Let's encrypt Zertifikat

[fox89]

Hallo miteinander,

ich wollte meiner Diskstation ein Zertifikat von Lets encrypt gönnen und habe mich an die Anleitung von iDomix gehalten:
Youtube

iDomix selber sagt, dass für Let's encrypt die Ports 80 und 443 geöffnet sein müssen. Ich habe bewusst bei meiner Fritzbox keine Ports geöffnet (bis auf die VPN Ports) und habe trotzdem das Zertifikat erhalten. Wie kann das sein? Sind diese Ports evtl. bei der Fritte standard offen?

Darüberhinaus würde ich das Zertifikat gerne auch für den Open VPN Server nutzen. Muss ich dafür nach Ablauf des Zertifikats und automatischer Neuerstellung eben jenen, dieses in meinem Open VPN Programm neu einfügen? Oder bleibt das alte Zertifikat gleich und wird nur geprüft?

Freue mich auf eure Antworten.

Mit freundlichen Grüßen

Fox

 

[blurrrr]

Die Syno erneuert automatisch, von daher gibt es "da" kein Problem. Wenn Du das Zertifikat dann aber noch händisch woanders benutzt, wirst Du diesen Schritt auch regelmässig händisch wiederholen müssen.

 

[fox89]

Hey blurrrr,

danke für die Antwort. Hier ist das Problem. Ich habe mehrere Leute, die per Openvpn zugreifen. Z.B. auf dem Mac mit Tunnelblick. In der Konfig Datei ist ja immer das Zertifikat mit angegeben. Sobald die Syno also ein neues Zertifikat bekommt, muss ich jedem das Zertifikat mitteilen und diese müssen es in ihrem VPN Programm ersetzen?

 

[tproko]

Warum verwendest du nicht ein selbst generiertes und signiertes Zertifikat für Openvpn? Das kann dann länger gültig sein.
Ich sehe hier keinen Vorteil für dich, dass du ein Zertifikat nimmst, welches alle xx Tage (90 oder?) abläuft.

Je nach deinem Setup reicht es hier, übers GUI von Synology ein Zertifikat zu erstellen und dieses dann dem VPN Server zuzuweisen (anstelle des LE Zertifikats).
Es gibt hier aber auch einige Anleitungen für OpenVPN inkl. zusätzliche Client Zertifikate hier im deutschen Forum bzw. weiter verlinkt ins englische Syno Forum (falls du da einen weiteren Sicherheitsfaktor einbringen möchtest und bash-Kenntnisse hast).

Ich verwende LE Zertifikate nur für den Zugriff von außen per https. Damit da die nichtso technischen Familienmitglieder ohne https-Sicherheitswarnung auf den Foto-Share zugreifen können.

 

[fox89]

Hatte ich mir auch überlegt. Hätte gedacht, ein LE Zertifikat würde das VPN noch irgendwie härten. Aber ich kann gut damit leben, wenn das standard synology Zertifikat genügt.

Kann mir einer noch erklären, warum ich das LE Zertifikat erhalten habe, obwohl die o.g. Ports nicht geöffnet waren?

 

[blurrrr]

Da musst Du wohl iDomiX fragen

 

[tproko]

Nein, ob LE oder selbst signiert oder Standard syno Zertifikat macht keinen Unterschied.
Wenn du dein VPN härten willst, kannst du dir Client Zertifikate für jeden VPN Client überlegen! Dann benötigt jeder sein eigenes Client Cert und Username/Passwort. Ist somit definitiv etwas mehr Absicherung, und ein Angreifer ohne Client Cert wird sofort abgewiesen.


Das erneuern ohne Port 80/443 ist interessant. Sicher, dass deine Fritzbox alle Änderung gepublished hat?
Habe hier im Forum schon öfters gelesen, dass die FB da zickt, manchmal muss alles gelöscht werden, gespeichert werden, etc. dass dann die Portforwards wieder klappen... aber wie gesagt, hab selber keine FB - ist nur aus dem Forum aufgeschnappt.

 

[blurrrr]

uPnP?

 

[tproko]

Gibt ja auch Router, wo man eine DMZ IP angeben kann, wo alles ungefiltert durchgereicht wird...

 

[fox89]

uPnP?

Das wars
Ehrlicherweise habe ich mich mit diesem Thema noch nicht wirklich beschäftigt. Dieser Dienst ist bei mir aktiv. Es wäre wohl sinnvoll diesen auszuschalten, nur dann muss ich sämtliche Ports öffnen, die ich mal gebrauchen könnte. Ehrlicherweise auch keine gute Lösung oder?

 

[blurrrr]

In gewisser Hinsicht schon, denn dann "weisst" Du wenigstens was Sache ist. Via uPnP kann einfach jedes Gerät beliebige Ports nach aussen öffnen.

EDIT: uPnP = Kontrollverlust

 

[PatrickS3]

Aber auch nur, wenn es dem Gerät erlaubt wird, oder? Im meiner FB 7590 müsste ich dazu dem entsprechenden Gerät die Erlaubnis für "Selbstständige Portfreigaben erlauben" erteilen. Außerdem müssten sich in einer Fritzbox Anwendungen die etwas ändern wollen per angelegtem User anmelden.

 

[blurrrr]

War früher mal anders, ist alles zulange her... was uPnP angeht hab ich mich quasi direkt nach Auftauchen in irgendwelchen Routern schon wieder davon verabschiedet. Hat für mich ein "bisschen" was von den "Klatsch"-Lichtschaltern und jedes mal, wenn wer im TV klatscht, gibt's Disko. Lieber händisch, da weiss man was ist

Zudem stand im Wikipedia-Artikel gegen Ende auch folgendes: "Im Oktober 2016 empfahl das Bundesamt für Sicherheit in der Informationstechnik, die UPnP-Funktion bei Routern zu deaktivieren", aber das nur als kleiner Hinweis am Rande.

 

[PatrickS3]

Heute schaut das so aus:

 

[blurrrr]

Sieht nicht grade nach Authentifizierung aus, also alles beim alten bei uPnP (kann mich natürlich irren, aber sonderlich interssiert hab mich das Thema sowieso nie)

 

[fox89]

Ich bin nach dem Beitrag von Patrick noch mal etwas auf Spurensuche gegangen.
1. UPNP war bei mir wohl doch deaktiviert, was wiederum erneut die Frage aufwirft. Warum das LE Zertifikat erstellt wurde, obwohl die Ports nicht freigegeben wurde.

Bezüglich des Themas UPNP und Fritzbox hier noch mal ein paar Details für den, den es interessiert.

Anscheinend ist UPNP standardmässig bei der FB deaktiviert. Die Einstellung zur Aktiviertung kann vorgenommen werden unter: Internet -> Freigaben -> Portfreigaben
Hier sollte der Haken bei "Alle Geräte im Heimnetz dürfen Portfreigaben selbstständig verändern" NICHT gesetzt sein.


Darüber hinaus gibt es noch unter: Heimnetz -> Heimnetzübersicht -> Netzwerkeinstellungen
die Möglichkeit: Statusinformationen über UPnP zu übertragen. Dieser Haken sollte aktiviert bleiben, damit die Anwendungen wissen, dass Sie keine Ports öffnen dürfen.
Quellen: pcwelt.de


Löst zwar nicht die ursprüngliche Frage, vielleicht hilft es aber dem einen oder anderen.

 

[blurrrr]

Das wars ...... Dieser Dienst ist bei mir aktiv. Es wäre wohl sinnvoll diesen auszuschalten...

1. UPNP war bei mir wohl doch deaktiviert....

Ja was denn nun? Erst war er aktiv, dann wieder nicht... sicher, dass Du den Dienst nicht einfach deaktiviert hast?

Die meisten SOHO-Router haben (bzw. hatten?) uPnP übrigens "aktiviert", weil es ansonsten zu Problemen mit z.B. Online-Spielen (grade im Mutliplayer) kommen kann und die Routerhersteller den Leuten es natürlich so einfach wie möglich machen wollen.

 

[Ar-Al]

Anscheinend ist UPNP standardmässig bei der FB deaktiviert.
Die Einstellung zur Aktiviertung kann vorgenommen werden unter: Internet -> Freigaben -> Portfreigaben
Darüber hinaus gibt es noch unter: Heimnetz -> Heimnetzübersicht -> Netzwerkeinstellungen

Die erste Einstellung gibt es auf der 7590 V.6.92 nicht (mehr):



Die zweite Einstellung ist bei mir, wie oben gezeigt, aktiviert und auch ungefährlich.

 

[PatrickS3]

Ich vermute aber, dass das in der 7590 standardmäßig deaktiviert ist, schaut man nämlich in Heimnetz / Netzwerk in der Liste aller Geräte, so findet man auch dort die Angabe ob die selbständige Portfreigabe erlaubt ist, wenn man das Gerät bearbeitet. Und das ist bei mir bei allen Geräte wie auf dem folgenden Screenshot, ohne dass ich da etwas geändert hätte seit ich die 7590 habe.

 

[Ar-Al]

... so findet man auch dort die Angabe ob die selbständige Portfreigabe erlaubt ist, wenn man das Gerät bearbeitet.

Ja, ich habe das Changelog geprüft und da haben schon die 7390, 7490 und 7580 seit V.6.80 folgende Funktion:
Option für selbständige Portfreigaben (UPnP/PCP) pro Gerät aktivierbar

Die 7590 kam gleich mit V.6.84 und hatte ab Beginn die Funktion.

Aber schön, dass wir das mal geklärt haben, denn in all meinen eigenen Dokus steht, dass ich das immer deaktivieren musste.