https für alle Geräte im LAN nutzen

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18
Hallo zusammen,

nachdem ich mir mit Hilfe von @EDvonSchleck ein eigenes SSL-Zertifikat für meine "domäne.de" auf der NAS erstellt habe, kann diese über "https" aufgerufen werden.

Jetzt würde ich gerne einige andere Geräte mittels "https" aufrufen, z. B. "ht**s://drucker.domäne.de" oder "ht**s://siptelefon.domäne.de".

Ist dies so einfach mögllich, oder muss das Zertifikat bei jedem Gerät hinterlegt (importiert) werden (läuft ja auch alle 90 Tage ab)?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ja, ist einfach möglich. Am einfachsten über den Reverse Proxy. Bei einigen Geräten wie bei der Fritz!Box kann man auch das Zertifikat direkt auf dem Gerät mit acme.sh installieren. Bei beiden Versionen musst du nichts Weiteres machen, außer einmal zuteilen. Das erledigt acme,sh für dich nach 60 Tagen automatisch.
 

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18
Ich bekomms einfach nicht hin.

Habe im DNS einen A-Record Eintrag gemacht: "drucker.domäne.de" mit IP des PCs.
Einen Eintrag Reverse-Proxy: Protokoll: "HTTP"; hostname: "drucker.domäne.de"; Port: 443; Zielprotokoll: "HTTP"; Hostname: IP des Druckers; Port:80

Browsereingabe: "https://drucker.domäne.de" bringt den Hinweis: Verbindung fehlgeschlagen.

Da mein Zertifikat für "*.domäne.de" und "domäne.de" gilt, kann ich https nur über einen Namen machen.

Was mache ich falsch?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Du machst einen CNAME keinen A-Record! Siehe hier.

Reden wir hier von IPv4 oder IPv6? Zieladresse ist auf Port 80 erreichbar? Wir reden hier vom Webinterface, nicht von der Druckanwendung?
Bei welchem Anbieter bist du denn genau? Willst du es intern und extern nutzen?
 

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18
  • Mit CNAME wollte ich schon testen, wusste allerdings nicht, was in das Feld "Autorisierter Name" muss.
  • Nur IPv4
  • Zieladresse ist auf Port 80 erreichbar
  • Webinterface
  • Meine Domäne habe ich bei ionos und mittels acme.sh auf der NAS erstellt
  • Aktuelle Nutzung nur intern
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
IONOS ist ein bisschen Tricky, dort solltest du keine Subdomain mit Webspace einrichten, sondern nur bei den Records. Das war auf den letzten Reiter, wenn ich das so in Erinnerung habe! Als Ziel gibst du einfach deine Domain bzw. @ an. Wenn du weitere Einstellungen hast, bist du falsch! Wenn dein * mit upgedatet wird, solltest du nichts mehr machen müssen. Dann kann nslookup aber aufschlussreich sein.

Beispiel zeigt die Subdomain "www"

IONOS_domain__3_.png
 

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18
Jetzt verstehe ich gar nix mehr :confused:

Da ich das ja nur intern nutze möchte um per "https" auf die Geräte zugreifen zu können, verstehe ich nicht, warum ich jetzt beim Domainverwalter was administrieren muss.

Ich ging davon aus:
- In SynDNS wird "drucker.domäne.de" mit IPv4 hinterlegt.
- Eintrag Reverse-Proxy auf die IP "drucker.domäne.de"

Browser fragt bei "ht**s://drucker.domäne.de" den SynDNS ab. Dieser erkennt, dass er für diese Domäne verantwortlich ist und übergibt an Reverse-Proxy und Reverse-Proxy leitet weiter an IP von "drucker.domäne.de" und der Zugriff ist dann SSL-verschlüsselt.
--> Bei vaultwarden läuft es doch auch (läuft auf der NAS in einem Container ohne macvlan).
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.086
Punkte für Reaktionen
2.151
Punkte
289
Gib bitte mal intern in der Windows Commandline nslookup IP_deines_Druckers ein und poste bitte das Ergebnis hier.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
853
Punkte
154
Einen Eintrag Reverse-Proxy: Protokoll: "HTTP"; hostname: "drucker.domäne.de"; Port: 443; Zielprotokoll: "HTTP"; Hostname: IP des Druckers; Port:80
Beim Reverse Proxy Eintrag bei drucker.domäne.de wirklich HTTP ausgewählt oder nur ein Tippfehler? Das müsste HTTPS sein.
 

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ich habe nur IONOS gelesen. Für die Interne Nutzung musst du natürlich auch kein CNAME bei dem Hoster anlegen.

Ob HTTP oder HTTPS als Ziel angegeben, ist egal, sofern das Gerät dieses unterstützt. Habe ich selbst mit der Fritz!Box vor einiger Zeit getestet.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.086
Punkte für Reaktionen
2.151
Punkte
289
Das war auch das mit IONOS, was mich bei einer internen Domäne gewundert hat. Wir müssen die Namensauflösung intern ans Fliegen bekommen.
 

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18
Bin einen kleinen Schritt weiter.

Bei Eingabe "ht**s//drucker.domäne.de" im Browser wird die Seite mit "h**p://drucker.domäne.de" mit einem Sicherheitshinweis, dass ein mögliches Sicherheitsrisiko erkannt wurde, geöffnet.

snip:
Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut drucker.domäne.de nicht, weil der Aussteller des Zertifikats unbekannt ist, das Zertifikat vom Aussteller selbst signiert wurde oder der Server nicht die korrekten Zwischen-Zertifikate sendet.
snap:
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Das ist aber beim Reverse Proxy egal, da dort das Zertifikat zählt, welche Domain eingetragen und Zertifikat zugeteilt ist. Wenigstens bei der HTTP-Verbindung muss es funktionieren.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Zertifikate gelten immer für Namen. Daher ist es besser/einfacher, wenn man eines hat, dass auch für "*.domäne.de" gilt und nicht nur für "domäne.de" oder einer fest definierten Liste von Namen wie "domäne.de", "www.domäne.de" ..., insbesondere bei Verwendung des Reverse-Proxy, bei dem man nie weiß, was künftig noch ansteht.
Am einfachsten/schnellsten geht das, wenn man z.B. Synology als DDNS-Provider verwendet. Da erhält man neben Wildcard-DNS-Auflösung auch gleich ein Wildcard-Zertifikat mit dazu.
 

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18
Ich habe ein Zertifikat sowohl für die Domäne "*.domäne.de" als auch für "domäne.de".
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Hast du die Wildcard-Adresse in AdGuard eingetragen?
Was gibt nslookup aus?
 

allahopp

Benutzer
Mitglied seit
15. Mai 2022
Beiträge
133
Punkte für Reaktionen
10
Punkte
18
Ich nutze kein AdGuard, sondern den DNS der Synology.

nslookup gibt folgendes aus:
nslookup <IP drucker.domäne.de>
Server: Unknown
Adress: IP der NAS auf der DNS läuft
Name: drucker.domäne.de
Adress: IP des Druckers

nslookup <Hostname drucker.domäne.de>
Server: Unknown
Adress: IP der NAS auf der DNS läuft
Name: drucker.domäne.de
Adress: IP des Druckers
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Irgendwie gebe ich es bei dir auf. Du schreibst nur die Hälfte. Beim anderen Thema hast du geschrieben, dass AdGuard läuft.
Wenn es jetzt bei dir nicht läuft, liegt es an deinen getätigten DNS-Einträgen.

Sorry, ich bin raus, 3 Wochen später habe ich irgendwann keine Lust mehr. Mögest du Hilfe bekommen und dein Problem lösen.
 
  • Haha
Reaktionen: ctrlaltdelete


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat