Schaffe es nicht, Let's Encrypt Zertifikat zu installieren

[androidin]

Ich habe in diesem Thread ganz schön dazugelernt. Vielen Dank erstmal an alle Beteiligten. Ich denke, ich bin auch ganz nah dran:
Was ich korrigiert habe:
- ich habe in der Fritz Box die Ports 5000 und 5001 auf die DS geleitet. Danke @rednag
- ich habe einen CNAME Record auf die dynDNS Namen der Fritz Box erstellt. Danke @Fusion

Was geht:
- ich habe testweise eine weitere Subdomain erstellt mit ds.meine-domain.de, einen CNAME-IP-record (wie oben erstellt) und ich werde auf die diskstation weitergeleitet, sowohl http, als auch https, wobei ich für https natürlich kein Zertifikat habe für diese Subdomain
- ich komme nun mit "https://dydns.....de:5001" auf meine Diskstation, natürlich wird aber auch im Browser "nicht sicher" angezeigt, weil ja kein Zertifikat da ist
- Gebe ich hier http://network-tools.com/nslook/ meine Subdomain diskstation.meine-domain.de ein, so wird mir auch der CNAME-IP-Record angezeigt, den ich angelegt habe
- Gebe ich über meine Mobilfunkverbindung (!!) meine subdomain "diskstation.meine.domain.de" oder "https://diskstation.meine.domain.de" ein, so werde ich korrekt weitergeleitet auf meine DS (bei https ist sogar das Zertifikat gültig - super klasse)

Was nicht geht:
- Gehe ich über meinen Router (egal ob LAN oder WLAN) und gebe im Browser (egal welcher, egal welches Gerät) meine subdomain ein, so werde ich nicht weitergeleitet und bekomme einen Seiten-Ladefehler

Die Fritz Box habe ich gerade neu gestartet, gleiches Verhalten. Habt ihr noch einen Tipp für mich?

 

[Fusion]

Du kannst im Lets Encrypt Zertifikats-Erstellungs-Prozess auch alternative Namen angeben.
Den Hauptnamen z.B. auf diskstation.meine-domain.de und als Subject Alternative Name (SAN) unterhalb der email-Adresse diskstation,dynDNS.de, oder wie deine dynDNS halt heißt.
Dann solltest du gar keinen "Achtung Name stimmt nicht überein" mehr bekommen, egal welche Adresse du benutzt.
Hier auch nochmal der Rat: Meldungen lieber zweimal und langsam durchlesen. Der Browser bemängelt nämlich nicht, dass er keine sichere Verbindung aufbauen könnte (was er nach Genehmigung der Rückfrage nämlich auch macht), sondern, dass er die Vertrauenskette oder den Namen nicht nachprüfen kann / nicht gegeben ist.
Du kannst einfach ein neues LE als Ersetzung für das alte generieren mit mehreren Domain Namen.
(du wirst dann trotzdem irgendwann eine "Verfallsmeldung" per email bekommen, für das vorherige Zertifikat welches du ja nicht mehr benutzt und auch nicht mehr automatisch erneuert hast in 2-3 Monaten)

Wie gibst du die Adresse im LAN/WLAN ein? Exakt so wie von außerhalb?

Dann steht der richtige Tipp schon in Post #18, Fritzbox, Netzwerkeinstellungen, DNS Rebind Schutz, deine Domain/dynDNS als Ausnahme eintragen.

 

[androidin]

Ja, die Eingabe ist genau die gleiche wie von ausserhalb. Ich habe nun in den DNS Rebind Schutz sub.dyndns.info eingegeben und übernommen, funktionieren tut es immer noch nicht. Mein Gott, ist das kompliziert. Muss man danach irgendetwas neu starten? Fritz Box oder PC?

Edit: Ach ja: über direkte Eingabe meiner sub.dyndns.info leitet mich meine Fritzbox auch direkt auf das NAS. Gebe ich aber "diskstation.meine-domain.de" ein, so geht das nur über das Mobilfunknetz, nicht aber über die fritz.box.

 

[Fusion]

In die Ausnahmen zum DNS Rebind Schutz musst du ALLE Name eintragen über die du "von innen die externe Adresse" aufrufen willst.

 

[androidin]

Hallo Fusion,

das habe ich gemacht, aber leider ohne Auswirkung:

 

[rednag]

Auf welche Domain/DynDNS wurde jetzt das Zertifikat ausgestellt?
Ist das die Domain welche Du von extern(!) im Browser über UMTS/LTE/3G aufrufst?

 

[androidin]

Jetzt laust mich doch der Affe. Seit heute morgen läuft es. Ich verstehe auch noch nicht genau, warum, denn auch von meiner Mobilfunkverbindung muss ich ja letztlich über die Fritz Box gehen, um auf das NAS zu kommen (deswegen verstehe ich nicht, dass ich den DNS-Rebind-Schutz eintragen musste, denn der ist ja nur für den eingehenden Verkehr), aber was soll es. Hauptsache, es läuft jetzt. Vielen, vielen Dank noch mal euch allen für eure Geduld.

Kann ich nun den 80er Port wieder schliessen (bis zur nächsten Zertifikatserneuerung)? iDomix empfiehlt in seinen Videos auch immer, die Ports 5000-5001 zu verlegen, wahrscheinlich aus Sicherheitsgründen, oder? Wie ist da eure Empfehlung?

 

[Fusion]

Der Eintrag einer Ausnahme für den DNS-Rebind Schutz ist nur dafür, da, dass Anfragen die von einer internen IP kommen und an ein Ziel gehen, welches die öffentliche IP des Routers ist (eben z.B. wenn man sub.dynDNS.de aufruft), nicht verworfen werden sondern wieder nach Innen weitergeleitet werden (Hairpin-NAT). Andernfalls würde die Fritzbox alle Anfragen von Innen die an sie selbst zurück verweisen verwerfen, Timeout im Browser die Folge.

Für Anfragen die von Außen kommen sind die Einträge für Ausnahmen im DNS-Rebind Schutz komplett irrelevant.

Port 80 kannst du schließen. Alle 10 Wochen oder so, dann halt aufmachen und eine Erneuerung der Zertifikate per Aufgabenplaner anstoßen, und dann wieder schließen.
Andernfalls müßtest du es alle 7 Wochen öffnen, Tage oder Wochen warten, bis die Automatik gearbeitet hat und dann wieder schließen. Dann kannst den Port aber auch gleich komplett offen lassen.

Die Ports 5000/5001 sollte man normal überhaupt nicht von außen erreichen können.
Wenn es trotzdem sein soll, kann man entweder ein Portumleitung im Router (z.B. 15001 > 5001, fast freie Auswahl zwischen 1024 bis 65535) oder eine Weiterleitung (z.B. 15001 > 15001) nehmen, die auf anderen Ports arbeitet.
Im letzteren Fall dann auch unter Systemsteuerung > Netzwerk > DSM Einstellungen den Port ändern.
Im ersten Fall nur unter Systemsteuerung > Externer Zugriff > Erweitert den externen Port eintragen.
Dies dient nur der Verschleierung (Obscurity), dass nicht jeder 0815 scanner der das Netz absucht sofort dein Syno findet/identifiziert.
Die Sicherheit der DS ansich selber betrifft dies nicht. Die Dienste sind genauso sicher/unsicher wie vorher auch.

 

[androidin]

Hallo Fusion,

Danke nochmal für deine ausführlichen Erläuterungen. Wenn man sich das Forum so ansieht, müßt ihr des Öfteren immer wieder die gleichen Probleme lösen und werdet aber nicht müde dabei. Ohne euch hätte ich das auf jeden Fall nicht geschafft. Dickes Danke an das Forum.

Mit "Zertifikate per Aufgabenplaner anstossen" meinst du mit einem ToDo-Planer, oder? Das würde für mich auch Sinn machen bzw. ich hätte es genau so gemacht.

Die Ports 5000-5001 sowie Port 80 habe ich erstmal geschlossen. Noch läuft alles und ich hoffe, das bleibt so.

Schönen Abend an alle.

 

[Fusion]

Systemsteuerung > Aufgabenplaner / Task-Planer (je nach Sprache der DSM GUI)
Dort eine zeitgesteuerte Aufgabe anlegen (eventuell auch 2, weil man die Zertifikate optimal zwischen 60-90 Tage erneuert und dafür glaube ich kein einzelner Zeitplan passende Einstellungen bietet, aber einfach ausprobieren)

Die Befehlszeile die man in der Aufgabe einträgt ist:
/usr/syno/sbin/syno-letsencrypt renew-all

 

[androidin]

Jetzt muss ich doch noch mal nachfragen: Heute hatte ich wieder keinen Zugriff über meine sub.meine-domain.de - auch nicht über sub.dyndns.info

Erst, als ich die Ports 5000-5001 wieder geöffnet habe. Das Problem ist reproduzierbar. Das wundert mich jetzt, weil du doch gemeint hast, dass diese Ports nicht zwangsweise geöffnet sein müssten. Habt ihr eine Idee, an was das liegt?

 

[TeXniXo]

Wie Fusion in #28 schon erwähnt hat, kann man die Ports umleiten (von 5000/5001 auf xxxx). Aber da es noch keine Automatik erfolgt ist, kann es sein, dass die Zertifikate "überprüft" werden müssen.

 

[androidin]

Hallo TeXniXo,

das verstehe ich nicht, denn Fusion schreibt doch in Post #28:
"Die Ports 5000/5001 sollte man normal überhaupt nicht von außen erreichen können."

Deswegen habe ich den wieder geschlossen.

 

[Fusion]

Die Frage ist, welche Dienste du gerade erreichen willst?

Solange nur die Domain und dynDNS auf deinen Anschluß zeigen und nur 443 geöffnet ist, dann kommt auch erstmal nur https://domain.de überhaupt bis zur DS durch. Ob dann da was antwortet ist die zweite Frage.

Also die Frage:
Willst du die Web Station betreiben, oder willst du nur auf die DSM Oberfläche kommen, oder willst du ausgewählte Dienste erreichen, ...?

 

[androidin]

Ich möchte lediglich auf die DSM Oberfläche kommen....

 

[rednag]

Dafür sind (sofern nicht geändert) die Ports 5000 über http und Port 5001 über https notwendig.
Abgesehen davon würde ich den von @Fusion genannten Rat präferieren und durch andere Ports ersetzen!