Toggle sidebar

SSL-Zertifikat für netzinterne Zugriffe

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

E

ebecker

Benutzer
Registriert
03. März 2015
Beiträge
127
Reaktionspunkte
15
Punkte
18
Moin,

ich habe für Zugriff von außen ein Let's Encrypt Zertifikat laufen, das auf alle Dienste angewandt wird unter meinesyno.dyndnsanbieter.com
Funktioniert auch so weit ohne Gezeter.

Wenn ich aber auf https://syno:5001 im Heimnetz zugreife, dann meckert der Browser (zu Recht), dass das Zertifikat nicht vertrauenswürdig ist.
syno oder auch syno.fritz.box bekomme ich aber nicht mit ins Zertifikat mit rein. Und die Browser nerven mit jeden Release mehr, dass es ja ein gefährlicher Zugriff sei.

Gibt es außer der Möglichkeit, auf http zu gehen, eine Möglichkeit (2. Zertifikat?), dass die Browser die Adresse klaglos akzeptieren und das möglichst ohne, dass ich in jeden Browser und/oder auf Endgerät da was konfigurieren muss, also auf der Syno selbst?
(DS220+ mit DSM 7 aktueller Stand)

Bei der SuFu habe ich entweder die falschen Begriffe eingegeben oder es gibt noch keine dokumentierte Antwort.

Danke im Voraus.
E.
 
warum httpS im Lan? http reicht doch…
ansonsten Ausnahmen im Browser akzeptieren
vg
M
 
Oder einen eigenen DNS-Server betreiben und deinen DynDNS im LAN auf die interne IP der DS zeigen lassen. Machen hier viele so. Ich auch. Bei der Gelegenheit gleich noch AdGuard als netzwerkweiten Werbe-/Tracker-/Malware-Blocker einrichten
 
Greif doch einfach intern auch über die subdomain zu. Und trage in der FRITZ!Box unter

DNS-Rebind-Schutz​

deine subdomains ein.
 
Also: Ich habe die Syno so konfiguriert (oder zumind. versucht), dass die http-Zugriffe auf https umgeleitet werden, das kann man m.W. nur generell machen und nicht intern aushebeln.
Damit wird <interne-ip> oder "syno" vom Port 5000 automatisch auf 5001 umgeleitet. Wenn ich also HTTP nutze, wir http im Zweifel immer genutzt oder sehe ich das falsch?
Und da ich verschiedene Endgeräte nutze, wird das im Browser akzeptieren schwierig, weil verschiedene Browser auf verschiedenen Systemen, überall geht das anders und jedes Mal kommt die Abfrage :-(

Ich nutze PI-Hole. Wenn da jemand einen Tipp hat, ob/wie ich das da einstellen kann? Auf den ersten Blick habe ich nur gefunden, wie ich da eine DNS-Anfrage, z.B. an syno.dyndns.com an EINE interne IP umleiten kann. Das Betrifft dann leider nicht nur die Syno, sondern z.B. auch die Fritzbox.
 
ebecker schrieb:
wie ich da eine DNS-Anfrage, z.B. an syno.dyndns.com an EINE interne IP umleiten kann.
Zum Vergrößern anklicken....
Genau das brauchst du doch. Alternativ: Wie @ctrlaltdelete schon anmerkte: Rufe mal deine Domain intern auf und schau ob du aufs NAS kommst. Mit nslookup kannst du prüfen, ob die Fritte vielleicht nicht schon so clever ist und die Domain intern auflöst
 
Ja, das auflösen klappt, aber (Sorry, bin kein Netzwerkspezi) läuft dann nicht der gesamt Traffic über extern und damit "etwas" langsamer?
Ein Ping liefert jedenfalls meine externe IP und nicht die interne der Fritzbox
 
nein nur die DNS Auflösung.
 
  • Like
Reaktionen: ebecker
Genau. Die Fritte beherrscht NAT-Loopback und der eigentliche Datenverkehr bleibt intern
 
  • Like
Reaktionen: ebecker
Ok, das ist dann sicher eine Lösung. Hab geade mal geprüft und im DSM eine größere Datei hochgeladen, nach außen war Ruhe. Danke! Dann kann ich immer über die externe Adresse gehen :)
Danke an alle, das reicht mir so.
 
  • Like
Reaktionen: ctrlaltdelete
Hi zusammen,

darf ich mich an diesen noch gar nicht so alten Thread einmal anhängen? @ebecker beschreibt ein Setup, das exakt so auch bei mir schon seit Jahren läuft: Die Syno leitet automatisch auf https. Eine externe Domain zeigt per CNAME auf meine Myfritz-Adresse. Let's Encrypt läuft für die externe Domain. In der FritzBox sind spezifische Ports weitergeroutet - tatsächlich aber aus guten Gründen nicht der DSM Port.

Auch mich nerven die Browser-Hinweise im internen Netz. Das o. g. Szenario über die externe Domain auf Loopback intern läuft bei mir nicht. Der Browser "kann keine Verbindung aufbauen". Müsste ich dafür nämlich nicht auch den DSM Port in der Fritz öffnen?

VG & Dank voraus
 
Danke für die prompte Antwort! Sofern keine weitere Stimme kommt, werde ich mein Setup dann im Neuen Jahr mal entsprechend ergänzen…
 
Wenn du es nur intern nutzt, kannst du auch nur den DDNS auf die interne IP biegen (insofern der DDNS über Synology als Anbieter läuft): https://www.synology-forum.de/threads/ddns-intern-nutzen.127599/
Oder du nutzt statt dem "komplexen" Aufbau, den ich in dem oben verlinkten Thread beschreibe, einfach den Synology DNS-Server. Mit meiner Anleitung bekommst du aber obendrauf noch einen netzwerkweiten Werbe- und Trackingblocker.
 
plang.pl schrieb:
Wenn du es nur intern nutzt, kannst du auch nur den DDNS auf die interne IP biegen (insofern der DDNS über Synology als Anbieter läuft)
Zum Vergrößern anklicken....
Funktioniert bestens, insofern man von außen für den Zugriff nur IP-Sec oder Wireguard nutzt.
 
Danke euch. DDNS kommt eher weniger in Frage, da ich hier mEn mit MyFritz bzw. Quickconnect zwei kostenfreie Dienste sowieso anhand habe. #neverchangearunningsystem
Ich wollte ohnehin mein PiHole Setup mal auf den Prüfstand stellen und schaue mir Unbound mal an...
 
Ja mit pihole kannst du ja die DNS Einträge genauso setzen.
Und der Synology DDNS Dienst, der standardmäßig mit Boardmitteln auf die interne IP gebogen werden kann, ist auch kostenfrei.
 
  • Like
Reaktionen: Benie
Hallo,
Ich habe versucht das mal bei mir umzusetzen, was ich aus dem Thema verstanden habe. Bin auf dem Gebiet Netzwerk nur Anfänger und Taste mich langsam voran.
In der Fritzbox habe ich unter DNS rebind-Schutz xxx.ddnsanbieter.de eingetragen
Als lokalen dns habe ich die interne-IP es pihole eingetragen (ist auch die lokale IP des NAS, da er dort als Docker-Container läuft).
Der pihole läuft damit einwandfrei.

Im pihole habe ich unter local DNS einen DNS Record xxx.ddnsanbieter.de auf die lokale IP des NAS eingerichtet.
Wenn ich jetzt https://xxx.ddnsanbieter.de:5001 im lokalen Netz in den Browser eingebe findet er das DMS des NAS nicht, sondern gibt an, dass die Seite nicht erreichbar ist.

Was habe ich vergessen bzw. wo liegt mein Gedankenfehler ?
 
Schaue mal mit dem Kommandozeilentool "nslookup" nach, ob der DDNS richtig auf die interne IP aufgelöst wird.
Und prüfe, ob der Client überhaupt den pihole als DNS-Server nutzt.
 
Danke für den Anstoßes mit nslookup.
Ich war zu ungeduldig. Die fritzbox kannte den externen DNS-Eintrag noch von der letzten Abfrage. Nachdem ich die Box neu mit dem Internet verbunden habe (neue externe IP) wurde die DNS Abfrage erneuert. Jetzt funktioniert es.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten