Anfänger-Fragen: Nextcloud Ports, DynDNS und HTTPS im LAN

Status
Für weitere Antworten geschlossen.

Hooch!

Benutzer
Mitglied seit
25. Mai 2019
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo liebe Community,

ich habe mir vor kurzem eine DS218 zugelegt und bin seit dem fleißig am herumprobieren.
Wie das am Anfang so ist, steht man schnell vor Problemen und ich habe schon viele (lehrreiche) Stunden damit verbracht mich in die Grundlagen von Netzwerkinfrastruktur, Verschlüsselung und Basic-Linux-Commands einzulesen.

Im Moment komme ich aber bei einigen Dingen nicht weiter und hoffe auf eure Hilfe:

1) Wenn ich im LAN auf meine Synology zugreife (also z.B. per Browser über 192.168.XXX.XX) kriege ich immer nur Fehler 403 - vermutlich weil ich im DSM ja die Ports 5000 und 5001 für den DSM angegeben habe und auch angehakt habe, dass http direkt auf https umgeleitet werden soll. Wenn ich dann 192.168.XXX.XX:5000 bzw. :5001 eingebe, komme ich auf den DSM.
1.1) Gibt es eine Möglichkeit das zu umgehen, dass ich den Port immer extra mit eingeben muss, außer die DSM Ports auf 80 und 443 zu legen (was ich natürlich ungern will)?
1.2) Obwohl ich ein valides Let's Encrypt Zertifikat erstellt und eingerichtet habe (was auch für den Zugriff über Dyndns, also z.b. Hooches-Nas.dynds.de:5000 richtig funktioniert), sagt er mit der LAN-IP, dass es ungültig sei (siehe Screenshot), was kann ich da tun?
uj1AZTC.png

2) Ich habe mir eine Nextcloud eingerichtet, die auch soweit ganz gut funktioniert. Über meine z.B. https://hoooches-nas.dyndns.de/nextcloud komme ich von außen auch verschlüsselt auf die Nextcloud und kann mich einloggen - Synchronisation mit den Clients funktioniert auch.
Problem: Wenn ich nicht über https gehe, sondern z.b. http://hoooches-nas.dyndns.de/nextcloud kriege ich eine unverschlüsselte Verbindung und meine Logins funktionieren nicht, weder für root noch für User - als würde über die unverschlüsselte Verbindung eine andere Nextcloud Instanz angesprochen werden als die, die ich konfiguriert habe.

Im Moment habe ich in der Fritzbox für mein NAS Port 80, 443, 5000 und 5001 freigegeben.
Wenn ich 80 und 443 nicht freigebe, funktioniert die Nextcloud nicht.

Was ich möchte: Ich glaube meine Probleme wären gelöst, wenn ich es schaffen würde, dass der Apache Server auf dem NAS, auf dem ja Nextcloud läuft (?), Anfragen von Port 80 und 443 immer direkt an Port 5000 bzw. 5001 weiterleitet (dürfte ja egal sein welcher, weil der DSM ja https erzwingt). Eine Anleitung hab ich z.B. schon hier gefunden: https://help.nextcloud.com/t/change-port-443-and-80/13742
Eigentlich ist das ja ein Apache Problem, kein Nextcloud oder Synology-Problem.
Ich finde allerdings den beschriebenen Ordner nicht (vermutlich weil der Apache Server ja als Paket auf der Synology läuft und nicht z.B. auf einem RasPi).

Wäre das die Lösung meines Problems und wenn ja, wo finde ich die benötigten Dateien um die Anfragen an den Apache-Server umzuleiten?

Oder habe ich etwas missverstanden bzw. es gibt eine einfachere Lösung?

Vielen lieben Dank für eure Hilfe! :)

LG
Hooch
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.826
Punkte für Reaktionen
46
Punkte
74
1.1) Gibt es eine Möglichkeit das zu umgehen, dass ich den Port immer extra mit eingeben muss, außer die DSM Ports auf 80 und 443 zu legen (was ich natürlich ungern will)?

Nein! 80 und 443 sind ja für den Webserver reserviert, welcher auf der Syno ja laufen kann. Bekommen alle Nutzer am ehesten mit Links/Fovoriten o.ä. hin, auf die sie klicken ohne ständig die Adresse mit Port einzugeben.

1.2) Obwohl ich ein valides Let's Encrypt Zertifikat erstellt und eingerichtet habe (was auch für den Zugriff über Dyndns, also z.b. Hooches-Nas.dynds.de:5000 richtig funktioniert), sagt er mit der LAN-IP, dass es ungültig sei (siehe Screenshot), was kann ich da tun?

Du hast das Zertifikat ja auf/für hooches-Nas.dyndns.org und nicht für die LAN-IP. D.h. um die Meldung vom Browser nicht zu bekommen, musst Du das DSM schon mit hooches-Nas.dyndns.org a

2) Ich habe mir eine Nextcloud eingerichtet, die auch soweit ganz gut funktioniert. Über meine z.B. https://hoooches-nas.dyndns.de/nextcloud komme ich von außen auch verschlüsselt auf die Nextcloud und kann mich einloggen - Synchronisation mit den Clients funktioniert auch.
Problem: Wenn ich nicht über https gehe, sondern z.b. http://hoooches-nas.dyndns.de/nextcloud kriege ich eine unverschlüsselte Verbindung und meine Logins funktionieren nicht, weder für root noch für User - als würde über die unverschlüsselte Verbindung eine andere Nextcloud Instanz angesprochen werden als die, die ich konfiguriert habe.

scheint mir in den Nextcloud Einstellungen irgendwo eingestellt zu sein, dass immer wieder auf die https Adresse umgeleitet werden soll! Dabei werden dann die Login Daten nicht "verstanden". Ich würde aber auch auf einen unverschlüsselten Zugriff jedweder Art auf das NAS verzichten!

Im Moment habe ich in der Fritzbox für mein NAS Port 80, 443, 5000 und 5001 freigegeben.
Wenn ich 80 und 443 nicht freigebe, funktioniert die Nextcloud nicht.

ja das ist richtig so! Ich würde Nextcloud auch nur über https aufrufen. Die Ports 5000 und 5001 würde ich aber außen "verstecken" also in der Fritzbox eine Portumleitung einrichten, welche innen auf 5000 und 5001 zeigt, aber außen halt andere Ports stehen. Die ganze Welt weiss, dass Synology mit 5000 und 5001 arbeitet und Haker werden auf diese Ports auch gucken. Ich würde mir da etwas eigenes ausdenken (z.B. 45000 und/oder 45001 oder noch besser 48620 und 48621).

Was ich möchte: Ich glaube meine Probleme wären gelöst, wenn ich es schaffen würde, dass der Apache Server auf dem NAS, auf dem ja Nextcloud läuft (?), Anfragen von Port 80 und 443 immer direkt an Port 5000 bzw. 5001 weiterleitet (dürfte ja egal sein welcher, weil der DSM ja https erzwingt). Eine Anleitung hab ich z.B. schon hier gefunden: https://help.nextcloud.com/t/change-port-443-and-80/13742
Eigentlich ist das ja ein Apache Problem, kein Nextcloud oder Synology-Problem.

das ist so nicht zu bewerkstelligen, da Du Nextcloud nutzt! Wäre das nicht, dann gebe es Wege, den Webserver komplett abzuschalten und nur noch das DSM Interface auf 80 und 443 zu nutzen! Alles andere (zwar möglich) würde das System zu sehr verbiegen, dass Du letzten Endes wieder an anderen Stellen Fehler bekommst, die Du Duir dann nicht erklären kannst!
 

Hooch!

Benutzer
Mitglied seit
25. Mai 2019
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Vielen lieben Dank für deine ausführliche Antwort schonmal! :)
Nein! 80 und 443 sind ja für den Webserver reserviert, welcher auf der Syno ja laufen kann. Bekommen alle Nutzer am ehesten mit Links/Fovoriten o.ä. hin, auf die sie klicken ohne ständig die Adresse mit Port einzugeben.

Ah, ich verstehe! Also muss ich mir da tatsächlich wohl oder übel mal auf allen Geräten einen Shortcut anlegen. Auch wenn es mich wundert, dass es da keine andere Lösung gibt, so ist das ja schon etwas "unelegant"

Du hast das Zertifikat ja auf/für hooches-Nas.dyndns.org und nicht für die LAN-IP. D.h. um die Meldung vom Browser nicht zu bekommen, musst Du das DSM schon mit hooches-Nas.dyndns.org a

Stimmt, das ist natürlich von intern immer möglich. Gibt es eine Möglichkeit für die Lan-IP eine zweites Zertifikat zu nutzen? Ich glaube ich sehe jetzt schon den Konflikt, dass ich ja im DSM das Zertifikat einzelnen Anwendungen (z.B. der Photostation) zuordnen muss und das ja sicherlich nicht "doppelt vergeben" werden kann.

scheint mir in den Nextcloud Einstellungen irgendwo eingestellt zu sein, dass immer wieder auf die https Adresse umgeleitet werden soll! Dabei werden dann die Login Daten nicht "verstanden". Ich würde aber auch auf einen unverschlüsselten Zugriff jedweder Art auf das NAS verzichten!
OK, ich schau mal ob es da irgendwo einen redirect gibt. Ich will sowieso nur verschlüsselte Verbindungen aufbauen, aber es wäre ja optimal, wenn mich Nextcloud einfach von http:// auf https:// umleiten würde, sodass es gar nicht passieren kann eine unverschlüsselte Verbindung aufzubauen.


ja das ist richtig so! Ich würde Nextcloud auch nur über https aufrufen. Die Ports 5000 und 5001 würde ich aber außen "verstecken" also in der Fritzbox eine Portumleitung einrichten, welche innen auf 5000 und 5001 zeigt, aber außen halt andere Ports stehen. Die ganze Welt weiss, dass Synology mit 5000 und 5001 arbeitet und Haker werden auf diese Ports auch gucken. Ich würde mir da etwas eigenes ausdenken (z.B. 45000 und/oder 45001 oder noch besser 48620 und 48621).

Also wäre es evtl. sogar empfehlenswert einfach Port 80 zuzumachen, wenn ich eh nur über https auf die Nextcloud will? Synology Ports gehe ich heute an, will mir den Abend Zeit nehmen mich mal ein bisschen in Sicherheitsmaßnahmen einzulesen und die auch umzusetzen.

das ist so nicht zu bewerkstelligen, da Du Nextcloud nutzt! Wäre das nicht, dann gebe es Wege, den Webserver komplett abzuschalten und nur noch das DSM Interface auf 80 und 443 zu nutzen! Alles andere (zwar möglich) würde das System zu sehr verbiegen, dass Du letzten Endes wieder an anderen Stellen Fehler bekommst, die Du Duir dann nicht erklären kannst!

Ok, vielen Dank für den Hinweis!
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.826
Punkte für Reaktionen
46
Punkte
74
Ah, ich verstehe! Also muss ich mir da tatsächlich wohl oder übel mal auf allen Geräten einen Shortcut anlegen. Auch wenn es mich wundert, dass es da keine andere Lösung gibt, so ist das ja schon etwas "unelegant"

Theoretisch ja! Obwohl es mir immerleicht von der Hand geht die Webadresse im Ganzen plus Port anzugeben, wenn ich mal auf das DSM will. Sonst benötige ich die Adresse mit Port ja kaum.

Stimmt, das ist natürlich von intern immer möglich. Gibt es eine Möglichkeit für die Lan-IP eine zweites Zertifikat zu nutzen? Ich glaube ich sehe jetzt schon den Konflikt, dass ich ja im DSM das Zertifikat einzelnen Anwendungen (z.B. der Photostation) zuordnen muss und das ja sicherlich nicht "doppelt vergeben" werden kann.

Internen IPs kannst Du kein offizielles Zertifikat vergeben. Du kannst mit ein paar Schritten ja in jedem Browser sagen, dass er bei dieser Adresse nicht mehr "rummeckern" soll. Ansonsten rufe ich mittlerweile meine Photostation, Webbrowser, ...etc. immer "extern" auf, als wäre ich gar nicht zu Hause.

OK, ich schau mal ob es da irgendwo einen redirect gibt. Ich will sowieso nur verschlüsselte Verbindungen aufbauen, aber es wäre ja optimal, wenn mich Nextcloud einfach von http:// auf https:// umleiten würde, sodass es gar nicht passieren kann eine unverschlüsselte Verbindung aufzubauen.

Du musst das einfach im DSM einschalten, dass http Verbindungen immer auf https umgeleitet werden. Das geht per Funktion in der Systemsteuerung. Dann wird das praktisch für alles (Nextcloud....) immer so gemacht.

Also wäre es evtl. sogar empfehlenswert einfach Port 80 zuzumachen, wenn ich eh nur über https auf die Nextcloud will? Synology Ports gehe ich heute an, will mir den Abend Zeit nehmen mich mal ein bisschen in Sicherheitsmaßnahmen einzulesen und die auch umzusetzen.

Port 80 darfst Du nicht zumachen! Dann funktioniert ja der redirect nicht mehr! Wenn irgendwer per http kommt und Port 80 ist gar nicht da, denn wird ihm auch keiner sagen, dass er zu https weitergeleitet werden soll. Die, welche wissen, dass sie gleich https nehmen sollen, haben natürlich Glück, aber es gibt immer irgendwelche Leute, die es grade mal vergessen und nur http angeben! Die wundern sich dann und kommen einfach nicht drauf, dass sie nur ein s vergessen haben! Du bekommst dann sinnlose Fragen - "Heh, was ist los? Deine Seite ist nicht zu erreichen!?" usw.



 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat