DSM 6.x und darunter DSM Version: 6.2.3-25423

[geimist]

Zertifikats Erinnerungs-Mail (wenn man eine DynDNS hat die nicht Synology.me heißt)

Die Mail kommt auch für andere Domains (und sie kommt direkt von Let's Encrypt).

 

[luddi]

es gibt kein Zertifikat für IP Adressen [...]

Ein direktes Zertifikat für IP Adressen ist mir auch nicht bekannt. Aber man kann sehr wohl IP Adressen im SAN (subject alternative name) aufnehmen. Somit besteht die Möglichkeit die lokale IP Adresse der Diskstation einzutragen und der Browser ist zufrieden.

Ob Letsencrypt dies zulässt ist mir nicht bekannt. Jedoch habe ich dies selbst schon bei "selbst signierten" Zertifikaten in der Vergangenheit so gehandhabt.

--luddi

 

[Waidler]

Es gibt ein Patch für die Photo App

https://community.synology.com/enu/forum/1/post/133249

Super. Vielen Dank. Scheint zu funktionieren.

 

[Kurt-oe1kyw]

Aktualisierung der Zertifikate über definierten Port wie z.B. 433 (Synology setzt eine dauerhafte Öffnung des Ports 80 voraus)

für die automatische Verlängerung vom LE Zertifikat muss entweder Port 443 (sichere Verbindung) und oder Port 80 zugänglich sein. Es muss also nicht zwingend Port 80 sein, du kannst auch nur 443 nehmen.
Aber wenn jemand sicher gehen will, dann kann er ja die Standardport 443/80 kurz vor der manuellen Verlängerung öffnen und nach erfolgreicher Verlängerung wieder Schließen.

 

[DKeppi]

Bei mir hat das bisher leider immer nur mit geöffnetem Port 80 automatisch funktioniert,
Port 443 habe ich sowieso offen wegen meiner Homepage aber das reichte nie.

Hat sich da in letzter Zeit was geändert?

 

[cobra82]

Meint ihr hier diese Port Freigabe machen zB 443 dann geht das automatisch?

 

[seger85]

Bei mir hat das bisher leider immer nur mit geöffnetem Port 80 automatisch funktioniert,
Port 443 habe ich sowieso offen wegen meiner Homepage aber das reichte nie.

Hat sich da in letzter Zeit was geändert?

Genauso ist es bei mir auch, wenn 80 nicht offen ist geht gar nicht. Mit oder ist da nichts.

Und das bedeutet man muss immer einen Wecker stellen, andere Software Häuser bekommen es sauberer automatisch über 443 hin.

So zumindest mein Wissensstand.

Email Benachrichtigung schaue ich nochmal. Vielleicht habe ich auch immer Manuel zu früh aktualisiert.

 

[geimist]

Meint ihr hier diese Port Freigabe machen zB 443 dann geht das automatisch?

Im Router (dein Bild) muss der Port 80 / 443 natürlich auf die DS zeigen (Let's Encrypt muss deine Domain prüfen). Auch die Firewall (DSM) muss meines Wissens für den Port offen sein.

 

[cobra82]

was genau heisst das? muss ich dort auch jetzt neue Port Freigabe machen in Fritzbox?


meinst du hier siehe screeenshot? muss da auch ein haken sein?

 

[geimist]

Das machst du am besten direkt in der FritzBox (wie in deinem Screenshot mit 5001 und 5006). Hier einfach noch den Port 80 auf die lokale IP der DS leiten.

 

[Fusion]

Die Portweiterleitungen oder Freigaben bitte ENTWEDER in der Routerkonfiguration der DS ODER im Router machen, aber nicht hier und da rumwerkeln.
Wie @geimist meinst würde ich da den Router bevorzugen und auch die Portöffnung via uPnP abschalten.

 

[cobra82]

Ist das hier so richtig? weil hatte mal probleme weil ich mal auf DSM und Fritzbox was gemacht hatte, jetzt mache ich es direkt auf der Fritzbox, aber so wie auf dem Bild ist es richtig?

und sind solche Ports Öffnungen auch sicher?

 

[Fusion]

Ja, die Freigabe ist so in Ordnung.

Ports sind nicht sicher oder unsicher.
Jeder geöffnete Port stellt ein Risiko dar bzw. eventuelle Sicherheitslücken in den Anwendungen die auf diesen Ports lauschen und antworten.

Deshalb würde ich allseits bekannte Ports wie 5000/5001 niemals nach außen öffnen. Da sucht einfach jeder Schwachstellen-Scanner zuerst nach Synologys, wenn mal eine Lücke da ist.

 

[synfor]

Da ich ja weiß das es eine autom Verlängerung war bestätige ich die Richtigkeit, dass ich mit dem "richtigen" Server verbunden bin und die APP schaltet danach auf die DS durch.

Na hoffentlich war das ungeprüfte Zertifikat dann nicht eines von einem MITM-Angreifer.

 

[cobra82]

Aber Ports 5000-5006 braucht man doch um auf der Synology drauf zuzugreifen oder kann man alle Ports weglassen?
Weil wenn ich die Ports lösche kann ich mit der Drive App nicht drauf zugreifen.
Auch habe ich webDAV damit ich mit der Scanner App alles direkt hochladen kann.

Und kann man diese Ports ändern wenn ja was muss man einstellen?

 

[RichardB]

Ja, kannst Du (das sind natürlich nicht meine "echten" Ports). Den App´s musst Du es dann mitteilen.

 

[cobra82]

Aber Ports müssen aber sein um drauf zuzugreifen oder zb wegen der myds.me Adresse

Und die Ports ändern kann beliebig irgendeine sein?

Und wie ändere ich Port 80 und 443? Ist dieser nur wegen der Zertifikat wichtig?

 

[Fusion]

Das kommt drauf an wer alles mit der DS arbeitet.
Bei einzelnen oder wenigen kann man das z.B. per VPN mit dem Router machen und dann die DS nur "lokal" ansprechen, ohne sie nach außen direkt zu öffnen.

Will man aber auch Nutzer ohne VPN zugreifen lassen etc muss eben mehr offen sein.
Für öffentlich "bestätigte" Zertifikate wie Lets Encrypt muss eben 80/443 offen sein, weil darüber geprüft wird ob die Zertifikatsanfrage von jenem System kommt, welches auch unter den Domainnamen im Zertifikat erreichbar ist.

Überall wo man benutzerdefinierte Domains setzen kann, kann man diese Anwendungen "huckepack" auf 80/443 betreiben, also alle über die normalen Webserver Ports. Unter Systemsteuerung > Anwendungsportal eben für diverse Anwendungen von Synology oder per Reverse Proxy für andere Web-Anwendungen. Unter Systemsteuerung > Netzwerk > DSM Einstellungen auch für den DSM (Frage: braucht man das, oder reichen ausgewählte Anwendungen?)
webDAV Server kann man einen anderen port in den Einstellungen setzen, nur 80/443 geht glaube nicht.

Und wenn es nur wegen webDAV und dem Zertifikat ist, macht man sich halt eine Erinnerung in den Kalender und aktiviert/deaktiviert die Ports alle 2-3 Monate, wenn man ein aktualisiertes Zertifikat holt und man sonst die DS darüber nicht erreichen können muss.

 

[cobra82]

Zertifikat könnte ich ja noch Manuel machen das wäre kein großes Problem. Wichtiger ist dabei nur Drive das das funktioniert. Und dafür müsste ich aber Ports Freihafen rein richtig?

Über VPN habe ich auch eine Möglichkeit aber das ich öfters draufzugreifen ist es mir anderes besser dass es dort sofort funktioniert.
Und HTTPS ist ja auch sicherer oder und Ports kann ich dann beliebig wählen.

 

[Fusion]

Bei Drive kommt es darauf an. Der Zugriff per App oder Web-Interface kann auch per 443 laufen z.B.
Einzig wenn der Desktop Client mit Sync zum Einsatz kommen soll ist Port 6690 zwingend.
Mit IPv4 kann man es mit Portumleitung noch verschleiern, mit IPv6 oder IPv4/IPv6 muss man direkt Port 6690 öffnen, da man diesen auf der DS selbst nicht ändern kann.

https bzw. ssl ist eine Transportverschlüsselung. Ohne würde ich sowieso nie zugreifen wollen, weil sonst der gesamte Datenstrom unverschlüsselt durchs Internet läuft.
Das hat aber nichts mit der Sicherheit der DS oder der benutzen Anwendung zu tun.