https mit lets Encrypt Zertifikat auf Owncloud auf Synology hinter Fritzbox

[geom]

Hallo,
bin etwas am Verzweifeln.
Auf unserer Synology DS412+ läuft Owncloud. Als Router wird eine fritzbox verwendet. Als dyndns-Dienst nutzen wir MyFritz. Um eine schöne URL zu bekommen wurde auf unserer Domain ein cName erstellt, der auf die MyFritz-Adresse zeigt.

zusammenfassend sieht das so aus:

data.domain.eu -> xyz.myfritz.net -> Fritzbox (Portweiterleitung 5000-5001, 80 und 443) -> SynologyDS -> Owncloud

Bisher funktionierte das mit einen Zertifikat von Synology, wobei immer Gemecker auftauchte, wegen selbst signiertem Zertifikat.
Ich habe jetzt auf der SynologyDS (DSM 6.0.1-7393 Update 2) mit Let's Encrypt ein neues (Standard)-Zertifikat für data.domain.eu erstellt.

Der Zugriff per https://data.domain.eu ist nicht möglich
per http://data.domain.eu funktioniert, aber natürlich nicht verschlüsselt.

Wäre für jede erdenklichen Hinweis dankbar, nachdem ich schon seit zwei Abenden nach dem Fehler suche.

geom

 

[Fusion]

Der Zugriff per https://data.domain.eu ist nicht möglich

Welcher Fehler kommt da genau? Weil mit dem Syno Zertifikat und dieser URL hatte es ja funktioniert?

Welcher Hostname steht unter Systemsteuerung > Externer Zugriff > Erweitert?
Ist unter Netzwerk > DSM eine benutzerdefinierte Domain eingetragen?
Läuft owncloud direkt im root oder unterhalb von domain/owncloud?

 

[geom]

Welcher Fehler kommt da genau? Weil mit dem Syno Zertifikat und dieser URL hatte es ja funktioniert?

Bei Firefox: Fehler: Verbindung fehlgeschlagen Firefox kann keine Verbindung zu dem Server unter data.domain.eu aufbauen. .... (Seiten-Ladefehler)

Welcher Hostname steht unter Systemsteuerung > Externer Zugriff > Erweitert?

Keiner, hatte aber scheinbar bisher funktioniert.

Ist unter Netzwerk > DSM eine benutzerdefinierte Domain eingetragen?

Nein hier ist keine Domain eingetragen.

Läuft owncloud direkt im root oder unterhalb von domain/owncloud?

owncloud läuft in domain/owncloud

Soweit zu deinen Fragen
Gruß
geom

 

[Fusion]

ok, dann der erste Test
https://IP-der-DS
https://IP-der-DS/owncloud
Welche Seiten/Fehler werden angezeigt.

Was zeigt ein
ping data.domain.eu
nslookup data.domain.eu
auf der Windows? Konsole.

In der Fritzbox in Einstellungen > Heimnetz > Heimnetzübersicht > Netzwerkeinstellungen > DNS-Rebind-Schutz
data.domain.eu
als Ausnahme eintragen.

Je nach Ergebnissen gibt es dann die passende Erklärung.

 

[geom]

Hallo

https://IP-der-DS
https://IP-der-DS/ownload

Fehler: Verbindung fehlgeschlagen Firefox kann keine Verbindung zu dem Server unter XX.XXX.XXX.XXX aufbauen. .... (Seiten-Ladefehler)

ping data.domain.eu

ping data.domain.eu
PING xyz.myfritz.net (xx.xxx.xxx.xxx): 56 data bytes
64 bytes from xx.xxx.xxx.xxx: icmp_seq=0 ttl=54 time=45.491 ms
64 bytes from xx.xxx.xxx.xxx: icmp_seq=1 ttl=54 time=45.243 ms
64 bytes from xx.xxx.xxx.xxx: icmp_seq=2 ttl=54 time=45.311 ms
64 bytes from xx.xxx.xxx.xxx: icmp_seq=3 ttl=54 time=46.484 ms
Request timeout for icmp_seq 4
64 bytes from xx.xxx.xxx.xxx: icmp_seq=4 ttl=54 time=1002.533 ms
64 bytes from xx.xxx.xxx.xxx: icmp_seq=5 ttl=54 time=47.833 ms
64 bytes from xx.xxx.xxx.xxx: icmp_seq=6 ttl=54 time=44.849 ms
...
... läuft immer noch

nslookup data.domain.eu

Server: 192.168.178.1
Address: 192.168.178.1#53

Non-authoritative answer:
data.domain.eu canonical name = xyz.myfritz.net.
Name: xyz.myfritz.net
Address: xx.xxx.xxx.xxx

In der Fritzbox in Einstellungen > Heimnetz > Heimnetzübersicht > Netzwerkeinstellungen > DNS-Rebind-Schutz
data.domain.eu
als Ausnahme eintragen.

unter dem Reiter Netzwerkeinstellungen (Fritzbox 7490 FRITZ!OS: 06.52) gibt es nur Gastzugang und LAN-Einstellungen ???

Hoffe Sie können damit etwas anfangen.
Gruß
geom

 

[Frogman]

...
https://IP-der-DS/ownload

/ownload gibt's nicht, nur owncloud

@geom
Einfach die Zugriffsversuche mal von einem Rechner/Smartphone machen, die nicht in Deinem LAN sind.

 

[geom]

Hallo,
leider das selbe Verhalten.


per LTE und Android/Chrome: Diese webseite ist nicht erreichbar ... ERR_ADDRESS_UNREACHABLE

sowohl
https://data.domain.eu, wie auch
https://xx.xxx.xxx.xxx und
https://xx.xxx.xxx.xxx/owncloud


http://data.domain.eu funktioniert

 

[Fusion]

Bitte die Angaben mal mit IPs aufzeigen, und nur max die letzen zwei Blöcke anonymisieren. Anders sind Rückschlüsse schwierig und ihre Anonymität ist trotzdem gewahrt.

Zur Fritzbox, auf der Seite Netzwerkeinstellungen mal mit der Maus/Tastatur nach unten scrollen, da gibt es noch mehr zu sehen.
Eventuell muss links unten auf der Seite die Ansicht auf "Erweitert" umgestellt werden.

 

[geom]

nslookup data.domain.eu
Server: 192.168.178.1
Address: 192.168.178.1#53

Non-authoritative answer:
data.domain.eu canonical name = xyz.myfritz.net.
Name: xyz.myfritz.net
Address: 87.240.xxx.xxx

zur Info, der Server steht in Luxemburg, aber ich greife von Deutschland darauf zu. Es ändert aber auch nichts, wenn ich vor Ort bin.

Ich hatte tatsächlich die Standard-Ansicht in der Fritzbox aktiviert. Habe das geändert und auch den Domain-Namen als Ausnahme beim DNS-Rebind-Schutz eintragen.

Auch nach Aktualisierung der Fritzbox bleibt Alles beim Alten.

 

[Frogman]

...
zur Info, der Server steht in Luxemburg, aber ich greife von Deutschland darauf zu....

Solche Infos wären gleich zu Beginn hilfreich...
Und wo steht die Fritzbox, von der Du redest?

 

[Fusion]

ok, also das NAS und die Fritzbox sind beide Remote?
Der DNS-Rebind-Schutz ist nur gedacht dafür, wenn man z.B. data.domain.eu aus dem internen Netz aufruft, also PC und NAS und Fritte im selben LAN hängen.

Und bei dir lokal von wo du testest läuft auch eine Fritzbox?
Hat die remote fritzbox einen anderen Verwaltungsport als 443?

Die 87.240.x.x ist die aktuelle öffentliche IPv4 der remote-Fritzbox?

Was ist das Resultat/Fehler von
https://87.240.x.x
https://87.240.x.x/owncloud
https://xyz.myfritz.net
https://xyz.myfritz.net/owncloud
https://data.domain.eu
https://data.domain.eu/owncloud

 

[geom]

Hallo,
ich habe jetzt folgendes geändert:
Da ich ja letztlich über xyz.myfritz.net auf die Fritzbox -> /owncloud zugreife, habe ich statt einer normalen Portweiterleitung unter Portfreigaben dieses für https unter MyFritz-Freigaben eingerichtet.
Owncloud ist jetzt per https zu erreichen und auch der Owncloud-Client synchronisiert per https.

So wie es aussieht scheint mein Problem damit behoben zu sein.

Vielen Dank noch mal für die Hilfe.
Gruß
geom

 

[Fusion]

Das muss so oder so funktionieren, weil das eine nix mit dem anderen zu tun hat.
Aber gut, sei es drum...

Schönen Abend noch.

 

[geom]

Sorry ich hatte deinen Post vorher noch nicht gelesen.
Ich greife von zuhause über meine Fritzbox auf die Remote-FB zu, an der die Synology hängt.

Die Remote FB (87.240.xxx.xxx) ist über xyz.myfritz.net:40443 zu erreichen.

Hier die Resultate des Aufrufs:

https://87.240.x.x,
https://87.240.x.x/owncloud,
https://xyz.myfritz.net
https://xyz.myfritz.net/owncloud

Diese Verbindung ist nicht sicher Der Inhaber von 87.240.xxx.xxx bzw. xyz.net hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Website aufgebaut,...

https://data.domain.eu

OK landet, wie gewollt auf der Login-Seite von Owncloud (Keine Fehlermeldung - )

https://data.domain.eu/owncloud

Landet auf verschlüsselter Seite von Owncloud mit der Fehlermeldung:
Datei nicht gefunden
Das ausgewählte Dokument wurde auf dem Server nicht gefunden.
Du kannst zur Rückkehr zu ownCloud hier klicken.

Der Zugriff auf die Synology ist via quickconnect möglich, wobei die quickconnect-Adresse in die IP-Adresse aufgelöst wird als:
https://87.240.x.x:5001 diese Verbindung wird aber ebenfalls als nicht sicher angezeigt.

Es scheint also, dass jetzt einzig der Zugang über https://data.domain.eu verschlüsselt erfolgt. Das war mir erst mal das wichtigste, aber alle anderen Unsicherheiten bereiten mir doch weiteres Kopfzerbrechen.

Gruß
geom

 

[Fusion]

Zertifikate lauten eben auf Domainnamen. Daher wirst du via IP immer eine Warnung bekommen, weil der Name nicht übereinstimmt. Die Verbindung an sich wird dann aber trotzdem verschlüsselt und ist sicher, wenn man dies abnickt. Wichtig ist eben nur, dass man sich sicher ist, das richtige Zertifikat vor der Nase zu haben.

Da deine Subdomain direkt auf owncloud geleitet wird hast du da vermutlich eine Umleitung oder einen vHost am Laufen (wenn owncloud real im Gemeinsamen Ordner web/owncloud liegt). Dann führt domain/owncloud natürlich ins Nirvana (weil es nach dann vermutlich nach domain/owncloud/owncloud führt)

https://data.domain.eu:5001 führt dann denke ich auch zum DSM.

Was jetzt durch deine Änderung von Portweiterleitung 443 auf MyFritz-Freigabe 443 noch geändert wurde kann ich halt nicht nachvollziehen von hier, aber prinzipiell hätte das genauso funktionieren müssen mit der 443 Portweiterleitung.
Wenn du den Hostname wie weiter oben genannt unter Externer Zugriff > Erweitert noch auf data.domain.eu änderst löst eventuell auch Quickconnect auf diesen auf.

 

[geom]

Danke Fusion für die Hilfe,

https://data.domain.eu:5001 führt dann denke ich auch zum DSM.

Ja, dem ist so.

Wenn du den Hostname wie weiter oben genannt unter Externer Zugriff > Erweitert noch auf data.domain.eu änderst löst eventuell auch Quickconnect auf diesen auf.

Auch das stimmt jetzt.

Jetzt rockt Synology wieder!

Gruß
geom