FreeDNS + Zertifikat funktioniert nicht?

WingelWongel

Benutzer
Mitglied seit
04. Feb 2023
Beiträge
11
Punkte für Reaktionen
1
Punkte
1
Hallo Leute,
habe ein DS220+ und wollte per FreeDNS und Letsencrypt wie in der Videoanleitung von Synology beschrieben https einrichten, um das ganze sicherer zu gestalten. Leider hat er jetzt das Zertifikat, aber erkennt es noch immer als unsicher an. Egal ob ich aus dem Netzwerk darauf zugreife oder von extern.
Das Zertifikat ist aktiviert im DS220+ und als Standard eingerichtet. Ich kann es auch über crt.sh sehen. Wenn ich auf die Seite zugreife, erklärt er mir das Zertifikat dann aber als ungültig.

Viele Grüße
der Wingel
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ich würde dir eher zu dynv6 mit acme.sh raten. Damit musst du keine extra Ports aufmachen und das Zertifikat erneuert sich automatisch alle 60 Tage. ;)
dynv6 komm aus Bremen und benötigt keine weiteren Daten außer deine E-Mail-Adresse zu aktivieren. Man kann unterschiedliche Zonen und Rekords einstellen und ist ohne Wartezeit sofort einsatzbereit, egal ob IPv4 oder IPv6 und lässt sich mit der Fritz!Box/Router aktualisieren.
 

WingelWongel

Benutzer
Mitglied seit
04. Feb 2023
Beiträge
11
Punkte für Reaktionen
1
Punkte
1
Soll mir recht sein. Ist das für einen Netzwerk-DAU ohne weiteres machbar? Gibts da eine Schritt-für-Schritt-Anleitung für?
 
Zuletzt bearbeitet von einem Moderator:

WingelWongel

Benutzer
Mitglied seit
04. Feb 2023
Beiträge
11
Punkte für Reaktionen
1
Punkte
1
Benötige ich für dynv6 den DDNS Updater 2? Habe DSM 7 drauf. Er nimmt zwar meine Daten, aber aktualisieren geht dann nicht (schlägt fehl). Sollte wohl was mit dem Update-Server zu tun haben, oder?

Sorry, ich bräuchte idiotensichere Anleitungen :(
 
Zuletzt bearbeitet:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Das bekomm auch einer ohne Ahnung hin.
  1. Erstelle dir ein Account mit deiner E-Mail und sichere dir eine Adresse.
  2. Erstelle in der Adresse ein A-Record (IPv4) oder AAAA-Record (IPv6) oder beide, wenn du es brauchst.
  3. Gib die Update-URL (IPv4, IPv6 oder beide) im Router zusammen mit dem Benutzernamen ein, Passwort ist nicht notwendig!
  4. Installiere dir Docker aus dem Paketzentrum
  5. Erstelle den Ordner acme in /docker
  6. Erstelle ein account.conf in /docker/acme (am besten mit dem Synology Texteditor) siehe unten
  7. acme.sh über eine Aufgabe als "root" installieren:
    Code:
    docker run -d --name acme.sh \
    -v /volume1/docker/acme:/acme.sh \
    --net=host \
    --restart always \
    neilpang/acme.sh:latest daemon
  8. Folgende Befehle im Docker Terminal eingeben:
    a. Acme.sh von ZeroSSL auf Lets Encrypt umstellen:
    Code:
    acme.sh --set-default-ca --server letsencrypt
    b. Zertifikat anfordern:
    Code:
    acme.sh --issue --dns dns_dynv6 -d deinedomain.de -d *.deinedomain.de --dnssleep 300
    Zertifikat zur DiskStation übertragen:
    Code:
    acme.sh --deploy -d deinedomain.de --deploy-hook synology_dsm
  9. FERTIG :)

Das hört sich viel an, ist aber wirklich nicht die Rede wert. Es funktioniert mit IPv4 und IPv6, falls du einen Glasfaser-/Kabel- oder DSL-Lite-Anschluss hast gleichermaßen gut. Auch kannst du weitere Subdomains anlegen, wo die Records erstellt wurden. Diese Subdomains gibst du in den Synology Apps, DSM oder im Reverse Proxy ein. Routerfreigaben können auf meistens einen Port 443 begrenzt werden.

Dazu empfehle ich noch die richtige Einstellung der Firewall und das IP-Block-Script von @geimist.

Um deine Adresse aus dem internen Netzwerk zu erreichen, kann es nötig sein den Rebind-Schutz am Router zu deaktivieren bzw. dort deine Adressen einzugeben.

Selbst wenn du IP eine IPv6 hast, erstellst du dir für die Diskstation einen neuen AAAA-Record mit der Geräte IP (letzten 4 Blöcke). Dadurch wird der Prefix vom Router upgedatet und automatisiert somit auch gleich die Diskstation-IP mit ;). Das können nicht viele DynDNS Anbieter! Klare Empfehlung zu dynv6! Wenn du noch weitere Fragen hast, melde dich einfach.
 

Anhänge

  • account.conf.txt
    119 Bytes · Aufrufe: 97
Zuletzt bearbeitet:

WingelWongel

Benutzer
Mitglied seit
04. Feb 2023
Beiträge
11
Punkte für Reaktionen
1
Punkte
1
Cool, danke dir! Muss leider erstmal lästige Wocheneinkäufe jetzt erledigen. Probiere es gleich. Gescheitert hat es bei mir schon daran, dass ich nicht wusste, wo genau ich die Update-URL eintragen soll. Habe einen Speedport 3 Smart. Hoffentlich funktioniert das mit dem Hobel.

Benutze Telekom DSL. Stink normale 250 Mbit/s Leitung. Keine Ahnung ob v4 oder v6 :(

Ports habe ich aber freigegeben, das sollte funktionieren.

Kann ich das alles mit dem Speedport akzeptabel bewältigen oder muss ich mir ne Fritz zulegen? Generell war ich mit dem Speedport ja schon zufrieden :/
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Telekom /Habe den gleichen Anschluss) hat Dual Stack, also beides. Dias DynDNS Update kannst du auf den Router oder Synology laufen lassen, eine extra Anwendung brauchst du dafür nicht!

Den Router tauschen musst du dafür nicht!
 
  • Like
Reaktionen: WingelWongel

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.160
Punkte für Reaktionen
1.652
Punkte
308
Das mit der unsicheren Seite liegt aber nicht am falschem DDNS-Anbieter und ich lese hier im Thread bisher noch nichts, was zur Lösung dieses Problems beitragen könnte.
 

mjth.ffb

Benutzer
Mitglied seit
30. Jan 2023
Beiträge
33
Punkte für Reaktionen
15
Punkte
14
@EDvonSchleck
Da hätte ich auch noch ne Frage:
Habe bei meiner Syno 2FA aktiv und muss gemäß Fehlermeldung den Parameter SYNO_TOTP_SECRET setzen. Wo? in der account.conf?
Die Firewall der Syno ist bei mir auch aktiv. Müssen da Ports freigegeben werden?
Hintergrund: Die Übertragung des Zertifikats zur Syno schlägt fehl
Danke schon mal für die Hilfe und sorry für vielleicht dämliche Fragen. Aber ich bin so ein learning by doing...;)

Mikey
 

Anhänge

  • acme.jpg
    acme.jpg
    37,6 KB · Aufrufe: 14

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ich kenne deine Firewall-Einstellungen nicht. Ich habe wegen andere Anwendungen mein Heimnetz und Dockernetz berücksichtigt. Alle denen ich es eingerichtet habe, hatten keine Probleme.

Ich habe immer einen extra Admin angelegt ohne 2FA und ohne Zugriff auf die Apps und Ordner. Du kannst aber den SYNO_TOTP_SECRET in der account.conf eintragen.
 

mjth.ffb

Benutzer
Mitglied seit
30. Jan 2023
Beiträge
33
Punkte für Reaktionen
15
Punkte
14
Danke.
Mit der SYNO_TOTP_SECRET komme ich nicht klar. Kommt da nur der Text rein oder muss da noch ein Parameter dahinter oder davor? Keine Ahnung :(
Hab die 2FA jetzt mal deaktiviert und schon hat`s gefunzt.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
export SYNO_TOTP_SECRET="sf54gdv6rd454ve5"
Eben den Code welcher du beim Einrichten bekommst, nicht der generiert code!
Den 3. Befehl kannst du immer wieder ausführen, um den 2FA zu testen. Die ersten Befehle musst du dazu nicht ausführen.

Da der neu angelegte Admin ansonsten keine weiteren Rechte und Zugriffe hat, kann man das auch so lassen. Wer an der account.conf kommt, um das Passwort zu lesen, braucht auch den Admin-Account nicht mehr. ;)
Das mag aber jeder für sich selber entscheiden.
 

mjth.ffb

Benutzer
Mitglied seit
30. Jan 2023
Beiträge
33
Punkte für Reaktionen
15
Punkte
14
Tja und wieder mal..
vielen Dank für Deine Hilfe. SO klappt`s einwandfrei mit 2FA

Viele Grüße

Mikey
 

Frank73

Benutzer
Mitglied seit
29. Jan 2018
Beiträge
149
Punkte für Reaktionen
5
Punkte
18
Ich habe immer einen extra Admin angelegt ohne 2FA und ohne Zugriff auf die Apps und Ordner.
Nutze kein 2FA aber in der account.conf ist das Passwort im Klartext hinterlegt, möchte ich ändern.
Verstanden habe ich es so:
  1. Neuer Admin-User anlegen
  2. Hinzufügen zu Gruppe Admin
  3. Dem Admin-User alle Berechtigungen auf die Apps verweigern
  4. Zugriffe auf alle Shares vergweigern
Korrekt?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Richtig, keine Apps und Ordner freigeben. Wenn man möchte, funktioniert aber auch 2FA.

Dazu einfach den 2FA-Code in der account.conf eintragen:
Code:
export SYNO_TOTP_SECRET="aaaabbbbcccc"
 

Frank73

Benutzer
Mitglied seit
29. Jan 2018
Beiträge
149
Punkte für Reaktionen
5
Punkte
18
Habe einen separaten User angelegt; funktioniert auch alles

Eine Frage noch:
Wenn der User weder Schreib- noch Leserechte auf irgendeinen Share hat (selbst auf sein home nicht) und nur in der Gruppe Admin ist, für was genau benötigt dieser User Adminrechte; was muss er ausführen ohne dazu was lesen oder schreiben zu müssen?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat