let´s encrypt / Portfreigabe / VPN?

[jdscarpa]

Sers zusammen, mal ne kurze Frage für mein Verständnis: Ich habe auf der DS (DS923+) die ausschließliche Verbindung über https aktiviert, soweit so gut. Auch habe ich bei unserem Router (Speedport Smart 4 Plus) eine DynDNS (dyndns.com) eingerichet sowie den Wireguard VPN-Dienst, das funktioniert auch alles wie es soll. Jetzt die eigentliche Frage: Wenn ich z.B. übers iPhone oder von meinem PC (Laptop) aus auf die IP-Adresse der DS zugreifen will (anstelle der QuickConnect-Alternative) bekomme ich die wahrscheinlich allseits bekannte Warnung "Warnung: Mögliches Sicherheitsrisiko erkannt" aufgrund des fehlenden ssl/tls Zertifikats. Mir ist bewusst, dass man ein Zertifikat über Let´s Encrypt erhalten kann, allerdings möchte ich mich nicht regelmäßig selbst erinnern müssen wie hier im Forum schon gelesen immer wieder die Ports für die Verlängerung (auch wenn nur kurzzeitig) zu öffnen. Gibt es Wege, an ein Zertifikat zu kommen, ohne dass ich regelmäßig Ports daheim öffnen muss und das dann in die DS zu importieren (wenns ein paar Kröten pro Jahr wären, daran würde es für mich daran nicht scheitern)?

Zweite Frage (vlt off-topic): Ich habe mir vor paar wenigen Wochen unter anderem mithilfe dieses Forums auch nen dauerhaften Zugang zu meinem home/SMB Ordner angelegt. Danach noch wie oben beschrieben einen Wireguard VPN, damit ich immer von überall über das Heimnetzwerk auf meine Daten zugreifen kann. Lieg ich richtig in der Annahme, dass ich dank VPN-Zugang z.B. auf meinem Laptop auf die SMB-Freigabe zugreifen kann, oder wäre das auch möglich ohne? Das wäre von mir dann aber nicht gewollt, Plan war wie gesagt falls mal in fremdem Netzwerk dass ich nur dank VPN-Verbindung darauf Zugriff habe (möglich wäre natürlich noch aufm mobilen PC dauerhaft den VPN zu aktivieren, wie beim iPhone auch, das wäre dann eh der Plan, mir gehts hier ja auch ums Verstehen :/).

Über Hilfe / Erklärung würd ich mich freuen

 

[wegomyway]

https://www.synology-forum.de/threa...kl-portfreigabe-fritz-box-integration.106559/
Das Script sorgt automatisch für aktuelles Zertifikat, das kostet nichts. Port ist bei mir nur 443 offen. Alles andere zu und auch nicht temporär mal was offen.
Wireguard-VPN für jedes mobile Endgerät auf der Fritzbox (wenn die es kann) einrichten.

 

[Hagen2000]

Vielleicht mal die zweite Frage zuerst:
Solange Du auf deinem Router keine Port-Freigaben eingerichtet hast, ist dein internes Netz sicher und nur über den VPN-Zugang erreichbar. Da das VPN schon alle Daten verschlüsselt, ist das Verwenden von SSL-Verbindungen innerhalb des VPNs eigentlich überflüssig. Du kannst also auch per HTTP zugreifen und bekommst dann keine Zertifikatsfehler.

Jetzt zur ersten Frage: Zertifikate gelten nicht für IP-Adressen, sondern nur für DNS-Namen. Du würdest also einen zusätzlichen (den für die VPN-Verbindung benötigst Du ja weiterhin) DNS-Eintrag benötigen, der auf deine interne IP-Adresse auflöst. Das könnte man mit dem Synology-DDNS-Dienst auf dem NAS zwar lösen, aber Du musst dich dann eben auch mit der Zertifikatsverlängerung auseinandersetzen. Ich würde es eher nicht empfehlen.

 

[Benie]

Du musst dich dann eben auch mit der Zertifikatsverlängerung auseinandersetzen. Ich würde es eher nicht empfehlen.

Mit einer Synology DynDNS, braucht man für die Verlängerung keine offenen Ports, darüber hinaus, wird das Zertifikat von LE alleine, sprich ohne Dein dazutun verlängert.
Ich habe zusätzlich noch eine nicht Synology DynDNS, dort muß ich die Ports für die Verlängerung öffnen. Das verlängern läuft auch nicht automatisch, aber ich bekomme jedesmal von LE/Synology mehrere Erinnerungen, daß ich doch rechtzeitig verlängern soll.

 

[jdscarpa]

Vielleicht mal die zweite Frage zuerst:
Solange Du auf deinem Router keine Port-Freigaben eingerichtet hast, ist dein internes Netz sicher und nur über den VPN-Zugang erreichbar.

Also Portfreigaben existieren meines Wissens nach nicht, wenn ich mich auf dem Speedport einlogge und auf Internet -> Portfreischaltung klicke stehen dort keine Freigaben, dann wäre das ja schonmal abgehakt

Da das VPN schon alle Daten verschlüsselt, ist das Verwenden von SSL-Verbindungen innerhalb des VPNs eigentlich überflüssig. Du kannst also auch per HTTP zugreifen und bekommst dann keine Zertifikatsfehler.

Ja das dachte ich mir auch - also mit dem VPN ist ja schon ein verschlüsselter Zugang eingerichtet (zuhause hab ich den am Laptop nicht an, nur im Falle falls er das Haus verlässt und sich mit einem fremden Internetzugang verbindet). Den Zertifikatsfehler bekomme ich (also zumindest bei nicht aktiviertem VPN) aber trotzdem. Ist das evtl. einfach so, dass solange der VPN auch im Heimnetz nicht aktiviert wurde, ich eine Zertifikatswarnung erhalte? Ich werd gleich mal probieren, ob die Warnung auch mit aktiviertem VPN aufkommt.

Jetzt zur ersten Frage: Zertifikate gelten nicht für IP-Adressen, sondern nur für DNS-Namen. Du würdest also einen zusätzlichen (den für die VPN-Verbindung benötigst Du ja weiterhin) DNS-Eintrag benötigen, der auf deine interne IP-Adresse auflöst. Das könnte man mit dem Synology-DDNS-Dienst auf dem NAS zwar lösen, aber Du musst dich dann eben auch mit der Zertifikatsverlängerung auseinandersetzen. Ich würde es eher nicht empfehlen.

okay. Ja gut, so wie ich dich verstanden habe bin ich ja mit dem VPN auf der sicheren Seite, somit erübrigen sich ja vorläufig alle weiteren "Maßnahmen". Mich hat halt nur wie gesagt die Frage umgetrieben, ob ich durch ein zusätzliches Zertifikat und durch anmelden über diese domain ich die Zertifikatswarnung umgehen kann.

Ich danke dir!

 

[jdscarpa]

Edit:
Erkenntnis: über VPN funktioniert der Zugriff weder auf den freigegebenen SMB-home Ordner, den Router oder die DS im Netzwerk. Hab es einmal im Wlan des Netzwerks mit aktiviertem VPN probiert, einmal im Hotspot meines Handys mit aktiviertem VPN (hier im Ort ist nur leider das Mobilfunknetz unter aller Sau), aber eine Verbindung zu den drei oben genannten Sachen bekomme ich nicht hin. Zu Google, Youtube etc. aber schon

 

[NSFH]

.................
Solange Du auf deinem Router keine Port-Freigaben eingerichtet hast, ist dein internes Netz sicher und nur über den VPN-Zugang erreichbar. Da das VPN schon alle Daten verschlüsselt, ist das Verwenden von SSL-Verbindungen innerhalb des VPNs eigentlich überflüssig. Du kannst also auch per HTTP zugreifen und bekommst dann keine Zertifikatsfehler.
...........

Da stellen sich einem immer noch die Nackenhaare hoch.
Die Funktionsweise von Malware dürfte doch fast dem letzten hier bekannt sein. Nahezu alle Vorfälle mit Verschlüsselung von Festplatten resultieren aus Phishing Mails, die auf einem PC geöffnet wurden. (Für den der es immer noch nicht versteht gibt es eine sehr umfassende Dokumentation der ct, wo genau dies einem der Redakteure passiert ist. Das mal zu lesen von der Entstehung über die Analyse bis zur Schadensbehebung kann man nur empfehlen.)
Nach dem Nachladen von weitere Schadsoftware fängt dieser PC an den Datenverkehr zu analysieren. Super toll, wenn man dann den Server über ungesicherte (HTTP) Verbindung kontaktiert, damit gleich alle Passwörter die damit im Zusammenhang stehen kompromittiert.
Danke also für diesen "wertvollen" Hinweis im internen LAN beruhigt HTTP verwenden zu können!

Im Gegenteil würde ich allen raten zusätzlich zu HTTPS in der Firewall das interne LAN genauso abzusichern wie man es nach Extern macht!

Ein richtiger Tipp wäre zB gewesen dass Synology Zertifikat (welches den Apps als Standard zugewiesen wurde) zu exportieren und im PC zu importieren. Damit ist es dem Browser bekannt und die Warnmeldung erscheint nicht mehr.

 

[Hagen2000]

Nicht vertrauenswürdige Zertifikate zu akzeptieren würde ich schon aus Prinzip niemals empfehlen. Zum einen muss man diese Ausnahmen in jedem Browser (oder App) und auf jedem Gerät manuell hinzufügen, zum anderen würde man dies bei einem Let's Encrypt-Zertifikat - von dem eingangs die Rede war - auch noch spätestens alle drei Monate wiederholen müssen. Diese Vorgehensweise halte ich persönlich daher für eine Notlösung, man sollte sie am besten gar nicht erst einüben.

Wenn ich erst eine Malware auf dem PC habe, nützt mir eine HTTPS-Verbindung zu meinem NAS kaum noch etwas. In der Regel ist das NAS per SMB-Laufwerk fest im Explorer (oder MAC-Finder) eingebunden, da braucht eine Verschlüsselungssoftware gar kein Passwort abzufischen. Darüber hinaus kann sie sich auch noch in aller Ruhe in der Registry-Datenbank umsehen - ob da das potentielle Mitschneiden des Passworts der Web-GUI des NAS den Kohl noch fett macht?

Verlinke doch mal die Dokumentation der c't (falls sie frei zugänglich ist), wäre ja mal interessant, Details zu erfahren.

 

[Hagen2000]

@jdscarpa Aus deinem Beitrag #1 hatte ich eigentlich entnommen, der VPN-Zugriff würde schon funktionieren...

Wie greifst Du denn auf deinen Router zu, wenn der VPN-Tunnel aufgebaut ist?
Beispiel: http://192.168.2.1 (das sollte die Standard-Adresse eines Speedport-Routers sein).
Wie versuchst Du den Zugriff auf dein NAS?
Beispiele:
http://192.168.2.x:5000
https://192.168.2.x:5001
(X musst Du natürlich durch den richtigen Wert ersetzen, Zertifikatsfehler wird bei HTTPS auftreten)

 

[jdscarpa]

@jdscarpa Aus deinem Beitrag #1 hatte ich eigentlich entnommen, der VPN-Zugriff würde schon funktionieren...

Wie greifst Du denn auf deinen Router zu, wenn der VPN-Tunnel aufgebaut ist?
Beispiel: http://192.168.2.1 (das sollte die Standard-Adresse eines Speedport-Routers sein).
Wie versuchst Du den Zugriff auf dein NAS?
Beispiele:
http://192.168.2.x:5000
https://192.168.2.x:5001
(X musst Du natürlich durch den richtigen Wert ersetzen, Zertifikatsfehler wird bei HTTPS auftreten)

Ich habe im Router eingestellt, dass man nur per https auf ihn zugreifen kann (genauso auch auf der Synology, hab den Port 5000 in der Firewall der DS geschlossen). Also https://192.168.2.1, das passt auch. Ich bekomme lediglich die Nachricht der unsicheren Verbindung. Als ich dann meinen Laptop mit dem Hotspot meines Handys verbunden habe, funktionierte die Verbindung nicht. Ich gehe mal davon aus, das liegt an dem hier sau schlechten Netz, als ich heute per VPN auf dem Handy mich im Browser mit dem Router verbinden wollte, ging das tadellos.
Ich werde demnächst mal meinen Laptop mit außer Haus nehmen und gucken, ob die Verbindung dann auch funktioniert, wie es z.B. auf Reisen im fremden Wlan auch wäre (dort werde ich dann auch kontrollieren, ob ohne VPN auch eine Verbindung zum SMB-Netzwerk möglich ist oder nicht).

Ja, ich verbinde mich wie genau in deinem Beispiel beschrieben mit dem NAS auf diesem Weg, aber auch dort bekomme ich (ohne VPN) die Warnung der unsicheren Verbindung.
Meine Idee (anfangs nur schlecht beschrieben) war folgende:
Da ich ja schon eine DynDNS Adresse von dyndns.com habe, könnte ich mir z.B. über ssl-trust.com mit dieser domain ein ssl-Zertifikat erstellen lassen (die 38€ würden mich jedenfalls nicht stören). Dann pflege / importiere ich das erhaltene ssl-Zerti z.B. auf der Synology DS ein und bekomme keine Warnung mehr (falls der Weg richtig ist, würde das dann nicht auch beim Router funktionieren?).
Lieg ich da in meinem Ansatz richtig oder bin ich komplett oder irgendwo auf dem Holzweg? Wenn richtig, kann ich mich ja innerhalb des Netzwerks (LAN) per dyndns-Adresse und [Doppelpunkt][Port] auf z.B. die DS einloggen, außerhalb des Netztes dann eben noch mit VPN, oder?

Gruß

 

[NSFH]

............... In der Regel ist das NAS per SMB-Laufwerk fest im Explorer (oder MAC-Finder) eingebunden, da braucht eine Verschlüsselungssoftware gar kein Passwort abzufischen. ...............

Aber den Unterschied mittels http auf DSM zuzugreifen (und damit den gesamten Server mit Backups zu kompromittieren) und dem einer SMB Verbindung, die hoffentlich nicht mit Adminrechten erfolgt kennst du?

https://www.heise.de/news/Emotet-bei-Heise-4437807.html
Die umfangreiche Beschreibung ist wohl leider nur CT Lesern vorbehalten und kann ich hier nicht verlinken.

 

[Hagen2000]

Danke dafür - ich erinnere mich an den Vorfall - dass das schon wieder 5 1/2 Jahre her ist…

 

[stevenfreiburg]

Eine Lösung, wie man die nervigen Meldungen "unsicheres Zertifikat" bei VPN Verbindungen auf seine seine Syno erledigt
OHNE

1.
auf HTTP umzusteigen
oder
2.
das Zertifikat immer wieder neu zu importieren

gibt es nicht, oder hab ich etwas überlesen?

 

[Ronny1978]

Beim Einsatz meiner OpnSense habe ich bei sowas kein Problem. Die Zertifikate (entweder LE für den RP) und das von Synology funktioniert einwandfrei.

 

[Benie]

gibt es nicht, oder hab ich etwas überlesen?

Ich nutze auch netzintern Synology DynDNS und lasse diese auch auf die netzinterne IP der DS auflösen. Nur noch an ganz wenigen Stellen, wo es halt nicht anders geht, kommt noch die IP zum Einsatz. Die Auflösung auf den Namen der DS nutze ich seit jeher nicht.
Habe eigentlich hiermit in der Richtung keine Probleme.
Alle Ports, wirklich alle auch 443 sind geschlossen. Das Zertifikat wird auch bei geschlossenen Ports regelmäßig von LE verlängert.
Auch mit den Clients habe ich so keine Probleme, wie zb. daß ich den Client neu Verbinden muss, weil das Zertifikat erneuert wurde.

Zugriff in den netzinternen Bereich erfolgt grundsätzlich nur über Wireguard. Auch da keinerlei Zugrffsprobkeme.

 

[Hagen2000]

@jdscarpa

Als ich dann meinen Laptop mit dem Hotspot meines Handys verbunden habe, funktionierte die Verbindung nicht.

Ich vermute, dass das so prinzipiell nicht funktionieren kann, weil das Handy sich durch die eigene VPN-Verbindung quasi isoliert. Du darfst beim Verwenden des Handys als Hotspot die VPN-Verbindung nicht auf dem Handy aktivieren, sondern musst die VPN-Verbindung vom Laptop aus herstellen. Dazu musst Du den WireGuard-Client samt Konfiguration dort auch installieren. Probier das doch einmal aus.

Deine Idee bzgl. Zertifikat funktioniert so nicht. Deine DynDNS Adresse von dyndns.com ist ja mit der externen IP-Adresse deines Routers verknüpft. Dafür benötigst Du aber gar kein Zertifikat, denn das brauchst man zum Herstellen der VPN-Verbindung nicht.
DNS-Name und Zertifikat müssen immer zueinander passen. Daher hatte ich in #3 schon geschrieben, dass Du einen weiteren DNS-Namen brauchen würdest, der dann auf die interne IP-Adresse deines NAS auflöst. Benötigst Du den sicheren Zugriff auf zusätzliche Geräte, würdest Du auch weitere DNS-Namen für diese Geräte benötigen.

Zertifikatswarnungen bekommst Du immer, wenn Du a) mit einer IP-Adresse zugreifst oder b) mit einem DNS-Namen zugreifst, der nicht im Zertifikat steht oder c) das Zertifikat nicht überprüft werden kann, weil es nicht von einer offiziellen Stelle (sogenannter CA) ausgestellt worden ist.

Als einfachste Lösung würde ich mich dem Vorschlag von @NSFH anschließen und Sicherheitsausnahmen für die nicht passenden Zertifikate erstellen. Dann kannst Du per HTTPS zugreifen und, da die vorhandenen Zertifikate in der Regel viele Jahre gelten, hast Du dann auch für die entsprechende Zeit Ruhe (gilt nicht für Let's Encrypt-Zertifikate).

Die zweite Lösung, die @Benie vorgschlagen hat, läuft darauf hinaus, dass Du dir über den Synology-DDNS-Dienst auf dem NAS einen weiteren DNS-Namen reservierst und diesen aber mit der internen (d. h. privaten) IPv4-Adresse deines NAS verknüpfst. Der DDNS-Dienst von Synology unterstützt dies. Darüber hinaus kannst Du dir ein kostenloses Let's Encrypt-Zertifikat ausstellen lassen. So kannst Du innerhalb deines Heimnetzes sauber per HTTPS mit offiziellem Zertifikat zugreifen. Auch von extern kann es funktionieren, wenn die VPN-Verbindung vorher aufgebaut wird.

Diese Lösung hat aber folgende Nachteile:

• Das Zertifikat gilt erst einmal nur für dein NAS. Man könnte ggf. ein Wildcard-Zertifikat verwenden, dieses müsstest Du dann aber regelmäßig auf deine anderen Geräte verteilen.
• Das Verwenden einer privaten IP-Adresse für DynDNS ist zwar erlaubt, aber nicht empfohlen: Ein Grund (*) liegt im sogenannten DNS-Rebind-Schutz:
• Manche Router - z. B. alle FRITZ!Boxen - verbieten standardmäßig DNS-Anfragen, die Adressen des eigenen Netzwerks als Ergebnis liefern und man muss eine entsprechende Ausnahme konfigurieren.
• Dieser DNS-Rebind-Schutz ist aber leider auch in einigen Hotel-(W)LANs oder öffentlichen WLANs aktiv und betrifft dort meistens sämtliche privaten IP-Adressen. Damit kannst Du dann zwar die VPN-Verbindung herstellen, dann aber scheinbar nicht über diese kommunizieren, weil die Namensauflösung der internen IP-Adressen nicht funktioniert. Das ist sehr störend und dieses Problem tritt natürlich ausgerechnet dann auf, wenn man auf ein fremdes (W)LAN angewiesen ist. Im Mobilfunknetz habe ich den DNS-Rebind-Schutz bislang nicht erlebt, da kann man dann zur Not noch ausweichen.

Dann hat @Ronny1978 noch den Einsatz eines Reverse Proxys ins Gespräch gebracht. Hier arbeitet man dann nicht über VPN sondern öffnet HTTPS nach außen. Darüber kann man dann zwar sämtliche Web-Dienste sicher abbilden, aber eine SMB-Verbindung läuft darüber meines Wissens nicht. Ronny kann dazu sicher mehr sagen.

@stevenfreiburg Nein, Du hast nichts überlesen
Der Kontext in diesem Thread ist das Arbeiten über VPN. Mögliche Lösungswege könnten das Betreiben eines eigenen DNS-Servers im Heimnetz oder das Errichten einer eigenen CA sein. Aber vielleicht gibt es noch andere Vorschläge, die ich übersehen habe.

(*) Ein weiterer Grund ist, dass dies gegen das Prinzip der Eindeutigkeit des DNS verstößt: Private IP-Adressen dürfen ja von jedermann frei verwendet werden und so könnte der DNS-Name auch in einem fremden Netz zu einer gültigen IP-Adresse - aber eines ganz anderen Geräts - führen. Das braucht einen aber solange nicht zu stören, wie das Verfahren nicht offiziell untersagt wird.

 

[Ronny1978]

aber eine SMB-Verbindung läuft darüber meines Wissens nicht. Ronny kann dazu sicher mehr sagen

Nein, SMB würde ich generell NUR über VPN betreiben, aber da meckert auch kein Zertifikat.

 

[Benie]

Dieser DNS-Rebind-Schutz ist aber leider auch in einigen Hotel-(W)LANs oder öffentlichen WLANs aktiv und betrifft dort meistens sämtliche privaten IP-Adressen. Damit kannst Du dann zwar die VPN-Verbindung herstellen, dann aber scheinbar nicht über diese kommunizieren, weil die Namensauflösung der internen IP-Adresse nicht funktioniert. Das ist sehr störend und dieses Problem tritt natürlich ausgerechnet dann auf, wenn man auf ein fremdes (W)LAN angewiesen ist.

Für diesen Zweck, habe ich seit jeher eine weitere DynDNS die nicht von Synology ist, so muß ich nur zb. für den Urlaubszeitraum Port 443 öffnen, da eh alles über ReverseProxy läuft.

Das Zertifikat gilt erst einmal nur für dein NAS. Man könnte ggf. ein Wildcard-Zertifikat verwenden, dieses müsstest Du dann aber regelmäßig auf deine anderen Geräte verteilen.

Das verstehe ich nicht ganz was Du meinst daß da regelmäßig verteilt werden muß ?

 

[jdscarpa]

Ich vermute, dass das so prinzipiell nicht funktionieren kann, weil das Handy sich durch die eigene VPN-Verbindung quasi isoliert. Du darfst beim Verwenden des Handys als Hotspot die VPN-Verbindung nicht auf dem Handy aktivieren, sondern musst die VPN-Verbindung vom Laptop aus herstellen. Dazu musst Du den WireGuard-Client samt Konfiguration dort auch installieren. Probier das doch einmal aus.

Hi Hagen, genau so hatte ich es probiert auf meinem Laptop ist ebenfalls ein Wireguard VPN eingerichtet, genau wie auf dem Handy auch. Da aber das mobile Netz wie schon gesagt hier dermaßen schlecht ist, werde ich die Tage mal meinen Laptop mit nach draußen nehmen und es dort probieren

Deine Idee bzgl. Zertifikat funktioniert so nicht. Deine DynDNS Adresse von dyndns.com ist ja mit der externen IP-Adresse deines Routers verknüpft. Dafür benötigst Du aber gar kein Zertifikat, denn das brauchst man zum Herstellen der VPN-Verbindung nicht.
DNS-Name und Zertifikat müssen immer zueinander passen. Daher hatte ich in #3 schon geschrieben, dass Du einen weiteren DNS-Namen brauchen würdest, der dann auf die interne IP-Adresse deines NAS auflöst. Benötigst Du den sicheren Zugriff auf zusätzliche Geräte, würdest Du auch weitere DNS-Namen für diese Geräte benötigen.

Zertifikatswarnungen bekommst Du immer, wenn Du a) mit einer IP-Adresse zugreifst oder b) mit einem DNS-Namen zugreifst, der nicht im Zertifikat steht oder c) das Zertifikat nicht überprüft werden kann, weil es nicht von einer offiziellen Stelle (sogenannter CA) ausgestellt worden ist.

Okay, dann lag ich da leider falsch... Ich hatte gedacht, ich könnte eine dyndns-Adresse für mehrere Geräte intern nutzen, da ich die dyndns ja auf dem Router eingepflegt hatte und in der Adressleiste noch den jeweiligen Port des zu gewünschten erreichenden Geräts eingebe (gemeint ist dass ich für die dyndns ein Zertifikat erstelle, dieses Zertifikat auf der Synology importiere und über die dyndns-Adresse mit angehängtem [Doppelpunkt][Port] so auf die Weboberfläche zugreifen kann)
Naja, geplatzt...

Frage:
Da ich bei dyndns.com die Möglichkeit habe, mehrere Hostnames zu erstellen (das sind doch die gemeinten Domains oder?), könnte ich doch eine weitere Domain für mein NAS erstellen und mit einem Zertifikat verknüpfen und jenes auf die Synology importieren oder? Und die weitere Domain muss ich dann ja mit der IP der Synology verknüpfen, nicht wie beim VPN mit dem Router, richtig? Also so hab ich das aus den ganzen und deiner Antwort hier verstanden.

 

[Hagen2000]

Das verstehe ich nicht ganz was Du meinst daß da regelmäßig verteilt werden muß ?

Wenn der TE beispielsweise auf die Web-GUI seines Routers per HTTPS zugreifen möchte, würde der Router ja auch das Wildcard-Zertifikat benötigen. Dazu müsste er das Zertifikat am besten automatisch vom NAS an diese weiteren Geräte (z. B. per Skript) verteilen - was beim Speedport-Router vermutlich gar nicht gehen würde. So war die Bemerkung jedenfalls gemeint.