DSM 6.x und darunter Zertifikat LAN/Internet lokal/öffentlich

[bloodsurfer]

Hallo liebe Synology Gemeinde,

super Forum, hat mir schon einige Male weitergeholfen!
Da ich leider keine passende Antwort zu meiner Frage gefunden habe, habe ich mich mal fix angemeldet.

Es geht, wie es dem Titel schon zu entnehmen ist, um Zertifikate für die DS.
Ich habe die DS nun nicht nur für Internet sondern auch im LAN auf HTTPS umgestellt. Vorher hat alles schön funktioniert mit dem LE Zertifikat. Im Netzwerk zu Hause ist es jetzt natürlich so, dass die Fehlermeldung wegen des Zertifikats erscheint bzw. "Die Verbindung ist nicht sicher".

Jetzt natürlich die Frage, wie man das Problem beheben kann. Ohne Geld dafür ausgeben zu müssen.
Ist die Umsetzung mit einem 2. LE Zertifikat möglich wo die Domain fritz.box angegeben wird? Die im Internet lautet aktuell. xyz.myfritz.netort oder gibt es andere Möglichkeiten.
Vielleicht könnt ihr mir Tipps geben und einen Lösungsweg aufzeigen.
Vielen Dank im voraus.

Gruß Bloody

 

[Tuvok42]

Ist die Umsetzung mit einem 2. LE Zertifikat möglich wo die Domain fritz.box angegeben wird?

Nein; fritz.box ist keine öffentliche Adresse (nur in privaten Netzen zulässig). Lösungsmöglichkeit: Den Rebind-Schutz in deiner Fritzbox [Schlussfolgerung wegen myfritz.net] deaktivieren und auch zuhause die Adresse xyz.myfritz.net verwenden.

 

[bloodsurfer]

Vielen Dank für die schnelle Antwort, ich werde es am Wochenende mal testen.
Da fällt mir gleich eine Frage dazu ein. Wenn ich die Adresse vom Rebind Schutz ausschließe und das ganze Testen möchte, wie sehe ich ob ich jetzt lokal oder übers Internet auf die DS zugreife?

 

[mbuzina]

Alternativ einen eigenen DNS server auf der Syno laufen lassen und die externe Adresse als Domain angeben. So läuft bei mir intern der Zugriff auf die Interne IP unter dem Namen meinedomain.ddnss.de (eigener DNS bindet dies an die lokale Adresse) oder Extern ebenfalls.

 

[Tuvok42]

wie sehe ich ob ich jetzt lokal oder übers Internet auf die DS zugreife?

Mit den Augen Wenn dein Eingabegerät (PC, Tablett, Smartphone) per WLAN oder LAN mit deiner FB verbunden ist: Intern. Wenn Du per Mobilfunk mit dem Internet verbunden bist: Internet.

 

[mbuzina]

nslookup sagt dir welche IP gesetzt wird. Rebind Ausnahme geht auf jeden Fall nicht mit einer non-fritz DynDNS, die IP zeigt weiterhin auf das äußere Interface. Macht aber auch nicht wirklich viel, der Router (Fritz) sollte smart genug sein, sich nicht selbst über das Internet anzusprechen ;-)

Wie gesagt, eigener DNS auf der Syno erlaubt es einem dann die domain xyz.fritz.net selbst zu belegen - wenn diese DNS dann per DHCP gesetzt wird, wird im (W)LAN immer die lokale IP angesprochen, im Internet dann die externe.

 

[bloodsurfer]

Mit den Augen Wenn dein Eingabegerät (PC, Tablett, Smartphone) per WLAN oder LAN mit deiner FB verbunden ist: Intern. Wenn Du per Mobilfunk mit dem Internet verbunden bist: Internet.

Das ist mir schon klar
Gut über nslookup theoretisch müsste das gehen.

 

[bloodsurfer]

nslookup sagt dir welche IP gesetzt wird. Rebind Ausnahme geht auf jeden Fall nicht mit einer non-fritz DynDNS, die IP zeigt weiterhin auf das äußere Interface. Macht aber auch nicht wirklich viel, der Router (Fritz) sollte smart genug sein, sich nicht selbst über das Internet anzusprechen ;-)

Wie gesagt, eigener DNS auf der Syno erlaubt es einem dann die domain xyz.fritz.net selbst zu belegen - wenn diese DNS dann per DHCP gesetzt wird, wird im (W)LAN immer die lokale IP angesprochen, im Internet dann die externe.

Das werde ich nochmal testen, komme wahrscheinlich erst am Wochenende dazu, liegt momentan viel an... Danke schon mal für die Info.

 

[bloodsurfer]

Sooo, Leute!

Hat etwas länger gedauert... Hab jetzt den DNS Server eingerichtet und auch den DHCP Server, die DS ist jetzt auch unter xyz.domain.de erreichbar.
Jetzt wollte ich das Zertifikat erneuern und trage folgendes ein:
Domainame: domain.de
email: email@keineahnung.de
Betreff alternativer Name: xyz.domain.de; yyy.domain.de; bla@domain.de

Hab es auch mit nur einem alternativen Namen probiert.
Aber ich kriege es ums verrecken nicht hin. Die DS meckert immer:



Habe aber in der FritzBox die beiden Ports freigeben...



Hat wer eine Idee? Mache ich was falsch?

Gruß

 

[Fusion]

Landet denn jeder der Domainnamen auf der DS, auch die domain.de?

 

[bloodsurfer]

Nein, nur eine von den dreien und die DOmain.de geht nur von außerhalb.

 

[Fusion]

Alle Namen die du in das Zertifikat einträgst müssen auch erreichbar sein auf der DS, anders geht es nicht.
Für zukünftige, oder nicht aktive Namen etc kann man keine Zertifikate anfordern.

 

[bloodsurfer]

Okay, das heißt die Domain muss sowohl im LAN als auch dem Netz erreichbar sein und die anderen 3 subdomain.domain.de halt im LAN?
Wieso bringt er dann nur die Fehlermeldung, die auf das eigentliche Problem gar nicht hindeutet...

Dann funktioniert das mit dem DNS Server gar nicht so wie ich mir das vorstelle. Also das gültige Zertifikat und im LAN via https zugreifen.

 

[Fusion]

Die Namen müssen ALLE von AUßEN erreichbar sein, weil von dort ja der Zugriff der LetsEncrypt Server erfolgt, die die Domainnamen prüfen.

Der DNS Server dient nur dazu, dass du AUCH von intern die Namen benutzen kannst.

 

[bloodsurfer]

Alles klar, hab verstanden. Dann muss ich ggf. Meinen DDNS Anbieter wechseln.

Vielen Dank für die Infos