Cloud Station QuickConnect ohne HTTPS

[nitroburger]

Hallo zusammen,
ich hätte mal zwei Verständnisfragen:
Ich verwende eine DS214+ mit aktuellem DSM und verschiedenen Paketen:
- CloudStation
- PhotoStation
- NoteStation
- etc.

Jetzt hab ich am Wochenende zu Testzwecken die Funktion QuickConnect konfiguriert, um das ganze mal von "Extern" zu erreichen.
Was ich jetzt nicht ganz verstehe, wie sicher diese Art der Erreichbarkeit ist. Erfolgt der Login über die Synology Server und die Daten werden dann direkt vom NAS an den externen Client synchronisiert oder müssen die Daten zuerst auf einen Synology Server und von dort zu mir, wenn ich extern bin. Im LAN stellt die QuickConnect-Funktion direkt die Verbindung zum NAS her, hab ich gelesen.

Zweite Frage:
Man kann in den iOS Apps den Haken bei HTTPS setzen, allerdings funktioniert dieser nicht. Vermutlich da meine DS214+ nicht auf HTTPS umgestellt ist. Ist das dann ein Problem? Sprich sind die Verbindungen zum NAS dann unsicher?

Danke schon mal vorab.

 

[Frogman]

...Was ich jetzt nicht ganz verstehe, wie sicher diese Art der Erreichbarkeit ist. Erfolgt der Login über die Synology Server und die Daten werden dann direkt vom NAS an den externen Client synchronisiert oder müssen die Daten zuerst auf einen Synology Server und von dort zu mir, wenn ich extern bin. Im LAN stellt die QuickConnect-Funktion direkt die Verbindung zum NAS her, hab ich gelesen.

Findet man nach kurzer Suche im Forum, bspw. hier.

Man kann in den iOS Apps den Haken bei HTTPS setzen, allerdings funktioniert dieser nicht. Vermutlich da meine DS214+ nicht auf HTTPS umgestellt ist. Ist das dann ein Problem? Sprich sind die Verbindungen zum NAS dann unsicher?

Alle nichtverschlüsselten Verbindungen übertragen Daten im Klartext - sind also unsicher.

 

[nitroburger]

Danke.

Im Prinzip würde ich gerne HTTPS aktivieren, am liebsten mit eigenem öffentlichen Zertifikat und ohne QuickConnect, dann aber mit DynDNS.
Vermutlich bin ich da nicht der einzige, hat jemand somit nen Tipp für eine gute passende Anleitung?

Und evtl wo man ein gutes und günstiges Zertifikat kaufen kann?

 

[Frogman]

...Vermutlich bin ich da nicht der einzige, hat jemand somit nen Tipp für eine gute passende Anleitung?

Deshalb gibt's im Wiki dazu auch eine Anleitung.

 

[nitroburger]

Und dann die nächste Frage:
Wäre dieses SSL Zertifikat dann geeignet?
https://www.ready2host.de/zertifikate/positivessl-zertifikat.html

Kostet im Jahr knappe 40,- €

 

[Frogman]

Technisch ja - aber 40 EUR für ein Zertifikat bezahlen, was maximal 2048bit RSA-Keys liefert, wo man doch schon bei StartCom oder Let's Encrypt welche mit 4096bit umsonst bekommt?

 

[nitroburger]

Ready2Host hab ich aus dem Wiki

Wäre das dann ein Produkt als Empfehlung:
https://www.startssl.com/?app=1

 

[frankyst72]

ja, genau das... aber schaue Dir das Video von iDomix an, da wird alles erklärt. Du brauchst dazu eine eigene Domain.
bezüglich StartSSL-Zertifikat https://www.youtube.com/watch?v=fIJqppzwZC0 und https://www.youtube.com/watch?v=feLVmqzU_YI

Bezüglich Let's Encypt (heute soll die öffentliche Beta starten ) http://www.synology-forum.de/showthread.html?66480-Let-s-Encrypt-kostenlose-SSL-Zertifikate&highlight=let+encrypt

WOBEI!! das Zertifikat ist eigentlich nur das Sahnehäubchen. Für eine sicher https/SSL-Verschlüsselung benötigst Du kein öffentliches Zertifkat . Fang erst mal damit an, per DynDNS überhaupt auf die Dienste zu kommen, das reicht eigentlich erst mal, für das, was Du willst.

Sprich sind die Verbindungen zum NAS dann unsicher?

nein, solange sich kein andere Server versucht als Deine DS auszugeben. Dazu gehört aber schon sehr viel kriminelle Energie (das Zertifikat stellt nur sicher, dass Du Dich mit dem richtigen Server unterhälst). Die Verbindung selbst ist aber auch ohne öffentliches Zertifikat sicher verschlüsselt.
Windows (in der Default-Konfiguration) setzt aber z.B. bei WebDAV-Verbindungen ein öffentliches Zertifikat vorraus.

 

[Frogman]

ja, genau das... aber schaue Dir das Video von iDomix an, da wird alles erklärt. Du brauchst dazu eine eigene Domain.bezüglich StartSSL-Zertifikat https://www.youtube.com/watch?v=fIJqppzwZC0 und https://www.youtube.com/watch?v=feLVmqzU_YI.

Aber bitte nicht den Blödsinn nachmachen, das Schlüsselpaar von StartCom generieren zu lassen!

 

[Frogman]

...Die Verbindung selbst ist aber auch ohne öffentliches Zertifikat sicher verschlüsselt.

Jedes Serverzertifikat ist "öffentlich" - das ist der öffentliche Teil eines Schlüsselpaares! Bitte nicht verwechseln mit einem Zertifikat, welches durch eine anerkannte CA signiert wurde, die als Vertrauensanker standardmäßig in einem Clientsystem enthalten ist.

 

[nitroburger]

Danke Danke

Mein Wunsch wäre, dass folgende Dinge fehlerfrei funktionieren:
- HTTPS-Button soll aktivierbar sein
- keine Zertifikatsmeldungen wenn ich auf die WEB-Auftritte des DSM, der PhotoStation etc. gehe
- eine sichere Verbindung ohne QuickConnect

Ich habe eine eigene Domain bei Strato gehostet. Ich stell mir das so vor, dass ich eine Subdomain erstelle und diese dann weiterleiten lasse auf den bei SelfHost erstellten DynDNS Eintrag. Bei StartSSL würde ich dann ein kostenloses SSL Zertifikat für die SUB-Domain erstellen.

Ist das soweit richtig?

 

[Frogman]

Ja.

 

[nitroburger]

Das bedeutet dann aber im Umkehrschluss, dass ich im LAN immer auch die DynDNS Adresse (plus Port: PhotoStation etc.) eintippen muss, damit ich keine Zertifikatsmeldung erhalte, oder?

Meldung ja:
192.168.1.20 => DSM
Meldung nein:
dsm.meinedomain.de

oder?

 

[Frogman]

Ja. Wobei man lokal dem eigenen LAN auch vertrauen kann und dementsprechend ohne SSL über entsprechende Ports zugreifen kann.

 

[nitroburger]

Das hab ich jetzt nicht ganz verstanden. Meinst du damit die Frage, welche der Browser bringt beim "unsicheren" Zertifikat.

Weitere Frage, mein Vorschlag von oben hat hiermit nichts zu tun, oder?
https://www.synology.com/en-us/knowledgebase/tutorials/611

 

[Frogman]

Meinst du damit die Frage, welche der Browser bringt beim "unsicheren" Zertifikat.

Das wiederum hab ich jetzt nicht ganz verstanden.

Weitere Frage, mein Vorschlag von oben hat hiermit nichts zu tun, oder?

Nun ja, das beschreibt den Vorgang, wie man mit dem CSR ein von der DS generiertes Zertifikat eine Signatur beantragt

 

[frankyst72]

Das bedeutet dann aber im Umkehrschluss, dass ich im LAN immer auch die DynDNS Adresse (plus Port: PhotoStation etc.) eintippen muss, damit ich keine Zertifikatsmeldung erhalte, oder?

und es bedeutet, dass Du nur mit dem halben Speed Daten hoch- und runterladen kannst, weil alles über den Router hin- und her muss. (also z.B. in der File Station)

 

[Frogman]

Wie bitte kommst Du auf den Trichter, mal abgesehen davon, dass Du den Aufbau des LAN gar nicht kennst? Wenn die Geräte über einen Switch kommunizieren, dann wird lediglich für eine IP-Auflösung der Router oder ein DNS befragt, alles danach läuft über den Switch. Und das sind Vollduplex-Verbindungen...

 

[frankyst72]

das kam aus diesem Trichter http://www.synology-forum.de/showthread.html?68319-Langsamer-Upload&p=555303&viewfull=1#post555303 (und ich habe jetzt locker eine Stunde gesucht um das wieder zu finden ) Ich hab's ja damals selbst nicht geglaubt.

Und ich habe eine übliche Konfiguration: FB7490 <> Switch <> DS und Rechner (ohne irgendwelche großen Murkserreien, bezüglich, MTU, Routen, Subnetting, etc.)

probier mal selbst, Ich hab's jetzt nicht noch mal probiert.

 

[Frogman]

Ja, mit aktivertem Rebind-Schutz für die verwendete DDNS. Mit einem lokalen DNS passiert das nicht