https für alle Geräte im LAN nutzen

[allahopp]

Hallo zusammen,

nachdem ich mir mit Hilfe von @EDvonSchleck ein eigenes SSL-Zertifikat für meine "domäne.de" auf der NAS erstellt habe, kann diese über "https" aufgerufen werden.

Jetzt würde ich gerne einige andere Geräte mittels "https" aufrufen, z. B. "ht**s://drucker.domäne.de" oder "ht**s://siptelefon.domäne.de".

Ist dies so einfach mögllich, oder muss das Zertifikat bei jedem Gerät hinterlegt (importiert) werden (läuft ja auch alle 90 Tage ab)?

 

[EDvonSchleck]

Ja, ist einfach möglich. Am einfachsten über den Reverse Proxy. Bei einigen Geräten wie bei der Fritz!Box kann man auch das Zertifikat direkt auf dem Gerät mit acme.sh installieren. Bei beiden Versionen musst du nichts Weiteres machen, außer einmal zuteilen. Das erledigt acme,sh für dich nach 60 Tagen automatisch.

 

[allahopp]

Ich bekomms einfach nicht hin.

Habe im DNS einen A-Record Eintrag gemacht: "drucker.domäne.de" mit IP des PCs.
Einen Eintrag Reverse-Proxy: Protokoll: "HTTP"; hostname: "drucker.domäne.de"; Port: 443; Zielprotokoll: "HTTP"; Hostname: IP des Druckers; Port:80

Browsereingabe: "https://drucker.domäne.de" bringt den Hinweis: Verbindung fehlgeschlagen.

Da mein Zertifikat für "*.domäne.de" und "domäne.de" gilt, kann ich https nur über einen Namen machen.

Was mache ich falsch?

 

[EDvonSchleck]

Du machst einen CNAME keinen A-Record! Siehe hier.

Reden wir hier von IPv4 oder IPv6? Zieladresse ist auf Port 80 erreichbar? Wir reden hier vom Webinterface, nicht von der Druckanwendung?
Bei welchem Anbieter bist du denn genau? Willst du es intern und extern nutzen?

 

[allahopp]

• Mit CNAME wollte ich schon testen, wusste allerdings nicht, was in das Feld "Autorisierter Name" muss.
• Nur IPv4
• Zieladresse ist auf Port 80 erreichbar
• Webinterface
• Meine Domäne habe ich bei ionos und mittels acme.sh auf der NAS erstellt
• Aktuelle Nutzung nur intern

 

[EDvonSchleck]

IONOS ist ein bisschen Tricky, dort solltest du keine Subdomain mit Webspace einrichten, sondern nur bei den Records. Das war auf den letzten Reiter, wenn ich das so in Erinnerung habe! Als Ziel gibst du einfach deine Domain bzw. @ an. Wenn du weitere Einstellungen hast, bist du falsch! Wenn dein * mit upgedatet wird, solltest du nichts mehr machen müssen. Dann kann nslookup aber aufschlussreich sein.

Beispiel zeigt die Subdomain "www"

 

[allahopp]

Jetzt verstehe ich gar nix mehr

Da ich das ja nur intern nutze möchte um per "https" auf die Geräte zugreifen zu können, verstehe ich nicht, warum ich jetzt beim Domainverwalter was administrieren muss.

Ich ging davon aus:
- In SynDNS wird "drucker.domäne.de" mit IPv4 hinterlegt.
- Eintrag Reverse-Proxy auf die IP "drucker.domäne.de"

Browser fragt bei "ht**s://drucker.domäne.de" den SynDNS ab. Dieser erkennt, dass er für diese Domäne verantwortlich ist und übergibt an Reverse-Proxy und Reverse-Proxy leitet weiter an IP von "drucker.domäne.de" und der Zugriff ist dann SSL-verschlüsselt.
--> Bei vaultwarden läuft es doch auch (läuft auf der NAS in einem Container ohne macvlan).

 

[maxblank]

Gib bitte mal intern in der Windows Commandline nslookup IP_deines_Druckers ein und poste bitte das Ergebnis hier.

 

[alexhell]

Einen Eintrag Reverse-Proxy: Protokoll: "HTTP"; hostname: "drucker.domäne.de"; Port: 443; Zielprotokoll: "HTTP"; Hostname: IP des Druckers; Port:80

Beim Reverse Proxy Eintrag bei drucker.domäne.de wirklich HTTP ausgewählt oder nur ein Tippfehler? Das müsste HTTPS sein.

 

[allahopp]

Gib bitte mal intern in der Windows Commandline nslookup IP_deines_Druckers ein und poste bitte das Ergebnis hier.

Werd ich heute Abend mal machen.

eim Reverse Proxy Eintrag bei drucker.domäne.de wirklich HTTP ausgewählt oder nur ein Tippfehler? Das müsste HTTPS sein.

Tippfehler. Steht "https" und Port 443

 

[EDvonSchleck]

Ich habe nur IONOS gelesen. Für die Interne Nutzung musst du natürlich auch kein CNAME bei dem Hoster anlegen.

Ob HTTP oder HTTPS als Ziel angegeben, ist egal, sofern das Gerät dieses unterstützt. Habe ich selbst mit der Fritz!Box vor einiger Zeit getestet.

 

[maxblank]

Das war auch das mit IONOS, was mich bei einer internen Domäne gewundert hat. Wir müssen die Namensauflösung intern ans Fliegen bekommen.

 

[EDvonSchleck]

Das ist notwendig wegen des Zertifikates.

 

[allahopp]

Bin einen kleinen Schritt weiter.

Bei Eingabe "ht**s//drucker.domäne.de" im Browser wird die Seite mit "h**p://drucker.domäne.de" mit einem Sicherheitshinweis, dass ein mögliches Sicherheitsrisiko erkannt wurde, geöffnet.

snip:
Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut drucker.domäne.de nicht, weil der Aussteller des Zertifikats unbekannt ist, das Zertifikat vom Aussteller selbst signiert wurde oder der Server nicht die korrekten Zwischen-Zertifikate sendet.
snap:

 

[EDvonSchleck]

Das ist aber beim Reverse Proxy egal, da dort das Zertifikat zählt, welche Domain eingetragen und Zertifikat zugeteilt ist. Wenigstens bei der HTTP-Verbindung muss es funktionieren.

 

[Benares]

Zertifikate gelten immer für Namen. Daher ist es besser/einfacher, wenn man eines hat, dass auch für "*.domäne.de" gilt und nicht nur für "domäne.de" oder einer fest definierten Liste von Namen wie "domäne.de", "www.domäne.de" ..., insbesondere bei Verwendung des Reverse-Proxy, bei dem man nie weiß, was künftig noch ansteht.
Am einfachsten/schnellsten geht das, wenn man z.B. Synology als DDNS-Provider verwendet. Da erhält man neben Wildcard-DNS-Auflösung auch gleich ein Wildcard-Zertifikat mit dazu.

 

[allahopp]

Ich habe ein Zertifikat sowohl für die Domäne "*.domäne.de" als auch für "domäne.de".

 

[EDvonSchleck]

Hast du die Wildcard-Adresse in AdGuard eingetragen?
Was gibt nslookup aus?

 

[allahopp]

Ich nutze kein AdGuard, sondern den DNS der Synology.

nslookup gibt folgendes aus:
nslookup <IP drucker.domäne.de>
Server: Unknown
Adress: IP der NAS auf der DNS läuft
Name: drucker.domäne.de
Adress: IP des Druckers

nslookup <Hostname drucker.domäne.de>
Server: Unknown
Adress: IP der NAS auf der DNS läuft
Name: drucker.domäne.de
Adress: IP des Druckers

 

[EDvonSchleck]

Irgendwie gebe ich es bei dir auf. Du schreibst nur die Hälfte. Beim anderen Thema hast du geschrieben, dass AdGuard läuft.
Wenn es jetzt bei dir nicht läuft, liegt es an deinen getätigten DNS-Einträgen.

Sorry, ich bin raus, 3 Wochen später habe ich irgendwann keine Lust mehr. Mögest du Hilfe bekommen und dein Problem lösen.