https:// für bestimmte Ports?

[Dirk71]

Ich habe ein Let's Encrypt-Zertifikat für meine xy.synology.me-Adresse installiert und habe den Port 8083 freigeschaltet. Ich komme jedoch nur über http://xy.synology.me:8083 auf die Adresse, jedoch nicht über https://xy.synology.me:8083 - da heißt es dann "Diese Website kann keine sichere Verbindung bereitstellen.".

Innerhalb meines Heimnetzwerks komme ich über https://xy.synology.me:5001 auf das DSM und habe dann auch eine sichere Verbindung.

Kann ich das Zertifikat also nur für den Port 5001 verwenden und für alle anderen Port nicht? Oder lässt sich das auch für andere Ports einrichten?

 

[plang.pl]

Du musst von extern auf den Port 5001 der DS weiterleiten und nicht auf Port 5000.

 

[luddi]

Kann ich das Zertifikat also nur für den Port 5001 verwenden und für alle anderen Port nicht?

Zertifikate sind nicht an ein Port gebunden, sondern nur an eine Domain oder aber auch an alternative Domains mit dem entsprechenden Eintrag im jeweiligen Zertifikat (SAN bzw. subject alternative name).

 

[Dirk71]

Danke für Eure Antworten. Aber ich weiß dennoch nicht, wie ich eine sichere Verbindung für den Port 8083 herstellen kann.

 

[plang.pl]

Gar nicht. Da der Port 8083 bei dir am Router auf den Port 5000 am NAS weiterleitet. Und der Port 5000 am NAS kann halt eben nur http. Hatte ich aber in #2 schon geschrieben

 

[Dirk71]

Ok, danke.

 

[plang.pl]

Bitte keine Vollzitate bei direkten Antworten.
Hast du die Portweiterleitungen auf dem Router selbst erstellt oder in DSM mit der "automatischen Routerkonfiguration"?
Wenn ersteres der Fall ist, würde ich dir aus Sicherheitsgründen empfehlen, auf zweiteres umzustellen und dabei gleich auch auf den https Port der DS umstellen.

 

[Dirk71]

@plang.pl Ich habe die Portweiterleitungen über die Regel erstellt und dabei aus einer Liste integrierter Anwendungen ausgewählt.
Also statt 5001 irgendeinen anderen Port?

 

[plang.pl]

Über welche Regel?
Nein, 5001 ist (wenn du es nicht geändert hast) der Standard Port für https. Ich glaube, du sprichst von den Regeln der DS Firewall. Das hat aber nix damit zu tun, welchen Port der Router an die DS weiterleitet. Dafür musst du entweder auf den Router oder in der Systemsteuerung der DS unter "Externer Zugriff" auf "Routerkonfiguration", je nachdem, wie du das eingerichtet hast.

 

[Dirk71]

Ich nutze einen Dockercontainer, der über den Port 8083 erreichbar ist. Damit ich auch außerhalb des heimischen Netzwerks ohne VPN darauf zugreifen kann, habe ich den Port 8083 sowohl auf meinem Router freigegeben als auch über die Firewall-Regeln. Eine Routerkonfiguration habe ich bisher nicht vorgenommen.
Wenn das alles falsch ist, muss ich wohl einen Kurs zum Einrichten des NAS buchen. Scheint doch komplizierter zu sein als ich dachte.

 

[plang.pl]

Achso. Dann kommt es zunächst darauf an, ob der Container überhaupt https kann. Alternativ kannst du versuchen, das mit dem Reverse Proxy in DSM hinzubiegen. Um welchen Container handelt es sich denn (Image-Name)?

 

[Dirk71]

Der Docker Container enthält Calibre-Web. Ich hangel mich gerade durch eine Anleitung von Mariushosting. Der hat sehr gut verständliche Anleitungen veröffentlicht. Aber bisher hat das bei mir nicht funktioniert, obwohl ich 1:1 so vorgegangen bin, wie er es beschrieben hat.

 

[Dirk71]

Inzwischen habe ich es mit der o.g. Anleitung und der Freischaltung des Ports 443 im Router hinbekommen. Nun habe ich auch für den Docker Container über den Port 8083 eine sichere Verbindung mit https.

 

[plang.pl]

Ok. Sehr schön.
Nur interessehalber: Mit welcher Anleitung?

 

[Dirk71]

Ah sorry, der Beitrag ist ja vom Admin noch nicht freigeschaltet. Google mal nach Mariushosting how to add wildcard certificate.

 

[plang.pl]

Ah ja alles klar.
Um das Thema für mich "abschließen" zu können: Welchen Container betreibst du da?

 

[Dirk71]

Calibre-Web von Linuxserver.io - auch das hatte ich in dem noch nicht freigegebenen Post geschrieben und verlinkt. Danke für Deine Hilfe.

 

[plang.pl]

Ah alles klar. Den betreibe ich auch. Dachte doch, der Port kommt mir bekannt vor
Viel Spaß mit deiner gesicherten Verbindung