https unsichere verbindung...

[misux]

HI!

Ich habe über eine Domain (subdomain) einen zugriff auf meine NAS zuhause...

Wenn ich mich über den subdomain link wo im hintergrund auf eine my.fritz Adresse weitergeleitet wird, bekomme ich immer eine "Unsichere Seite" zur anzeige...
Wie kann man das umgehen bzw zur sicheren Verbindung machen wenn ich per HTTPS rein möchte?

Hat jemand einen Tipp?

 

[Thonav]

Tipp heißt Zertifikat erstellen. Solltest über die Suchfunktion des Forums einiges dazu finden.

 

[misux]

OKay..

Habe es mit Zertifikat hinzufügen versucht, aber wenn ich meine subdomain dort eintrage bekomme ich eine Fehlermebdung:
Ich soll kontrollieren ob did IP, ReverseProxy und Firewallregeln richtig sind... und es dann erneut versuchen...
Weis leider nix damit anzufangen...

Der Domainname ist ja meine Subdomain mit der ich doch auch an meine NAS komme...

 

[misux]

Manchmal sagt er aber auch das der Herausgeber des Zertificats den Domainnamen nicht überprüfen kann... und eigentlich ist es egal welchen Domainnamen ich angebe...

 

[alexhell]

Schreib doch mal bzw. zeig mal Screenshots was du genau gemacht hast.

 

[EDvonSchleck]

Manchmal sagt er aber auch das der Herausgeber des Zertificats den Domainnamen nicht überprüfen kann... und eigentlich ist es egal welchen Domainnamen ich angebe...

Welche Ports hast du für die Zertifikatserstellung freigeschaltet? Es sollte schon Port 80 & 443 sein! Diese solltest du auf den Router für die DS freischalten. Danach können diese geschlossen werden bis zur Verlängerung in 90 Tagen. Es gibt ein Script was dieses mit der Fritz!Box automatisiert oder acme.sh welche ohne Portfreigabe auskommt.

 

[misux]

OK, Das könnte natürlich das Problem sein...

Kurz zusammengefasst:
Ich habe in der DS die Ports für HTTP und HTTPS geändert. Das darf so bleiben oder?

Die Freigabe in der Fritzbox Kann auch auf diesen Ports bleiben?

Für die Zertifikatseinrichtung muss ich den Port 80 und 443 für die DS zusätzlich einrichten oder per script, was mir lieber wäre...?

P.S. durch hin und her probieren kann ich jetzt nicht mit der DSFile app auf meine Synology zugreifen... Er sagt das das Zertifikat nicht vertrauenswürdig ist... Dabei habe ich es eigentlich nicht geändert... Jetzt habe ich es aktualisiert und es geht immernoch nicht.. Och menno...

 

[EDvonSchleck]

Ich würde erst einmal mit der Zertifikatserstellung anfangen, wenn die funktioniert kannst du mit dem Script aufbauen.

Wenn du ein gültiges Zertifikat von Lets encrypt hast, bekommst du auch keine Fehlermeldung. Wenn das Zertifikat installiert ist und du immer noch eine Fehlermeldung bekommst, musst du das Zertifikat noch der Anwendung Dienst zuweisen.

 

[w00dcu11er]

Ich lese hier nirgends, ob die Subdomain auch überhaupt erstellt wurde (A? CNAME?). SSL - Zertifikat für diese Domainadresse hast du woher bezogen?

 

[EDvonSchleck]

Wenn die Subdomain nicht angelegt wurde, hätte der TE sich ja nicht über diese verbinden können.

 

[w00dcu11er]

Stimmt, stimmt ... der allererste Satz .... *räusper* Danke!

 

[misux]

HAllo nochmal.. So jetzt habe ich etwas mehr zeit und etwas Ruhe:
Nochmal zusammengefasst:
Es funktioniert an sich alles.
Ich habe bei Ionos eine Domain und dort eine Subdomain eingerichtet die mich auf meine DS zuhause weiterleiten soll.

So sieht es aus:

Subdomain:
Mein.Name.de

Weiterleitung nach:
myFritzfreigabe:
https://MeineDS.ganzvieleDinge.myfritz.net:eigenerPort

In der DS habe ich keine DYNDNS, QuickConnect , Freigaben, Ports oder sonstiges geöffnet. Ledeglich die DS Ports für HTTP und HTTPS abgeändert.
Unter Systemsteuerung-Externer Zugriff-Erweitert

Nicht mehr.

Was mich jetzt stört ist das wenn ich von außen oder auch von Innen mich per https mit der DS verbinde bekomme ich immer diese nicht sichere Verbindung angezeigt.
Und das möchte ich so anpassen das es als "Sichere Verbindung" angezeigt wird. Sieht etwas vertrauenswürdiger aus.

 

[EDvonSchleck]

Ich würde lieber die Ports manuell am Router freigeben und nicht unter externen Zugriff.
Da du bei IONOS auch acme.sh nutzen kannst würde ich dieses vorziehen, somit ersparst du dir die Öffnung des Ports 80 & 443. Damit wird nicht nur einfach das Zertifikat erstell, sondern auch regelmäßig und rechtzeitig erneuert ohne etwas machen zu müssen. Weiterhin kannst du dir damit ein Wildcardzertifikat für alle eine Subdomain ausstellen.

Welche DS hast du denn genau?

 

[misux]

Habe ich ja auch nicht. Unter Externer Zugriff in der DS habe ich nur die Ports für Http und HTTPS geändert!
Die Freigaben habe ich in der Fritzbox erstellt.

Meine Box ist eine DS220+

 

[EDvonSchleck]

Damit hast du gute Voraussetzungen, alles mit acme.sh ganz einfach umzusetzen!
Hast du die Ports auch in der DS Firewall eingestellt? Welche Ports hast du denn jetzt genau auf?
Wenn du acme.sh benutzt, kannst du die Ports im Router für das Zertifikat vernachlässigen. Auch musst du dich nicht mehr um die rechtzeitige Erneuerung kümmern. Das passiert alle 60 Tage automatisch im Hintergrund.

Bisschen mehr Informationen brauche ich schon, um helfen zu können.

Wenn du Bedenken hast die Daten hier anzugeben, kannst du mich auch anschreiben.

 

[misux]

HI, vielen Dank für deine Mühe...

Wie schon geschrieben habe ich keine Firewall oder Sonstiges in der DS eingeschaltet. Es geht alles über die Fritzbox.
Die Ports in der DS für HTTP und HTTPS wurden geändert... In der DS unter Systemsteuerung, Externer Zugriff, Erweitert.. Genau dort die beiden.

Ich kann hier ja pseudo Dinge angeben und es für meine Verhältnisse anpassen, das ist kein Problem.

Also wenn du das hier meinst: acme.sh dann bin ich da doch schon etwas überfragt wie ich das zum laufen bringen soll...
ich habe auf der DS schon 2 scripte laufen, aber das sind einfache die einfach nur was per ftp ein paar dateien ziehen...

Also hier habe ich eigentlich alles angegeben, dachte ich jedenfalls... Post 12

 

[EDvonSchleck]

Ich weiß nicht, was du immer mit dem externen Zugriff willst. Hast du ein Zertifikat, was auf von CNAME ausgestellt ist? Die entsprechende Subdomains hast du in der DS eingetragen? Im Router hast du welche Ports geöffnet? Welche Dienste willst du erreichen.

Was acme.sg angeht, kann das komplett mit 4 Befehlen eingerichtet werden und läuft von dort an wartungsfrei und automatisch. Das Ganze ohne mehrere Scripte laufen zu lassen und ohne extra Ports. Du besitzt die richtige DS dafür und bis auch bei einem unterstützten Provider. Damit kannst du auch ein Wildcardzertifikat erstellen, damit du nicht für jede Subdomain eins erstellen musst. Wie das geht, habe ich mehrfach schon hier beschrieben.

Trotzdem ist dein Problem erst einmal ein anders.

Entweder kommst du jetzt mit den Informationen rüber oder anonymisierten Screenshots oder du musst dein Problem alleine lösen. Wo der Fehler mit deinen Angaben ist, kann dir keiner sagen!

 

[Monacum]

Wie schon geschrieben habe ich keine Firewall oder Sonstiges in der DS eingeschaltet. Es geht alles über die Fritzbox.

Das eine hat mit dem anderen nichts zu tun, auch wenn „alles“ über die FRITZ!Box läuft, sollte man aus meiner Sicht die Firewall in der DS aktivieren, wenn man nicht nur VPN nutzt. Dann kannst du beispielsweise auch einstellen, dass nur IP Adressen aus Ländern auf die Disk Station zugreifen können, in denen du oder andere Befugte sich auch wirklich aufhalten, dass nur mal als Beispiel.

 

[misux]

Ich weiß nicht, was du immer mit dem externen Zugriff willst.

Naja, ich will damit eigentlich nur sagen was ich an Ports geändert habe und das ich nicht mit den Standard Ports auf die DS zugreife.
Das war doch auch die Frage oder bin ich auf einem komplett falschen Dampfer.
Externer Zugriff: DORT habe ich die ports von den Standard auf meine eigene geändert... Das ist doch wichtig zu wissen weil ich ja nicht auf die ds mit dem standard komme.... und das ist bestimmt auch für die acme.sh wichtig.

Im Router hast du welche Ports geöffnet?

Dort habe ich die Freigabe für die DS an den gleichen Ports erstellt die ich an der DS eingestellt habe.
Hier in Zahlen:

DS einstellungen:
IP: 192.168.178.100:5151 für Http
IP: 192.168.178.100:5152 für Https

MyFritz Freigabe:
Https freigabe für die DS an Port 5252 denn ich will eigentlich nur über https drauf.

Im Router hast du welche Ports geöffnet? Welche Dienste willst du erreichen.

Nur den Diskatstion Manager wo die Filestation freigegeben ist.


Das alles funktioniert ja auch alles wunderbar.


Mein Problem ist nur das vom POST #1 das ich im Browser immer diesen "Unsichere Webseite" sehe.

Gelernt habe ich das man ja an der Fritzbox für die Zertifikatserstellung von Lets`Encrypt auch den Prot 443 öffnen muss... OKay.. Deshalb hat das auch nie geklappt... Aber die acme.sh Geschichte ist viel interessanter...

Eigentlich muss ich jetzt nur noch das auf die Reihe bekommen:

Was acme.sg angeht, kann das komplett mit 4 Befehlen eingerichtet werden und läuft von dort an wartungsfrei und automatisch. Das Ganze ohne mehrere Scripte laufen zu lassen und ohne extra Ports. Du besitzt die richtige DS dafür und bis auch bei einem unterstützten Provider. Damit kannst du auch ein Wildcardzertifikat erstellen, damit du nicht für jede Subdomain eins erstellen musst.

Die entsprechende Subdomains hast du in der DS eingetragen?

Das habe ich allerdings tatsächlich noch nicht gemacht weil ich ja mit der Zertifikationserstellung am anfang gescheitert bin...
Wo ich das mache weiß ich noch nicht...

 

[misux]

Das eine hat mit dem anderen nichts zu tun, auch wenn „alles“ über die FRITZ!Box läuft, sollte man aus meiner Sicht die Firewall in der DS aktivieren, wenn man nicht nur VPN nutzt. Dann kannst du beispielsweise auch einstellen, dass nur IP Adressen aus Ländern auf die Disk Station zugreifen können, in denen du oder andere Befugte sich auch wirklich aufhalten, dass nur mal als Beispiel.

Und wieder was gelernt...

Also die Firewall in der DS werde ich dann auch mal aktivieren und mich dort etwas eüben...