2 LAN-Verbindungen, eine sicher, eine nicht sicher

[srdm77]

Hallo zusammen,

ich habe 2 LAN-Verbindungen, eine ist sicher, eine nicht sicher. Was habe ich falsch gemacht?

DS720+, DSM 7.1.1

LAN1 mit DHCP (via Switch zum Internet-Zugriff)
LAN3 mit fester IP (Direktverbindung via USB-Adapter)

Gehe ich mit der LAN1-IP aufs DSM, habe ich eine sichere Verbindung, mit der LAN3-IP bekomme ich die Meldung unsichere Verbindung. Das würde ich gern ändern. HTTP-Port ist 5000. Das Synology-Zertifikat habe ich exportiert und in den MAC-Schlüsselbund unter Anmeldung importiert.

 

[EDvonSchleck]

Du musst den Port 5001 nehmen, bei einige Browser die https als Standard haben kommt diese Fehlermeldung, weil sie eine verschlüsselte Verbindung bevorzugen. Das Zertifikat greift nicht über den Port 5000. Du kannst aber in der DSM eine Weiterleitung von 5000>5001aktivieren. Danach ist es egal, ob du den Port 5000 oder 5001 du eingibt.

 

[srdm77]

Meinst Du das hier?

Dann bekomme ich die Unsicherheitsmeldung auch und muss bei jedem Aufruf den Zugriff bestätigen. Daher hatte ich https deaktiviert. Oder habe ich etwas verwechselt?

 

[plang.pl]

Wenn du über den HTTP-Port zugreifst (also 5000) ist gar keine Zertifizierung nötig und du wirst keine Meldung erhalten. Also Haken nicht setzen und via 5000 zugreifen.
Ein Zertifikat gibt by the way nur für eine FQDN und nicht für eine IP

 

[EDvonSchleck]

Diese Fehlermeldung ist normal. Die kannst du einfach umgehen wenn du ein gültiges Zertifikat von Lets Encrypt einsetzte. Da du sie Weiterleitung aktiviert hast bekommst du die Meldung angezeigt. Unter Windows kann man im Browser einfach das Zertifikat akzeptieren und dann ist Ruhe. Es kann trotzdem ein Vermwerk kommen das es sein selbstsigniertes Zertifikat ist (Browserleiste) aber eben keine Aufforderung mehr.

Über den Port 5000 bekommt man keine fehlermeldung da das Zertifikat hier nicht greift. Es kann aber sein das der Browser keine unverschlüsselte Verbindung zulässt, denn liegt das Problem beim Browser.

 

[EDvonSchleck]

Ein Zertifikat gibt by the way nur für eine FQDN und nicht für eine IP

Das stimmt nicht, auch bei der IP wird das selbst signierte Zertifikat im Browser gespeichert. Damit ist es erst möglich eine https-Verbindung zu der DS-IP aufzubauen.

 

[srdm77]

Danke. Also, was die Browser da zu Port 5000 anzeigen (oben Chrome, unten Safari), kann per selbst erstelltem Zertifikat weiter verändert werden? Sorry für die Anfängerfragen.

 

[plang.pl]

nicht sicher steht in dem Fall dafür, dass eine http-Verbindung verwendet wird (unverschlüsselt)

Und: Klar kann man auf die IP auch via https zugreifen. Ausgestellt ist ein Zertifikat aber immer für den DNS-Namen, auch wenn das Zertifikat dennoch beim Zugriff auf die IP verwendet wird -> dann ist es aber nicht gültig, deshalb ja auch die Meldung

 

[srdm77]

ok danke

 

[EDvonSchleck]

Die meldung bekommst du nicht weg, es sei denn du erstellst dir ein LE Zertifikat und benutzt es entsprechend. Dabei kann ein DNS-Server die Netzinternen Anfragen umleiten und das Zertifikat wird angenommen.

 

[srdm77]

Danke. Dafür würde ich aber zu aller erst eine Domain brauchen, richtig? Hab grad gesehen, dass es in früheren DSM-Versionen die Möglichkeit ohne Domain gab aber abgeschafft wurde. Ich denke, ich werd's einfach bei http und Portt 5000 belassen.

 

[plang.pl]

Du kannst auch mittels PowerShell Script ein Zertifikat erstellen. Das musst du dann auf den Clients als vertrauenswürdig implementieren.
Damit das geht, darfst du aber nicht via IP zugreifen, sondern mit einem DNS-Namen. Dafür wiederum brauchst du einen internen DNS-Server oder einen Eintrag auf jedem Client, der den DNS-Name auf die IP auflöst.

 

[srdm77]

Vielen Dank, jetzt müsste ich noch mehr Anfängerfragen stellen Aber vielleicht find ich ja irgendwo ne Anleitung dafür.

 

[sky63]

@plang.pl: Kann man nicht die IP als SAN im csr angeben und dann eine gesicherte Verbindung zur IP statt zum FQDN etablieren können?

 

[plang.pl]

Tatsächlich keine Ahnung. Hab ich noch nix von gehört