Benötige Hilfe bei der Konfiguration der Firewall

hblein

Benutzer
Mitglied seit
11. Dez 2024
Beiträge
134
Punkte für Reaktionen
42
Punkte
28
Ich kann dazu nur sagen, für meinen Anwendungsfall ist es so passend, weil funktional. Hatte seither keine unerwünschten Anmeldeversuche. Und auch keine Probleme mit der Zertifikatserneuerung, welche es gab, als ich es genau so gehandhabt habe, wie du es beschreibst. Sicher gibt es da noch Optimierungsbedarf, aber als "vollkommen daneben" würde ich es nicht bezeichnen, ist empirisch gewachsen und auch noch nicht final.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.175
Punkte für Reaktionen
616
Punkte
194
Gegenfrage: Wieviele Länder gedenkst du in deine Blockliste aufzunehmen? Hacking erfolgt weniger über die typischen Verdachtsländer sondern über Proxys aus Drittländern. Die kennst du also alle?

Oder anders herum: Welche Länder dürfen rein und welche nicht?
Alleine diese Frage verdeutlicht deinen falschen Ansatz, denn in der Regel reicht D als Erlaubnis.

Aber jeder ist seines Glückes Schmied.......oder ist halt Beratungsresistent.
 

hblein

Benutzer
Mitglied seit
11. Dez 2024
Beiträge
134
Punkte für Reaktionen
42
Punkte
28
Das hat absolut nichts mit Beratungsresistenz zu tun. Es gibt nämlich nicht nur (d)einen Weg zur Lösung. Ich gebe zu, in einer idealen Welt, wäre ich genau deiner Ansicht, dass es so wie du schreibst, der richtige Weg ist. Ich hatte dir bereits mitgeteilt, dass ich es, so wie von dir propagiert, konfiguriert hatte und dass es so bei mir zu Problemen kam, die es galt zu umschiffen. Warum du dich, nur anhand dieses Screenshots, so daran hochziehst, kann ich nicht nachvollziehen, da dir zur genaueren Beurteilung meines Sachverhalts schlicht nicht genug Informationen zur Verfügung stehen. Also, bitte, beruhige dich wieder. Ich sagte ja nicht, dass meine Lösung die einzig wahre ist. Und ich bin auch nicht der Punchingball für deinen Frust.
für Wieviele Länder gedenkst du in deine Blockliste aufzunehmen?
Das wird nach und nach aufgefrischt, wächst sozusagen fallbezogen, bis auf Weiteres.
Proxys aus Drittländern. Die kennst du also alle?
Natürlich kenne ich die nicht, woher auch. Du sicher auch nicht?
in der Regel reicht D als Erlaubnis
Richtig, das sollte so ein, in der Regel.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.175
Punkte für Reaktionen
616
Punkte
194
halt beratungsresistent.....viel Glück noch in diesem Forum
 

hblein

Benutzer
Mitglied seit
11. Dez 2024
Beiträge
134
Punkte für Reaktionen
42
Punkte
28
Ich hatte vergessen, im letzten Post zu erwähnen, dass ich durchaus an einem Austausch mit dir bezüglich dieses Themas interessiert bin.
Nach dem, was du mir gegenüber so abgesondert hast, werde ich aber Abstand davon nehmen. Schade eigentlich.
Dir auch noch viel Glück im Forum.
 
Zuletzt bearbeitet:

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.560
Punkte für Reaktionen
1.172
Punkte
194
Und auch keine Probleme mit der Zertifikatserneuerung, welche es gab, als ich es genau so gehandhabt habe, wie du es beschreibst. Sicher gibt es da noch Optimierungsbedarf, aber als "vollkommen daneben" würde ich es nicht bezeichnen, ist empirisch gewachsen und auch noch nicht final.
Die Funktionsweise von Let's Encrypt basiert auf einer Domainvalidierung über die Standardports 80 (HTTP) und 443 (HTTPS). Die Validierungsserver von Let's Encrypt sind in den USA lokalisiert. Wenn diese Server durch Firewall-Regeln blockiert werden, kann keine erfolgreiche Validierung mehr durchgeführt werden, was die Zertifikatserneuerung verhindert. Lösung: Lets Encrypt Server oder die USA zur Whitelist hinzufügen.
 

hblein

Benutzer
Mitglied seit
11. Dez 2024
Beiträge
134
Punkte für Reaktionen
42
Punkte
28
Danke @Ulfhednir für den Hinweis. Genau das hatte ich festgestellt. Glaub es, oder nicht, darauf hin, habe ich genau das gemacht, was du schreibst. Nur leider hat es damit weiterhin nicht funktioniert. Daraufhin bin ich auf die Suche gegangen und darauf und darauf gestoßen. Evtl. kannst du mir sagen, ob ich da was falsch interpretiere. Für mich klingt (bezogen auf die beiden Links) das so, die geben keine Liste ihrer Server raus und nutzen Cloud-gestützte Server (der Sicherheit wegen), wer weiß an welchen Standorten. Speziell dieser Satz: "Today we are validating from multiple regions within a single cloud provider. We plan to diversify network perspectives to other cloud providers in the future." Und da ich eben diese Regionen nicht kenne, hab ich mir, mit meinem bescheidenen Wissen was überlegt und entsprechend umgesetzt. Zumindest gibt es seither, teuteuteu, keine unerwünschten Zugriffe, und die LE-Domainvalidierung funktioniert auch. Mir ist bisher keine andere Lösung eingefallen/unter die Augen gekommen, wie auch immer. Ich hab das Thema auch in meiner geistigen Wiedervorlage. Natürlich kann meine Lösung nicht der Weisheit letzter Schluss sein und Bedarf an Nachbesserung wird sie haben. Aber ich war noch nicht so weit hier im Forum meinen ersten Thread diesbezüglich aufzumachen. Wenn du mehr Informationen benötigst, kann ich gern versuchen, dir meine bisherige FW-Konfiguration (in Gänze) und Überlegungen dazu zu erläutern/erklären.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.194
Punkte für Reaktionen
3.969
Punkte
488
Häh? Eine DNS-Challenge-Validierung ist einzig und allein eine Sache zwischen den LE-Servern und den DNS-Servern deines DSN-Providers und bedarf keiner Portfreigeben in dein Netz. Portfreigaben braucht es nur bei einer HTTP-Challenge-Validierung, also über Cookies auf deinem Web-Server. Lest euch mal z.B. hier etwas ein.
 
Zuletzt bearbeitet:

hblein

Benutzer
Mitglied seit
11. Dez 2024
Beiträge
134
Punkte für Reaktionen
42
Punkte
28
Da fehlt noch die Information: ich hab eine Domain bei netcup, Asche auf mein Haupt. Aber die Syno kümmert sich um das Zertifikat. Ich weiß es zumindest nicht besser. Sorry. Ich gehe deshalb davon aus, dass es sich nicht um eine DNS-Challenge-Validierung handelt.
Ich les mir das mal durch.
 
Zuletzt bearbeitet:

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.560
Punkte für Reaktionen
1.172
Punkte
194
Häh? Eine DNS-Challenge-Validierung ist einzig und allein eine Sache zwischen den LE-Servern und den DNS-Servern deines DSN-Providers und bedarf keiner Portfreigeben in dein Netz. Portfreigaben braucht es nur bei einer HTTP-Challenge-Validierung, also über Cookies auf deinem Web-Server. Lest euch mal z.B. hier ein.

https://letsencrypt.org/de/docs/allow-port-80/
  1. Synology DDNS unterstützt DNS-01 (ab DSM 6.0) und HTTP-01- Validierung mit Let's Encrypt. Benutzerdefinierte Domain unterstützt nur HTTP-01- Validierung mit Let's Encrypt. Weitere Informationen zu Validierungsmethoden finden Sie in diesem Artikel.
https://kb.synology.com/de-de/DSM/t...tificate_signing_request_on_your_Synology_NAS
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.194
Punkte für Reaktionen
3.969
Punkte
488
acme.sh auf der Syno nutzt dann DNS-Challenge bei Netcup, d.h. es setzt einen TXT-Record über die DNS-API von Netcup und überprüft dessen Vorhandensein über DNS. Dabei sind keinerlei Portfreigaben ins eigene Netz erforderlich.

Edit: @Ulfhednir, deine Artikel betreffen die Möglichkeiten des Synology-DDNS-Updaters auf der DS, nicht die von acme.sh. Die unterstützen wohl leider in der Tat nur HTTP-Challenges.
 
Zuletzt bearbeitet:

hblein

Benutzer
Mitglied seit
11. Dez 2024
Beiträge
134
Punkte für Reaktionen
42
Punkte
28
Das mit der HTTP-01-Validierung und das DNS-01 nur bei Synology DDNS geht, (wahrscheinlich intern), habe ich auch grad in der Synology-KB gefunden.
Ich habe das Zertifikat über die Systemsteuerung -> Sicherheit -> Zertifikat -> Hinzufügen angestoßen. Und entsprechend auch bekommen.
Mit acme.sh hatte ich, zumindest bewusst, keine Berührung.
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.560
Punkte für Reaktionen
1.172
Punkte
194
So, da haben wir es und daher bleibe ich auch bei meiner obigen Aussage. Lösung2 könnte natürlich auf die Verwendung acme.sh laufen. Das ist prinzipiell hier insgeheimer Standard im Forum. Damit hättest du noch den eleganten Vorteil, dass du auf Wildcard-Zertifikaten zurückgreifen könntest.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.194
Punkte für Reaktionen
3.969
Punkte
488
Bei Synology-DDNS muss man weiter unterscheiden. Die wickeln das bei synology.me etc. über eigene Server ab, da braucht es auch keine Portweiterleitungen.
Einfach mal probieren, was mit/ohne Portweiterleitung von 80/443 geht, auch wenn die Oberfläche behauptet, das Portfreigaben erforderlich wären.

Edit: @Ulfhednir, acme.sh gilt halt als Referenz und implementiert die aktuellen Standards vollständig, während es andere Implementierungen nur teilweise tun. Da muss man halt leider jeweils schauen, was wo geht.

Edit2: SWAG ist m.W. auch nur eine ältere Art der Implementierung, aber letztendlich egal, die Standards gibt LE vor.
 
Zuletzt bearbeitet:

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.560
Punkte für Reaktionen
1.172
Punkte
194
Ich kann dir soviel sagen, dass ich das Problem vor einigen Jahren (!) soweit nachvollziehen konnte. Mich tangiert das eigentlich nicht mehr, da ich seit 2021 SWAG nutze und Lets Encrypt per DNS-Challenge abwickeln lasse. Ich behaupte jetzt auch mal großkotzig, dass ich einer, wenn nicht gar der erste hier im Forum war, der das über Netcup genutzt hat. Aber das ist jetzt auch nur reine Nebensache.
 

hblein

Benutzer
Mitglied seit
11. Dez 2024
Beiträge
134
Punkte für Reaktionen
42
Punkte
28
auch wenn die Oberfläche behauptet, das Portfreigaben erforderlich wären.
Ich kann mich nur daran erinnern, dass das Zertifikat einfach nicht erneuert wurde.
War halt, direkt in der Syno-Systemsteuerung, der einfachste Weg damit es klappt.
Werde mich mal eingehender mit der Zertifikatserneuerungs-Thematik und diesem acme.sh beschäftigen, klingt interessant.
Ich bedanke mich bei euch beiden für die erhellenden Hinweise. Danke.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat