HTTPS / DDNS nicht erreichbar

funky1 · 11. Sep 2021

Hallo Zusammen,

ich nutze eine DS220+ mit DSM 6.

DDNS habe ich mir über synology.me eingerichtet und der Test war erfolgreich. (Status normal)
Aktuell habe ich zwei Zertifikate. Eins von Syno Standard, darauf läuft der Drive Server. (Sonst funktioniert die Verbindung nicht)
Das zweite Zertifikat ist von Lets Crypt und bedient den Rest, ist auch als Standard ausgewählt.

Wähle ich nun im lokalen Netzwerk https://meine-ddns-adresse.synology.me:https port an, erhalte ich nur die Meldung:

Die Website ist nicht erreichbar

Außerdem meckert mein Browser seit ich damit begonnen habe, dass das Zertifikat ungültig ist und die Verbindung unsicher ist.

Hat jemand einen Tipp für mich?

Rotbart · 11. Sep 2021

Im lokalen Netzwerk funktioniert der Zugriff normalerweise über den Domainnamen nicht, nur über IP und dafür hast du kein Zertifikat von LE, deswegen die Fehlermeldung wegen des Zertifikats, guckst du hier :
https://avm.de/service/wissensdaten...re-Anfrage-aus-Sicherheitsgrunden-abgewiesen/

funky1 · 12. Sep 2021

Ah, dass ist verständlich.

Nun habe ich den Dns Dienst gelöscht und die Umleitung von HTTP auf HTTPS ausgeschaltet. Über den Port für HTTP das NAS angesprochen, jetzt ist das Zertifikat nicht mehr das "Problem".
Nun steht: "Die Verbindung zu dieser Webseite ist nicht sicher".
Ist das weiter schlimm? Es war bevor ich den DNS eingerichtet habe nicht da gestanden.

Rotbart · 12. Sep 2021

Die Meldung kommt weil die Verbindung halt nicht verschlüsselt ist, das macht aber nichts da ich mal behaupte dein privates Netz ist überschaubar und du würdest es sicherlich merken wenn jemand fremdes neben dir auf der Couch sitzt und versucht deine Daten zu manipulieren.
Du kannst aber natürlich auch im lokalen Netz über Https auf deine Dienste zugreifen, bekommst halt nur die "Fehlermeldung" das dass Zertifikat nicht zur IP passt, ist aber eigentlich kein problem du musst nur im Browser eine Ausnahme für die Adresse anlegen, dann ist die Verbindung auch verschlüsselt, dein Browser kann nur nicht überprüfen ob der Server wirklich deiner ist, weil ja niemand ausser dir sagen kann, ja ist meiner.

funky1 · 12. Sep 2021

So wie ich das sehe benötige ich HTTPS, da ich bereits Bitwarden (Vaultwarden) über Docker installiert habe.
Bitwarden verlangt jedoch eine HTTPS, sonst kann ich kein Konto erstellen.

Ich möchte via VPN auf meine Fritzbox und darüber auf Bitwarden zugreifen, wenn ich außerhalb bin.

Rotbart · 12. Sep 2021

Das ist kein Problem, du kannst auch : Fritzbox > Netzwerk > Netzwerkeinstellungen > DNS-Rebind-Schutz dein DDNS Namen eintragen dann klappt das auch aus dem internen Netz, inclusive Zertifikat.

funky1 · 13. Sep 2021

Ich nochmal

Das hat soweit geklappt, danke! Allerdings klappt die Namensauflösung bzw. das Erreichen der HTTPS Seite nicht, wenn ich via VPN vom Iphone draufgeschaltet bin. Darüber erreiche ich das NAS nur, wenn ich die IP angebe und HTTP verwende. Gleiches gilt für Vaultwarden über die in der App hinterlegten IP Adresse.

funky1 · 29. Jan 2023

Hallo Zusammen!
Ich wollte das Thema nochmal aufgreifen. Leider komme ich seit einigen Wochen nur noch via IPhone App auf meinen Vaultwarden Container.

Via PC wird der Zugriff zwecks mangelnder HTTPS Verbindung unterbrochen. Die Syno ist nicht im Internet, soll auch so bleiben.
Das Lets Encrypt Zertifikat ist hinterlegt, die Umleitung von Http auf Https ebenfalls. Damit war es leider nicht getan. Habe bereits das ein oder andere versucht, jedoch ohne Ergebnis. (Einschlägige YouTube Videos)

Kann mir jemand weiterhelfen?

Wäre super

EDvonSchleck · 29. Jan 2023

Das geht, nur wenn du einen DNS-Server, AdGuard oder Pi-Hole betreibst. Ansonsten wird das Zertifikat nicht greifen. Weiterhin machst du einen Reverse-Proxy-Eintrag von deiner DynDNS auf deinen Docker-Container, damit das Zertifikat eingebracht wird. Das war es auch schon.

funky1 · 29. Jan 2023

Aktuell dient quasi meine Fritzbox als DNS Server. Zählt das nicht?

EDvonSchleck · 29. Jan 2023

Die Fritz!Box hat keinen DNS-Server! Was dort unter DNS eingetragen ist, dient nur zur Weiterleitung an den Provider-DNS-Server. Somit muss der DNS der Provider nicht auf jedem Gerät eingetragen werden. Die Fritz!Box übernimmt die Verteilung.

funky1 · 09. Feb 2023

Ich habe den DNS Server auf der Syno installiert sowie eine Zone mit einem beliebigen Namen in Verbindung mit der Syno IP Adresse angelegt.
In der Fritzbox als DNS bei IPV4 die IP der Syno angegeben. Durch CNAME habe ich einen Namen vergeben, über den ich die Syno erreichen wollte.
Bei "autorisierter Name" stand dann ns.beliebigername

Also wollte ich mit dem gewählten Namen+Port der im DSM unter HTTPS hinterlegt ist die Box erreichen. Leider ohne Erfolg.
In der Fritzbox unter Netzwerk habe ich gesehen, dass ich der Syno einen Namen verpasst habe. Über diesen Namen kann ich im Browser die Box erreichen.

Das bringt mich aber nicht wirklich weiter

Übrigens habe ich bereits einen Reverse-Proxy-Eintrag für Vaultwarden angelegt.
Von HTTPS meineddns.synology.me mit Port 443 auf HTTP localhost mit dem jeweiligen Port.
Vaultwarden ist zwar erreichbar, aber nur als HTTP. Damit auch nicht mehr nutzbar. Komme aktuell nur via IOS App drauf.

Also zwei Baustellen

funky1 · 10. Feb 2023

Hat jemand einen Tipp für mich?

EDvonSchleck · 10. Feb 2023

Wird der Domainname im DNS-Server verarbeitet und an die DS weitergeleitet? Was passiert, wenn du in der Eingabeaufforderung nslookup deinedomain.de eingibst?

Zu dieser Domain hast du auch ein Zertifikat? Du kannst ja jede Domain umleiten oder missbrauchen, nur wirst du dafür kein Zertifikat bekommen! Somit solltest du schon den Umweg über eine DynDNS oder Domain gehen, das heißt ja nicht, dass diese von außen erreichbar sein muss. Aber auf irgendeinen Namen muss das Zertifikat ja ausgestellt werden. Das selbst signierte Zertifikat von Synology.com hilft da auch nur bedingt weiter.

funky1 · 12. Feb 2023

Meine Themen sind durch EDvonSchleck individuell gelöst worden. Vielen Dank für deine Zeit !

savo84 · 07. Aug 2023

funky1 schrieb:
Meine Themen sind durch EDvonSchleck individuell gelöst worden. Vielen Dank für deine Zeit !

Da ich exakt die selben Probleme wie du aktuell habe, würde ich mich sehr über einen Lösungsansatz freuen…

Ich komme auch nur via iPhone App drauf und somit ist Bitwarden auch nicht nutzbar für mich.

alexhell · 07. Aug 2023

Schreib doch erstmal was gegeben ist. Also welcher Internetzugang. Ipv4 oder 6 oder beides? Eine echte ipv4? Was hast du bis jetzt eingerichtet/probiert usw...

savo84 · 07. Aug 2023

funky1 schrieb:
Hallo Zusammen,

ich nutze eine DS220+ mit DSM 6.

DDNS habe ich mir über synology.me eingerichtet und der Test war erfolgreich. (Status normal)
Aktuell habe ich zwei Zertifikate. Eins von Syno Standard, darauf läuft der Drive Server. (Sonst funktioniert die Verbindung nicht)
Das zweite Zertifikat ist von Lets Crypt und bedient den Rest, ist auch als Standard ausgewählt.

Wähle ich nun im lokalen Netzwerk https://meine-ddns-adresse.synology.me:https port an, erhalte ich nur die Meldung:

Die Website ist nicht erreichbar

Außerdem meckert mein Browser seit ich damit begonnen habe, dass das Zertifikat ungültig ist und die Verbindung unsicher ist.

Hat jemand einen Tipp für mich?

funky1 schrieb:
Übrigens habe ich bereits einen Reverse-Proxy-Eintrag für Vaultwarden angelegt.
Von HTTPS meineddns.synology.me mit Port 443 auf HTTP localhost mit dem jeweiligen Port.
Vaultwarden ist zwar erreichbar, aber nur als HTTP. Damit auch nicht mehr nutzbar. Komme aktuell nur via IOS App drauf.

Also zwei Baustellen

Hey,

ok sorry. Eigentlich ist alles exakt so wie bei funky1 in den zitierten Beiträgen, ausser das ich bereits auf DSM 7 (aktuellste Version) bin.

Mein Internetanbieter ist ein kleinerer lokaler Anbieter (sewikom) und IPv4 soweit ich weiß (da kenne ich mich leider nicht mit aus).

Vaultwarden läuft im Docker einwandfrei und wenn ich die Ports 443 und 80 in der Fritzbox 7590 freigebe, ist auch alles erreichbar. Allerdings auch von aussen (durch den offenen Port). Das will ich aber nicht, ich möchte Bitwarden nur intern oder über VPN (ist funktionierend in der FB eingerichtet) erreichen.

Das Problem bei Bitwarden ist HTTPS, was ja lokal nicht möglich ist. Einen Reverse Proxy habe ich in der Synology eingerichtet wie im zweiten Zitat hier erwähnt.

alexhell · 07. Aug 2023

Ok... Dann darfst du keine Ports freigeben, dann ist deine NAS nicht mehr von außen erreichbar sondern nur intern/per VPN. Damit du trotzdem intern per z.B. bitwarden.example.synology.me zugreifen kannst brauchst du einen DNS Server ala AdGuard/PiHole/DSNMasq. Die ersten beiden würden auch Werbung blockieren. Der letzte ist nur ein DNS-Server der nichts anderes als die Umschreibung macht und du müsstest den Reverse Proxy einrichten. Also das bitwarden.example.synology.me auf dein Bitwarden mit dem richtigen Port leitet. Dann musst du nur noch im DNS-Server eintragen, dass deine Domain auf deinen Reverse Proxy auflöst.

Edit: Natürlich noch das Zertifikat dem Dienst zuweisen und falls keins vorhanden dann eins holen.

savo84 · 07. Aug 2023

Alles klar, einen PiHole habe ich am laufen und dort auch bereits unter Local DNS > DNS Records folgendes eingetragen: meineddns.synology.me wird auch die IP meiner Synology geleitet. Allerdings kann man dort ja keinen Port angeben sondern nur die IP der Synology. Bitwarden läuft ja als Docker unter der selben IP nur in meinem Fall auf Port: 4080

Im Reverse Proxy auch der Synology habe ich: meineddns.synology.me, Port 443, HSTS > ipdersynology:4080 eingetragen

Deinen letzten Satz verstehe ich nicht ganz, das könnte evtl. des Rätsels Lösung sein. Was genau muß ich WO eintragen?

Vielen Dank vorab.

HTTPS / DDNS nicht erreichbar

Benutzer

Die Website ist nicht erreichbar​

Anhänge

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Gesperrt

Benutzer

Gesperrt

Benutzer

Benutzer

Gesperrt

Benutzer

Benutzer

Benutzer

Benutzer

Die Website ist nicht erreichbar​

Benutzer

Benutzer

Kaffeautomat

Die Website ist nicht erreichbar

Die Website ist nicht erreichbar