DS 918+ FRITZ!Box DynDNS Strato Domain

Status
Für weitere Antworten geschlossen.

Amaroq

Benutzer
Mitglied seit
24. Mai 2018
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hallo Community,

ich stehe gerade vor einem Problem und sehe den richtigen Ansatz nicht. Ich habe eine eigene domain bei Strato, unter einer Subdomain soll die DS ansprechbar sein. DynDNS kann man bei Strato ja auch mit der eigenen Domain. Nun sollte mein Endprodunkt so aussehen:

network.domain.tld <- DynDNS für die FritzBox, gleichzeitig die externe URL für den Zugrif auf das Webinterface
dsm.domain.tld <- für die Weboberfläche
Ein LetsEncypt Zertifikat sollte von der DS erstellt und verwaltet werden.
Die DS steht hinter einer FritzBox mit Portfreigaben, dies muss geändert werden, in manchen Netzwerken (z.B. Flughafen) sperrt den Zugriff auf bestimmte Ports. Somit kann ich nicht auf dsm.domain.tld:5001 zugreifen weshalb ich eine Lösung nur mit der Domain wollte. Dennoch soll der Router unter network.domain.tld erreichbar bleiben, ich hatte mit einer anderen DDNS Lösung das Problem das ich nur noch auf die DS kam und nicht mehr auf den Router.

Weiß jemand hierfür eine Lösung? Bin in Sachen "Internetfreigaben" noch echt unerfahren und konnte mit den hier geposteten Beiträgen nichts anfangen
 

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.385
Punkte für Reaktionen
34
Punkte
68
Das gestaltet sich bei Strato etwas schwieriger. Du musst zunächst die Subdomain dsm.domain.tld im Kundencenter bei Strato einrichten und hier den CNamen domain.tld eintragen. Danach kannst du für dein DSM interface die domain dsm.domain.tld eintragen. Welches Gerät übernimmt bei dir die Aufgabe fürs Dyndns?
 

Amaroq

Benutzer
Mitglied seit
24. Mai 2018
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Danke für die Antwort. dsm.domain.tld und network.domain.tld gibt es bereits. Der Router übernimmt DDNS weil ich dachte das macht am meisten Sinn da es ja das erste Gerät im Netzwerk ist.
 

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.385
Punkte für Reaktionen
34
Punkte
68
Dann leite Port 443 an die Diskstation weiter und arbeite bei der Synology mit dem reverse-proxy. dsm.domain.tld trägst du unter Systemsteuerung,Netzwerk,DSM-Einstellungen und ganz unten bei Domain ein. Unter Systemsteuerung, Anwendungsportal kannst du auf der Registerkarte Reverse Proxyeinen Reverse proxy-Eintrag für deine FB konfigurieren. dann soll domain.tld auf fritz.box zeigen.
 

Amaroq

Benutzer
Mitglied seit
24. Mai 2018
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
okay ich teste es gerade. Allerdings stellt sich mir jetzt die Frage wie ich die Links zu Drive etc. erstelle. Soweit ich das jetzt verstehe geht jetzt nur dsm.domain.tld/drive und nicht mehr drive.domain.tld oder sehe ich das Falsch?
Und Welche CNAME Einträge muss ich jetzt wo genau setzen?
 
Zuletzt bearbeitet:

Amaroq

Benutzer
Mitglied seit
24. Mai 2018
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Danke hat super funktioniert! :D
 

WowaDriver

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Selbes Problem wie Threadersteller, doch leider keine Lösung...

Hallo Community, Hallo @Amaroq, Hallo @blinddark,

ich habe exakt die selbe Ausgangsituation und sogar die selbe Hardware inkl. Domainanbieter nur komme ich leider nicht zum gewünschtem Ziel.

Nochmal zusammengefasst, folgendes möchte ich erreichen bzw. habe ich aktuell konfiguriert:

In der Fritzbox eine Portweiterleitung mittels 443 auf 5001 der Syno eingerichtet. Zugriff der DSM Weboberfläche über das Internet erfolgreich!
Das soll auch der einzige offene Port nach außen sein und bleiben damit eben nur https Anfragen durchgehen.

Bei Strato wurde eine mydomain.de regestriert, welche bei Aufruf ins leere führen soll (Strato-Fehlerseite), und vorerst um drei subdomains ergänzt:
  • dyndns.mydomain.de <- DynDNS für die FritzBox (Läuft erfolgreich) bei Aufruf der URL: https://dyndns.mydomain.de komme ich durch den weitergeleiteten Port 443 automatisch auf die Weboberfläche der DSM.
  • fritz.mydomain.de <- Weiterleitung über den Reverse Proxy der Syno über Port 443 auf die Fritzbox Oberfläche ----- (bei Strato mittels CNAME auf dyndns.mydomain.de)
  • dsm.mydomain.de <- DSM Oberfläche (direkter Zugriff, da Port 443 offen) ----- (bei Strato mittels CNAME auf dyndns.mydomain.de)

Was mir hier noch auffällt ist, dass die Subdomains keine Zertifikate wohl erhalten... ist das möglicherweise auch schon das Hauptproblem was ich habe, wenn ich alle Weiterleitungen mittels https über 443 ansprechen will?

1strato.jpg

Nach einer anderen "Anleitung" hier aus dem Forum, habe ich die Adresse dyndns.mydomain.de in der Syno unter Systemsteuerung\Netzwerk\DSM-Einstellungen\Domain eingetragen (HSTS aktiviert).
-> Die DSM Weboberfläche ist nicht mehr unter dieser Subdomain zu erreichen. Synology Fehlermeldnug: Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden.

Nun habe ich unter der Reverse Proxy für die Subdomain fritz.mydomain.de einen Eintrag erstellt. Diese habe ich einmal zum Testen versucht auf die interne IP der Fritzbox 192.168.178.1 weiterzuleiten bzw. alternativ eine Weiterleitung zur Virtuelle Maschine (Win10) für eine Browserintegrierte RDP auf die IP 192.168.178.5 auf den Port 55555. Egal wie ich es anstelle, ich lande immer wieder auf der Weboberfläche der Syno über den offenen 443 Port...

Hab auch schon versucht im Reverse Proxy eine Weiterleitung für Anfragen von dyndns.mydomain.de:443 auf mydomain.de:443 einzurichten, damit diese ins leere führen -> erfolglos...

2reverse_proxy.JPG

Anschließend, da ich mit meinem Latein am ende bin wollte ich ein eigenes LetsEncypt Zertifikat mit der DS erstellen, welches für alle Subdomains ebenfalls gelten soll. Doch das geht leider auch nicht... siehe Screen:

3lets_encrypt.JPG

Bin echt ratlos und für jede Hilfe dankbar!

Beste Grüße
 
Zuletzt bearbeitet:

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.385
Punkte für Reaktionen
34
Punkte
68
Hallo,

du musst nur port 443 an Port 443 zur Syno freigeben. Ich denke, dass da schon der Fehler liegt, da du schriebst, dass du Port 443 an 5001 freigegeben hast. Unter Systemsteuerung,Netzwerk,DSM-Einstellungen trägst du dan die sub.domain.de ein, unter der dein DSM erreichbar sein soll. Im Anwendungsportal kannst du sub-Domains für einige Anwendungen definieren, die du dann auch noch bei Strato einrichten musst. Alles Andere machst du im Anwendungs-Portal unter der Registerkarte reverse-Proxy. Auch diese Sub-Domains musst du im Anschluss noch bei Strato Einrichten.
Leite mal zusätzlich port 80 an Port 80 der DS weiter und versuche noch einmal, das Zertifikat zu erstellen.
Wenn du das Zertifikat erstellt hast, musst du in der gleichen Maske, wo du die Zertifikate siehst, noch auf Konfigurieren klicken und es ggf. den Domains zuweisen. Du kannst natürlich beim Erstellen sagen, dass das neue zum Standard gemacht wird.
 

WowaDriver

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Hallo @blinkdark,

Hammer wie schnell du warst! Vielen Dank!

Du hattest Recht! nachdem ich 443 auf 443 der Syno weitergeleitet habe läuft es. Ich kann über die Subdomain remote.mydomain.de auf die Remotesitzung zugreifen!
Was nicht klappt ist die Weiterleitung auf die Fritzbox. hatte da schon versucht auf die 192.168.178.1 mittels https 443 als auch http 80 mit dem Reverse Proxy zu verweisen.
Den Port 80 habe ich ebenfalls geöffnet. Erhalte den Fehler 400 bad Request... siehe Screens:

5.JPG6.JPG

Des Weiteren klappt die Zertifikat Erstellung trotz des geöffneten Port 80 weiterhin nicht... gebe ich da die Angaben bzgl. Domains und Subdomains und Mail eventuell flasch ein?
Mache es genauso wie im Screen... die Mailadresse ist sowohl die des DSM eingelogten Useradmins, als auch die regestrierte Mail bei Strato.

3lets_encrypt.JPG

Hier noch ein Screen für die Portfreigabe... eigentlich überflüssig... denke ich:

Freigabe.jpg

Vielen Dank für den Support!

Beste Grüße
 
Zuletzt bearbeitet:

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.385
Punkte für Reaktionen
34
Punkte
68
Hi ich kann mit den bildern momentan nicht viel anfangen, da ich blind bin. aber wir versuchen es mal.
- die Domain für die FB ist bei strato registriert
- du gehst über https rein, also quellport 443 und host domainfürfb.domain.de
- Das ziel ist port 80 und host fritz.box.
Ich jage deine Bilder heute Abend mal durch die OCR. Dann kann ich eventuell mehr sagen.
 

WowaDriver

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Hi @blinddark,

genau so ist es. Jedoch hatte ich statt Fritz.box als Host eben die Host IP 192.168.178.1. welche ich eben auch zu Fritz.box geändert habe.
Ergebnis wie zuvor: 400 Bad Request

Bzgl. der erfolglosen Zertifikatserstellung? Kann es eventuell damit zusammenhängen? Eigentlich ja nicht, oder?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Port 80 dauerhaft zu nutzen ist keine gute Idee! Nutze besser zukünftig nur HTTPS, also 443!
Für die Dauer der Zertifikatsanforderung muss 80 aber offen sein. Danach kann man es wieder schliessen.
 

WowaDriver

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Danke für die Info. Es hat soeben funktioniert die Zertifikate zu erstellen. Habe mittels Try'n'Error probiert. Raus kam, dass oben unter Domain, nicht die Hauptdomain also "mydomain.de" eingetragen werden sollte, sondern die Subdomain für welche das Zertifikat erstellt wird. Welche ich annahm, dass diese in das dritte Fenster bei "Betrefender alternativer Name:" eingetragen werden soll. Zumal dort auch ein Beispiel drinstand "mail.deinedomain.de" ...

Also dank euch hab ich binen kürzester Zeit sogut wie alles lösen können. Einzig die Weiterleitung auf die Fritzbox läuft noch nicht.

Wenn ich hingegen dyndns.mydomain.de:42049 eingebe komme ich auf die Fritzbox. Der Port 42049 ist ein von der Box verwendeter Standard Https Port bei der einrichtung des hauseigenen DynDNS Dienstes myFritz. Dieses Konto läuft nebenbei weiter für worstcase Szenarien, damit ich in jedem Fall noch auf die Box kom... Zu testen habe ich im Reverseproxy eine https Weiterleitung auf fritz.box und 42049 eingerichtet, ebenfalls ohne erfolg...
 

WowaDriver

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Guten Tag, und sorry für den Doppelpost. Wollte die Info von heute seperat aufführen...

Hab hier im Forum einen User gefunden der exakt das selbe Szenario mit der Fritzbox 7560 hat. Bei mir ist es übrigens ebenfalls eine 7560...

https://www.synology-forum.de/showt...ritzbox-75xx-Fehler-400-ERR_INVALID_REQ/page2

Falls das für die Experten eine sinnvolle Information sein kann ...

Nochmals vielen Dank euch allen!
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Der AVM Port interessiert doch gar nicht, der ist AVM spezifisch um remote auf die FB zu kommen.
Du musst in der Fritzbox eine Port Weiterleitung einrichten.
Nehmen wir an du willst DSM nutzen, Port 5001. Dann richte in der FB eine Weiterleitung von zB extern 45678 auf intern 5001 mit der IP der Syno ein.
Aus dem Internet kannst du jetzt mit dem Browser mit https://subdomain.meinedomain.de:45678 direkt auf die Syno zugreifen.
Port 80 solltest du am besten gleich wieder blockieren. Den brauchst du nur für die Verlängerung des LE Zertifikates, ansonsten stellt er nur ein Sicherheitsrisiko dar.
 

WowaDriver

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Port 80 ist auf deine Empfehlung hin gleich nach Erstellung der Zertifikats dicht gemacht worden!

Zu deiner Beschreibung zur Portweiterleitung... das genau will ich ja nicht machen, da dann ein weiterer Port offen ist.
Es soll wie alle anderen subdomains über den Reverse Proxy intern auf die Fritzbox verwiesen werden...

Nach außen ist also nur 443 der DSM offen. Der zugriff auf die Fritzbox soll somit über fritz.mydomain.de über Port 443 vom Reverse Proxy auf (intern) fritz.box:80 umgeleitet werden...
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Im Reverse Proxy einen Eintrag für sub.domain.de:443 angelegt, der auf localhost:5001 verweist?
 

WowaDriver

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Im Reverse Proxy einen Eintrag für sub.domain.de:443 angelegt, der auf localhost:5001 verweist?

-> Nein verstehe auch nicht wozu? Damit würde ich ja intern wieder auf die https Port 5001 der DSM verweisen...

Mein Ziel ist es wie mit den ganzen anderen Subdomains.mydomaine.de extern über 443 auf den Reverse Proxy der DSM zu gelangen und durch
diesen auf die http://192.168.178.1:80 der Fritz!Box verwiesen zu werden...

Klär mich bitte auf wenn ich dich nicht verstehe...
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Da habe ich dich missverstanden.
Ich glaube ich müsste mir den ganzen Thread erst mal durchlesen um zu verstehen was du überhaupt willst.
 

WowaDriver

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Copy'N'Paste aus dem anderen Thread ;)

Dann muss mein.reverse-proxy.domain unter Heimnetz > Netzwerk > Netzwerkeinstellungen > DNS-Rebind-Schutz als Ausnahme eingetragen werden.
Jedenfalls bekomme ich exakt denselben Fehler, wenn ich den Domainnamen-Eintrag dort lösche.

Danke Fusion. Kann ich bestätigen. Nachdem ich den Einrag da eingetragen hab, läuft es! You save my day!
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat