Business Agent-Dienst stoppt wegen geändertem Zertifikat bei Zugriff auf NAS via LAN-IP

RT17

Benutzer
Mitglied seit
26. Jan 2017
Beiträge
72
Punkte für Reaktionen
9
Punkte
8
Das Problem war hier schon mehrfach Thema und ich habe die anderen Threads dazu bereits gelesen, zum Beispiel hier:
https://www.synology-forum.de/threa...enst-wegen-geaendertem-zertifikat-ein.108084/

So 100%ig wurde es aber nie beantwortet. Hier nochmal das Problem erklärt:

ABFB (Active Backup for Business) wird über eine Domain mit Zertifikat von außen über das Internet genutzt (DynDNS-Dienst von Synology), aber auch hausintern über die interne LAN-IP, damit der Traffic nicht das LAN verlässt. Wie schon andere beschrieben haben, stoppt der ABFB Client nach einigen Monaten seine Arbeit, weil er sich nicht mehr mit dem NAS verbinden kann, da sich das Zertifikat dort geändert hat. Am Client erscheint eine Fehlermeldung.

Zwei Lösungen wurden bisher vorgeschlagen:

1. Eine extra Domain im DNS anzulegen für den internen LAN-Zugriff z.B. nas.firma.de mit der internen IP z.B. 192.168.0.12, dafür ein Zertifikat erstellen und im LAN dann als Hostadresse im ABFB-Client nas.firma.de zu verwenden. Nachteil: DNS-Scanner könnten die im öffentlichen DNS-Server eingetragene Subdomain finden, letztendlich egal, weil Zugriff nicht möglich. Eigener interen DNS-Server nur dafür macht keinen Sinn, ebenso nicht der Vorschlag die HOSTS-Datei zu ändern.

oder

2. im DSM unter Systemsteuerung/Sicherheit/Zertifikate/Einstellungen bei Dienst "Active Backup for Business" die alte Domain (für den Zugriff aus dem Internet) durch "synology.com" (das Standard-Zertifikat) zu ersetzen (alte DynDNS-Domain raus).

Frage zu 2: Können dann die externen Clients über die extern DynDNS-Domain weiterhin zugreifen oder stoppen die dann ebenfalls ihre Verbindung, weil die Domain nicht mit der DynDNS-Domain übereinstimmt?

Frage: Welche Lösung ist besser? 1. oder 2.? Einfacher wäre ja 2.

Frage zu 1: Kann das DSM überhaupt ein Zertifikat von Letsencrypt erstellen lassen, wenn die Domain eine interne IP hat, weil dann die HTTP-Überprüfung ja nicht geht. Dann müsste man vermutlich eine Verifizierung per DNS machen. Mann-o-Mann...
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
370
Punkte für Reaktionen
135
Punkte
43
Während man beim Zugriff mit IP-Adresse meistens eine Ausnahme für auftretende Zertifikatsfehler erstellen kann, ist dies bei Namensfehlern - abhängig vom verwendeten Client - oft gar nicht möglich. Das Problem mit den Ausnahmen bei Let's Encrypt-Zertifikaten ist aber, dass diese nach spätestens drei Monaten ablaufen, denn dann wird ein neues Zertifikat ausgestellt und für dieses muss dann erneut eine Ausnahme erstellt werden.

Um aus diesem Dilemma auszubrechen gibt es m.E. folgende Möglichkeiten:
  • Umstellung auf IPv6: Dann ist die externe IP-Adresse des NAS gleich der internen IP-Adresse und man kann ein offzielles Zertifikat problemlos intern und extern nutzen, denn es wird auch nur ein DDNS-Eintrag benötigt. DDNS muss dann auf dem NAS laufen und es muss der Synology-DDNS benutzt werden, da nur für diesen IPv6 unterstützt wird.
  • Zugriff von außen über VPN: Dann könnte man problemlos das Standard-Zertifikat verwenden, für das dann eben einmalig eine Ausnahme erstellt werden muss.
  • Betrieb eines lokalen DNS-Servers, der die Anfrage nach dem Domain-Namen abfängt und die interne IPv4-Adresse liefert.
  • Einrichten einer eigenen CA. Diese erlaubt dann das - wenn auch unschöne - Ausstellen von Zertifikaten, die neben dem Domännamen auch die interne IPv4-Adresse enthalten. Dieser Weg ist aufwändig und erfordert außerdem das Verteilen des eigenen Stammzertifikats auf alle Clients, die für den Zugriff auf das NAS bzw. ABFB benötigt werden. Diese Lösung ist also nur für eine begrenzte Anzahl von Geräten sinnvoll.
ad 1) Hier sehe ich das Problem, dass Du diese extra Domain gar nicht anlegen kannst, da ja der Name nas.firma.de bereits vergeben ist und das Domain-Name-System ja Eindeutigkeit gewährleistet. Falls nas.firma.de jedoch ein neuer Domain-Name ist, würdest Du eben auch ein dazu passendes Zertifikat benötigen, kannst aber vermutlich nicht festlegen, wann der ABFB-Server welches Zertifikat liefert.
 

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
887
Punkte für Reaktionen
353
Punkte
83
Synology ne Mail schreiben, dass sie mit diesem Quatsch aufhören, oder es zumindest deaktivierbar machen
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
370
Punkte für Reaktionen
135
Punkte
43
Das zugrunde liegende Problem liegt doch nicht bei Synology sondern am Prinzip der Transport Layer Security (TLS) und der Funktionsweise von Zertifikaten.
 

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
887
Punkte für Reaktionen
353
Punkte
83
Klar liegt es an Synology, ein gültiges Zertifikat ist gültig, fertig. Da gibt es kein Grund darauf hinzuweisen, dass sich das Zertifikat geändert hat, solange es gültig ist
 
  • Like
Reaktionen: Kachelkaiser

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
2.179
Punkte für Reaktionen
907
Punkte
154
deshlab nehme ich für ABfB auch das zugehörige 10-Jahres-Zertifikat, dann ist erstmal Ruhe :)
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
370
Punkte für Reaktionen
135
Punkte
43
Klar liegt es an Synology, ein gültiges Zertifikat ist gültig, fertig. Da gibt es kein Grund darauf hinzuweisen, dass sich das Zertifikat geändert hat, solange es gültig ist
Das Problem tritt doch nur auf, wenn man - wie der TE - mit einer IP-Adresse auf den entsprechenden Dienst zugreift und dann eine Ausnahme für das - logischerweise nicht stimmende - Zertifikat hinzufügt. Diese Ausnahme muss man bei Let's Encrypt-Zertifikaten dann spätetestens alle drei Monate wiederholen: Neues Zertifikat - neue Ausnahme. Man kann das in ferne Zukunft schieben mit einem selbstsignierten Zertifikat, was Synology ja auch vorschlägt, bzw. was der Lösung von @Kachelkaiser entspricht.

Das Problem tritt ja nicht auf, wenn man korrekt über einen Domain-Namen mit einem dazu passenden Zertifikat zugreift. Nur ist das eben nicht in allen Fällen so einfach für jedermann umsetzbar.
 

RT17

Benutzer
Mitglied seit
26. Jan 2017
Beiträge
72
Punkte für Reaktionen
9
Punkte
8
deshlab nehme ich für ABfB auch das zugehörige 10-Jahres-Zertifikat, dann ist erstmal Ruhe :)
Das wäre dann das Zertifikat "synology.com" (bei mir noch 12 Jahre gültig), aber dann kann ich vermutlich nicht mehr über den Domainnamen für externen Zugriff, den ich jetzt nutze (eine DDNS-Domain von Synology), zugreifen. Wie erreichte ich dann zudem das NAS? Über ????.synology.com? Und wie kann ich dieser Domain ????.synology.com zwei IP-Adressen zuweisen, die externe und die interne IPv4?

Umstellung auf IPv6
Geht natürlich auch über IPv4, wenn man so wie ich genug davon hat. Aber dann wäre das NAS von außen über eine Feste-IP erreichbar (VPN kommt nicht in Frage - nicht möglich) und wer will das...
 

RT17

Benutzer
Mitglied seit
26. Jan 2017
Beiträge
72
Punkte für Reaktionen
9
Punkte
8
Geht das denn überhaupt, dass man mit ABFB-Clients für den Zugriff auf das ABFB-NAS zwei Domains mit zwei Zertifikaten nutzt, also

1. Domain nas.firma.de für die interne IP z.B. 192.168.0.12 und
2. DynDNS-Domain xyz.i234.me für die externe dynamische Internet-IP

und dann kann der eine LAN-interne ABFB-Client über Weg #1 zugeifen und die externen über #3. Denn ich sehe in ABFB, dann man nur ein Zertifikat unter Einstellungen auswählen kann.
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
370
Punkte für Reaktionen
135
Punkte
43
Ich kann Dir hier nur allgemein antworten, da ich ABFB nicht nutze.

Bei einem Web-Server kann man mehrere Zertifikate hinterlegen (Stichwort: VirtualHost), die abhängig vom angesprochenen Domain-Namen verwendet werden. Bei anderen Diensten geht das in der Regel nicht. Daher vermute ich, dass das bei ABFB auch nicht möglich ist.

Browser erlauben es üblicherweise, bei einem HTTPS-Zugriff über IP-Adresse eine Ausnahme für einen Zertifikatsfehler hinzuzufügen. Greifst Du jedoch über einen Domain-Namen zu, der nicht im Zertifikat steht, wird diese Möglichkeit nicht (mehr) angeboten, sondern der Zugriff verweigert.
Der vorige Satz wurde nachträglich gestrichen, siehe Folgebeitrag.

Eventuell wird die Verwendung des erwähnten selbstsignierten "synology.com"-Zertifikats nicht möglich sein (aber erreichen würdest Du das NAS nach wie vor über den DDNS-Namen von Synology).

Ein Zertifikat, das für einen offiziellen Domain-Namen wie xyz.i234.me und einen "inoffiziellen" wie nas.firma.de gleichzeitig gilt, kannst Du dir nur über eine eigene CA "basteln".

Du musst die Sache einmal anders herum betrachten: Das Domain-Namen-System (DNS) in Kombination mit Zertifikaten soll sicherstellen, dass man wirklich mit dem richtigen Server verbunden ist (d.h. der Server verfügt über das zum Domain-Namen passende Zertifikat) und dieses System möchtest Du aufbrechen. Wie Du eingangs schon geschrieben hattest, ist der häufigste Lösungsvorschlag daher, einen eigenen DNS-Server zu betreiben, der das gewünschte Verhalten implementiert.
 
Zuletzt bearbeitet:

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
887
Punkte für Reaktionen
353
Punkte
83
Browser erlauben es üblicherweise, bei einem HTTPS-Zugriff über IP-Adresse eine Ausnahme für einen Zertifikatsfehler hinzuzufügen. Greifst Du jedoch über einen Domain-Namen zu, der nicht im Zertifikat steht, wird diese Möglichkeit nicht (mehr) angeboten, sondern der Zugriff verweigert.

Das hat nichts damit zutun, ob man per IP Adresse oder einem anderen Domain-Namen zugreift, das Zertifikat ist ungültig, es macht keinen Unterschied ob der Zugriff per IP erfolgt oder anderem DNS Namen, auch die IP Steht nicht in den erlaubten DNS Namen, auch verweigert es nicht die Erteilung einer Ausnahme.

Einzige Ausnahme: HSTS, das bietet aber die Diskstation vermutlich nicht. Hier sind wirklich keine Ausnahmen möglich. Ansonsten ist es völlig wurscht, der DNS Name ist bei der IP genauso ungültig, wie bei Aufruf einer anderen Domain, die nicht im Zertifikat steht.

Man muss dem Zertifikat in ABFB manuell vertrauen (wird ja wohl gehen?)
 
Zuletzt bearbeitet:

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
370
Punkte für Reaktionen
135
Punkte
43
Danke für die Korrektur! Ich war mir sicher, dieses Verhalten beobachtet zu haben, konnte es aber auch nicht mehr nachvollziehen. Ich habe den Beitrag #12 daher überarbeitet.
 
  • Like
Reaktionen: patrickn

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
887
Punkte für Reaktionen
353
Punkte
83
Ich hab mein Beitrag auch noch mal angepasst: HSTS bietet die Diskstation definitiv nicht.

Damit würde es dann nämlich nur noch mit einem gültigen Zertifikat funktionieren, auch nicht mehr per IP und auch nicht mehr per http ohne Verschlüsselung, da HSTS zwingend eine korrekte Verschlüsselung erfordert.
 

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.238
Punkte für Reaktionen
328
Punkte
109

RT17

Benutzer
Mitglied seit
26. Jan 2017
Beiträge
72
Punkte für Reaktionen
9
Punkte
8
nur über eine eigene CA "basteln".
Danke für Deine lange Antwort. Mit SSL bei Webservern kenne ich mich aus. Letsencrypt erlaubt u.a. auch Zertifikate für mehrere Domains, da bin ich mir sicher. Ich nutze IIS als Webserver (Windows Server) mit dem Tool "Win-ACME" und für eine Webseite mit etwa 20 Domains hat das Teil schon mal für alle Domains ein Letsencrypt-Zertifikat angelegt. Das nur nebenbei. Alle Domains wurden im Browser beim Anzeigen des Zerfitikats aufgelistet. So verrät ein SSL-Zertifikat alle Domains, die zu einer Webseite gehören, auch wenn man das eigentlich nicht will :)
 

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
887
Punkte für Reaktionen
353
Punkte
83
Ähm doch, aus Sicherheitsgründen
Wenn das Zertifikat ungültig oder selbst signiert ist, von mir aus. Wenn man aber ein gültiges Zertifikat hat, mit der korrekten dafür gültigen Domain nutzt, ist das Banane wenn man bei Änderung - z.B. Aktualisierung bei letsencrypt - das bestätigen muss.
Die Sicherheitskette ist auch so gewährleistet, da braucht es kein Hinweis, schon gar keinen, der bestätigt werden muss.
 

RT17

Benutzer
Mitglied seit
26. Jan 2017
Beiträge
72
Punkte für Reaktionen
9
Punkte
8
Ich möchte nochmal auf meine Fragen aus Beitrag #1 und #11 verweisen. :oops:
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.948
Punkte für Reaktionen
3.794
Punkte
344
Auf der DS ABB aufrufen -> Einstellungen für ABB öffnen

ABB Zert Gültigkeit DDNs.png
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat