FreeDNS + Zertifikat funktioniert nicht?

[WingelWongel]

Hallo Leute,
habe ein DS220+ und wollte per FreeDNS und Letsencrypt wie in der Videoanleitung von Synology beschrieben https einrichten, um das ganze sicherer zu gestalten. Leider hat er jetzt das Zertifikat, aber erkennt es noch immer als unsicher an. Egal ob ich aus dem Netzwerk darauf zugreife oder von extern.
Das Zertifikat ist aktiviert im DS220+ und als Standard eingerichtet. Ich kann es auch über crt.sh sehen. Wenn ich auf die Seite zugreife, erklärt er mir das Zertifikat dann aber als ungültig.

Viele Grüße
der Wingel

 

[EDvonSchleck]

Ich würde dir eher zu dynv6 mit acme.sh raten. Damit musst du keine extra Ports aufmachen und das Zertifikat erneuert sich automatisch alle 60 Tage.
dynv6 komm aus Bremen und benötigt keine weiteren Daten außer deine E-Mail-Adresse zu aktivieren. Man kann unterschiedliche Zonen und Rekords einstellen und ist ohne Wartezeit sofort einsatzbereit, egal ob IPv4 oder IPv6 und lässt sich mit der Fritz!Box/Router aktualisieren.

 

[WingelWongel]

Soll mir recht sein. Ist das für einen Netzwerk-DAU ohne weiteres machbar? Gibts da eine Schritt-für-Schritt-Anleitung für?

 

[synfor]

@EDvonSchleck ich bezweifel, dass dein Vorschlag das Problem des Threadstarters löst.

 

[WingelWongel]

Benötige ich für dynv6 den DDNS Updater 2? Habe DSM 7 drauf. Er nimmt zwar meine Daten, aber aktualisieren geht dann nicht (schlägt fehl). Sollte wohl was mit dem Update-Server zu tun haben, oder?

Sorry, ich bräuchte idiotensichere Anleitungen

 

[EDvonSchleck]

Das bekomm auch einer ohne Ahnung hin.

1. Erstelle dir ein Account mit deiner E-Mail und sichere dir eine Adresse.
2. Erstelle in der Adresse ein A-Record (IPv4) oder AAAA-Record (IPv6) oder beide, wenn du es brauchst.
3. Gib die Update-URL (IPv4, IPv6 oder beide) im Router zusammen mit dem Benutzernamen ein, Passwort ist nicht notwendig!
4. Installiere dir Docker aus dem Paketzentrum
5. Erstelle den Ordner acme in /docker
6. Erstelle ein account.conf in /docker/acme (am besten mit dem Synology Texteditor) siehe unten
7. acme.sh über eine Aufgabe als "root" installieren:
   

   docker run -d --name acme.sh \
   -v /volume1/docker/acme:/acme.sh \
   --net=host \
   --restart always \
   neilpang/acme.sh:latest daemon

8. Folgende Befehle im Docker Terminal eingeben:
   a. Acme.sh von ZeroSSL auf Lets Encrypt umstellen:
   

   acme.sh --set-default-ca --server letsencrypt

   b. Zertifikat anfordern:
   

   acme.sh --issue --dns dns_dynv6 -d deinedomain.de -d *.deinedomain.de --dnssleep 300

   Zertifikat zur DiskStation übertragen:
   

   acme.sh --deploy -d deinedomain.de --deploy-hook synology_dsm

9. FERTIG

Das hört sich viel an, ist aber wirklich nicht die Rede wert. Es funktioniert mit IPv4 und IPv6, falls du einen Glasfaser-/Kabel- oder DSL-Lite-Anschluss hast gleichermaßen gut. Auch kannst du weitere Subdomains anlegen, wo die Records erstellt wurden. Diese Subdomains gibst du in den Synology Apps, DSM oder im Reverse Proxy ein. Routerfreigaben können auf meistens einen Port 443 begrenzt werden.

Dazu empfehle ich noch die richtige Einstellung der Firewall und das IP-Block-Script von @geimist.

Um deine Adresse aus dem internen Netzwerk zu erreichen, kann es nötig sein den Rebind-Schutz am Router zu deaktivieren bzw. dort deine Adressen einzugeben.

Selbst wenn du IP eine IPv6 hast, erstellst du dir für die Diskstation einen neuen AAAA-Record mit der Geräte IP (letzten 4 Blöcke). Dadurch wird der Prefix vom Router upgedatet und automatisiert somit auch gleich die Diskstation-IP mit . Das können nicht viele DynDNS Anbieter! Klare Empfehlung zu dynv6! Wenn du noch weitere Fragen hast, melde dich einfach.

 

[EDvonSchleck]

@EDvonSchleck ich bezweifel, dass dein Vorschlag das Problem des Threadstarters löst.

Warum nicht gleich richtig lösen und das Ganze optimieren?

 

[WingelWongel]

Cool, danke dir! Muss leider erstmal lästige Wocheneinkäufe jetzt erledigen. Probiere es gleich. Gescheitert hat es bei mir schon daran, dass ich nicht wusste, wo genau ich die Update-URL eintragen soll. Habe einen Speedport 3 Smart. Hoffentlich funktioniert das mit dem Hobel.

Benutze Telekom DSL. Stink normale 250 Mbit/s Leitung. Keine Ahnung ob v4 oder v6

Ports habe ich aber freigegeben, das sollte funktionieren.

Kann ich das alles mit dem Speedport akzeptabel bewältigen oder muss ich mir ne Fritz zulegen? Generell war ich mit dem Speedport ja schon zufrieden :/

 

[EDvonSchleck]

Telekom /Habe den gleichen Anschluss) hat Dual Stack, also beides. Dias DynDNS Update kannst du auf den Router oder Synology laufen lassen, eine extra Anwendung brauchst du dafür nicht!

Den Router tauschen musst du dafür nicht!

 

[WingelWongel]

Dias DynDNS Update kannst du auf den Router oder Synology laufen lassen,

Was würdest du empfehlen? Gibt es Vor- / Nachteile zwischen den beiden?

 

[synfor]

Das mit der unsicheren Seite liegt aber nicht am falschem DDNS-Anbieter und ich lese hier im Thread bisher noch nichts, was zur Lösung dieses Problems beitragen könnte.

 

[WingelWongel]

Mit ein wenig Nachhilfe hat es funktioniert! Vielen Dank an @EDvonSchleck

 

[mjth.ffb]

@EDvonSchleck
Da hätte ich auch noch ne Frage:
Habe bei meiner Syno 2FA aktiv und muss gemäß Fehlermeldung den Parameter SYNO_TOTP_SECRET setzen. Wo? in der account.conf?
Die Firewall der Syno ist bei mir auch aktiv. Müssen da Ports freigegeben werden?
Hintergrund: Die Übertragung des Zertifikats zur Syno schlägt fehl
Danke schon mal für die Hilfe und sorry für vielleicht dämliche Fragen. Aber ich bin so ein learning by doing...

Mikey

 

[EDvonSchleck]

Ich kenne deine Firewall-Einstellungen nicht. Ich habe wegen andere Anwendungen mein Heimnetz und Dockernetz berücksichtigt. Alle denen ich es eingerichtet habe, hatten keine Probleme.

Ich habe immer einen extra Admin angelegt ohne 2FA und ohne Zugriff auf die Apps und Ordner. Du kannst aber den SYNO_TOTP_SECRET in der account.conf eintragen.

 

[mjth.ffb]

Danke.
Mit der SYNO_TOTP_SECRET komme ich nicht klar. Kommt da nur der Text rein oder muss da noch ein Parameter dahinter oder davor? Keine Ahnung
Hab die 2FA jetzt mal deaktiviert und schon hat`s gefunzt.

 

[EDvonSchleck]

export SYNO_TOTP_SECRET="sf54gdv6rd454ve5"
Eben den Code welcher du beim Einrichten bekommst, nicht der generiert code!
Den 3. Befehl kannst du immer wieder ausführen, um den 2FA zu testen. Die ersten Befehle musst du dazu nicht ausführen.

Da der neu angelegte Admin ansonsten keine weiteren Rechte und Zugriffe hat, kann man das auch so lassen. Wer an der account.conf kommt, um das Passwort zu lesen, braucht auch den Admin-Account nicht mehr.
Das mag aber jeder für sich selber entscheiden.

 

[mjth.ffb]

Tja und wieder mal..
vielen Dank für Deine Hilfe. SO klappt`s einwandfrei mit 2FA

Viele Grüße

Mikey

 

[Frank73]

Ich habe immer einen extra Admin angelegt ohne 2FA und ohne Zugriff auf die Apps und Ordner.

Nutze kein 2FA aber in der account.conf ist das Passwort im Klartext hinterlegt, möchte ich ändern.
Verstanden habe ich es so:

1. Neuer Admin-User anlegen
2. Hinzufügen zu Gruppe Admin
3. Dem Admin-User alle Berechtigungen auf die Apps verweigern
4. Zugriffe auf alle Shares vergweigern

Korrekt?

 

[EDvonSchleck]

Richtig, keine Apps und Ordner freigeben. Wenn man möchte, funktioniert aber auch 2FA.

Dazu einfach den 2FA-Code in der account.conf eintragen:

export SYNO_TOTP_SECRET="aaaabbbbcccc"

 

[Frank73]

Habe einen separaten User angelegt; funktioniert auch alles

Eine Frage noch:
Wenn der User weder Schreib- noch Leserechte auf irgendeinen Share hat (selbst auf sein home nicht) und nur in der Gruppe Admin ist, für was genau benötigt dieser User Adminrechte; was muss er ausführen ohne dazu was lesen oder schreiben zu müssen?