DSM 7.1 Zugriff über eigene Domain

[the-ninth]

Schönen Nachmittag,

Ich habe gerade eine neue DS420+ und würde gerne den Zugriff über meine eigene Domain ermöglichen. Dazu habe ich DDNS aktiviert ("meinname.myds.me") und in meinem DNS einen CNAME-Eintrag für "nas.meinname.tld" hinterlegt, der auf "meinname.myds.me" verweist. Für https habe ich im DSM unter Control Panel, Security, Certificate über Let's Encrytpt ein Zertifikat für "nas.meinname.tld" erstellt, dieses wird auch korrekt angezeigt, neben dem Default-Zertifikat für "meinname.myds.me", dem Zertifikat für "meinname.direct.quickconnect.to" und einem Zertifikat "synology".

Wenn ich jetzt auf https://nas.meinname.tld:meinport zugreife, bekomme ich einen Fehler: NET::ERR_CERT_COMMON_NAME_INVALID - This server couldn't prove that it's nas.meinname.tld; its security certificate is from meinname.myds.me. This may be caused by a misconfiguration or an attacker intercepting your connection.

Der Fehler bleibt auch bestehen wenn ich das Zertifikat für nas.meinname.tld als Default setze.

Hat jemand eine Idee wie ich das Problem beheben kann und DSM dazu bringe das richtige Zertifikat zu verwenden, wenn der nas.meinname.tld-URL verwendet wird?

 

[Fusion]

Das Zertifikat für den Dienst "Systemvoreinstellung" setzen. Der beantwortet alle nicht an eine definierten Hostnamen gehenden anfragen.
Und solange du nicht irgendwo im DSM explizit einen Hostnamen mit nas.meinname.tld eingetragen hast ist dies der Fall.

 

[the-ninth]

Hallo Fusion, Danke für deine Antwort!

Wenn ich die Systemvoreinstellung ändere, dann klappt es für nas.meinname.tld, dafür bekomme ich dann aber für meinname.myds.me denselben Fehler. Ist nicht so dramatisch, aber mich würde trotzdem interessieren ob man es so hinbiegen kann, dass beide Domain-Namen mit Verschlüsselung ohne Fehler funktionieren.

Wo kann man in der DSM den eigenen Hostnamen explizit eintragen? Im Control Panel unter Login Portal gibt es unter DSM das Feld Customized Domain, mir ist da aber aus der Hilfe nicht klar was das macht. Und dann gibt es unter External Access, Advanced eine Möglichkeit einen Hostnamen einzutragen, aber auch da ist mir nicht klar was das genau auslöst.

 

[Fusion]

Kommt drauf an was du unter welchem Namen erreichen willst.
Ein Standardzertifikat (Systemvoreinstellung) kann es eben nur ein einziges geben.

Wenn du im Login Portal eine benutzerdefinierte Domain für den DSM Zugriff auf Port 80/443 einträgst kannst du dafür auch ein extra Zertifikat zuweisen.
ebenso für alle anderen benutzerdefinierten Domains oder Hostnamen die man so vergeben kann.

Einziger Weg der mir einfällt, wenn beide auf den DSM gehen sollen > 2 Reverse Proxy mit jeweils einer Domain und Zertifikat und Ziel beides Mal auf localhost:5000

 

[heavy]

@the-ninth du kannst ein Zertifikat erstellen für meinname.tld und dann als alternativer Name nas.meinname.tld eintragen dann gilt das eine Zertifikat für beide Domains.

 

[the-ninth]

Kommt drauf an was du unter welchem Namen erreichen willst.
Ein Standardzertifikat (Systemvoreinstellung) kann es eben nur ein einziges geben.

OK, Danke für die Info - prinzipiell ist das Problem für mich soweit gelöst und es reicht mir mein NAS über meinen benutzerdefinierte Domain erreichen zu können. Alle weiteren Fragen sind eher fürs bessere Verständnis bzw. aus Neugierde.

Wenn du im Login Portal eine benutzerdefinierte Domain für den DSM Zugriff auf Port 80/443 einträgst kannst du dafür auch ein extra Zertifikat zuweisen.
ebenso für alle anderen benutzerdefinierten Domains oder Hostnamen die man so vergeben kann.

Wenn man im Login Portal eine benutzerdefinierte Domain angibt, muss das dann über 80/443 gehen? Ich verwende momentan aus Sicherheitsgründen nicht die Standardports. Wenn ich jetzt im Login Portal meine benutzerdefinierte Domain eingebe, dann bekomme ich danach beim Aufruf von https://nas.meinname.tld:meinport nur mehr diesen Fehler:


Mir ist da leider überhaupt nicht klar was es bringt die Domain in diesem Feld anzugeben. Das Handbuch sagt dazu auch nicht viel, außer "You can customize the domain name for accessing your Synology NAS.".

@the-ninth du kannst ein Zertifikat erstellen für meinname.tld und dann als alternativer Name nas.meinname.tld eintragen dann gilt das eine Zertifikat für beide Domains.

Danke für den Hinweis, unter der Domain hängt aber auch meine Website, es sollte also sowieso nur nas.meinname.tld auf das NAS verweisen.

 

[Fusion]

Ja, benutzerdefinierte Domains gehen über 80/443.
Das ist der 'Vorteil', keine Portangabe bzw. keine Syno spezifische Portangabe nötig.

Eine benutzerdefinierte Domain ist für andere Dienste verbrannt, nur ein Ziel möglich.
Deshalb antwortet da auch auf Domain:xxxx nix anderes mehr.

Nur reverse proxies kannst du auch Port-basiert einstellen. Dann darf aber der Hostname trotzdem nicht woanders verwendet werden den du für den Aufruf benutzt.

Wenn dir an der Sicherheit gelegen ist solltest DSM weder über 443 noch 5001 noch sonst ein Port ins Internet stellen. 'DSM' ist als eigener Dienst zu betrachten.

Für deine Webseite kannst in der Web Station ein vHost/Portal einrichten.

 

[the-ninth]

OK, Danke!