Toggle sidebar

AVM Fritz!Box Sicherer Zugang über LAN

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

UncleSam

UncleSam

Benutzer
Contributor
Registriert
31. März 2025
Beiträge
78
Reaktionspunkte
28
Punkte
24
Hallo zusammen,

ich bin ín der Welt mit NAS noch ganz neu und absolut kein Computer Profi, also wenn ihr mich mit Fachbegriffen zuwerft, habe ich meine Probleme folgen zu können.

Ich habe hier dank toller Unterstützung schon folgendes gemacht:

Mein NAS ist nicht "public" also nicht mittels Quick-Connect erreichtar.
Ich habe mehrere laufende eigene Kalender (mit meiner Frau zusammen), die sich im WLAN aktualisieren oder sich über eine in der Fritz Box eingerichtete Wireguard Verbindung aktualisieren lassen.

  1. Soweit ich das richtig verstanden habe, ist mein NAS hierdurch "sicher" weil es von außen (abgesehen durch Wireguard) nicht erreichbar ist!??!
  2. Ich brauche eure Hilfe, mir fehlt das Verständnis: Wenn ich meine DS im Browser aufrufe über die IP, dann erhalte ich immer Warnungen wie SSL_ERROR_BAD_CERT_DOMAIN, was keinen vertrauenswürdigen Eindruck hinterlässt. Wie bekomme ich das hin, dass hier eine wirklich sichere Verbindung zwischen Browser und DS existiert? Das selbe habe ich auch mit der Fritz-Box als Oberfläche...könnt ihr mir Laiengerecht helfen?
  3. Das selbe gilt für die eigenen Apps wie "Drive", diese sollen auch lokal bleiben aber eine sichere Verbindung haben, ich begreife nicht woher solche Warnmeldungen kommen...möchte wirklich auf der sicheren Seite stehen und danke euch für eure tolle Unterstützung...
Beste Grüße
 
Nur so auf die Schnelle: Das sieht danach aus, als würdest Du versuchen ein Zertifikat auf eine IP anzuwenden und das geht nicht. Oder Du verwendest das Standard-Zertifikat von Synology und das wird auch als unsicher eingestuft.
Wenn es aber sowieso Deine IP ist, kannst Du die im Browser als sicher einstufen, dann verschwindet die Fehlermeldung.
 
  • Like
Reaktionen: UncleSam
alles was du mit einer IP aufrufst wird diese Meldung machen. Der Grund ist, due hast keinen Zertifikat, also einen Schlüssel der von einer CertificationAuthority beglaubing wurde. Und das bekommst du auch nicht für deine IP weil das niemand für eine IP macht.
Die Verbindung ist deswegen nicht weniger sicher oder so was.
 
  • Like
Reaktionen: UncleSam
Eine Art Workaround wäre, du verwendest DDNS, lässt dazu einen Zertifikat erstellen. Dann könntest du auch intern diese DDNS Adresse verwenden, musst dann jedoch in der Fritzbox eine Ausnahme in 'rebind Schutz' eintragen. Dann hättest du auch ein korrekt beurkundetes Zertifikat aus der DS und die Clients könnten prüfen ob die Zertifizierung Organisation existiert. Deren Unterschrift ist dann auf dem Zertifikat vorhanden.

Dein bisheriger Schlüssel von der Synology ist sonst keinem deiner anderen Geräte wie PC oder Phone bekannt.


Dass es mit QC funktioniert liegt daran, dass QC bei der Aktivierung einen Zertifikat in deiner DS hinterlässt, welches jedoch gültig, also von einer CA unterschrieben wurde. Damit ist die Verbindung für alle Clients mit einigermassen updateter Liste der CA vertrauenswürdig.


Eine weitere Möglichkeit wäre, du erstellst selber einen Schlüsselpaar, dann bist du ja die CA. Dann kannst du dies exportieren und in die Endgeräte dann die Schlüssel importieren.
 
  • Like
Reaktionen: UncleSam
@UncleSam
Zur Erklärung. Ein Zertifikat ist immer nur gültig für die Namen, für die es ausgestellt wurde. Als Beispiel mal das Zertifikat vom Forum hier
1747578672708.png
Es ist gültig, weil die Seite über a) synology-forum.de aufgerufen wurde und b) von R10 signiert wurde, die dein Browser als "vertrauenswürdig" einstuft.

Dein Zertifikat dürfte aber das selbst-signierte von Synology sein. Die musst du erst über certmgr.msc als "Vertrauenswürdige Stammzertifizierungsstelle" einstufen.
 
  • Like
Reaktionen: UncleSam
Hallo zusammen,

vielen Dank für die Antworten.

Sehe ich es also richtig dass ich alle Apps von Synology dann auch nur über die IP verbinden muss?

Was ist mit dem Button HTTPS? Wird der dann benötigt?

Ich möchte nichts verkehrt machen, sorry für die laienhaften Fragen.

Nochmals gesagt: Die Box wird nach außen nur über die FRITZ!box mittels WireGuard angesprochen wenn ich also z.B. den Kalender aktualisieren möchte oder auf die Bilder zugreife, Updates etc. holt sich die DS aber regulär, weil eingebunden im LAN.

Irgendwelche Sicherheitseinstellungen die ich dabei beachten muss?
Ist die DS dann so, wie ich mir denke, „sicher“?

Beste Grüße
 
Lokal bzw. über VPN brauchst du m.E. gar kein https. Aber auch ein selbst signiertes Zertifikat ist "sicher", nur halt nicht extern "zertifiziert".
 
  • Like
Reaktionen: UncleSam
@UncleSam: wenn du noch so unbedarft bist, wirf vollständigkeitshalber mal einen Blick den Nutzerleitfaden (Signatur). :)
 
UncleSam schrieb:
dass ich alle Apps von Synology dann auch nur über die IP verbinden muss?
Zum Vergrößern anklicken....
nein, egal ob über Namen oder IP, https wird nicht (automatisch) verifiziert


wie gesagt schon oben, es ist alles genau so sicher, nur eben nicht von extern bestätigt
 
  • Like
Reaktionen: UncleSam

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten