1 fest IP-Adresse mit 2 Synologys dahinter: zwei Let's Encrypt Zertifikate möglich?

[dnmksgrs]

Hallo Zusammen,

hinter meiner festen IP Adresse betreibe ich bereits eine Synology (716+II), für die ich ein Let's Encrypt Zertifikat mit entsprechender Portweiterleitung der Firewall (80 und 443) eingerichtet habe. Das funktioniert soweit gut.

Nun habe ich eine zweite Synology (218+) im selben Netzwerk ( =identische public IP), für welche ich ebenfalls ein Let's Encrypt Zertifikat einrichten möchte. Da die beiden Ports 80 und 443 ja bereits auf die erste Synology weitergeleitet werden, kann ich das in der Form natürlich nicht für meine zweite Synology machen.

Ich frage mich nun, ob ich dennoch für die zweite Synolgy ein Let's Encrypt Zertifikat erstellen/benutzen kann oder ob man pro publicIP nur ein Let's Encrypt Zertifikat nutzen kann.

Hat jemand eine Idee?

Habt vielen Dank für Eure Mühe und Tipps!
VG
Dominik

 

[geimist]

Da ja die benötigten externen Ports 80/443 immer nur auf ein Netzwerkgerät zeigen können, wird das mit einer parallelen Let‘s Encrypt Nutzung aus meiner Sicht schwierig. Du könntest aber per Skript das Zertifikat auf die 2. DS übertragen. Da gab es auch schon mal einen Thread/Beitrag dazu.

 

[himitsu]

Diese Ports müssen doch nur wärend der Aktivierung vorhanden sein?
Wenn ja, dann könntest du DS1 abschalten (bzw. nur den Webserver) und vorübergehend der DS2 diese Ports geben.

 

[dnmksgrs]

Das wäre eine Möglichkeit. Allerdings werden die Ports weiterhin auch dafür gebraucht um das kostenlose Zertifikat alle 3 Monate zu aktualisieren. Daher ist das keine Option.

 

[NSFH]

Wo ist denn das Problem 1x alle drei Monate die Portweiterleitung im Router umzustellen?

 

[geimist]

<senf>Bei mir müsste so etwas automatisch passieren. Es gibt schon genug Dinge, an die man denken muss und die geregelt werden müssen. Und selbst wenn man die Ports auf die 2. DS leitet (während dessen der ggf. benötigte Webserver der 1. DS nicht erreichbar ist), heißt es ja noch lange nicht, dass die 2. DS in diesem Moment auch beabsichtigt, das Zertifikat zu verlängern. Da müsste man also auch wieder mit einem Skript nachhelfen. Und da kann doch gleich ein Skript regelmäßig das Cert von DS-1 auf DS-2 schieben. Nur meine Meinung</senf>

 

[himitsu]

Kommt denn überhaupt auf beide DSen das gleiche Zertifikat drauf?
Wenn nicht, dann ist das Kopieren nicht hilfreich.


Oder den Zugang passend konfigurieren.
* der interne Port an der DS ist ja egal
* extern zwei Domains und/oder SubDomains wo dann jeweils Port 80/443 auf die DSen geleitet wird
** z.B. einmal Domain1:80 auf DiskStation1:80 und Domain2:80 auf DiskStation2:80
** so wie man es macht, wenn mehrere WebServer auf einem Server
*** z.B. einmal Domain1:80 aus DiskStation:80 und Domain2:80 auf DiskStation:81

Also die beiden DiskStations/WebServer extern immer (auch) über 80 erreichbar, jeweils mit einer anderen Domain/SubDomain und intern dann das Routin entsprchend der Quelle zu jeweiligen DiskStation.

 

[geimist]

Wenn von extern beide DSen unter der selben Domain erreichbar sein sollen, dann ergibt das Kopieren durchaus Sinn (ein Cert für alle Geräte, die unter selben Domain erreichbar sein sollen).

Dein Vorschlag mit unterschiedlichen Domains funktioniert nicht, weil ja alle Domains auf die gleich externe IP zeigen.

 

[dnmksgrs]

Danke für Deinen Senf, geimist ;-) das sehe ich ganz genau so. Je weniger ich manuell machen muss, desto mehr kann ich mich auf mein eigentliches Geschäft kümmern.

In der Tat sind es zwei komplett verschiedene Domains, Anwendungszwecke und Benutzerkreise. Zwei unterschiedliche Zertifikate machen aus dieser Sicht absolut Sinn. Ich schätze ich werde zu dem Schluss kommen, dass ich (am besten) eine weitere staticIP hinzu buche. Dazu habe ich gerade glücklicherweise ein ganz gutes Angebot vom Anbieter. Lieber wäre mir natürlich, es mit einem weiteren Let's Encrypt und mit der bestehenden IP zu machen. Mal schauen, vielleicht hat ja jemand ein ähnliches Problem schonmal gelöst.
Danke für Eure Antworten.

 

[himitsu]

Wenn das Routing lokal nicht nach Domain realisierbar ist, dann gibt es Möglichkeiten das auf der anderen Seite zu erledigen.
DynDNS1:80 > öffentlicheIP:80 > DiskStation1:80
DynDNS2:80 > öffentlicheIP:81 > DiskStation2:80
oder
DynDNS1:80 > öffentlicheIP:80 >| und wenn von DynDNS1 > DiskStation1:80
DynDNS2:80 > öffentlicheIP:80 >| und wenn von DynDNS2 > DiskStation2:80

Die andere Möglichkeit wäre ein gemeinsames Zertifikat für mehrere/beide Domains, welches sich dann von einer auf die andere DiskStation kopieren liese.

Oder mal Let's Encrypt fragen, warum bei denen kein anderer Port möglich ist.
Aber ich vermute das gehört zum Sicherheitskonzept, denn sonst könnte ich (oder die anderen 80 Mieter) mir für die Webseite meines Vermieters ein Zertifikat ausstellen, wenn ich mich über dessen WLAN verbinde.

 

[geimist]

…
Die andere Möglichkeit wäre ein gemeinsames Zertifikat für mehrere/beide Domains, welches sich dann von einer auf die andere DiskStation kopieren ließe.…

So tue ich auch. Ich habe im Cert eine Domain und 3 Aliase.

@dnmksgrs:
Der Weg sieht aus meiner Sicht so aus:
- auf der 1. DS das gewünschte Cert mit beiden Domains erstellen lassen
- das gleich auch einmal auf der 2. DS (so wird dort der passende Pfad unter "/usr/syno/etc/certificate/_archive/…" erstellt)
- hier findest du ein Skript, das auf Zertifikatsänderung prüft und das selbige kopiert: KLICK

Das jetzt nur als Konzept. Man müsste das Zertifkat noch auf die 2. DS übertragen (der Zielpfad ist ja nun bekannt). Ob über SSH, einem Mount oder sonst irgendwie …

 

[dnmksgrs]

Wenn das Routing lokal nicht nach Domain realisierbar ist, dann gibt es Möglichkeiten das auf der anderen Seite zu erledigen.
DynDNS1:80 > öffentlicheIP:80 > DiskStation1:80
DynDNS2:80 > öffentlicheIP:81 > DiskStation2:80

Gute Idee, das werde ich testen!