Toggle sidebar

Subdomain mit Letsencrypt-Zertifikat?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

R

RolfGrisu

Benutzer
Registriert
10. Feb. 2012
Beiträge
39
Reaktionspunkte
0
Punkte
6
Hallo zusammen,

ein DS224+ hängt hinter einer Fritzbox. Port 80 und 443 sind auf das NAS weitergeleitet.

Beim Provider ist eine Domain "myDomain.de" gehostet. Über den dort ansässigen DynDNS-Dienst habe ich eine Subdomain "cloud.myDomain.de" eingerichtet. Die Fritzbox aktualisiert diese DynDNS-Adresse erfolgreich.

Der externe Zugriff auf cloud.myDomain.de ist erfolgreich., lediglich das (Synology-)Zertifikat ist für diese Subdomain nicht valide. Ich denke, ich könnte einfach ein Letsencrypt-Zertifikat für cloud.myDomain.de registrieren, die Erstellung wird allerdings mit einem Fehler quittiert:

Bildschirmfoto_2025-08-13_10-40-13.png
ein "ping cloud.myDomain.de" liefert zu diesem Zeitpunkt die korrekte WAN-Adresse der Fritzbox. Versuche ich die Domain "myDomain.de" mit dem alternativen Namen "cloud.myDomain.de" zu registrieren, erscheint die gleiche Fehlermeldung.

Ich habe den Eindruck, dass Letsencrypt hier immer gegen die Domain, die ja beim Provider liegt, validieren möchte. Kann ich das irgendwie umgehen/optimieren?

Vielen Dank für jede Unterstützung

Rolf
 
Landest du wirklich auf der DS, wenn du die Domain im Browser eingibst?

Firewall? LE empfiehlt ausdrücklich, keine Bereiche/Länder zu sperren.
 
Außerdem wie angelegt die Ziel-IP dieser Domainadresse beim Provider? CNAME?
Reverse Proxy scheinst du ja zu verwenden, da du Ports 443 geöffnet hast?
LE importieren in Systemeinstellungen / Sicherheit / Zertifikate erfolgreich?
Fehlermeldung stammt von wo genau?
 
Das Problem ist erledigt. Ursache war, dass ich auf der Fritzbox den externen Port 80 auf den Port 5000 des NAS weitergeleitet hatte. Das muss natürlich auch Port 80 auf dem NAS sein.
 
Wenn du mit offenen Ports hantierst, bitte die Standard-Ports der DS ändern.
 
Hmm. Wozu ist das erforderlich? Ob die Fritzbox den externen Port nach intern 5001 oder 1234 auf dem NAS weiterleitet dürfte doch ziemlich schnuppe sein. Oder übersehe ich da etwas?
 
Zuletzt bearbeitet von einem Moderator:
Wenn ein Portscanner einen offenen Port 5000/5001 findet, weiß er sofort, dass eine DS dahinter steckt. Bei 80/443 aber nicht.
Also besser nach extern 80/443 oder andere Ports verwenden und dahinter mit dem Reverse Proxy auf das eigentliche Ziel verpointern.
 
  • Like
Reaktionen: Benie, Ronny1978 und *kw*
Benares schrieb:
Wenn ein Portscanner einen offenen Port 5000/5001 findet, weiß er sofort, dass eine DS dahinter steckt. Bei 80/443 aber nicht.
Also besser nach extern 80/443 oder andere Ports verwenden und dahinter mit dem Reverse Proxy auf das eigentliche Ziel verpointern.
Zum Vergrößern anklicken....
PenTest-Tools kriegen auch ohne den passenden Port heraus, dass sich hinter 80/443 DSM verbirgt.
Da existieren riesige Sammlungen von Endpunkten und Beschreibungen, die am Ende diese Meta-Daten herausarbeiten können.
Beispiel: Wenn ich domain.tld : port/webman/resources/images/icon_dsm_96.png eingebe, kriege ich eine Grafik die ich ganz klar DSM zuordnen kann.
 
Das denke ich auch.

Die Aufgabe ist eine Alternative für weTransfer im eigenen Netz mit Zugänglichkeit "von außen" zu schaffen. Genutzt werden die Freigaben von "File Station". Ruft man die erzeugten Links auf und betrachtet die nachgeladenen Ressourcen, gibt es wenig Zweifel welches System sich hinter dem Link verbirgt - und das völlig unabhängig vom verwendeten Port.

Ich denke, ich bin schon auf dem richtigen Weg. Das NAS spielt im Netz nur eine sehr untergeordnete Rolle und dieser Port 443 ist der einzige, der nach außen geöffnet ist. Alles andere findet im LAN oder VPN statt.

Für Letsencrypt musste ich jetzt noch Port 80 öffnen. Kann man noch irgendwie das synology-Zertifikat dazu bewegen für die eigene Subdomain zu validieren? (QuickConnect ist deaktiviert)

Grüße

Rolf
 
RolfGrisu schrieb:
Für Letsencrypt musste ich jetzt noch Port 80 öffnen. Kann man noch irgendwie das synology-Zertifikat dazu bewegen für die eigene Subdomain zu validieren? (QuickConnect ist deaktiviert)
Zum Vergrößern anklicken....
Wenn dein Domain-Hoster eine DNS-API anbietet, dann solltest du dich mal mit acme.sh beschäftigen. Dazu wurde hier im Forum schon ganz viel geschrieben und es gibt auch eine Vielzahl an Dokumentationen im Internet in Verbindung mit Synology NAS.

Acme ist ein Shellskript, das im Synology Container Manager läuft und dein LE Zertifikat regelmäßig selbstständig erneuert.

Die Hauptvorteile für dich:
  • Bietet Wildcard Zertifikate, d.h. dein Zertifikat ist sowohl für myDomain.de als auch für *.myDomain.de gültig.
  • Zertifikatserneuerung erfordert keine offenen Ports, da die Zertifikatserneuerung über den DNS Server deiner Domain läuft (sog. DNS Challenge); d.h. den Port 80 kannst du getrost geschlossen lassen. Das Gegenteil nennt sich HTTP Challenge und benötigt offene Ports 80/443 auf den Webserver.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: *kw*, Benie, plang.pl und eine weitere Person

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten