CalDAV und CardDAV Sync über Port 443

Status
Für weitere Antworten geschlossen.

senderversteller

Benutzer
Mitglied seit
10. Dez 2015
Beiträge
238
Punkte für Reaktionen
34
Punkte
34
Hallo,

ich habe keine passende Lösung gefunden, deshalb ein neues Thema.

Aktuell nutze ich DSM 7 sowie Synology Contact und Synology Calendar um meine Kontakte und Termine zwischen iPhone, iPad und Mac zu syncen. Das funktioniert soweit auch gut. Ich habe den jeweiligen Apps "Contacts" und "Calendar" im Anmelde-Portal unter "Anwendungen" zwei eigene Ports zugewiesen die bei der Fritzbox durchgeleitet werden. Die Synchronisierung über SSL im Heimnetz sowie über das Internet klappt soweit.

Nun ist mir aufgefallen, dass man für die Anwendungen auch Aliasnamen vergeben kann, so dass die Anwendungen auch über den Standard SSL Port 443 "von außen" aus dem Internet zur Verfügung stehen (z.B. https://beispiel.domain.net/kalender). Also habe ich mich gefragt, warum hier Extra Ports vergeben und die durch die Fritzbox leiten, wenn der CardDAV und CalDAV Sync alles über 443 "abgefrühstückt" werden kann.

Mit dem Kalender bringe ich den Sync über 443 unter iOS, iPadOS und macOS hin. Allerdings scheitere ich bei CardDAV - ich bekomme hier einfach nichts synchronisiert. Hat jemand so ein Setup schon mal probiert und hier ggf. Erfahrung wie man es bei CardDAV zum laufen bringt? Oder geht das nicht, was ich vor habe?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Da keiner Antwortet mach ich das jetzt einmal.
Du hast mehrere Möglichkeiten:
  1. Kalender & Kontakte über unterschiedliche Ports verbinden
  2. Kalender & Kontakte über unterschiedliche (Sub)Domains (URL) verbinden über den gleichen Port (433 möglich) (Reverse Proxy)
  3. Kalender & Kontakte über Baikal mit einer Domains (URL) verbinden über den gleichen Port (433 möglich) (Reverse Proxy)
 

senderversteller

Benutzer
Mitglied seit
10. Dez 2015
Beiträge
238
Punkte für Reaktionen
34
Punkte
34
Hallo EDvonSchleck,

vielen Dank.
1. Mache ich bereits, funzt ja auch. Wollte aber die „Löcher“ in meiner Fritzbox reduzieren.
3. Wollte bei den Lösungen von Synology bleiben.
2. Müssen es verschiedene (Sub-)Domains sein oder reicht es verschiedene URLs zu haben?(https://beispiel.domain.net/kalender und https://beispiel.domain.net/kontakte) - weil genau das war mein Ansatz, klappt aber bei CardDAV irgendwie nicht.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Du könntest es mit einer DNS Umleitung versuchen. Ich glaube das macht die ganze Sache aber noch komplizierter weil bei den DSM-App alles übr den "Standartport" geleitet wird. Die Unterordner entstehen ducrh die Änderungen im Webserver. Oft wird das aber einfach über eine Subdomain realisiert. Bsp. test.senderversteller.com anstatt senderversteller.com/test. Normal werden die Anwendungen mit IP oder Ports unterschieden

Ich rate dir zur Version 3, das ist sehr einfach für jeden Umsetzbar in kürzester Zeit und ohne Erfahrungen! Das heißt aber nicht das es nicht möglich ist! Dein Suchberiff wäre DNS Server CNAME. Bedenke was alles im Netzwerk angezeigt wird ist nicht unbedingt eine Adresse :)

Wenn es um die Standart Ports geht um extern auf die Kalender zuzugreifen muss du nur die die Ports im Reverse Proxy vin URL und 443 auf NAS und 8443 leiten. Bei Kontakten (5006) ist es ebenso! Man könnte auch jeden beliebigen Port (höher) einsetzen und 433 schließen (Portscan) für alle Logins einsetzen.
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Benutzerdefinierte Domains oder ein /Alias ist prinzipiell egal um Dienste auf 443 auf der DS zu erreichen.
Es ist da dann auch kein zusätzlicher reverse proxy oder Portumleitung etc. nötig.

Nicht egal wird es je nachdem wo in der Systemsteuerung man diesen Domainnamen eingetragen hat. Dann könnte dieser eventuell nicht mehr für andere Dienste benutzbar sein.

Am unkompliziertesten empfinde ich benutzerdefinierte Domains.
Beim Domain Provider die dienst.example.com per CNAME auf die dynDNS Domain setzen.
Mehr ist nicht nötig.
auf der DS hört dann jeder Host / benutzerdefinierte Domain für jeden Dienst auf 443 und das nur für sich.
Gibt also keinen Mischmasch mit Automatiken im Hintergrund bezüglich ddns etc.

Bei carddav gibt es Reibereien mit 'Kontakte' Anwendung für macOS. Die unterstützt nur ein Adressbuch.
Da gibt es diverse Threads im Forum.
Glaube der Weg war sich ein eigenes Adressbuch anzulegen und das Standard Und Teamkontakte / mit mir geteilt im Web Interface in den Einstellungen zu deaktivieren.
Oder andere Clients zu verwenden die damit kein Problem haben.
 
  • Like
Reaktionen: EDvonSchleck

senderversteller

Benutzer
Mitglied seit
10. Dez 2015
Beiträge
238
Punkte für Reaktionen
34
Punkte
34
Hallo Fusion,
vielen Dank.

Also richtige ich mehrere CNAME (z.B. carddav.meinedomain.de, caldav.meinedomain.de) auf den Dyndnsnamen meiner Fritzbox ein und weiße im Anwendungsportal von DSM dem jeweiligen Dienst Synology Contacts bzw. Calendar die jeweilige Subdomain zu, korrekt? Damit alles per SSL läuft bräuchte jede dieser Subdomains ein eigenes Let's Encrypt Zertifikat. Dann sollten alle Zugriffe über Port 443 laufen. Habe ich es so richtig verstanden?

Theoretisch sollte das mal den anderen Diensten (z.B. Synology Photos, Drive, Notestation, etc.) ähnlich funktionieren, so dass man in der Fritzbox eigentlich nur noch einen Portforward von 80 und 443 zur Diskstation benötigt - oder sehe ich das falsch?
 
Zuletzt bearbeitet:

King3R

Benutzer
Mitglied seit
14. Mrz 2017
Beiträge
361
Punkte für Reaktionen
82
Punkte
28
Das siehst du alles richtig, so läuft es bei mir seit längerem ohne Probleme. Ein kleiner Hinweis noch: Solltest du eine Fritzbox verwenden, trage die CNAMEs bitte als Ausnahme für den DNS-Rebind-Schutz ein. Der ist zu finden unter Heimnetz > Netzwerk > Netzwerkeinstellungen ... Falls sie dort nicht eingetragen werden, werden die Anfragen an das interne Netz nicht durchgeleitet.

Bzgl. der Zertifikate:
  • für jeden (Sub)domain ein eigenes Zertifikat
  • eine Haupt-(Sub)domain und unter Alternative Names die anderen aufgeführt
  • ein Wildcard-Zertifikat für die Domain
 

senderversteller

Benutzer
Mitglied seit
10. Dez 2015
Beiträge
238
Punkte für Reaktionen
34
Punkte
34
OK, ich habe es eben probiert aber irgendwie gibt es noch ein Zertifikatsproblem und ich weiß nicht was ich falsch mache.

1. Ich habe einen neuen CNAME zu meiner Domain eingerichtet
2. Ich habe unter Sicherheit - Zertifikate ein neues Lets Encrypt Zertifikat beantragt, hat offenbar geklappt
3. Ich habe unter Sicherheit - Zertifikate das Zertifikat dem Dienst "Contacts" zugewiesen
4. Ich habe unter Anmeldeportal - Anwendungen die entsprechende Subdomain eingetragen

Wenn ich nun mit dem Browser auf die Seite gehe bekomme ich eine Zertifikatswarnung , da das Zertifikat nicht für diese Domain sondern für den myfritz.net Namen ausgestellt ist. D.h. die Diskstation verwendet für die Anwendung nicht das richtige Zertifikat. Irgendwo habe ich noch einen Fehler, wer kann helfen?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
was kommt denn heraus wenn du die Adresse mit nslookup abfragst? Welche Ports hattest du beim Zertifikaterstellen für die DS auf?
 

senderversteller

Benutzer
Mitglied seit
10. Dez 2015
Beiträge
238
Punkte für Reaktionen
34
Punkte
34
Er gibt mir den Namen meiner MyFritz Dyndns zurück.
Ich habe es gerade aus dem Mobilfunknetz probiert, da klappt es offensichtlich und ich bekomme keine Zertifikatswarnung.
 

senderversteller

Benutzer
Mitglied seit
10. Dez 2015
Beiträge
238
Punkte für Reaktionen
34
Punkte
34
Den hab ich zwar in meiner bisherigen Konfiguration mit einer Subdomain auch nie gebraucht - aber ja, ich habe alle Domains in den DNS-Rebind eingetragen. Untereinander ohne Trennungszeichen.
Anmerkung: Ich verwende seit kurzem Pi-Hole auf einem seperaten Raspberry Pi als DNS. Hat es ggf. damit was zu tun?
 

King3R

Benutzer
Mitglied seit
14. Mrz 2017
Beiträge
361
Punkte für Reaktionen
82
Punkte
28
Könnte eventuell sein, da ja in dem Fall den DNS-Server der Pi-Hole zur Verfügung stellt. Bei mir läuft z. Z. weder Pi-Hole noch AdGuard Pro, daher nur eine Vermutung meinerseits.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Das ist hier ein allgemeines Problem, dass nebenbei noch "andere" Dienste welches nicht unerheblich sind einfach weggelassen werden.
Natürlich Schließt man das erst einmal auus - einfach dden DNS in der FB ändern. Wo hast du den DNS eingetragen, gibt ja 2 Möglichkeiten?
Wie sehen deine Portfreigaben für den NAS aus?
 

senderversteller

Benutzer
Mitglied seit
10. Dez 2015
Beiträge
238
Punkte für Reaktionen
34
Punkte
34
In der Fritte unter Heimnetz - Netzwerk - Netzwerkeinstellungen - IPv4 Einstellungen eingetragen, heißt die Fritte weißt allen Clients im Netz den Pi-Hole als DNS zu. Die andere Einstellung ist beim Standard-DNS der Telekom, wobei ich hier DoT (DNS over TLS) aktiviert habe.
Aktuell werden 80 und 443 durch die Fritte auf das NAS geleitet; sowie auch noch die anderen Ports für CardDAV, CalDAV, etc. die ich versuche zu schließen (die hab ich jetzt mal noch nicht gelöscht).
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Du nutzt einen Dyndns Anbieter? Zeitgleich noch Myfritz?
Hast du das Pi-Hole denn jetzt deaktiviert?

Problem könnte sein das durch den Eintrag in der Fritzbox diese jetzt auch im Netzwerk nach der URL sucht. Das könntest Du ändern wenn due diese URL auch im PI-Hol einträgt und auf der DS zeigt. Da ja von Außen alles läuft, nur intern nicht.
 
Zuletzt bearbeitet:

senderversteller

Benutzer
Mitglied seit
10. Dez 2015
Beiträge
238
Punkte für Reaktionen
34
Punkte
34
Nein ich nutze nur Myfritz.
Pi-Hole habe ich in der Fritzbox nun deaktiviert bzw. die Fritzbox wieder als DNS aktiviert. Mein Macbook nutzt nun wieder 192.168.10.1 als DNS.
Das Problem besteht nach wie vor... bin grad bisschen ratlos.

EDIT: Ich habe es eben nochmal probiert... ohne Pi-Hole geht es. Also muss an Pi-Hole ran. Wo ist nun da das Problem? Mit meiner bisherigen Subdomain hat es doch auch funktioniert, wieso nun mit "den Neuen" nicht?
 

senderversteller

Benutzer
Mitglied seit
10. Dez 2015
Beiträge
238
Punkte für Reaktionen
34
Punkte
34
Im DNS von meinem Provider der meine Domain hostet... wo sonst? Verstehe die Frage nicht.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
und die gleichst du via Myfritz ab?
Irgendwie sind deine Aussagen gegensätzlich - My fritz ist eine Art Dyndns von AVM für die Fritzboxen um das sehr einfach zu halten. In #17 schreibst du das du nur Myfritz nutzt aber die Domain beim Anbieter eingetragen hast. Wie kommt der Anbieter jetzt an die IP? Es ist nicht so, dass die Myfritz Adresse von der Fritzboy gleich abgegriffen wird und das nicht durchleitet?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat