ToDo Liste

[vowi]

Hi!

Zuerst: Ich lese mich gerade erst in das Thema ein, daher entschuldigt meine unsichere vielleicht dümmliche Ausdrucksweise...

Ich würde mich in erster Linie gerne von außerhalb meines privaten Netzes per SSH in die Diskstation einloggen wollen, um dann in einem späteren Schritt
über SSH und Proxy von extern (also Hotel, Bahnhof etc.) im Web surfen zu können.
Vgl. http://www.smallnetbuilder.com/secu...-how-to-securely-web-browse-via-an-ssh-tunnel

Dafür würde ich ein eigenes Zertifikat erstellen wollen.
Kann mir jemand eine Art Checkliste nennen, was ich alles tun muss? Per Telnet komme ich bereits auf die Diskstation.

Ich denke ich muss folgendes tun:
SSH in der Diskstation aktivieren,
Port freischalten im Router,
Zertifikat erstellen,
Putty konfigurieren,
Firefox konfigurieren.
Ich würde einen DDNS Provider verwenden.

Ist das alles??
Bin für jeden Hinweis dankbar.

Gruß
Volker

 

[amarthius]

Muss es SSH sein? Wenn du dich nicht in der Materie auskennst, wäre es vll einfacher und sicherer von Synology das VPN-Paket zu nehmen.

 

[vowi]

Hi,

Danke für Deine Antwort.

Für den VPN Client bzw. dessen Installation brauche ich dann Admin-Rechte auf dem PC, die ich in einem Internetcafe o.ä. nicht habe. Für Putty brauche ich die nicht.
Oder gibt es da auch eine Möglichkeit ohne Admin Rechte?
Aber ich will SSH ja auch verstehen, nicht immer ist der einfacherer Weg auch der bessere.

 

[jahlives]

jap OVPN braucht admin Rechte beim Start. Sonst kann das Interface nicht erstellt und die Routen ned angelegt werden. Allerdings wenn du im Internetcafe sitzt und dort der Port 22 ausgehend blockiert ist kommst du auch ned auf deinen SSH ;-)

 

[goetz]

Hallo,

Ich denke ich muss folgendes tun:
SSH in der Diskstation aktivieren,
Port freischalten im Router,
Zertifikat erstellen,
Putty konfigurieren,
Firefox konfigurieren.
Ich würde einen DDNS Provider verwenden.

so sollte es funktionieren, wenn es an einem Punkt Probleme gibt kannst ja nachfragen.

Gruß Götz

 

[vowi]

Hi!

Ich habe gerade in meiner wohlverdienten Mittagspause eine Anleitung gefunden: http://blog.tim-bormann.de/vpn-tunnel-nach-hause.html
Und ich habe es damit eben hinbekommen!

Aber wie ist das nun mit Zertifikat erstellen?? Dazu gibt es ja auch was im Wiki:
http://www.synology-wiki.de/index.php/Ssh_mit_Zertifikaten_absichern.

Aber wenn ich das Zertifikat erstellt habe, kann ich mich dann auch über das Standard Diskstation-WebInterface nur noch mit Zertifikat anmelden?? Oder gilt das Zertifikat NUR wenn ich mich per SSH anmelde?
Kann ich das Zertifikat auch ohne Probleme wieder löschen, so dass ich mich wieder normal mit User/Passwd anmelden kann?

Ich hab etwas Bammel davor, mich irgendwie auszusperren...
Aber aufgrund der Sicherheit würde ich mir schon gerne ein persönliches Zertifikat erzeugen...

 

[goetz]

Hallo,
das Zertifikat gilt nur für ssh, das Zertifikat für den https Zugang zum DSM ist eine ganz andere Baustelle die mit Deinem Vorhaben nichts zu tun hat.
In der /etc/sshd_config legt man fest ob eine Passwort Authentifizierung erlauft ist oder nicht.

Gruß Götz

 

[vowi]

Super Danke für die Info!

Wie kann ich generell Zertifikate löschen? Zum Erstellen gibt es zahlreiche Einträge, aber keine zum Löschen... oder ich finde sie nicht...

EDIT: Auch dazu was gefunden:
http://forum.synology.com/wiki/inde...ustom_SSL_certificates#Restoring_certificates

Gruß
Volker

 

[jahlives]

wie meinst du löschen? Auf dem Server liegt ja nur der Public-Key, meist als String Eintrag in ~/.ssh/authorized_keys Wenn du diesen Eintrag auf dem Server löscht kann man sich nicht mehr mittels diesem Zert anmelden

 

[vowi]

Ich meinte in die Ausgangssituation zurücksetzen.
So als ob ich noch keinen Schlüssel erzeugt hätte.

 

[jahlives]

dann entfernst du den Eintrag in authorized_keys wieder und es wird kein Zert-Login mehr möglich sein

 

[goetz]

Hallo,
das hat ja jahlives schon genau beschrieben, Public-Key aus authorized_keys entfernen und natürlich in sshd_conf Passwort Authentifizierung zulassen. Bei putty noch das Keyfile aus der Konfiguration der ssh Session rausschmeißen.

Gruß Götz

 

[vowi]

OK, Danke Euch!!