Synology soll nicht über DDNS Adresse erreichbar sein

[Moviejunkie]

Hallo Technik Compadres

Ich stehe aktuell vor einem Problem und habe das Gefühl ich sehen den Wald vor lauter Bäumen nicht mehr.
Aktuell greife ich über eine Dyndns Adresse (dyndns.synology.me) auf mein NAS zu, dazu habe ich den Service der von Synology auf dem NAS zur Verfügung gestellt wird in Anspruch genommen.
Jetzt habe ich mir eine Domäne gekauft und habe einen CNAME Eintrag erstellt um von mydomain.com auf meine Dyndns Adresse zu zeigen, das funktioniert auch soweit.
Mein Problem ist jetzt das mein NAS immer noch unter dyndns.synology.me erreichbar ist und das würde ich gerne unterbinden, ist das überhaupt möglich? Oder muss ich mir bei einem anderen Provider eine DynDNS Adresse zulegen und diese auf meinem Router eintragen?

Wenn es doch möglich ist, dann würde ich auch gerne meine eigene Domäne verschlüsseln. Das Zertifikat muss ich dann aber bei meinem Provider anfordern weil dieser ja meine Domäne hostet, liege ich da richtig?

Bin für jede Hilfe dankbar

Grüße
Kevin

 

[Fusion]

Wenn du eine eigene Domain per CNAME auf eine dynDNS Adresse leitest kannst du nicht verhindern, dass man via dynDNS Name auch zu dir kommt. (ich gehe mal davon aus, dass Port 80/443 an die DS geleitet ist und man per http/https die DS erreichen will)***
Mit eigener Domain und CNAME erzeugst du ja nur einen alternativen Namen über den man es auch aufrufen kann.
Es ist egal ob der Dienst synology.me, selfhost.eu oder sonstwie heißt. sub.dynDNS.tld zeigt immer auf deine aktuelle IP.

Allerdings kannst du in gewissem Rahmen bestimmen ob jemand am Ende der Leitung lauscht oder nicht.
Der Syno Webserver lauscht auf alle unspezifischen Anfragen, also alle Hostnamen die nicht anderswo auf der Syno definiert sind und Anfragen direkt an die IP, und zeigt dann entweder die Dummy Seite der Web Station, wenn diese installiert ist oder leitet auf den DSM um (wenn die Web Station nicht installiert ist).

Eine Domäne, Domain, kannst du nicht verschlüsseln. Du kannst nur den Transportweg verschlüsseln mit SSL.
Ein Zertifikat von Lets Encrypt kannst du dir direkt auf der DS unter Systemsteuerung > Sicherheit > Zertifikate > Neu holen für den exakten Domain-Namen wie du ihn auch im Browser stehen hast. Dein Provider hat damit nichts zu tun, ausschlaggebend ist nur der Server auf dem der Dienst läuft der kontaktiert wird. Das ist halt nun mal deine DS und nicht der Router oder Provider.

*** über http Umleitungen beim Provider ala sub.domain.de > sub.dynDNS.de:444, Portweiterleitung im Router von 444 auf 443 an die DS kann man indirekt dafür sorgen, dass zwar sub.domain.de zu dir durchkommt, aber sub.dynDNS.de am Router "hängen" bleibt (da 80/443 nicht weitergeleitet sind).
Solche Weiterleitungen eigenen sich aber nicht für alle Dienste die man eventuell über sub.domain.de auf der DS erreichen will.

 

[NSFH]

Warum in die Ferne schweifen wenn das Gute liegt so nah? Warum einen Hoster aus den USA wenn du das gleiche sogar komfortabler in D haben kannst? In der Firewall kannst du jetzt noch nicht mal die USA ausblenden, weil deine Dienste dort liegen.
Wenn mydomain kein DynDNS kann hast du doppelt falsch gekauft. Irgendwoher muss ja dein Webserver (mydomain.com) erfahren welche IP dein Hausanschluss gerade hat oder du legst dir zu Hause eine feste IP zu.
Die trägst du dann tatsächlich in mydomain.com ein und brauchst dann kein DynDNS, deaktivierst das also in der Syno.
Die Syno sollte nicht üb er die Domain erreichbar sein sondern über eine subdomain. Für die Subdomain aktivierst du dann ein LE Zertifikat in der Syno.

 

[Moviejunkie]

@Fusion
Vielen Dank dafür, das hat mir sehr geholfen.
Das macht jetzt auf jeden Fall mehr Sinn.
Hast du vielleicht auch noch Erfahrungen mit anderen DynDNS Anbietern? Gibt es da welche die zu empfehlen sind? Der DynDNS Dienst von Synology tut zwar aber ab und zu bricht die DynDNS Verbindung ab obwohl ich online bin und das NAS auch

 

[Fusion]

Das ist natürlich auch noch ne Möglichkeit, wenn der Hoster (z.B: Strato Domain Paket) direkt dynDNS unterstützt. Andere wie selfhost etc gehen vermutlich auch mit direkt gehosteter eigener Domain.
Besonders viele gibt es allerdings nicht, wo man Domain und dyn beim gleichen Anbieter betreiben kann oder extra dyn domain.

US kannst eh nicht ausblenden, weil Lets Encrypt dort unter wechselnden IPs erreichbar sein muss, wenn man dort ein Zertifikat holen will.

Edit: Bitte KEINE Vollzitate. @user oder so reicht vollkommen. Zitate nur für den Bezug auf einzelne spezifische Punkte.

Neben Anbietern wie Strato/selfhost wo man Domain und dyn in einem bekommen kann nutze ich noch dynv6.com, spdns.de, dns.he.net ohne merkliche Ausfälle (vom TTL Blackhole nach IP Aktualisierung, so 1-2 Minuten mal abgesehen)

 

[Moviejunkie]

Eine fixe IP wäre natürlich das schönste aber das lässt mein Geldbeutel nicht zu, kostet mich für dieselbe Geschwindigkeit das doppelte.

Die Syno sollte nicht üb er die Domain erreichbar sein sondern über eine subdomain. Für die Subdomain aktivierst du dann ein LE Zertifikat in der Syno.

Subdomain habe ich mir schon angelegt ds.mydomain.com, habe jetzt versucht ein Zertifikat dafür zu aktivieren aber der Wizard behauptet das Port 80 zu ist obwohl ich schon ein Zertifikat auf dyndns.synology.me ausgestellt habe
Lässt das NAS eine Zertifikatsaktivierung nicht zu wenn ich von extern darauf zugreife?

 

[Fusion]

Das hat nichts mit zu tun damit woher du zugreifst. Hier reden nur die DS und die LE-Server miteinander.
ds.mydomain.com zeigt per CNAME auf dyndns.synology.me?
nslookup ds.mydomain.com und nslookup dyndns.synology.me liefert die gleiche öffentliche IP die auch im Router ersichtlich ist für den WAN Anschluß?

Wann hast du das dyndns.synology.me Zertifikat geholt? Vor 2 Minuten oder wann?
Wo landest du wenn du ds.mydomain.com im Browser eingibst (von dort wo du gerade extern bist)?

 

[Moviejunkie]

CNAME Eintrag ist drinnen und löst auch richtig auf (DS ist erreichbar)
beim nslookup von ds.mydomain.com wird angezeigt
Name: dyndns.synology.me
Address: X.X.X.X
Aliases: ds.mydomain.com

und beim nslookup von dyndns.synology.me wird mir dieselbe öffentliche IP angezeigt

Das Zertifikat für dyndns.synology.me habe ich schon länger, wurde ende November automatisch erneuert

bei ds.mydomain.com lande ich auf meiner DS

 

[Fusion]

ok, dann fällt mir gerade außer Firewall US-Geoblock nichts mehr ein.
Portfreigabe im Router für 80 scheint ja noch zu funktionieren (hatte ich auch mal bei Fritzboxen, dass Freigabe drin stand, aber trotzdem nicht funktioniert hatte)
Port 443 ist sicher auch frei dann.

Als Verzweiflungstat noch die email bei der LE Anfrage ändern.
Oder das Zertifikat via SSH Konsole holen, eventuell bekommt man mehr/bessere Rückmeldungen.

 

[Moviejunkie]

ok, dann fällt mir gerade außer Firewall US-Geoblock nichts mehr ein.

Das war es, habe erst vor ca. 2 Wochen meine Geo Block Liste erweitert wegen versuchter Zugriffe aus Russland, China und Hongkong.

Vielen Dank
Da hätte ich lange danach gesucht

 

[NSFH]

Es ist auch nicht verkehrt US weiter in der Geoblockliste zu lassen. Für die Erneuerung des LE Zertifikates schaltet man eben die Fw für 30 Sekunden aus!