DSM 6.x und darunter Lets Encrypt ohne Port 80

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

ITfisi

Benutzer
Mitglied seit
05. Okt 2013
Beiträge
150
Punkte für Reaktionen
0
Punkte
22
Hallo

ich kann den Porto 80 nicht für die DS freigeben.
Der Port 80 wird bereits für den WebServer auf der FritzBox verwendet.
Die DS wird mit Port 443 angesprochen.
Ich benutze 2 DynDNS Adressen.

Habe mal eine Skizze angehängt.

Weiss jemand wie es doch möglich wäre ?

pks.jpg

ds.jpg

Grüsse Peter
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Dyn DNS zeigt immer auf die öffentlich IP deines Router. Egal ob du 1 Dienst oder 100 einsetzt.

Anmerkung:
Für was ist der webserver auf der Fritz gut und dazu noch unverschlüsselt?
Wenn du das web-Interface schon von außen erreichbar haben willst dann bitte per https und auf einem anderen Port, z.B. 4343 oder was anderes

Solange du also Port 80 für die Fritz belegt hast, kannst du damit nichts anderes machen. Jeden Port auf der öffentlichen IP der Fritzbox kann nur einmal genutzt werden, sei es für ne Weiterleitung oder anderes.
 

ITfisi

Benutzer
Mitglied seit
05. Okt 2013
Beiträge
150
Punkte für Reaktionen
0
Punkte
22
Hallo,

ich brauche nicht das Webinterface.

die Fritzbox läuft immer und die DS nur bei Bedarf. Über die Fritzbox regle ich den "Zugriff" auf die DS, die kann ich über eine Webseite starten falls sie aus ist.
Somit ist der Anlaufpunkt der Webserver von der Fritzbox.

Das Zertifikat auf der Fritzbox ablegen , geht wohl nicht ???

Ich kann dir per PN die Adresse geben und du siehst was ich da realisiert habe.
 
Zuletzt bearbeitet:

jugi

Benutzer
Mitglied seit
07. Apr 2011
Beiträge
1.853
Punkte für Reaktionen
0
Punkte
56
Falls LE IPv6 unterstützt kannst du eine DynDNS-URL nur via IPv6 auf deine DS zeigen lassen, damit kannst du dann Port 80 für beide Geräte freigeben… *denks*
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Ist mir schon klar, dass du die DS per WakeOnLan bei Bedarf via Fritzbox startest.
Das Webinterface für Remotezugriff von der Fritte muss an sein dafür. Und das muss nicht auf Port 80 laufen und schon gar nicht unverschlüsselt.

Auch das Zertifikat auf der Fritzbox läßt sich durch ein eigenes ersetzen. Für dynDNS Domains dürfte die Beschaffung des Zertifikats dafür das schwierigste sein, das Zertifikat auf der Fritzbox zu installieren ist ein Klacks.

Aber wie gesagt, du kommst auch mit einem Zertifikat und einer dynDNS aus.
dynDNS:4343 -> Fritzbox
dynDNS:443 -> Fritzbox Portweiterleitung auf DS
dynDNS:80 -> Fritzbox Portweiterleitung auf die DS
Die DS wacht vermutlich auch so bei Traffic an 80/443 auf.
Port-Knocking untersützt die Fritte im Standard ja glaube nicht (Portanfrage auf Port X öffnet Ports Y zeitweilig)

Vielleicht wäre es auch eine Alternative für ein paar Euro im Jahr ein Domain zu erwerben. Dafür kann man sich auch Zertifikate (kostenfrei) holen die 1 Jahr gültig sind und für die keine extra Portfreigaben nötig sind.
 

ITfisi

Benutzer
Mitglied seit
05. Okt 2013
Beiträge
150
Punkte für Reaktionen
0
Punkte
22
Hallo Fusion,

Danke für die ausführliche Info.
Das mit den Port 4343 für die Fritzbox verstehe ich im Moment nicht richtig, versuche ich am Wochenende
Ich hatte schon mal versucht den Port 80 von der Fritzbox weg zu nehmen danach war der Server von der Fritzbox nicht mehr über die dynDNS Domain erreichbar

Über´s Internet (webseite) rufe ich die dynDNS der DS auf, das erfolgt aber auf dem Server der Fritzbox, ist die DS aus kommt eine webseite zum starten
läuft die DS werde ich weitergeleitet. Das ganze wird mit PHP gesteuert.
Die DS brauche ich nur selten und ist auch für die Familie in Deutschland und Asien gedacht, da ich in der Schweiz arbeite.

Ich habe 2 echte Domains eine in Deutschland und eine in der Schweiz.
Wie kommt dann das Zertifikat von der echten Domain zur DS ?

Es ist so das Familie und Freunde sich immer unsicher sind wenn der Browser die Warnmeldung bringt ......
Deshalb das ganze.

nochmal Danke

Grüsse Peter
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
ok, da hatte ich jetzt keine Zeit mir anzusehen, wie das in Freetz gelöst ist. Die Fernwartungsports in der Stock-Firmware lassen sich bei Fernwartung/Remote ändern.
Aber das müßte jemand mit Freetz sagen, zu wenig Ahnung ad-hoc, was den Webserver dort angeht.

Zertifikat für eine eigene Domain kann man sich ebenfalls mit Lets Encrypt oder z.B. StartSSL holen.
Bei LE kann man zwar eventuell den Umweg gehen und den Client auf dem eigenen Rechner laufen lassen, aber am Ende muss denke ich trotzdem der Port offen sein.
Da müßte man aber die LE Doku nochmal lesen gehen.
Und wegen der Laufzeit von 3 Monaten mache ich das lieber bei StartSSL, da bekomme ich 1 Jahr Laufzeit, da ist nicht so wild, dass es nicht automatisch geht.
Prinzipiell stellt man sich auf der DS im DSM (Systemsteuerung > Sicherheit > Zertifikat) ein neuen CSR (Certificate Signing Request) mit den eigenen Daten aus. Output ist der private Schlüssel und das CSR.
Den CSR lädt man dann bei StartSSL hoch (Domain muss vorher per email validiert werden, Validation Wizard vor Certificate Wizard :) ) und bekommt dann ein unterschriebenes Zertifikat zurück.
Das Zertifikat, den privaten Schlüssel und das Intermediate kann man dann im DSM importieren, fertig.
Dann gibt es auch keine Browser-Warnmeldungen mehr.
 

ITfisi

Benutzer
Mitglied seit
05. Okt 2013
Beiträge
150
Punkte für Reaktionen
0
Punkte
22
Danke für die ausführliche Hilfe.

Ist doch mehr Aktion für mich als ich dachte, muss das ganze bissel langsam angehen.
Bin beruflich auch ziemlich eingespannt und möchte nicht jedes Wochenende vor der
Kiste sitzen.

Grüsse Peter
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Kann man sich ja auch mal im Chat oder Teamviewer treffen. Das dauert weniger als ne Stunde. Voraussetzung die eigene Domain läßt sich per CNAME auf die dynDNS setzen und man kann die emails für die eigene Domain empfangen (z.B. Postmaster@eigendomain.tld, oder die die im DNS für die Domain hinterlegt sind, weil darüber die Domain-Validierung läuft).
 

ITfisi

Benutzer
Mitglied seit
05. Okt 2013
Beiträge
150
Punkte für Reaktionen
0
Punkte
22
Hallo,

Emails kann ich bei beiden Domains einrichten und empfangen/senden.
Was CNAME ist weiss ich im Moment nicht, muss ich mich schlau machen.

Danke für dein Angebot für Teamviewer, können wir gerne mal etwas vereinbaren.
Sende dir eine PN mit Domain Adressen...

Grüsse Peter
 

unlight

Benutzer
Mitglied seit
30. Jul 2012
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich stand vor kurzem vor einem ähnlichen Problem, ich wollte keine dauerhafte Portweiterleitung auf die DS da ich eine statische IP im Range der Telekom habe und
ehrlichgesagt keine Lust auf Dauerloginversuche aus China oÄ hatte. Meine Lösung benötigt allerdings einen Raspberry. Auf diesem wird wird der ganze letsencrypt Kram installiert und per Cronjob 1x im Monat das Zertifikat erneuert. Ein paar Minuten danach werden die Keys z.B. per

sudo cp /etc/letsencrypt/live/NAMEDERDOMAIN/privkey.pem /mnt/VERZEICHNISAUFDERDS/keys/privkey.pem
sudo cp /etc/letsencrypt/live/NAMEDERDOMAIN/cert.pem /mnt/VERZEICHNISAUFDERDS/keys/cert.pem
sudo cp /etc/letsencrypt/live/NAMEDERDOMAIN/chain.pem /mnt/VERZEICHNISAUFDERDS/keys/chain.pem
sudo cp /etc/letsencrypt/live/NAMEDERDOMAIN/fullchain.pem /mnt/VERZEICHNISAUFDERDS/keys/fullchain.pem


auf ein Verzeichnis der DS kopiert das im Raspberry gemounted ist.

Da man auf der DS unter "Aufgabenplaner" netterweise Skripte als Root ausführen darf, kann man (um das Standardzertifikat zu aktualisieren) z.B. per

#!/bin/sh
cp /volume1/VERZEICHNISAUFDERDS/keys/privkey.pem /usr/syno/etc/certificate/system/default/privkey.pem
cp /volume1/VERZEICHNISAUFDERDS/keys/cert.pem /usr/syno/etc/certificate/system/default/cert.pem
cp /volume1/VERZEICHNISAUFDERDS/keys/chain.pem /usr/syno/etc/certificate/system/default/chain.pem
cp /volume1/VERZEICHNISAUFDERDS/keys/fullchain.pem /usr/syno/etc/certificate/system/default/fullchain.pem


die Keys in das richtige Verzeichnis kopieren. Danach per Aufgabenplaner Webserver neu starten und fertig.

Praktisch ist das z.B. wenn die DS unter einem anderen Port als 443 im Netzt hängt und per 80 gar nicht erreichbar sein soll.

Gruß
Unlight
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat