DSM 6.x und darunter DSM - Domain

[no8ody]

Hallöle,

ich habe auf meiner DS unter Netzwerk -> DSM-Einstellungen eine benutzerdefinierte Domain eingestellt (meine eigene Domain). Diese Domain verweist durch einen CNAME auf die DDNS von Synology (worüber logischerweise die IP ermittelt wird). Nun soweit funktioniert auch alles und ich muss witzigerweise im Browser kein Port mehr angeben (was wirklich schön ist). Leider musste ich feststellen, dass mit dieser Domain das Aufrufen bzw. benutzen der Adresse in den APPS wie DS Video nicht mehr möglich ist. Die Drive App zeigt ein Zertifikatsfehler (untrusted) an, obwohl überall das Zertifikat eingebunden ist.

Hat jemand eine Idee wie ich das Problem lösen könnte? Ich möchte nämlich gerne auf eine Porteingabe verzichten.


Vielen Dank!

Grüße,
no8ody


Edit: Ich habe mal eine Änderung versucht, in dem ich die Domain wieder entfernt hab aus den Einstellungen und bei den Anwendungen diese über Reverse 443 -> DSM Port eingesetzt habe. Dies scheint auch zu funktionieren. Da meine DS leider gerade ein rebuild macht, will ich sie nicht neustarten um zu sehen, ob dies nun auch mit der video station wieder funktioniert.

 

[Frogman]

Leider schreibst Du nicht, auf welche Domain das entsprechende Zertifikat ausgestellt ist...

 

[no8ody]

Hi,

also das Zertifikat ist natürlich auf den CNAME ausgestellt.

 

[Fusion]

Das sagt uns immer noch nicht, ob du einen Fehler gemacht hast oder nicht, wenn du nicht konrket Beispiel nennst wie die Domains und URLs die du verwendest ausssehen.
Der Browser gibt bei einer Warnung zum Zertifikat auch immer einen genauen Grund an. den muss man halt nachlesen. Eventuell muss man bei der meldung auf "erweitert" oder ähnliches klicken.

Gibst du eine benutzerdefinierte Domain für den DSM vor ist normal auch die Nutzung in den Apps damit möglich (man kann auch unter Systemsteuerung > Anwendungsportal jeweils eigene Domains pro Dienst/Anwendung vergeben).
Allerdings muss man bei der Eingabe aufpassen. Oft musst du z.B. dsm.domain.de:443 eingeben für den Hostname in der App (das https Häkchen muss ebenfalls gesetzt sein), weil die App sonst still und heimlich im Hintergrund trotzdem weiter auf 5001 oder anderen Ports probiert und das natürlich dann fehlschlägt.

 

[JudgeDredd]

also das Zertifikat ist natürlich auf den CNAME ausgestellt.

Das ist natürlich falsch. Im CNAME steht ja auch Deine DDNS Domain und nicht Deine eigene.

 

[no8ody]

Ja ich hatte ja geschrieben, dass ich erstmal warten will bis das rebuild durch ist und ich mal einen neustart machen kann. Der Tipp, dass ich den Port 443 trotzdem mitgeben soll, hat bei der Video Station geholfen. Sowohl DSM und Drive (Software) benötigen nun keine Porteingabe, leider halt bei der Video Station.. aber damit kann ich durchaus leben. Damit hat sich mein Problem schon soweit erledigt.

Um deine Frage oben nochmal aufzugreifen:
Ich habe lediglich einen CNAME auf einen DDNS gelegt und über diesen CNAME greife ich auf alle Dienste der DS zu... die wohl nur Port 443 und den DSM (HTTPS) Port benötigen. Diese beiden Ports sind auch nur in der Firewall freigegeben. Zertifikatswarnungen hatte ich im Browser von anfang an nicht, da dieses sofort funktioniert hat. Lediglich bei den Apps (Android) und Fehler beim Verbindung (Windows App - DS Video) hatte ich. Dieses konnte aber mit der zusätzlich Porteingabe von 443 behoben werden (auch wenn ich das irgendwie bescheuert finde, weil wofür setze ich den haken oder ich denk gerade falsch )

Trotzdem vielen Dank für die Hilfe!

 

[Fusion]

Ja, das ist leider die Syno-Logik, die sich bis heute nicht vollständig geändert hat (mit den neueren Apps wie Note, Drive etc ändert sich da teilweise was).
Der Haken bei https in den Apps definiert nur, ob die Verbindung SSL verschlüsselt aufgebaut wird oder nicht (nicht wie bei Browsern bei denen die Angabe von https als Protokoll auch direkt den Kontakt auf 443 automatisch setzt).
Und da historisch eben viele Dienste über 5001 etc gelaufen sind, nutzen die Apps auch genau diese stillschweigend.
Was der Nutzer bräuchte ist neben dem https Haken eine Parametrierung des verwendeten Ports in den Apps. Die kann ja im Normalfall auf dem alten Muster liegen, aber jeder der wollte könnte es sich anpassen. Ich habe dazu schon 2-3 Tickets geschrieben, aber ...
Also schreibt fleißig Tickets dazu vielleicht ändert sich ja doch mal irgendwann was und ich kann endlich sub.domain.de alleinig, anstatt sub.domain.de:443, mit dem https Haken in den Apps nutzen mit meinen benutzerdefinierten Domains.

Nachtrag:
Ein CNAME Eintrag enthält ja ganz genau genommen beide
sub.meine.de IN CNAME sub.dynDNS.de
Also darüber muss man kein Haar spalten.

 

[Frogman]

Wenn Du mit dem eigenen Domainnamen zugreifst, das Zertifikat aber auf die DDNS im CNAME Record ausgestellt ist, wirst Du immer - sobald die Clientsoftware das prüft - einen Zertifikatsfehler erhalten.

 

[no8ody]

Das mit dem Zertifikat, funktioniert nun alles. Was mich derzeit eher beschäftigt ist, ob ich die DSM frei im Internet lassen kann. Der Server steht nicht bei mir daheim und ich möchte gerne natürlich auch auf die Inhalte zugreifen. Ich hab alle möglichen Schutzmechanismen eingeschaltetet.. z.B. DDoS-Schutz, IP-Sperrung bei zu oft falsch, 2FA, Konto-Schutz und nur die wirklich benötigen Ports freigegeben. Des Weiteren musste ich von 443 auf DSM Port ein reverse Proxy einrichten, damit ich überhaupt z.B. auf Drive zugreifen konnte.

Ist halt die Frage, ob die Syno jetzt leicht geknackt werden kann oder nicht. Oder ob ich gerade tatsächlich zu doof bin, die Kiste richtig einzurichten...

 

[Fusion]

Verstehe nicht für was du bei Drive den reverse proxy brauchst, weil benutzerdefinierte Domains (Anwendungsportal) ja schon an 443 lauschen (für Zugriff auf drive-Web etc reicht das) und für den Sync bei drive noch 6690 oder eine Umleitung darauf nötig ist.
Ich würde auf jeden Fall nur einzelne Dienste erreichbar machen und nicht den DSM Desktop selber.

Ist primär die Frage, was du extern nutzen willst und welche Möglichkeiten du da mit den Clients hast. Also ob du es per VPN laufen lässt, oder ob auch Sachen frei zugänglich sein sollen für Dritte etc. Je nachdem muss man halt abwägen und schauen, was man wie macht so dass es dem persönlichen Empfinden passt.
Ganz sicher (was den Einbruch durch Sicherheitslücken in den Syno Webanwendungen angeht) bist du nur, wenn die DS gar nicht ins Netz gehängt wird.