Business Agent-Dienst stoppt wegen geändertem Zertifikat bei Zugriff auf NAS via LAN-IP

RT17 · 31. Okt 2024

Das Problem war hier schon mehrfach Thema und ich habe die anderen Threads dazu bereits gelesen, zum Beispiel hier:
https://www.synology-forum.de/threa...enst-wegen-geaendertem-zertifikat-ein.108084/

So 100%ig wurde es aber nie beantwortet. Hier nochmal das Problem erklärt:

ABFB (Active Backup for Business) wird über eine Domain mit Zertifikat von außen über das Internet genutzt (DynDNS-Dienst von Synology), aber auch hausintern über die interne LAN-IP, damit der Traffic nicht das LAN verlässt. Wie schon andere beschrieben haben, stoppt der ABFB Client nach einigen Monaten seine Arbeit, weil er sich nicht mehr mit dem NAS verbinden kann, da sich das Zertifikat dort geändert hat. Am Client erscheint eine Fehlermeldung.

Zwei Lösungen wurden bisher vorgeschlagen:

1. Eine extra Domain im DNS anzulegen für den internen LAN-Zugriff z.B. nas.firma.de mit der internen IP z.B. 192.168.0.12, dafür ein Zertifikat erstellen und im LAN dann als Hostadresse im ABFB-Client nas.firma.de zu verwenden. Nachteil: DNS-Scanner könnten die im öffentlichen DNS-Server eingetragene Subdomain finden, letztendlich egal, weil Zugriff nicht möglich. Eigener interen DNS-Server nur dafür macht keinen Sinn, ebenso nicht der Vorschlag die HOSTS-Datei zu ändern.

oder

2. im DSM unter Systemsteuerung/Sicherheit/Zertifikate/Einstellungen bei Dienst "Active Backup for Business" die alte Domain (für den Zugriff aus dem Internet) durch "synology.com" (das Standard-Zertifikat) zu ersetzen (alte DynDNS-Domain raus).

Frage zu 2: Können dann die externen Clients über die extern DynDNS-Domain weiterhin zugreifen oder stoppen die dann ebenfalls ihre Verbindung, weil die Domain nicht mit der DynDNS-Domain übereinstimmt?

Frage: Welche Lösung ist besser? 1. oder 2.? Einfacher wäre ja 2.

Frage zu 1: Kann das DSM überhaupt ein Zertifikat von Letsencrypt erstellen lassen, wenn die Domain eine interne IP hat, weil dann die HTTP-Überprüfung ja nicht geht. Dann müsste man vermutlich eine Verifizierung per DNS machen. Mann-o-Mann...

Anzeige · 31. Okt 2024

Hallo RT17,

Bücher und Hardware zum Thema gibt es bei Amazon: Agent-Dienst stoppt wegen geändertem Zertifikat bei Zugriff auf NAS via LAN-IP

RT17 · Freitag um 10:17

Keiner weiß eine Lösung für mein Problem?

mayo007 · Freitag um 10:25

https://kb.synology.com/de-de/DSM/t...roper_connection_between_ABB_agent_and_server

Hagen2000 · Freitag um 11:16

Während man beim Zugriff mit IP-Adresse meistens eine Ausnahme für auftretende Zertifikatsfehler erstellen kann, ist dies bei Namensfehlern - abhängig vom verwendeten Client - oft gar nicht möglich. Das Problem mit den Ausnahmen bei Let's Encrypt-Zertifikaten ist aber, dass diese nach spätestens drei Monaten ablaufen, denn dann wird ein neues Zertifikat ausgestellt und für dieses muss dann erneut eine Ausnahme erstellt werden.

Um aus diesem Dilemma auszubrechen gibt es m.E. folgende Möglichkeiten:

Umstellung auf IPv6: Dann ist die externe IP-Adresse des NAS gleich der internen IP-Adresse und man kann ein offzielles Zertifikat problemlos intern und extern nutzen, denn es wird auch nur ein DDNS-Eintrag benötigt. DDNS muss dann auf dem NAS laufen und es muss der Synology-DDNS benutzt werden, da nur für diesen IPv6 unterstützt wird.
Zugriff von außen über VPN: Dann könnte man problemlos das Standard-Zertifikat verwenden, für das dann eben einmalig eine Ausnahme erstellt werden muss.
Betrieb eines lokalen DNS-Servers, der die Anfrage nach dem Domain-Namen abfängt und die interne IPv4-Adresse liefert.
Einrichten einer eigenen CA. Diese erlaubt dann das - wenn auch unschöne - Ausstellen von Zertifikaten, die neben dem Domännamen auch die interne IPv4-Adresse enthalten. Dieser Weg ist aufwändig und erfordert außerdem das Verteilen des eigenen Stammzertifikats auf alle Clients, die für den Zugriff auf das NAS bzw. ABFB benötigt werden. Diese Lösung ist also nur für eine begrenzte Anzahl von Geräten sinnvoll.

ad 1) Hier sehe ich das Problem, dass Du diese extra Domain gar nicht anlegen kannst, da ja der Name nas.firma.de bereits vergeben ist und das Domain-Name-System ja Eindeutigkeit gewährleistet. Falls nas.firma.de jedoch ein neuer Domain-Name ist, würdest Du eben auch ein dazu passendes Zertifikat benötigen, kannst aber vermutlich nicht festlegen, wann der ABFB-Server welches Zertifikat liefert.

patrickn · Freitag um 11:26

Synology ne Mail schreiben, dass sie mit diesem Quatsch aufhören, oder es zumindest deaktivierbar machen

Hagen2000 · Freitag um 11:58

Das zugrunde liegende Problem liegt doch nicht bei Synology sondern am Prinzip der Transport Layer Security (TLS) und der Funktionsweise von Zertifikaten.

patrickn · Freitag um 12:09

Klar liegt es an Synology, ein gültiges Zertifikat ist gültig, fertig. Da gibt es kein Grund darauf hinzuweisen, dass sich das Zertifikat geändert hat, solange es gültig ist

Kachelkaiser · Freitag um 14:00

deshlab nehme ich für ABfB auch das zugehörige 10-Jahres-Zertifikat, dann ist erstmal Ruhe

Hagen2000 · Freitag um 14:25

patrickn schrieb:
Klar liegt es an Synology, ein gültiges Zertifikat ist gültig, fertig. Da gibt es kein Grund darauf hinzuweisen, dass sich das Zertifikat geändert hat, solange es gültig ist

Das Problem tritt doch nur auf, wenn man - wie der TE - mit einer IP-Adresse auf den entsprechenden Dienst zugreift und dann eine Ausnahme für das - logischerweise nicht stimmende - Zertifikat hinzufügt. Diese Ausnahme muss man bei Let's Encrypt-Zertifikaten dann spätetestens alle drei Monate wiederholen: Neues Zertifikat - neue Ausnahme. Man kann das in ferne Zukunft schieben mit einem selbstsignierten Zertifikat, was Synology ja auch vorschlägt, bzw. was der Lösung von @Kachelkaiser entspricht.

Das Problem tritt ja nicht auf, wenn man korrekt über einen Domain-Namen mit einem dazu passenden Zertifikat zugreift. Nur ist das eben nicht in allen Fällen so einfach für jedermann umsetzbar.

RT17 · Heute um 02:23

Kachelkaiser schrieb:
deshlab nehme ich für ABfB auch das zugehörige 10-Jahres-Zertifikat, dann ist erstmal Ruhe

Das wäre dann das Zertifikat "synology.com" (bei mir noch 12 Jahre gültig), aber dann kann ich vermutlich nicht mehr über den Domainnamen für externen Zugriff, den ich jetzt nutze (eine DDNS-Domain von Synology), zugreifen. Wie erreichte ich dann zudem das NAS? Über ????.synology.com? Und wie kann ich dieser Domain ????.synology.com zwei IP-Adressen zuweisen, die externe und die interne IPv4?

Hagen2000 schrieb:
Umstellung auf IPv6

Geht natürlich auch über IPv4, wenn man so wie ich genug davon hat. Aber dann wäre das NAS von außen über eine Feste-IP erreichbar (VPN kommt nicht in Frage - nicht möglich) und wer will das...

RT17 · Heute um 02:32

Geht das denn überhaupt, dass man mit ABFB-Clients für den Zugriff auf das ABFB-NAS zwei Domains mit zwei Zertifikaten nutzt, also

1. Domain nas.firma.de für die interne IP z.B. 192.168.0.12 und
2. DynDNS-Domain xyz.i234.me für die externe dynamische Internet-IP

und dann kann der eine LAN-interne ABFB-Client über Weg #1 zugeifen und die externen über #3. Denn ich sehe in ABFB, dann man nur ein Zertifikat unter Einstellungen auswählen kann.

Hagen2000 · Heute um 09:36

Ich kann Dir hier nur allgemein antworten, da ich ABFB nicht nutze.

Bei einem Web-Server kann man mehrere Zertifikate hinterlegen (Stichwort: VirtualHost), die abhängig vom angesprochenen Domain-Namen verwendet werden. Bei anderen Diensten geht das in der Regel nicht. Daher vermute ich, dass das bei ABFB auch nicht möglich ist.

Browser erlauben es üblicherweise, bei einem HTTPS-Zugriff über IP-Adresse eine Ausnahme für einen Zertifikatsfehler hinzuzufügen. Greifst Du jedoch über einen Domain-Namen zu, der nicht im Zertifikat steht, wird diese Möglichkeit nicht (mehr) angeboten, sondern der Zugriff verweigert.
Der vorige Satz wurde nachträglich gestrichen, siehe Folgebeitrag.

Eventuell wird die Verwendung des erwähnten selbstsignierten "synology.com"-Zertifikats nicht möglich sein (aber erreichen würdest Du das NAS nach wie vor über den DDNS-Namen von Synology).

Ein Zertifikat, das für einen offiziellen Domain-Namen wie xyz.i234.me und einen "inoffiziellen" wie nas.firma.de gleichzeitig gilt, kannst Du dir nur über eine eigene CA "basteln".

Du musst die Sache einmal anders herum betrachten: Das Domain-Namen-System (DNS) in Kombination mit Zertifikaten soll sicherstellen, dass man wirklich mit dem richtigen Server verbunden ist (d.h. der Server verfügt über das zum Domain-Namen passende Zertifikat) und dieses System möchtest Du aufbrechen. Wie Du eingangs schon geschrieben hattest, ist der häufigste Lösungsvorschlag daher, einen eigenen DNS-Server zu betreiben, der das gewünschte Verhalten implementiert.

patrickn · Heute um 10:13

Hagen2000 schrieb:
Browser erlauben es üblicherweise, bei einem HTTPS-Zugriff über IP-Adresse eine Ausnahme für einen Zertifikatsfehler hinzuzufügen. Greifst Du jedoch über einen Domain-Namen zu, der nicht im Zertifikat steht, wird diese Möglichkeit nicht (mehr) angeboten, sondern der Zugriff verweigert.

Das hat nichts damit zutun, ob man per IP Adresse oder einem anderen Domain-Namen zugreift, das Zertifikat ist ungültig, es macht keinen Unterschied ob der Zugriff per IP erfolgt oder anderem DNS Namen, auch die IP Steht nicht in den erlaubten DNS Namen, auch verweigert es nicht die Erteilung einer Ausnahme.

Einzige Ausnahme: HSTS, das bietet aber die Diskstation ~~vermutlich~~ nicht. Hier sind wirklich keine Ausnahmen möglich. Ansonsten ist es völlig wurscht, der DNS Name ist bei der IP genauso ungültig, wie bei Aufruf einer anderen Domain, die nicht im Zertifikat steht.

Man muss dem Zertifikat in ABFB manuell vertrauen (wird ja wohl gehen?)

Hagen2000 · Heute um 10:50

Danke für die Korrektur! Ich war mir sicher, dieses Verhalten beobachtet zu haben, konnte es aber auch nicht mehr nachvollziehen. Ich habe den Beitrag #12 daher überarbeitet.

patrickn · Heute um 10:57

Ich hab mein Beitrag auch noch mal angepasst: HSTS bietet die Diskstation definitiv nicht.

Damit würde es dann nämlich nur noch mit einem gültigen Zertifikat funktionieren, auch nicht mehr per IP und auch nicht mehr per http ohne Verschlüsselung, da HSTS zwingend eine korrekte Verschlüsselung erfordert.

Jagnix · Heute um 12:29

patrickn schrieb:
Da gibt es kein Grund darauf hinzuweisen, dass sich das Zertifikat geändert hat,

Ähm doch, aus Sicherheitsgründen.

RT17 · Heute um 13:08

Hagen2000 schrieb:
nur über eine eigene CA "basteln".

Danke für Deine lange Antwort. Mit SSL bei Webservern kenne ich mich aus. Letsencrypt erlaubt u.a. auch Zertifikate für mehrere Domains, da bin ich mir sicher. Ich nutze IIS als Webserver (Windows Server) mit dem Tool "Win-ACME" und für eine Webseite mit etwa 20 Domains hat das Teil schon mal für alle Domains ein Letsencrypt-Zertifikat angelegt. Das nur nebenbei. Alle Domains wurden im Browser beim Anzeigen des Zerfitikats aufgelistet. So verrät ein SSL-Zertifikat alle Domains, die zu einer Webseite gehören, auch wenn man das eigentlich nicht will

patrickn · Heute um 14:50

Jagnix schrieb:
Ähm doch, aus Sicherheitsgründen

Wenn das Zertifikat ungültig oder selbst signiert ist, von mir aus. Wenn man aber ein gültiges Zertifikat hat, mit der korrekten dafür gültigen Domain nutzt, ist das Banane wenn man bei Änderung - z.B. Aktualisierung bei letsencrypt - das bestätigen muss.
Die Sicherheitskette ist auch so gewährleistet, da braucht es kein Hinweis, schon gar keinen, der bestätigt werden muss.