• Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

Synology Let's Encrypt Zertifikat & internet-box.ch: Kein HTTPS

Michali
Level 2
21 von 35

Da ich in Zukunft (nebst dem externen Zugriff für mich und meine Freundin auf unsere Dateien und Fotos) auch die Surveillance Station installieren und 2 Kameras betreiben möchte, ist die Sicherheit schon wichtig. Dies ist ja auch der Grund, dass ich lieber keine externe Cloud von z.B. einem Kamerahersteller verwenden möchte. Was mir aber ein wenig Bauchschmerzen bereitet, ist dass ich mich nicht sehr gut auskenne und ich habe das Gefühl, dass man hier als Laie wohl leider sehr schnell vieles verkehrt machen kann.

Danke für den Tipp mit dem Zertifikat, dann werde ich versuchen, das nicht mehr zu erneuern, resp. es zu deinstallieren (verwende die DS eigentlich nur für unsere privaten Dateien).

Die Syno-interne Firewall habe ich aktiviert, allerdings werden da nun (nebst eben dem 1194) noch ein "NTP-Dienst", der Port 5001, 443, "Bonjour", "Dateien mit Mac gemeinsam nutzen", "Windows Dateiserver" und "Synology Assistant, Netzwerksicherung" und seit der heutigen Installation der Surveillance Station auch 2 Ports für die Surveillance Station + einer für eine "Visual Station" durchgelassen.

Von der IB2 leite ich momentan folgende Ports weiter:
VPN Server 1194 UDP
File Station 5001
Synology Drive 6690

Wir verwenden nur Apple Geräte in unserem Haushalt und die Diskstation wird zusätzlich als Schutz vor Feuer etc. noch mittels Synology C2 Backup extern in die Cloud gesichert (wenn das eine Rolle spielt bezüglich Portweiterleitung?).

Was ich nicht verstehe:
- wenn ich nur noch 1194 UDP weiterleite (wenn das überhaupt wegen dem C2 Backup möglich ist?), komme ich dann intern über meinen Browser noch auf die Verwaltungsoberfläche der Synology Diskstation?
- Bei den Handy Apps scheint es via VPN auch nur mit der Eingabe der IP (192.168.x.xxx) und der Aktivierung von https zu funktionieren (ohne einen Anhang wie :5001 oder /photo). Irgendwie kennen die Apps was angezeigt werden muss und man landend nicht z.B. auf der Verwaltungsoberfläche/dem "Desktop" der Diskstation. Ob das dann wohl auch bei der DS Cam App für die Surveillance Station funktionieren wird?




# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS 192.168.1.1

Könnte ich diese beiden Einträge 1:1 übernehmen (der untere natürlich mit der IP meiner Diskstation)?

Dann müsste ich allerdings diese .ovpn Files nochmals erstellen, anpassen und in meinem Iphone/iPad und dem der Freundin nochmals neu via iTunes bei OpenVPN Connect einspielen.
Ist das nur notwendig, falls es wie im anderen Thread zu Problemen beim VPN Zugriff kommt oder sollten diese Einstellungen standardmässig besser gemacht werden?

Vielen Dank für deine tolle Hilfe!

Werner
Super User
22 von 35

@Michali 

 

Ja, wenn Du das von der Syno exportierte ovpn.-File bis jetzt unverändert gelassen hast, kannst Du die fett hervorgehobenen Einträge direkt und unverändert (IP der Internetbox ev. angepasst) direkt ins .ovpn-File einpflegen, und dann erneut in die Clients importieren.

 

Machen solltest Du es unbedingt, denn ohne vollständigen Tunnel, sucht Dein mobiler Client jede IP-Adresse, die Du von extern angibst, im lokalen Netz in dem Du gerade angemeldet bist (also nicht im Heimnetz) und deshalb kommst Du aktuell auch nicht direkt in Deine Heimnetzgeräte rein.

 

Noch einige Zusatzbemerkung zum Thema Portweiterleitungen und VPN- Verbindungen:

 

- Portweiterleitungen sind nur notwendig, wenn Du von ausserhalb (meistens aus dem Internet) In Dein Heimnetz rein willst. Ausgehend ins Internet raus brauchst Du nie eine Portweiterleitung

 

- Ziel eines vollständigen VPN-Tunnels ist es immer Deinen via Internet an Deinem Heimnetz angemeldeten externen Client zu einem vollständig berechtigten normalen Benutzer Deines Heimnetzes zu machen. Es sollte also keine Rolle mehr spielen, ob Du mit Deinem Benutzer wirklich direkt im Heim-LAN bist, oder ob Du mit dem selben Bemutzer eine Verbindung via Open VPN Connect von aussen her aufbaust. Was zuhause im LAN oder WLAN funktioniert, muss auch über die VPN-Verbindung unverändert funktionieren.

 

- Wenn Du mit Open VPN Deinen kompletten Traffic „tunnelst“ brauchst Du wirklich nur den Open VPN Port auf der Internetbox zu öffnen, denn anschliessend bist Du „drin“ im Heimnetz. Falls Du tatsächlich noch andere Ports brauchst um auf Deine gewohnte „Heimfunktionalität“ zu kommen, dann hast Du noch keinen vollständigen funktionierenden Tunnel.

 

Und noch zum Schluss: Auf meinen Mobiles ist der Open VPN Client „always on“, bin also dauernd virtueller Bestandteil meines Heimnetzes.

Entsprechend schneller Upload des Heimnetzes (der Upload des Heimnetzes wird dann auch zur Limite für den Dowload des Clients) vorausgesetzt, funktioniert das auch sehr stabil und auch nahtlos im Wechsel zwischen Mobilfunk und externen WLAN.

Der Stromverbrauch auf den Mobiles wird dadurch ein wenig höher, aber auf den iOS-Devices eigentlich nur minimal.

 

 

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Werner
Super User
23 von 35

@Michali 

 

Nachtrag: Habe erst im Nachhinein gesehen, dass Du in Deinem Beitrag die IP der Internetbox durch die IP Deiner Diskstation ersetzen wolltest.

 

Das wäre natürlich falsch, denn forciert werden soll hier der im Heim- LAN eingesetzte DHCP-Server und das ist normalerweise wirklich die Internetbox.

 

Wenn Du also Dein Heimnetz nicht verändert hast, musst Du den Wert auf 192.168.1.1 belassen

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Michali
Level 2
24 von 35

Danke Shorty!

Folgendes habe ich (anhand der Anleitung von iDomix) geändert:

- nach dem Wort "Remote" meine DynDNS Adresse gefolgt von einem Leerschlag und 1194 eingegeben.
- Den "Gartenhag" vor "redirect-gateway def1" entfernt

Hat dies einen Einfluss auf deine empfohlenen Änderungen?

Das der Upload zuhause dann bei bestehender VPN-Verbindung auf dem Client dann ja auch zur Download-Limite wird, hatte ich gar nicht bedacht! Habe leider mit dem Internet M von Swisscom nicht gerade einen sehr hohen Upload...

Werner
Super User
25 von 35

@Michali 

 

Und nochmals ein Nachtrag:

Falls Du mit Deinen Clients öfters in privaten Swisscomnetzen von Kollegen unterwegs bist, kann es zu IP-Konflikten kommen, wenn deren Router gleich wie Dein Router eine Default-Stammadresse von 192.168.1.1 hat.

 

Abgesehen davon, dass Du einen Internetbooster der Swisscom in Betrieb hättest, welcher das nicht verträgt, solltest Du deshalb vorbeugend am besten noch Deine eigene Netzwerkadresse auf der eigenen Internetbox ausserhalb des Defaultbereiches der wichtigsten Internetprovider wählen.

 

Verändern musst Du dabei nur die zweitletzte Zahl, also z.B. 192.168.77.1 anstatt 192.168.1.1

 

Eventuell musst Du auch noch auf der Syno noch ein wenig nachkorrigieren, falls Du da fixe Adressen eingetragen hast.

 

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Werner
Super User
26 von 35

@Michali  schrieb:

Danke Shorty!

Folgendes habe ich (anhand der Anleitung von iDomix) geändert:

- nach dem Wort "Remote" meine DynDNS Adresse gefolgt von einem Leerschlag und 1194 eingegeben.
- Den "Gartenhag" vor "redirect-gateway def1" entfernt

Hat dies einen Einfluss auf deine empfohlenen Änderungen?

Das der Upload zuhause dann bei bestehender VPN-Verbindung auf dem Client dann ja auch zur Download-Limite wird, hatte ich gar nicht bedacht! Habe leider mit dem Internet M von Swisscom nicht gerade einen sehr hohen Upload...


Der Gartenhag weg, ist mal gut, denn das bedeutet, dass nun alles über den Tunnel geht.

Zusätzlich musst Du aber als weitere Zeile auch noch die DHCP- Option ergänzen, damit auch die DNS-Server und die Namensauflösungen Deines Heimnetzes wirklich zum Zug kommen, sonst bedient sich Dein Client trotzdem weiterhin immer noch im externen Netz.

 

Bezüglich Upload Deines Heimnetzes: Wenn Du da 20-50 MBit/sec Upload hast, reicht das locker für die Belieferung der externen Clients.

Da wirst Du auf den Mobiles keine Einschränkungen verspüren.

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Michali
Level 2
27 von 35

Ui, jetzt wird es aber ziemlich kompliziert.

Könntest du mir ev. noch kurz eine Antwort auf meinen vorherigen Post geben? Bin mir nun recht unsicher, wie und ob ich das ganze file nun anpassen sollte (nebst meinen zwei bisherigen Anpassungen).

Wollte soeben in meiner Synology-Firewall den Port 5001 nicht mehr erlauben, da erhielt ich die folgende Fehlermeldung:

 

Bildschirmfoto 2019-09-09 um 22.40.24.png

Erhalte ich diese Meldung weil ich gerade mit 192.168.x.xxx:5001 intern mit dem Browser zugreife? Wie kann ich den die Einstellung trotzdem ändern/entfernen?
Komme ich nachher nur mit der Eingabe von 192.168.x.xxx im Browser wieder auf die Verwaltungsoberfläche (und hat dies allfällige nachteile "ohne https" im eigenen LAN?

Was ich vergessen habe: Ich synchronisiere meine Dateien Lokal zur Diskstation mit Synology Drive. Das funktioniert anscheinend über die DynDNS Adresse xxx.internet-box.ch. Weisst du, ob dies auch ohne Portweiterleitung funktioniert (hoffentlich)?

Nachtrag: Ok, Danke! Ich werde in dem Fall dhcp-option DNS 192.168.1.1 direkt in die Leerzeile unter "# Repeat this option to set secondary DNS server addresses." einsetzen.

Die 192.168.1.1. belasse ich wohl vorläufig mal so, da ich eigentlich nicht so oft in fremden Swisscomnetzen unterwegs bin (resp. das VPN bisher nur im Ausland genutzt habe) und ehrlich gesagt sehr unsicher bin, wo ich diese Einstellungen überall noch ändern müsste...

Editiert
Werner
Super User
28 von 35

@Michali 

 

Also der Reihe nach.

 

Du kannst auf zwei Arten in Deinem internen Netz auf die Syno zugreifen.

 

Entweder:

http://diskstation    —> dann muss auf der Syno-Firewall (nicht auf dem Router) Port 5000 der Syno zugänglich sein

https://diskstation —> dann muss auf der Syno Port 5001 zugänglich sein

 

Die Einstellung http oder https ist auf der Syno selbst.

Da Du Deine Syno nicht ins Internet stellen willst, kannst Du problemlos http verwenden und hast dann auch keine Probleme mit Zertifikaten.

 

Und noch zur Synchro von PC’s mit Synology Drive: Da diese innerhalb Deines Heimnetzes stattfindet, wirst Du nie eine Portweiterleitung aus dem Internet auf Dein Heimnetz benötigen. Wenn das Programm selbst auf der internen Firewall der Syno Einträge macht, ist das okay, das heisst aber nicht, dass diese Ports auf der Internetbox für Zigriffe aus dem Internet geöffnet werden müssen.

 

Falls Du einen PC von extern mit einer vollständigen VPN-Verbindung gültig angemeldet hast, und der eine Synchroaufgabe hat, läuft das dann einfach über die verschlüsselte Verbindung zuerst ins Heim-LAN, und dann zur Syno, ganz wie wenn Du tatsächlich zuhause wärst..

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Michali
Level 2
29 von 35

Uff, ok, ich habe nun in der IB2 die Portweiterleitungen 5001 und 6690 entfernt, so dass nur noch 1194 übrig ist.

In der Syno-Firewall ist noch 5000, 5001, 1194 und 6690 zugelassen. Sollte ich hier 6690 (und 5000 oder 5001?) auch entfernen? Spielt das für die Funktion des Services (hier glaubs Synology Drive) eine Rolle? Die Portweiterleitung wurde ja entfernt. Wenn ich deinen letzten Post richtig verstehe, sollte ich den Port 6690 NUR IN DER SYNO-FIREWALL erlauben, aber keinen Port weiterleiten aus der IB2? Ich verstehe das ganze nicht so richtig und merke gerade, wie schwer es mir fällt diese Einstellungen zu ändern, da ich nicht wirklich weiss was ich tue...

Ich kann nun weder über http://diskstation noch über https://diskstation die Verwaltungsoberfläche erreichen :(. Allerdings weiterhin über die Ip gefolgt von :5001 (?)

Ich möchte meine Syno nur "nicht ins Internet stellen" (ist den Port 1194 weiterleitn nicht auch schon = ins Internet stellen?), wenn es folgende Dienste auch so möglich sind (mit VPN):

- Zugriff auf meine Dateien (mit der Drive APP) -> sollte ja funktionieren über VPN -> Zugriff von zuhause aus mit der IP

- BACKUP der NAS mit Synology C2 Backup -> weisst du ob hierfür eine Portweiterleitung (für die Ausgehenden Daten) notwendig ist?

 

- Synchronisation der Dateien zwischen meinem Mac und MacBook und der Diskstation via Synology Drive. Wenn ich dich richtig verstehe, muss ich dann in den Einstellungen des Synology Drives auf meinem Mac und MacBook anstelle der DynDNS Adresse nur noch die Interne IP angeben? Ich hoffe das dies funktioniert und nicht erneut alles Synchronisiert wird, wenn ich dort versuche die Einträge zu ändern. Somit würde die Synchronisation beim Mac konstant stattfinden (da immer im gleichen LAN?) und die mit dem MacBook (wenn es sich auserhalb des WLANS zuhause befindet) erst sobald VPN aktiviert wird?

Herzlichen Dank für deine Hilfe, die ich wirklich sehr schätze!
Michali

Werner
Super User
30 von 35

@Michali 

 

Damit Dir die Sache (zumindest zu Beginn) jetzt nicht über den Kopf wächst, würde ich vorschlagen Deinen Setup ein wenig zu vereinfachen.

 

Dadurch, dass Du auf Deinem Router gegenüber dem Internet jetzt wirklich nur noch den Port 1194 UDP an die Syno weiterleitest, kommt man jetzt aus dem Internet auch wirklich nur noch bis zum „Gate-Keeper“ VPN-Server, bei dem sich dann jede eingehende Verbindung aus dem Internet zuerst einmal gültig authentifizieren muss, sonst wird sie direkt abgewiesen.

Deine Syno ist jetzt also von aussen wirklich nur noch via funktionierender und verschlüsselter VPN-Verbindung  ansprechbar.

 

Es reicht nun deshalb eigentlich absolut aus, den internen Syno-Firewall-Schutz auf Default zu belassen und da gar keine zusätzlichen spezifischen Rules für bestimmte Programme und Services zu definieren.

Man kann das zwar tun, aber eigentlich schützt man sich nur noch zusätzlich gegen Clients im eigenen Netz.

 

Was ich für den Schutz der Syno im eigenen Netz neben der normalen Benutzerverwaltung noch aktivieren würde, sind nicht unbedingt zusätzliche Syno-interne Firewall-Rules auf der Port-Ebene, sondern die 2-Faktor-Authentifizierung bei der Anmeldung auf das Verwaltungsmenu der Syno und die Blockierung für einen Tag bei mehr als 10 ungültigen Anmeldeversuchen.

 

P.S.: Ob Du via http und logischem Namen auf das Verwaltungsmenu der Syno kommst, hängt alleine davon ab, wie Du Deine Syno bei der Installation benannt hast (nur der Default wäre „Diskstation“) und ob Du bei der Konfiguration bei http und Port 5000 die entsprechenden „Haken“ gesetzt hast, oder nicht.

 

 

 

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Michali
Level 2
31 von 35

Vielen Dank Shorty!

Also, dann gehe ich mal der Reihe nach vor.

- Bei der Portweiterleitung ist jetzt nur noch 1194 UDP aktiv (die anderen beiden werde ich dann noch komplett löschen in der IB2).

- Blöderweise habe ich bei der Firewall mal die Regeln für das "default-Profil" angepasst (war auch eine Anleitung von iDomix). Für LAN1 ist es so, dass wenn keine Regel zutrifft, der Zutritt verweigert wird. Sollte das also genau umgekehrt sein (alles Zulassen, sofern nicht eine Regel den Zutritt verweigert)? Kann man das default Profil wieder irgendwie auf "Werkseinstellung" zurücksetzen?

Nachtrag: Habe erst jetzt gesehen, dass es bei den Schnittstellen noch "VPN" gibt. Muss/sollte ich nur diese einrichten (meine Diskstation hängt am LAN1)?

 

- Langt bei der 2-Faktor-Authentifizierung auch "nur" die Option "Benutzer der Administratoren-Gruppe"? Das würde dann nur mein Konto betreffen, da meine Freundin der Gruppe "Users" zugeordnet ist. Sie hat aber trotzdem Lese- und Schreibrechte für unsere gemeinsamen Daten und Fotos.
Zusätzlich gibt es als drittes Konto noch einen "Time-Machine-Benutzer" der auch der Gruppe Users zugeordnet ist und als einziger Lese- und Schreibrechte für die Time Machine Backups hat.

Wenn ich die 2FA Aktivieren möchte (ich dachte ich könnte da ev. die App "Authy" nutzen, die ich sonst schon für alle 2FA verwende), kommt die Meldung, dass ich zuerst Benachrichtigungen aktivieren muss.

Bildschirmfoto 2019-09-10 um 15.21.07.png

 

Hier werde ich wohl als Absender meine private E-Mail-Adresse (Apple .me Adresse) versuchen zu verwenden?

Das mit der Erreichbarkeit des Verwaltungsmenüs mit dem logischen Namen checke ich ehrlich gesagt nicht ganz. Meine Diskstation hat einen eigenen Namen im Netzwerk (weiss nicht mehr ob ich den während der Installation oder später vergeben habe). Aber mit http://diesername oder auch https://diesername bekomme ich keine Verbindung.


Unter Systemsteuerung -> Netzwerk ->Allgemein ist dieser Servername auch eingetragen und darunter die Standard-Gateway 192.168.1.1 (darunter erreiche ich aber die IB2). Die Diskstation hat eine fixe IP Adresse in der IB2 hinterlegt.

Unter DSM-Einstellungen sieht das ganze so aus:

Bildschirmfoto 2019-09-10 um 15.30.06.png

Editiert
Tux0ne
Level 9
32 von 35

Kann ein Mod von @Anonym diesen privaten Chat hier zur rudimentären Synology Konfig von diesem Thread trennen?

Es ging hier ursprünglich hautpsächlich um die let's encrypt Verschlüsselung mit der DS.

Jetzt ist der Thread verunstaltet.

 

Ordeeeeer please

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Werner
Super User
33 von 35

@Michali 

 

Hier geht es übrigens noch direkt zu den Vorschlägen von Tux0ne zum Thema Erhöhung der Sicherheit von Synology NAS in seinem privaten Blog:

https://www.tuxone.ch/2013/04/improve-nas-security-synology.html

 

Der Artikel ist zwar bereits 6 Jahre alt und einige Details und die darin enthaltenen Verlinkungen sind nicht mehr aktuell, aber die grundsätzlichen Überlegungen dahinter halte ich nach wie vor für sehr lesenswert.

 

Falls Du dann noch weitere Fragen hast, würde ich vorschlagen, dass Du dann der Übersichtlichkeit und der Wiederauffindbarkeit von Lösungen dienend, tatsächlich Fragen-spezifisch ein oder mehrere neue Themen eröffnest, was dann die Runde der Diskussionsteilnehmer auch erweitern könnte.

 

P.S.: Und das mit dem „Verunstalten“ dieses Threads solltest Du übrigens nicht so ernst nehmen...

 

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
ThierryP
Level 3
34 von 35

Hallo Dani, ich habe auch das von synology genommen aber bei mir wenn ich intern auch mein NAS zugreiffe, zeigt es mir immer noch an das es nicht sicher ist. Von extern scheint es ok zu sein. Hast du da Rat für mich?

Dani (CH)
Super User
35 von 35

1) Port 443 und Port 80 auf Synology mappen

2) Unter Synology -> Systemsteuerung -> Sicherheit -> Zertifikat auch auf alle Dienste umleiten?

3) Und vielfach auch mal das ganz einfache: Browsercache auch löschen und dann Browser neu starten?

Nach oben