch so möglich sind (mit VPN):

- Zugriff auf meine Dateien (mit der Drive APP) -> sollte ja funktionieren über VPN -> Zugriff von zuhause aus mit der IP

- BACKUP der NAS mit Synology C2 Backup -> weisst du ob hierfür eine Portweiterleitung (für die Ausgehenden Daten) notwendig ist?

- Synchronisation der Dateien zwischen meinem Mac und MacBook und der Diskstation via Synology Drive. Wenn ich dich richtig verstehe, muss ich dann in den Einstellungen des Synology Drives auf meinem Mac und MacBook anstelle der DynDNS Adresse nur noch die Interne IP angeben? Ich hoffe das dies funktioniert und nicht erneut alles Synchronisiert wird, wenn ich dort versuche die Einträge zu ändern. Somit würde die Synchronisation beim Mac konstant stattfinden (da immer im gleichen LAN?) und die mit dem MacBook (wenn es sich auserhalb des WLANS zuhause befindet) erst sobald VPN aktiviert wird?

Herzlichen Dank für deine Hilfe, die ich wirklich sehr schätze!
Michali

Werner

@Michali

Damit Dir die Sache (zumindest zu Beginn) jetzt nicht über den Kopf wächst, würde ich vorschlagen Deinen Setup ein wenig zu vereinfachen.

Dadurch, dass Du auf Deinem Router gegenüber dem Internet jetzt wirklich nur noch den Port 1194 UDP an die Syno weiterleitest, kommt man jetzt aus dem Internet auch wirklich nur noch bis zum “Gate-Keeper” VPN-Server, bei dem sich dann jede eingehende Verbindung aus dem Internet zuerst einmal gültig authentifizieren muss, sonst wird sie direkt abgewiesen.

Deine Syno ist jetzt also von aussen wirklich nur noch via funktionierender und verschlüsselter VPN-Verbindung ansprechbar.

Es reicht nun deshalb eigentlich absolut aus, den internen Syno-Firewall-Schutz auf Default zu belassen und da gar keine zusätzlichen spezifischen Rules für bestimmte Programme und Services zu definieren.

Man kann das zwar tun, aber eigentlich schützt man sich nur noch zusätzlich gegen Clients im eigenen Netz.

Was ich für den Schutz der Syno im eigenen Netz neben der normalen Benutzerverwaltung noch aktivieren würde, sind nicht unbedingt zusätzliche Syno-interne Firewall-Rules auf der Port-Ebene, sondern die 2-Faktor-Authentifizierung bei der Anmeldung auf das Verwaltungsmenu der Syno und die Blockierung für einen Tag bei mehr als 10 ungültigen Anmeldeversuchen.

P.S.: Ob Du via http und logischem Namen auf das Verwaltungsmenu der Syno kommst, hängt alleine davon ab, wie Du Deine Syno bei der Installation benannt hast (nur der Default wäre “Diskstation”) und ob Du bei der Konfiguration bei http und Port 5000 die entsprechenden “Haken” gesetzt hast, oder nicht.

Michali

Werner

Vielen Dank Shorty!

Also, dann gehe ich mal der Reihe nach vor.

- Bei der Portweiterleitung ist jetzt nur noch 1194 UDP aktiv (die anderen beiden werde ich dann noch komplett löschen in der IB2).

- Blöderweise habe ich bei der Firewall mal die Regeln für das “default-Profil” angepasst (war auch eine Anleitung von iDomix). Für LAN1 ist es so, dass wenn keine Regel zutrifft, der Zutritt verweigert wird. Sollte das also genau umgekehrt sein (alles Zulassen, sofern nicht eine Regel den Zutritt verweigert)? Kann man das default Profil wieder irgendwie auf “Werkseinstellung” zurücksetzen?

Nachtrag: Habe erst jetzt gesehen, dass es bei den Schnittstellen noch “VPN” gibt. Muss/sollte ich nur diese einrichten (meine Diskstation hängt am LAN1)?

- Langt bei der 2-Faktor-Authentifizierung auch “nur” die Option “Benutzer der Administratoren-Gruppe”? Das würde dann nur mein Konto betreffen, da meine Freundin der Gruppe “Users” zugeordnet ist. Sie hat aber trotzdem Lese- und Schreibrechte für unsere gemeinsamen Daten und Fotos.
Zusätzlich gibt es als drittes Konto noch einen “Time-Machine-Benutzer” der auch der Gruppe Users zugeordnet ist und als einziger Lese- und Schreibrechte für die Time Machine Backups hat.

Wenn ich die 2FA Aktivieren möchte (ich dachte ich könnte da ev. die App “Authy” nutzen, die ich sonst schon für alle 2FA verwende), kommt die Meldung, dass ich zuerst Benachrichtigungen aktivieren muss.

Hier werde ich wohl als Absender meine private E-Mail-Adresse (Apple.me Adresse) versuchen zu verwenden?

Das mit der Erreichbarkeit des Verwaltungsmenüs mit dem logischen Namen checke ich ehrlich gesagt nicht ganz. Meine Diskstation hat einen eigenen Namen im Netzwerk (weiss nicht mehr ob ich den während der Installation oder später vergeben habe). Aber mit http://diesername oder auch https://diesername bekomme ich keine Verbindung.

Unter Systemsteuerung -> Netzwerk ->Allgemein ist dieser Servername auch eingetragen und darunter die Standard-Gateway 192.168.1.1 (darunter erreiche ich aber die IB2). Die Diskstation hat eine fixe IP Adresse in der IB2 hinterlegt.

Unter DSM-Einstellungen sieht das ganze so aus:

Tux0ne

Kann ein Mod von @Anonym diesen privaten Chat hier zur rudimentären Synology Konfig von diesem Thread trennen?

Es ging hier ursprünglich hautpsächlich um die let’s encrypt Verschlüsselung mit der DS.

Jetzt ist der Thread verunstaltet.

Ordeeeeer please

Werner

@Michali

Hier geht es übrigens noch direkt zu den Vorschlägen von Tux0ne zum Thema Erhöhung der Sicherheit von Synology NAS in seinem privaten Blog:

https://www.tuxone.ch/2013/04/improve-nas-security-synology.html

Der Artikel ist zwar bereits 6 Jahre alt und einige Details und die darin enthaltenen Verlinkungen sind nicht mehr aktuell, aber die grundsätzlichen Überlegungen dahinter halte ich nach wie vor für sehr lesenswert.

Falls Du dann noch weitere Fragen hast, würde ich vorschlagen, dass Du dann der Übersichtlichkeit und der Wiederauffindbarkeit von Lösungen dienend, tatsächlich Fragen-spezifisch ein oder mehrere neue Themen eröffnest, was dann die Runde der Diskussionsteilnehmer auch erweitern könnte.

P.S.: Und das mit dem “Verunstalten” dieses Threads solltest Du übrigens nicht so ernst nehmen…

ThierryP

Hallo Dani, ich habe auch das von synology genommen aber bei mir wenn ich intern auch mein NAS zugreiffe, zeigt es mir immer noch an das es nicht sicher ist. Von extern scheint es ok zu sein. Hast du da Rat für mich?

Dani CH

1) Port 443 und Port 80 auf Synology mappen

2) Unter Synology -> Systemsteuerung -> Sicherheit -> Zertifikat auch auf alle Dienste umleiten?

3) Und vielfach auch mal das ganz einfache: Browsercache auch löschen und dann Browser neu starten?

« Pagina precedente