Toggle sidebar

Zertifikat für iPhone - nur lokal

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

V

Verwirrter_Hannes

Benutzer
Registriert
19. Feb. 2023
Beiträge
8
Reaktionspunkte
0
Punkte
1
Moin,

meine DS220+ läuft ausschließlich lokal und alle Nutzer haben ausschließlich über VPN und das lokale Heimnetz Zugriff. Ich möchte, dass alle Verbindungen über https laufen, damit die Zugangsdaten nicht offen lesbar im Heimnetz herumwandern. Https erzwingen habe ich bereits aktiviert und das funktioniert auch wunderbar bei den Androids (Zertifikat bestätigen und fertig) aber die iPhones stellen sich quer, weil sie unbedingt ein importiertes Zertifikat benötigen. Am iPhone ist die Verwendung der DS Apps also aktuell nicht mehr möglich!

Da die DSM nur lokal läuft, fallen selbst erstellte Online-Zertifikate über Lets Encrypt oder DDNS raus. Ein eigenes Zertifikat zu erstellen ist auf der DSM mittlerweile leider nicht mehr möglich. Was für Lösungsansätze gibt es noch, um eine https Verbindung zwischen iPhone und DSM zu schaffen? Gibt es die Möglichkeit ein selbst signiertes und im Heimnetz funktionierendes Zertifikat offline zu erstellen?

Danke für Eure Hilfe und schöne Feiertage!
Grüße
 
Nein, die Zertifikate über DDNS fallen nicht raus.
Du kannst dir kostenlos eine Synology DDNS erstellen, da ist ein Wildcard Zertifikat dabei. Dem DDNS kannst du dann sagen, dass er auf die interne IPv4 der DS zeigen soll und nicht auf die externe des Anschlusses. Offene Ports brauchst du für Zertifikate auch keine mehr, dank DNS-Challenge.
Ich habe das lange so gehandhabt. Mittlerweile habe ich mir dafür eine eigene Domain gekauft. Aber alles bleibt lokal ohne offene Ports

Selbst signieren und verteilen geht aber nach wie vor. Per CLI halt. Ist aber komplizierter und fehleranfälliger als LE. Nach extern muss das NAS natürlich ins Internet sprechen dürfen...
 
  • Like
Reaktionen: Benie
Hallo @plang.pl, ich hoffe ich darf mich da gleich zum Thema anhängen.
Ich habe jetzt umgestellt von NAS sichtbar via Portfreigaben zu ausschließlich via VPN wie der TE.

Genauer:
DS216+ii, Router Fritzbox mit Wirequard VPN Konfiguration, zusätzlich Docker mit Pihole für DNS und vaultwarden als PW manager und Reverse Proxy (intern).

Nun habe ich ein ähnliches Problem.
Ich bekomme überall die Meldung, dass mein Zertifikat nicht vertrauenswürdig ist.
Außerdem hab ich das Problem auch, wenn ich mich übers iPhone via DS file App oder Bitwarden App einloggen möchte, wobei Bitwarden nicht mehr funktioniert.
Getestet im Mobilfunknetz mit VPN.
Bin mir recht sicher, dass das mit den Zertifikaten zu tun hat.

Ich habe zwar noch die DDNS, wegen dem Hostnamen für die Zertifikate, aber verwenden kann ich die DDNS ja wegen der umgestellten Konfiguration nicht.

Leider wurde schon sehr viel versucht und Videos angeschaut, jedoch komme ich nicht zum gewünschten Erfolg.

Vielleicht hat ja von euch jemand eine kleine detaillierte Anleitung zur Hilfestellung. Ich bin sicher nicht der erste, der diese Konfiguration nutzt.
Ich wäre sehr dankbar für jeden input.

Danke & LG, Tommily.
 
In AdBlock kann man ein Eintrag im Register DNS-Umschreibung machen, das geht bei Pihole sicherlich auch.Da einfach deine Domain einsetzen, dann kannst du über die DynDns Adresse deine Geräte aufrufen.Eventuell musst du in der Wireguardkonfig die Adresse für dein iPhone noch hinzufügen.
 
Ja, das liegt am Zertifikat. Ein Zertifikat gilt nur für die Domain, für die es ausgestellt wurde. Wenn du jetzt also mit IP zugreifst, klappt das nicht, weil das Cert ungültig ist. Also musst du weiterhin mit dem DDNS zugreifen und dafür sorgen, dass der intern aufgelöst wird. Das geht sowohl in Pihole als auch in unbound als auch im AdGuard

Anleitung für AdGuard hatte ich hier mal erstellt: https://www.synology-forum.de/threa...e-unbound-um-domain-lokal-aufzuloesen.127925/
Beim Synology DDNS geht das ganz ohne lokale DNS-Einträge: https://www.synology-forum.de/threads/ddns-intern-nutzen.127599/
 
Danke schonmal für die Rückmeldungen.

@Rotbart das hab ich schon bei Pihole. Die Adressen werden ja richtig aufgelöst bzw. dem entsprechenden Namen zugewiesen.

@plang.pl das habe ich, würde ich behaupten, über Pihole und Reverse Proxy inkl. DNS-Rebind auf Fritzbox schon richtig gemacht.

Ah, ich glaub ich weiß wie ich es mache, wenn ich einfach unter dieser DDNS Domain, Wildcard Domains hinzufüge und allen Seiten wie z.B. Vaultwarden einen anderen DNS Namen vergebe, welcher eine SubDomain ist, sollte das funktionierten.
Dann habe ich auch das passende Zertifikat von Synology welches sicher ist.
Kann das funktionieren?

Selbst Zertifikat erstellen und signieren über OpenSSL war leider nicht erfolgreich.

Was funktioniert, ich komme zumindest auf die DDNS Domain nur mit VPN extern und im internen Netzwerk ohne Zertifikatsfehlermeldung drauf.
Ist nicht erreichbar ohne VPN - check.
Aber die Einstellung ist bei mir auch Auto, nicht die interne LAN IP. Muss/Soll ich das noch umstellen?

Ich versuche mal und berichte dann.
Danke & LG, Tommily
 
Selbst erstellen geht auch. Nur musst du da den Clients manuell beibringen, diesen Zertifikaten zu vertrauen.
Tommily schrieb:
Kann das funktionieren?
Zum Vergrößern anklicken....
Ich weiß nicht genau, was du meinst. Aber ich vermute, dass du genau das machen willst, was ich oben geschrieben hatte.
Tommily schrieb:
Muss/Soll ich das noch umstellen?
Zum Vergrößern anklicken....
Wenn du nicht extern zugreifen willst, stelle das um. Dann bist du fertig und brauchst dich nicht um den DNS zu kümmern
 
plang.pl schrieb:
Ich weiß nicht genau, was du meinst. Aber ich vermute, dass du genau das machen willst, was ich oben geschrieben hatte.
Zum Vergrößern anklicken....
Ich meinte, wie bekomme ich das Zertifikat nun für andere DNS gültig.
Beispiel:
DDNS: nas.synology.me
Zugewiesene DNS Adresse für VW: vaultwarden.nas
Aktuell keine Subdamain -> Zertifikat nicht vertrauenswürdig.

Änderung:
DDNS: nas.synology.me
Zugewiesene DNS Adresse für VW: vaultwarden.nas.synology.me
Subdamain -> Zertifikat ist nun gültig

Konfiguriert ist außerdem der Reverse Proxy und in Pihole die Zuweisung der Domain zur IP.

Alle Dienste funktionieren.
Zusammenfassend, um ein immer aktuelles Zertifikat auch für Apple Geräte (Safari) und Apps, die hier noch striktere Vorgaben haben zu erstellen muss es über die DDNS Domain gehen.
Nicht vergessen auch die Sub Domain dem Zertifikat zuzuweisen.

2 Dinge stören mich noch.

1) Vaultwarden:
  • Bitwarden App: Nach erfolgreicher Erstanmeldung komme ich auch ohne VPN zum Tresor.
  • Vaultwarden Web: Wie gewünscht, zugriff nur über VPN im Mobilfunknetz und Zugriff über WLAN ohne VPN möglich.
2) DS-File / DSM:
  • DSM über WLAN ohne VPN erreichbar
  • DSM nicht erreichbar über Mobilfunk ohne VPN aber über VPN möglich
  • DS-File Verbindung über VPN und Mobilfunk möglich
  • DS-File Verbindung über VPN und WLAN möglich
  • DS-File Verbindung nicht über W-LAN ohne VPN möglich
Zu 2 muss da wohl noch ein DNS Problem vorliegen. Aber der DNS Server vom W-LAN ist die Adresse von Pihole.
Habt ihr dazu noch eine Idee?

LG, Tommily
 
Dass mit Vaultwarden liegt daran, dass der eben Einträge cached. Für genau den Fall wenn man kein Netz (/kein Heimnetz) hat. Das kann man m.W. auch nicht deaktivieren. Aber der Start der App ist doch auch passwortgeschützt? Da kann mit gutem Passwort dann doch keiner ran. Wenn du partout keinen Cache willst, erstelle dir eine Verknüpfung zu dem Webtresor auf dem Home Screen oder erstelle dir eine Web App über den Browser (Falls das unter iOS geht). Dann greifst du vom Handy nur auf den Web Vault zu und ohne VPN geht nix

Führe doch bei dir im Heimnetz mal ein nslookup durch und schau, ob du überall die lokale IP zurückbekommst.
Ggfs. greift in dem Fall auch eine Rebind-Protection des Routers

EDIT: Und das, wonach du suchst, sind Wildcard Zertifikate. Also gültig für deinedomain.de und *.deinedomain.de. Das wird beim Synology DDNS mitgeliefert normalerweise
 
Danke @JohneDoe & @plang.pl, wusste ich nicht, dass die gecached sind.
Nein, das ist dann OK für mich.

Tommily schrieb:
Ah, ich glaub ich weiß wie ich es mache, wenn ich einfach unter dieser DDNS Domain, Wildcard Domains hinzufüge
Zum Vergrößern anklicken....
@plang.pl, genau, das hab ich gemeint und dann auch gefunden. Das funktioniert ja wie oben beschrieben nun.

Nur DS-file im Heimnetzwerk ist noch ein Problem.

LG, Tommily
 
Keine Ahnung was das war, auf jeden Fall ein Problem der App.
Nach Neuinstallation der App geht jetzt alles wie gewünscht.

Danke für euren Input.
 
Vermutlich DNS Cache gewesen
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten