abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 
Gelöst
  • Der Fragesteller hat diesen Beitrag als gelöst markiert.

Synology Let's Encrypt Zertifikat & internet-box.ch: Kein HTTPS

Contributor
1 von 16

Hallo zusammen

 

Ich habe neu eine Synology - NAS und möchte die Verbindungen wegen Sicherheit über HTTPS nutzen.

 

Dabei habe ich zuerst auf der IB2 den DynDNS Dienst aktiviert und mir eine DNS Namen angelegt. (xxx.internet-box.ch)

Dann habe ich auf der IB2 die folgenden Portweiterleitungen hinzugefügt:

- HTTP: 80/TCP (Router) auf 80/TCP (Diskstation)
- HTTPS: 443/TCP (Router) auf 443/TCP (Diskstation)
- DSM HTTPS: 5001/TCP (Router) auf 5001/TCP (Diskstation)

 

Info: Im DMS der Synology NAS ist HTTP 5000 und HTTPS 5001 konfiguriert.

 

Danach habe ich ein Let's Encrypt Zertifikat in der Synology-NAS mit demselben Namen wie zuvor der DNS-Namen der IB2 (xxx.internet-box.ch) erstellt und im DMS der Synology den HTTPS Port 5001 aktiviert.

 

Doch nach dem Service-Neustart der Synology kann ich mich noch immer nicht mit https anmelden. Das Zertifikat ist nicht vertrauenswürdig und im Browser wird die Seite zum Einstieg in das Webinterface als nicht sicher angezeigt.

Meldung: Der Hostname im Sicherheitszertifikat der Website unterscheidet sich von der Website, die Sie besuchen möchten.

 

Was habe ich falsch gemacht? Mit dem Let's Encrypt Zertifikat in der Synology-NAS möchte ich einfach die Möglichkeit eine HTTPS und damit sichere Verbindung auf mein NAS zu erhalten.

 

Danke für eure Hilfe.

Gruss Makrien

 

 

 

HILFREICHSTE ANTWORT

Akzeptierte Lösungen
Super User
14 von 16

@Makrien  schrieb:

Hallo zusammen, besten Danke für eure Antworten, es hat mir geholfen.

 

Ich habe mein gestern erstelltes Let's Encrypt Zertifikat mit xxx.internet-box.ch als Standard gesetzt und alle Dienste darauf konfiguriert.

 

Es stimmt, wenn ich mich im Browser mit dem Domain-Namen des hinzugefügten Zertifikat https://xxx.internet-box.ch:5001 anmelde, dann klappt die verschlüsselte (https) Verbindung zum DSM. 

 

Zum Verständnis. Die Verbindung ist mit https so oder so verschlüsselt. Mit einem gültigen Zertifikat reklamiert der Browser einfach kein Problem.

 

Betreffen der Portweiterleitung in der IB2 muss ich jedoch schon den Port 5001 an die Synology weiterleiten, ansonsten ich so nicht auf die Webanmeldung vom DSM gelange. 

 

Ich weiss nicht wie NAT Loopback auf dem Router realisiert wird. Ob es nur für spezifische Ports funktioniert oder eine NAT Regel nötig ist. Wie auch immer, das ist schade. Denn du musst eine Portweiterleitung, sprich die DSM Verwaltung extern öffnen, was man nicht machen sollte, wenn man das nicht braucht.

Da die Swisscom Router keinen konfigurierbaren DNS anbieten, müsste man mit einem Workaround arbeiten. https://www.tuxone.ch/2013/12/dns-im-lokalen-netzwerk.html

 

Die Portweiterleitung TCP 80 von IB2 nach Synology muss ich schon aktiv setzen und halten, oder? Ich habe gelesen, dass das Let's Encrypt Zertifikat den Port TCP 80 zur Überprüfung und Aktualisierung benötigt. Auch habe ich Port 443 HTTPS von IB2 nach Synology weitergeleitet. Weiss jemand, ob dies auch nötig ist?

 

Ja das ist für die Überprüfung, Beglaubigung durch den Bot nötig. Das Script von Synology ist dazu ausgelegt, ein Zertifikat über die HTTP resource zu beziehen. Wenn man jetzt einen Webserver betreibt und der auch öffentlich zugänglich ist, ist das ja kein Problem. Du hast aber keinen Webserver aktiv. Wenigstens wird der Webserver nur im Moment der Challenge aktiv. Somit ist das für diesen Augenblick noch kein Problem. Aber irgendwie gefallen mir solche Dinge nicht.

 

Ich bin mir da ein wenig unsicher. Ich möchte sicher gehen, dass niemand ausser mir von unterwegs bzw. aus dem Internet auf meine Synology zugreifen kann. VPN-Zugriff funktioniert ja bestens.  Ist es dann nur via VPN möglich? Dies ist natürlich sicher. Kann sonst niemand auf meine Synology aus dem Internet nicht autorisiert zugreifen?

 

Da du nun Port 5001 weiterleitest, ist dieser natürlich öffentlich zugänglich. So lange deine Passwörter sicher sind, kein Zeroday oder ungepatchte Lücke besteht, möchte ich nicht von einem unautorisiertem Zugriff sprechen. Das Risiko reduzierst du natürlich indem die Syno nicht von extern erreichbar ist...

 

Nochmals die Frage betreffend Domain-Name und dem erstellten Zertifikat. Wie oben erwähnt, habe ich in der IB2 bei DynDNS mir einen Domain-Namen erstellt. (xxx.internet-box.ch). Übrigens, damit klappt auch die VPN-Verbindung von unterwegs ohne Probleme. Auf denselben Namen habe ich auch ein Zertifikat von Let's Encrypt auf der Synology erstellt und als Standard gesetzt. Muss das genau so übereinstimmen? Oder hätte ich auch den Domain-Namen des Syno-Zertifikats einen anderen Namen erstellen können? Ich blick' da jetzt nicht grad durch.

 

Ja das machen noch viele so wenn man hier schaut: https://crt.sh/?q=%25.internet-box.ch

Du hast jetzt den DDNS Namen den du über die Internet Box generieren kannst als Zertifikat auf deiner Synology verwendet. Kann man machen. Macht man vor allem wenn man einen Webserver betreiben würde.

Falls du einen anderen Domain Namen hast, könnte man natürlich auch für diesen ein Zertifikat anfordern.

 

Verschlüsselung ist heutzutage ein Muss. Let's encrypt hat hier einen eintscheidenden Beitrag geleistet um das Web, sprich die Webserver zu verschlüsseln. Die Browserhersteller forcieren das auch, indem sie Verbindungen die nicht sicher sind entsprechend kennzeichnen oder warnen.

Jetzt macht es aber nicht in jedem Fall Sinn auch ein gültiges Zertifikat haben zu wollen, nutzt man die Dienste nur privat. Hier musst du Port 5001, 80 und 443 weiterleiten um in den Genuss eines gültigen Zertifikates zu kommen und um es auch richtig nutzen zu können. Das ist nicht optimal.

 

Ich selber verwende auch auf vielen meiner Geräte, auch solchen die nur privat sind, die gültigen Zertifikate von let's encrypt. Aber ich muss dazu nicht "unnötige" Ports weiterleiten.

 

Würden die Swisscom Router einen konfigurierbaren DNS anbieten, würden die Zertifikate auch für den einen oder anderen Homeuser mehr Sinn ergeben. Nicht nur dass, man könnte die Geräte auch umfassender mit Namen ansprechen, in Anbetracht der aktuellen IP Version also fast schon ausschlaggebend.

 


Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

Selbstdeklaration


Swisscom spezifische Kenntnisse in Sales/Tech:

inOne/inOne KMU > In allen Rollen sowie own Gateway, own SIP Device

Smart Business Connect: Business Internet Services > CB2 Router Konfig in allen Rollen, Business Communication Services > Hosted, Trunk direct, UCC

BNS Business Network Solutions: Managed LAN > Switches, Access Points. Managed Security > Antivirus, Webfilter. RAS, PWLAN, DCS Anbindung

Generell: L1-L7, Firewall, DMZ, VPN Client/Site-Site, 802.1x, SIP, ISDN, Mivoice400, DNS, Dual Stack uvm. wie zB. Fachkundigkeit nach NIV.
15 Kommentare
Super User
2 von 16

Du möchtest von extern zugreifen?

 

Mit was für einem Gerät? Welche App?

 

Tipp: Mach ein VPN und du hast eine sichere Verbindung in dein Heimnetz

keep on rockin'
Super User
3 von 16

@Makrien: Habe dir eine PN geschickt.

Contributor
4 von 16

Ich habe auf der IB2 den VPN-Server aktiviert und einen VPN Benutzer hinzugefügt. Die VPN-Verbindung von extern klappt. Geräte waren Handy und Notebook.

 

Ich wollte lediglich die Sicherheit auf meiner Synology erhöhen (gemäss Empfehlungen von Synology selbt) in dem HTTPS auf Port 5001 im DSM aktiviert wird. Dabei soll auch gleich ein Zertifikat installiert werden.

 

Stimmt denn das von mir erstellte Zertifikat von Let's Encrypt mit dem Domain-Namen xxx.internet-box.ch nicht?

 

Super User
5 von 16

Du musst das zertifikat noch als standard definieren und den diensten zuweisen

Contributor
6 von 16

Ja, ich habe es als Standard (im nachhinein und nicht beim erstellen) gesetzt und alle Dienste (FTPS, Systemvoreinstellung, Drive und Protokollempfang) auf xxx.internet-box.ch konfiguriert. Leider ist die Verbindung zum Webinterface (192.168.x.x) der DS noch immer nicht https, obwohl im DSM bei Netzwerk-Systemsteuerung-DSMEinstellungen der Haken bei "HTTP-Verbindungen automatisch zu HTTPS umleiten" aktiviert ist.

Super User
7 von 16

Mach mal einen Reboot des ganzen NAS. Eventuell hat sich da was verstrickt. Aktuell ist bei dir noch das selbstsignierte Original von Synology aktiv.

 

Port 5001 musst du auf dem Router für die Zertifizierung nicht weiterleiten. Das würde ich löschen, da du die Konfig via VPN erreichen kannst.


Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

Selbstdeklaration


Swisscom spezifische Kenntnisse in Sales/Tech:

inOne/inOne KMU > In allen Rollen sowie own Gateway, own SIP Device

Smart Business Connect: Business Internet Services > CB2 Router Konfig in allen Rollen, Business Communication Services > Hosted, Trunk direct, UCC

BNS Business Network Solutions: Managed LAN > Switches, Access Points. Managed Security > Antivirus, Webfilter. RAS, PWLAN, DCS Anbindung

Generell: L1-L7, Firewall, DMZ, VPN Client/Site-Site, 802.1x, SIP, ISDN, Mivoice400, DNS, Dual Stack uvm. wie zB. Fachkundigkeit nach NIV.
Super User
8 von 16

Ich habe damals den dyndns dienst vom Synology genommen und dann das Lets Encrypt vom Synology verknüpft, und zwar nicht das von Swisscom (also: deines@synology.me, also unter Synology->Externer Zugriff->DDNS). Danach hats bei mir funktioniert.

Contributor
9 von 16

Danke für eure Antworten.

 

Ich habe einen Reboot des NAS gemacht, doch beim Starten des Webclients DSM mit https://192.168.x.x:5001 wird noch immer angezeigt, dass es nicht sicher ist und wenn ich auf das Zertifikat klicke um es anzuschauen, heisst es es sei ungültig. Wenn ich das Zertifikat mir öffnen lasse zum Anschauen steht dort "Ausgestellt für xxx.internet-box.ch, also diejenige Domäne, die ich in der IB2 beim DynDNS hinzugefügt habe. Ist das richtig? Ich bin mir nicht sicher.

Expert
10 von 16

Also wenn ich bei mir mit der internen IP auf die Syno zugreife, dann steht das mir auch so drinn wie bei Dir.

Wie sieht es aus wenn Du vonn aussen auf die Syno zugreifst??

Super User
11 von 16

https://192.168.x.x:5001/

 

Via IP ists IMMER unsicher. Wenn Du aber via zb. ds.deinesyno.synology.me gehst, dann sollte es aber gehen. Browser Cache gelöscht?

Super User
12 von 16

Ja richtig. Das Zertifikat ist immer für den Namen oder Namen gültig für welches es ausgestellt ist.

Du musst also via https://deinddns.internet-box.ch:5001 zugreifen.

Ich denke, dies funktioniert auch aus dem internen Netz, weil Swisscom für ihre Kunden NAT Loopback aktiv hat.

 

Ob das Zertifikat als sicher oder nicht sicher angezeigt wird, ist in diesem Fall eh relativ. Die Verbindung ist und bleibt verschlüsselt. Das Zertifikat ist einfach beglaubigt oder halt nicht, was bei internen Diensten nicht so schlimm ist.

Selber möchte ich auch das das die Verbindung grün ist. Das hier das Zertifikat spätestens alle 3 Monat erneuert werden muss, ist sicher auch ein Vorteil. Allerdings kann man für interne Clients auch ein selbstsigniertes Zertifikat importieren.


Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

Selbstdeklaration


Swisscom spezifische Kenntnisse in Sales/Tech:

inOne/inOne KMU > In allen Rollen sowie own Gateway, own SIP Device

Smart Business Connect: Business Internet Services > CB2 Router Konfig in allen Rollen, Business Communication Services > Hosted, Trunk direct, UCC

BNS Business Network Solutions: Managed LAN > Switches, Access Points. Managed Security > Antivirus, Webfilter. RAS, PWLAN, DCS Anbindung

Generell: L1-L7, Firewall, DMZ, VPN Client/Site-Site, 802.1x, SIP, ISDN, Mivoice400, DNS, Dual Stack uvm. wie zB. Fachkundigkeit nach NIV.
Contributor
13 von 16

Hallo zusammen, besten Danke für eure Antworten, es hat mir geholfen.

 

Ich habe mein gestern erstelltes Let's Encrypt Zertifikat mit xxx.internet-box.ch als Standard gesetzt und alle Dienste darauf konfiguriert.

 

Es stimmt, wenn ich mich im Browser mit dem Domain-Namen des hinzugefügten Zertifikat https://xxx.internet-box.ch:5001 anmelde, dann klappt die verschlüsselte (https) Verbindung zum DSM. 

 

Betreffen der Portweiterleitung in der IB2 muss ich jedoch schon den Port 5001 an die Synology weiterleiten, ansonsten ich so nicht auf die Webanmeldung vom DSM gelange. 

 

Die Portweiterleitung TCP 80 von IB2 nach Synology muss ich schon aktiv setzen und halten, oder? Ich habe gelesen, dass das Let's Encrypt Zertifikat den Port TCP 80 zur Überprüfung und Aktualisierung benötigt. Auch habe ich Port 443 HTTPS von IB2 nach Synology weitergeleitet. Weiss jemand, ob dies auch nötig ist?

 

Ich bin mir da ein wenig unsicher. Ich möchte sicher gehen, dass niemand ausser mir von unterwegs bzw. aus dem Internet auf meine Synology zugreifen kann. VPN-Zugriff funktioniert ja bestens.  Ist es dann nur via VPN möglich? Dies ist natürlich sicher. Kann sonst niemand auf meine Synology aus dem Internet nicht autorisiert zugreifen?

 

Nochmals die Frage betreffend Domain-Name und dem erstellten Zertifikat. Wie oben erwähnt, habe ich in der IB2 bei DynDNS mir einen Domain-Namen erstellt. (xxx.internet-box.ch). Übrigens, damit klappt auch die VPN-Verbindung von unterwegs ohne Probleme. Auf denselben Namen habe ich auch ein Zertifikat von Let's Encrypt auf der Synology erstellt und als Standard gesetzt. Muss das genau so übereinstimmen? Oder hätte ich auch den Domain-Namen des Syno-Zertifikats einen anderen Namen erstellen können? Ich blick' da jetzt nicht grad durch.

 

Danke für eure Hilfe.

Gruss Makrien

Super User
14 von 16

@Makrien  schrieb:

Hallo zusammen, besten Danke für eure Antworten, es hat mir geholfen.

 

Ich habe mein gestern erstelltes Let's Encrypt Zertifikat mit xxx.internet-box.ch als Standard gesetzt und alle Dienste darauf konfiguriert.

 

Es stimmt, wenn ich mich im Browser mit dem Domain-Namen des hinzugefügten Zertifikat https://xxx.internet-box.ch:5001 anmelde, dann klappt die verschlüsselte (https) Verbindung zum DSM. 

 

Zum Verständnis. Die Verbindung ist mit https so oder so verschlüsselt. Mit einem gültigen Zertifikat reklamiert der Browser einfach kein Problem.

 

Betreffen der Portweiterleitung in der IB2 muss ich jedoch schon den Port 5001 an die Synology weiterleiten, ansonsten ich so nicht auf die Webanmeldung vom DSM gelange. 

 

Ich weiss nicht wie NAT Loopback auf dem Router realisiert wird. Ob es nur für spezifische Ports funktioniert oder eine NAT Regel nötig ist. Wie auch immer, das ist schade. Denn du musst eine Portweiterleitung, sprich die DSM Verwaltung extern öffnen, was man nicht machen sollte, wenn man das nicht braucht.

Da die Swisscom Router keinen konfigurierbaren DNS anbieten, müsste man mit einem Workaround arbeiten. https://www.tuxone.ch/2013/12/dns-im-lokalen-netzwerk.html

 

Die Portweiterleitung TCP 80 von IB2 nach Synology muss ich schon aktiv setzen und halten, oder? Ich habe gelesen, dass das Let's Encrypt Zertifikat den Port TCP 80 zur Überprüfung und Aktualisierung benötigt. Auch habe ich Port 443 HTTPS von IB2 nach Synology weitergeleitet. Weiss jemand, ob dies auch nötig ist?

 

Ja das ist für die Überprüfung, Beglaubigung durch den Bot nötig. Das Script von Synology ist dazu ausgelegt, ein Zertifikat über die HTTP resource zu beziehen. Wenn man jetzt einen Webserver betreibt und der auch öffentlich zugänglich ist, ist das ja kein Problem. Du hast aber keinen Webserver aktiv. Wenigstens wird der Webserver nur im Moment der Challenge aktiv. Somit ist das für diesen Augenblick noch kein Problem. Aber irgendwie gefallen mir solche Dinge nicht.

 

Ich bin mir da ein wenig unsicher. Ich möchte sicher gehen, dass niemand ausser mir von unterwegs bzw. aus dem Internet auf meine Synology zugreifen kann. VPN-Zugriff funktioniert ja bestens.  Ist es dann nur via VPN möglich? Dies ist natürlich sicher. Kann sonst niemand auf meine Synology aus dem Internet nicht autorisiert zugreifen?

 

Da du nun Port 5001 weiterleitest, ist dieser natürlich öffentlich zugänglich. So lange deine Passwörter sicher sind, kein Zeroday oder ungepatchte Lücke besteht, möchte ich nicht von einem unautorisiertem Zugriff sprechen. Das Risiko reduzierst du natürlich indem die Syno nicht von extern erreichbar ist...

 

Nochmals die Frage betreffend Domain-Name und dem erstellten Zertifikat. Wie oben erwähnt, habe ich in der IB2 bei DynDNS mir einen Domain-Namen erstellt. (xxx.internet-box.ch). Übrigens, damit klappt auch die VPN-Verbindung von unterwegs ohne Probleme. Auf denselben Namen habe ich auch ein Zertifikat von Let's Encrypt auf der Synology erstellt und als Standard gesetzt. Muss das genau so übereinstimmen? Oder hätte ich auch den Domain-Namen des Syno-Zertifikats einen anderen Namen erstellen können? Ich blick' da jetzt nicht grad durch.

 

Ja das machen noch viele so wenn man hier schaut: https://crt.sh/?q=%25.internet-box.ch

Du hast jetzt den DDNS Namen den du über die Internet Box generieren kannst als Zertifikat auf deiner Synology verwendet. Kann man machen. Macht man vor allem wenn man einen Webserver betreiben würde.

Falls du einen anderen Domain Namen hast, könnte man natürlich auch für diesen ein Zertifikat anfordern.

 

Verschlüsselung ist heutzutage ein Muss. Let's encrypt hat hier einen eintscheidenden Beitrag geleistet um das Web, sprich die Webserver zu verschlüsseln. Die Browserhersteller forcieren das auch, indem sie Verbindungen die nicht sicher sind entsprechend kennzeichnen oder warnen.

Jetzt macht es aber nicht in jedem Fall Sinn auch ein gültiges Zertifikat haben zu wollen, nutzt man die Dienste nur privat. Hier musst du Port 5001, 80 und 443 weiterleiten um in den Genuss eines gültigen Zertifikates zu kommen und um es auch richtig nutzen zu können. Das ist nicht optimal.

 

Ich selber verwende auch auf vielen meiner Geräte, auch solchen die nur privat sind, die gültigen Zertifikate von let's encrypt. Aber ich muss dazu nicht "unnötige" Ports weiterleiten.

 

Würden die Swisscom Router einen konfigurierbaren DNS anbieten, würden die Zertifikate auch für den einen oder anderen Homeuser mehr Sinn ergeben. Nicht nur dass, man könnte die Geräte auch umfassender mit Namen ansprechen, in Anbetracht der aktuellen IP Version also fast schon ausschlaggebend.

 


Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

Selbstdeklaration


Swisscom spezifische Kenntnisse in Sales/Tech:

inOne/inOne KMU > In allen Rollen sowie own Gateway, own SIP Device

Smart Business Connect: Business Internet Services > CB2 Router Konfig in allen Rollen, Business Communication Services > Hosted, Trunk direct, UCC

BNS Business Network Solutions: Managed LAN > Switches, Access Points. Managed Security > Antivirus, Webfilter. RAS, PWLAN, DCS Anbindung

Generell: L1-L7, Firewall, DMZ, VPN Client/Site-Site, 802.1x, SIP, ISDN, Mivoice400, DNS, Dual Stack uvm. wie zB. Fachkundigkeit nach NIV.
Contributor
15 von 16

Hallo Tux0ne

Besten Dank für deine ausführliche Antwort.

Die Portweiterleitung 5001 auf IB2 zur Synology habe ich wieder gelöscht. Du hast Recht, zur Sicherheit ist das wohl besser.

Das mit dem Zertifikat ist mir nun klarer. Jedoch schreibst du, dass du selber private Geräte verwendest, bei denen du auch ein Let's Encrypt Zertifikat hast, aber im Vergleich zu mir keine Ports weiterleitest oder musst.  Wie ist das auszuführen?

Gruss Makrien

Highlighted
Super User
16 von 16

Ich nutze mit eigenen Domains meistens das acme.sh Script und DNS-01 Challenge.

https://github.com/Neilpang/acme.sh

Auf dem Firewall Verbund läuft dann ein Host Override für die entsprechenden Clients auf die IP und notfalls auf die interne legacy IP.

Auf dem Zone File sind dann noch CAA Records.


Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

Selbstdeklaration


Swisscom spezifische Kenntnisse in Sales/Tech:

inOne/inOne KMU > In allen Rollen sowie own Gateway, own SIP Device

Smart Business Connect: Business Internet Services > CB2 Router Konfig in allen Rollen, Business Communication Services > Hosted, Trunk direct, UCC

BNS Business Network Solutions: Managed LAN > Switches, Access Points. Managed Security > Antivirus, Webfilter. RAS, PWLAN, DCS Anbindung

Generell: L1-L7, Firewall, DMZ, VPN Client/Site-Site, 802.1x, SIP, ISDN, Mivoice400, DNS, Dual Stack uvm. wie zB. Fachkundigkeit nach NIV.