Keepass, WebDAV, eigene Subdomain, SSL Zertifikat auf Synology NAS

[MasterJM]

Hallo,
so richtig habe ich kein Forum gefunden, wo meine Anforderung rein passt und ich möchte sie ungern in 3~4 Abschnitte splitten. Hoffe jemand hier kann mir helfen.
Ansonsten bleibe wohl nur das Aufsplitten.

Folgendes:
ich möchte endlich mal meine Passwörter in einem Safe ablegen, Wahl ist auf Keepass gefallen.
Natürlich will ich auf Desktop, Laptop - Tablet und Smartphone Zugriff haben und den gleichen Stand.

Also soll die KeePass Datenbank auf der NAS liegen. PC könnte bei Freigabe drauf, Laptop schon nicht, da man ja mal unterwegs ist.
Gleiches für Smartphone. Hier kam die Idee Zugriff über WebDAV.

Jetzt die Probleme: ich finde viele Anleitungen und Hinweise und Hilfen, teilweise passen die aber nicht mehr,
weil sie z.T. Jahre alt sind, sprich DSM ist nicht mehr so, Browser nicht mehr so etc.
Und bei manchen Sachen, weiß ich einfach nicht, ob es überhaupt (noch) geht.

a) Zertifikat
Da ich mit HTTPS arbeiten will muss das mit einem SSL Zertifikat laufen. Problem hier, die Meldung vom Browser, weil das Zertifikat natürlich nicht signiert ist. Lässt sich hier wegdrücken, nervt aber.
Bei der Android App "KeePass2Android" habe ich es noch gar nicht ans laufen bekommen. Mit der URL, die für WebDAV auf Laptop geht, bekomme ich hier nur einen Fehlermeldung. Habe die Vermutung es liegt an der HTTPS / WebDAV Sache.

b) Subdomain
Im Zuge dieser Sache würde ich am liebsten eine eigene Domain nutzen, die ich bei hosteurope liegen habe. Sprich "https://subdomain.meine-domain.de" soll auf meine NAS, Dienste auf der NAS umleiten (je nach Port).
Was muss ich das für alles einrichten auf der NAS im DSM?
Was eventuell im Router? Portweiterleitungen?
Was beim Hoster, hier bei Hosteurope?
Ich will eigentlich wenig "automatische" Lösungen, sprich UPNP oder so etwas. Sondern das ganze sicher gestalten, da ist mir ein manueller weg lieber.
Sollte das mit eigener Subdomain meiner Domain nicht gehen, welche DDNS Einstellungen der NAS liefern die Lösung?

Aufgrund meiner Anforderung, fällt ein Abgleich der kdbx Datei über einen Cloud Dienst eigentlich raus, da hier ja die ganze DB als Datei sync wird, was zu Problemen führen kann denke ich, wenn man mehrere Geräte nutzt.

Auf der NAS, DS216II, ist das aktuellste DSM installiert, Router wäre eine Fritzbox 7490.

Danke, Gruß

 

[TheGardner]

Ne Sinnlos Subdomain von nem DynDNS Anbieter wäre an dieser Stelle einfacher, als alles über nen super korrekten Weg von ner (Sub-)Domain bei HostEurope zu schicken/einzustellen. Denn nen Zertifikat ist so einfacher zu beantragen (LetsEncrypt), da man ausser der DynDNS Adresse nix weiter vorher einzustellen hat!

Also mal zuerst der einfache Weg, ohne viel Einstellerei. Später könnten wir ja dann das Ganze noch über HostEurope angehen (habe das bei mir auch gemacht, da ich ebenfalls bei HostEurope bin)...

Was brauchst Du:

irgend eine blöde DynDNS Adresse - am besten kostenlos! Also wieso nicht die von Synology selbst - z.B. masterjm.synology.me
Haste die über QuickConnect schon eingerichtet, brauchst Du nur noch die Webstation über Port 80 und 443 aktivieren, die Firewall dementsprechend programmieren und im Router die Portweiterleitungen für Port 80 und 433 einstellen!
Steht das alles und ist ne Testseite unter http://masterjm.synology.me zu sehen, dann kannst Du in der Systemsteuerung unter Sicherheit Zertifikat ein Zertifikat über Let's Encrypt erstellen.

Danach sollte https://masterjm.synology.me schon ohne nervende Warnungen in den Browsern funktionieren.
Falls nicht, dann reden wir an dieser Stelle weiter!

Steht die Zertifikatsverbindung, dann kannst Du (wenn webDAV Server auf 5006 [und nur dort; 5005 brauchste nicht]) aktiviert ist z.B. aufm WindowsPC im Windows10-Explorer Netzlaufwerke mit

\\masterjm.synology.me@SSL@5006\ORDNERNAME

anlegen, die von überall her funktionieren würden. Auch von Zu Hause selbst, da Du ne Fritzbox hast und die ja LoopBack kann.
Bei den Handys wäre es verschieden, da müsste man gucken was für ein System da läuft! DS-App -wie im kommenden Beitrag erwähnt- wäre auch ne Alternative


Und die etwas aufwendigere Variante über sub.domain.de von HostEurope müssten wir dann nochmal separat durchgehen bzw. siehe nächster Beitrag und wenn Fragen, dann hier weiter Schritt für Schritt.
Denn da müssen erst alle Anpassungen und Weiterleitungen auf HostEurope stimmen und der Webserver geschalten sein, bevor man dann ein Zertifikat auf die einfache & kostenlose Let'sEncrypt Variante bekommt.

 

[DanFu]

bei mir ähnliche Konstellation, aber ich habs anders gemacht.

Ich denke mal du kennst DropBox, das selbe gibts auch auf deiner Syno, einfach CloudStation nutzen und den externen Zugriff darauf konfigurieren.
Damit hast du auf :
# Rechner im Netzwerk direkten Zugriff auf die Syno
# Laptop unterwegs synct sich sobald er im Netzwerk daheim ist und/oder sobald er eine Internetverbindung hat
# Handy mit DS File auf die Syno zugreifen und die kdbx auswählen, öffnen mit KeePass, dann hast du eine Kopie der DB in der App. Problem hier ist, das musst du bei jeder Änderung der DB machen

1; Portweiterleitung am Router ist der konfigurierte https-Port (Standard 443)
2; bei Hosteurope und deinem Router (FritzBox?) DDNS einrichten -> https://idomix.de/241-was-ist-dynamic-dns-wofuer-brauche-ich-dyndns-wie-richte-ich-ddns-ein
3; SSL-Zertifikat auf der Syno einrichten (mit der URL von HostEurope) -> https://www.youtube.com/watch?v=Nqze7opPt3I
4; CloudStation einrichten -> https://idomix.de/synology-diskstation-cloudstation-einrichten

mehr is das nicht

 

[MasterJM]

Hallo,

Ne Sinnlos Subdomain von nem DynDNS Anbieter wäre an dieser Stelle einfacher, als alles über nen super korrekten Weg von ner (Sub-)Domain bei HostEurope zu schicken/einzustellen. Denn nen Zertifikat ist so einfacher zu beantragen (LetsEncrypt), da man ausser der DynDNS Adresse nix weiter vorher einzustellen hat!

Also mal zuerst der einfache Weg, ohne viel Einstellerei. Später könnten wir ja dann das Ganze noch über HostEurope angehen (habe das bei mir auch gemacht, da ich ebenfalls bei HostEurope bin)...

Was brauchst Du:

irgend eine blöde DynDNS Adresse - am besten kostenlos! Also wieso nicht die von Synology selbst - z.B. masterjm.synology.me
Haste die über QuickConnect schon eingerichtet, brauchst Du nur noch die Webstation über Port 80 und 443 aktivieren, die Firewall dementsprechend programmieren und im Router die Portweiterleitungen für Port 80 und 433 einstellen!
Steht das alles und ist ne Testseite unter http://masterjm.synology.me zu sehen, dann kannst Du in der Systemsteuerung unter Sicherheit Zertifikat ein Zertifikat über Let's Encrypt erstellen.

Danach sollte https://masterjm.synology.me schon ohne nervende Warnungen in den Browsern funktionieren.
Falls nicht, dann reden wir an dieser Stelle weiter!

Steht die Zertifikatsverbindung, dann kannst Du (wenn webDAV Server auf 5006 [und nur dort; 5005 brauchste nicht]) aktiviert ist z.B. aufm WindowsPC im Windows10-Explorer Netzlaufwerke mit

\\masterjm.synology.me@SSL@5006\ORDNERNAME

anlegen, die von überall her funktionieren würden. Auch von Zu Hause selbst, da Du ne Fritzbox hast und die ja LoopBack kann.
Bei den Handys wäre es verschieden, da müsste man gucken was für ein System da läuft! DS-App -wie im kommenden Beitrag erwähnt- wäre auch ne Alternative


Und die etwas aufwendigere Variante über sub.domain.de von HostEurope müssten wir dann nochmal separat durchgehen bzw. siehe nächster Beitrag und wenn Fragen, dann hier weiter Schritt für Schritt.
Denn da müssen erst alle Anpassungen und Weiterleitungen auf HostEurope stimmen und der Webserver geschalten sein, bevor man dann ein Zertifikat auf die einfache & kostenlose Let'sEncrypt Variante bekommt.

das Quickconnect von Synology hab ich damals eingerichtet. Auch einen DDNS über die Nas unter myDS.me habe ich schon. Der Zugriff vom Laptop über WebDAV ging mit der URL ja schon, nur bei Handy nicht.
Gleich die HE Lösung wäre mir am liebsten, muss ich nicht zwei mal ein Zertifikat beantragen. Portweiterleitung im Router hab ich also auch schon.

Von daher wäre jetzt die Frage: wie genau läuft das mit der HE Subdomain und wie dann mit dem Zertifikat? In der NAS unter Sicherheit ist ja schon ein Zertifikat, muss ich das nehmen oder doch ein ganz neues?
Was muss ich dort alles angeben - wo dann beglaubigen lassen (LetsEncrypt schon mal gelesen in anderen Beiträgen) und dann auf Laptop und Handy importieren?
- welches File aus dem Zip File, was man da erzeugen und Downloaden kann übers DSM.

Ich denke mal du kennst DropBox, das selbe gibts auch auf deiner Syno, einfach CloudStation nutzen und den externen Zugriff darauf konfigurieren.

# Handy mit DS File auf die Syno zugreifen und die kdbx auswählen, öffnen mit KeePass, dann hast du eine Kopie der DB in der App. Problem hier ist, das musst du bei jeder Änderung der DB machen

Ja, kenne ich - nutze ich auch. Aber genau das Problem, was ich vermeiden will, nennst du ja schon. Ich will nichts lokal liegen haben und dann eventuell noch unterschiedliche Fortschritte haben.

Danke soweit, Gruß

 

[TheGardner]

Von daher wäre jetzt die Frage: wie genau läuft das mit der HE Subdomain und wie dann mit dem Zertifikat? In der NAS unter Sicherheit ist ja schon ein Zertifikat, muss ich das nehmen oder doch ein ganz neues?
Was muss ich dort alles angeben - wo dann beglaubigen lassen (LetsEncrypt schon mal gelesen in anderen Beiträgen) und dann auf Laptop und Handy importieren?
- welches File aus dem Zip File, was man da erzeugen und Downloaden kann übers DSM.

Also das Zertifikat über Let's Encrypt ist mittlerweile Schweine-einfach zu beantragen, WENN auf der DS ein Webserver läuft. D.h. nix mehr mit Zip.Datei und Zertifikat manuell hochladen!
Aber der Webserver muss halt laufen! Auf 80 und 443 und wenn dem so ist, dann kannst Du Dich mal auf kis.HostEurope.de einloggen und auf Produktverwaltung klicken.

Da angekommen, gehst Du auf Domain-Administration und Nameserver / DNS_Einträge bearbeiten, dann weiter über die zu ändernde Domain und Editieren. Jetzt hast Du dort die ganzen DNS Einträge.
Dich sollte da nur der erste und der letzte interessieren - bei den beiden gehts um die http://domain.de und die http://www.domain.de und bei jedem immer um die IPv4 und IPv6 Adresse.

Da würde ich mir erstmal die dort eingetragenen Adresse kopieren/wohin schreiben, dass Du sie im Zweifel auch wieder zurückstellen kannst. Wahrscheinlich brauchst Du das auch nicht, da die gleichen Adresse/n ja schon in den verbleibenden DNS Feldern für mail und ftp drinstehen.

Jetzt zum Ändern:

So sieht das bei mir aus, zuerst die Domain

dabei zeigt dann der IPv4 Eintrag auf die IP meines Routers


dabei zeigt dann der IPv6 Eintrag ebenfalls auf die IP meines Routers

Ich hab mal die Screenshots nicht geschwärzt, da die Einträge eh nicht korrekt und veraltet sind!

 

[MasterJM]

Danke soweit, genau das habe ich gestern auch schon gefunden. Hast du eine Feste IP?
Ich nicht, habe daher auf den DDNS Eintrag der NAS geleitet. Klappt dann mit der erstellen Subdomain ganz gut.
- Oder geht das auch anders?


Das mit dem Zertifikat geht wirklich kinderleicht, hatte bis dato nur alte Anleitungen gefunden.
Seit DSM6.x ist das ja integriert, einzige Hürde die Portweiterleitungen im Router auf die NAS.
Habe nach dem Zertifikat erstellen die Portweiterleitungen 80/443 aber vom Router wieder entfernt. Läuft bis jetzt.

Wahrscheinlich hätte es die Tage auch schon geklappt mit der DDNS, aber ich hab Keepass2Android falsch bedient,
unter HTTPS Webdav darf man vorne nicht mehr das Protokoll "https" angeben, sondern muss direkt mit dem Host anfagen.
Etwas dumm beschrieben in der App und aus der Fehlermeldung wird man nicht schlau.

Danke an euch!

Jetzt das ganze mal wirklich absichern, bevor ich da meine PW reinspeichere.
Port läuft auf einem anderen, auch die DSM Admin Oberfläche auf einem anderen Port.

Gruß

 

[TheGardner]

Danke soweit, genau das habe ich gestern auch schon gefunden. Hast du eine Feste IP?
Ich nicht, habe daher auf den DDNS Eintrag der NAS geleitet. Klappt dann mit der erstellen Subdomain ganz gut.
- Oder geht das auch anders?

ja, das wäre dann der nächste Punkt! Bei HostEurope hast Du da mit dem .domain.de Eintrag nen Problem, weil Du kein CNAME auswählen kannst, der dann auf den DDNS Eintrag der DS zeigt. Mit dem www.domain.de Eintrag geht es wunderbar!
Kannst ja mal schauen, ob beim .domain.de Eintrag auch AAAA gehen würde....

 

[mischmaster]

Also ich hab zwar jetzt nicht alles gelesen, aber ich mach es so:

Domain und DynDNS bei Strato, Zertifikat bei Lets Encrypt, die Keepass datei liegt in der Cloudstation, die Cloudstation synchronisiert die Keepass Datenbank mit meinen Handy via DS Cloud app, am Android Handy nutze ich Keepass2Android und öffne die die Datenbank lokal auf dem Handy. Fertig. Funktioniert seit Jahren problemlos.

 

[DanFu]

Ich kann dir dann die UpdateURL von Strato schreiben, damit kannst den A und mx record überschreiben