DSN, SSL, eigene Domain bei all-inkl

[TGold]

Hallo zusammen,

leider komme ich mit den gefundenen Informationen nicht weiter und benötige niveaugerechten Support ;-)
Also für einen Laien!


Was hab ich?
- eine neue DS218+ (meine erste)
- Eine eigene noch unbenutzte Domain bei All-inkl, welche ich schon mit SSL versehen ist.
- Fritzbox 7590
(der Rechner und das NAS hängen an einem Switch, welcher zum Router führt).

Was geht zur Zeit?
Ich komme mittels der URL von meinem Provider auf das NAS, aber ungesichert und sicherbarer Weiterleitung (dazu unten mehr).
Mittlerweile hab ich gefühlt an so vielen Stellen "rumgedoktert", dass ich die Ü verloren habe.

Bisher unternommen habe ich folgendes:

am Router:
- Portweiterleitung auf 5000, 5001 und 80 (wobei ich letztlich ja nur 5001 (SSL) haben will)
- unter Internet - Freigaben -> DynDNS habe ich die Daten vom DDNS Benutzer eingetragen, welche ich beim
Provider angelegt habe
Update-URL: dyndns.kasserver.com/?myip=<ipaddr>
Domainname: die registrierte Domain (oder muss hier die DDNS Domain mit Subdomain rein?)
Benutzer:
Passwort: vom DDNS Nutzer


auf dem NAS:
- unter Externer-Zugriff -> DDNS die Daten des beim Provider angelegten DDNS Benutzer eingetragen; Status = normal
- Sicherheit -> Zertifikat : das Synology Zertifikat gelöscht und mein käuflich erworbenes eingetragen


beim Provider:
- Domainweiterleitung beim Provider auf die derzeitige IP des Routers: xxx.xxx.xxx.xxx:5001
- bei allinkl habe ich einen ddns Benutzer angelegt
- wenn ich die Weiterleitung entferne, ist die Verbindung zur URL abgesichert


Wenn ich jetzt die URL eingebe, erfolgt die WEiterleitung auf die IP:5001, aber ungesichert.
Wie kann ich es realisieren, dass der Domainname angezeigt bleibt und die Verbindung gesichert ist?

Wenn weitere Informationen nötig sind, gebt bitte bescheid.

Habt vielen Dank,
Tom

 

[TeXniXo]

Wenn ich jetzt die URL eingebe, erfolgt die WEiterleitung auf die IP:5001, aber ungesichert.
Wie kann ich es realisieren, dass der Domainname angezeigt bleibt und die Verbindung gesichert ist?

Für einen Laien! hast eh schon viel zusammengebracht!

Lad dir die SSL-Schlüsseln (*.crt und *.key) von deiner Hosting-Seite herunter und lad sie in DS hoch (Systemeinstellungen - Sicherheit - oben auf "Zertifikate"). Dann das neu zugefügten Zertifikate anwählen und konfiguieren anwählen - dort "Standard" - rechts dein Zertifikat auswählen. Wär für den Beginn mal gut!

 

[Fusion]

DDNS musst du nur entweder im Router ODER im NAS einrichten. Domainname ist natürlich deine komplette DDNS Domain ddns.domain.de
Dann zeigt die Domain auf die öffentliche IP deines Routers und zwar immer auf die aktuelle.

Du musst konkreter Beispiele für die Einstellungen beim Provider benutzen. Mir ist jedenfalls nicht klar welche Domain du jetzt genau wohin umleitest?

Alleine durch Einrichtung des DDNS solltest du mit
https://ddns.domain.de:5001 auf dein NAS kommen
https ist gleichbedeutend mit Port 443, soll es ein anderer Port sein muss dieser angegeben werden.
Unter Systemsteuerung > Netzwerk > DSM Einstellungen kannst noch http > https Umleitung aktivieren, damit auch ddns.domain.de funktioniert.
Dafür müssen allerdings Port 80 und 5001 offen bleiben, weil die originäre Anfrage ddns.domain.de auf Port 80 reinkommt.

Alternativ kannst du beim Hoster eine http Umleitung von sub.domain.de auf https://ddns.domain.de:5001 anlegen. Dann wird die Umleitung vorne weg gemacht und du musst nur Port 5001 offen haben (mal abgesehen davon, dass ich keine Standard-Ports nach außen offen haben wollen würde).

Willst du dass sub.domain.de verwendet wird und auch angezeigt bleibt musst du ein CNAME von sub.domain.de auf ddns.domain.de anlegen. Dann musst du allerdings wieder den Port mitgeben.

Für ddns.domain.de kann man noch ein Lets Encrypt Zertitifkat auf der DS anlegen, dann gibt es auch keine Warnungen mehr dazu. Allerdings muss da auch Port 80/443 für die Erstellung des Zertifikats offen sein und Port 80 für die Erneuerung alle 3 Monate.
Ein Zertifikat beim Hoster bringt dich (meist) nicht weiter (, weil du es nicht ausgehändigt bekommst).

 

[TGold]

@TeXniXo: Ich habe nur noch das von mir eingegebene Zertifikat drin, daher ist das als Standard geführt. Aber danke für den Hinweis ;-)

DDNS musst du nur entweder im Router ODER im NAS einrichten. Domainname ist natürlich deine komplette DDNS Domain ddns.domain.de
Dann zeigt die Domain auf die öffentliche IP deines Routers und zwar immer auf die aktuelle.

Ich habe nun das DDNS auf dem NAS entfernt und in der Firtbox entsprechend angepasst.

Du musst konkreter Beispiele für die Einstellungen beim Provider benutzen. Mir ist jedenfalls nicht klar welche Domain du jetzt genau wohin umleitest?

Wie erkläre ich es genau. Ich möchte gern meine domain.de benutzen. Das SSL Zertifikat habe ich über ssls.com bezogen und für die Domain.de
konfiguriert. Die CRT und CA habe ich also vorliegen und beim Provider eingetragen. Die Domain.de wird auch als gesichert angezeigt (wenn keine Weiterleitung
eingetragen ist).
Mir ist halt nicht wirklich klar, wie ich besser komme, eine Weiterleitung auf dem Router oder der NAS oder beim Provider. Ich seh gerade nur ????

Alleine durch Einrichtung des DDNS solltest du mit
https://ddns.domain.de:5001 auf dein NAS kommen

Gebe ich ddns.domain.de ein, dann wird das Zertifikat nicht durchgeschleift. Ich komme auf eine Seite wo mir vom NAS gesagt wird, dass ich die Web Station
aktiviert ist, aber um dies abzuschließen zu "Web Service" wechseln soll. Nur finde ich diese Ruprik nicht im DSM.
Außerdem würde ich ja viel lieber die domain ohne subdomain eingeben wollen.

https ist gleichbedeutend mit Port 443, soll es ein anderer Port sein muss dieser angegeben werden.

hab nun auf dem Router auch 443 freigeschaltet.

Unter Systemsteuerung > Netzwerk > DSM Einstellungen kannst noch http > https Umleitung aktivieren, damit auch ddns.domain.de funktioniert.
Dafür müssen allerdings Port 80 und 5001 offen bleiben, weil die originäre Anfrage ddns.domain.de auf Port 80 reinkommt.

Das hatte ich schon erledigt.

Willst du dass sub.domain.de verwendet wird und auch angezeigt bleibt musst du ein CNAME von sub.domain.de auf ddns.domain.de anlegen. Dann musst du allerdings wieder den Port mitgeben.

Ist mir zu hoch. Kann sowas aber wohl biem Provider einstellen.

Für ddns.domain.de kann man noch ein Lets Encrypt Zertitifkat auf der DS anlegen, dann gibt es auch keine Warnungen mehr dazu. Allerdings muss da auch Port 80/443 für die Erstellung des Zertifikats offen sein und Port 80 für die Erneuerung alle 3 Monate.
Ein Zertifikat beim Hoster bringt dich (meist) nicht weiter (, weil du es nicht ausgehändigt bekommst).

Das Zertifikat hab ich wie gesagt woanders bezogen und hätte die CRT, CA vorliegen. Aber dies wurde für die Domain.de ausgestellt.

 

[Fusion]

Das Zertifikat lautet also auf domain.de und NUR auf domain.de?
Dann kannst du es zwar auf der DS importieren, aber es wäre dann nur gültig/vertrauenswürdig im Browser markiert für Anfragen an domain.de.
Anfragen an ddns.domain.de würde wiederum eine Warnung produzieren.

Und das Ziel wäre, dass domain.de möglichst ohne Protokoll und Portangabe auf dem DSM landet?
Oder sollen noch andere Dienste von extern irgendwie erreichbar sein?

Falls ja, dann gibt es da ein paar technische Einschränkungen.

Wenn man beim Hoster jetzt direkt domain.de als DDNS setzen kann, dann wäre es z.B. nicht mehr möglich email-Dienste für @domain.de beim Hoster laufen zu lassen, weil alles auf deiner DS / deinem Anschluß landet.
Arbeitet man hingegen mit einer http Umleitung von domain.de, dann kann die URL domain.de nicht im Browser erhalten bleiben, weil man ja z.B. auf ddns.domain.de:<port> umgeleitet wird
Dann muss auch das Zertifikat auf der DS auf ddns.domain.de lauten.
Ebenso kann in diesem Fall unter domain.de keine eigene Webseite auf der DS betreiben, weil man ja direkt auf den DSM umleitet.

 

[TGold]

Vielen Dank für die ausführliche Erklärung. Ich lerne stetig dazu.
Das Zertifikat ist ziemlich sicher nur für Domain.de
Jetzt ist zumindest die Adresse mit ddns.domain.de eine sichere Verbindung, da ich deine kostenfrei genannte Version genutzt habe, also die bordeigenen Mittel genutzt.

Und ja, ich nutze noch eine Instar Außenkamera, welche über DNS eingebunden ist. Vorher DNS bei no-ip.com,jetzt das ddns bei all inkl.

Ein Fehler war auch, dass ich als domain Weiterleitung meine externe IP genutzt habe. Jetzt mit der ddns.domain.de:5001 ist die Verbindung gesichert.

Im Grunde kann ich damit leben, dass ich nun diese längere Adresse eingeben muss - Hauptsache es ist safe.

Oder hast du noch den ultimativen Tipp? Also Email service ist nichts kriegsentscheidend, aber wer weiß ob ich es nicht doch noch nutzen möchte.

VG
Tom

 

[Fusion]

Du kannst überlegen welche Dienste du grundsätzlich von extern nutzen möchtest und mit welchen Endgeräten. Dann wäre eventuell noch zu überlegen, ob man nicht auf VPN setzt (sich also über ein verschlüsselten Tunnel ins Heimnetz einwählt und dann wie im LAN arbeitet).

Beim Status Quo würde ich mindestens noch den externen Port ändern auf einen zwischen 1024 und 65535 und die Portweiterleitung im Router anpassen, so dass jeder 0815 Netzscanner deine DS findet wenn er nach 5001 sucht.
Also z.B. Hoster ddns.domain.de:15001, Router 15001 > 5001 > DS,

Wenn du mehrere Subdomains definieren kannst, kannst du auch überlegen, ob du mit benutzerdefinierten Domains arbeiten willst.
Die lassen sich z.B. unter Systemsteuerung > Netzwerk > DSM Einstellungen und unter Systemsteuerung > Anwendungsportal > Anwendungen einstellen ala dienst.domain.de
Dafür muss dann auch nur noch Port 80/443 offen sein und du kannst dir die Domainumleitung beim Hoster mit Portangaben sparen.
Dort machst du in den DNS Einstellungen dann nur noch CNAME Einträge ala
dsm.domain.de IN CNAME ddns.domain.de
audio.domain.de IN CNAME ddns.domain.de
...
Damit wird deine öffentliche IP mit allen eingetragenen dienst.domain.de verbunden.
Für die dienst.domain.de Domains kannst dir dann auch LE - Zertifikate auf der DS holen lassen.

Vorteil, keine Ports etc., email-Dienst ist auch noch flexibel entweder beim Hoster oder auf der DS, Nachteil längerer Domain ala sub.domain.de für die einzelnen Dienste/Anwendungen.

 

[TGold]

Hallo Fusion,
ich bin noch eine Antwort schuldig.
Danke erstmal für den Fahrplan. Aber um ehrlich zu sein, hast du mich damit etwas überfordert *g*
Ich nehme mir die Dinge mal mit und versuche an der einen oder anderen Schraube noch zu drehen.
Das mit den Ports klingt plausibel und da lege ich auch am meisten Wert drauf, dass es einigermaßen
sicher ist.
Wenn ich die genannten ToDos gegen eine kleine Aufwandsentschädigung in Auftrag geben kann/darf, kannst du mich
gern via PN anschreiben ;-)

VG
Tom

 

[Fusion]

Die Tage sieht es schlecht aus bei mir mit Zeit.

Du kannst dir ja erst mal überlegen wie du es gerne umsetzen würdest und wenn du dabei wieder auf Probleme stößt bzw. allgemein sehen wir dann weiter wie wir deine Kiste ans Rennen kriegen.