let´s encrypt / Portfreigabe / VPN?

[jdscarpa]

Sers zusammen, mal ne kurze Frage für mein Verständnis: Ich habe auf der DS (DS923+) die ausschließliche Verbindung über https aktiviert, soweit so gut. Auch habe ich bei unserem Router (Speedport Smart 4 Plus) eine DynDNS (dyndns.com) eingerichet sowie den Wireguard VPN-Dienst, das funktioniert auch alles wie es soll. Jetzt die eigentliche Frage: Wenn ich z.B. übers iPhone oder von meinem PC (Laptop) aus auf die IP-Adresse der DS zugreifen will (anstelle der QuickConnect-Alternative) bekomme ich die wahrscheinlich allseits bekannte Warnung "Warnung: Mögliches Sicherheitsrisiko erkannt" aufgrund des fehlenden ssl/tls Zertifikats. Mir ist bewusst, dass man ein Zertifikat über Let´s Encrypt erhalten kann, allerdings möchte ich mich nicht regelmäßig selbst erinnern müssen wie hier im Forum schon gelesen immer wieder die Ports für die Verlängerung (auch wenn nur kurzzeitig) zu öffnen. Gibt es Wege, an ein Zertifikat zu kommen, ohne dass ich regelmäßig Ports daheim öffnen muss und das dann in die DS zu importieren (wenns ein paar Kröten pro Jahr wären, daran würde es für mich daran nicht scheitern)?

Zweite Frage (vlt off-topic): Ich habe mir vor paar wenigen Wochen unter anderem mithilfe dieses Forums auch nen dauerhaften Zugang zu meinem home/SMB Ordner angelegt. Danach noch wie oben beschrieben einen Wireguard VPN, damit ich immer von überall über das Heimnetzwerk auf meine Daten zugreifen kann. Lieg ich richtig in der Annahme, dass ich dank VPN-Zugang z.B. auf meinem Laptop auf die SMB-Freigabe zugreifen kann, oder wäre das auch möglich ohne? Das wäre von mir dann aber nicht gewollt, Plan war wie gesagt falls mal in fremdem Netzwerk dass ich nur dank VPN-Verbindung darauf Zugriff habe (möglich wäre natürlich noch aufm mobilen PC dauerhaft den VPN zu aktivieren, wie beim iPhone auch, das wäre dann eh der Plan, mir gehts hier ja auch ums Verstehen :/).

Über Hilfe / Erklärung würd ich mich freuen

 

[wegomyway]

https://www.synology-forum.de/threa...kl-portfreigabe-fritz-box-integration.106559/
Das Script sorgt automatisch für aktuelles Zertifikat, das kostet nichts. Port ist bei mir nur 443 offen. Alles andere zu und auch nicht temporär mal was offen.
Wireguard-VPN für jedes mobile Endgerät auf der Fritzbox (wenn die es kann) einrichten.

 

[Hagen2000]

Vielleicht mal die zweite Frage zuerst:
Solange Du auf deinem Router keine Port-Freigaben eingerichtet hast, ist dein internes Netz sicher und nur über den VPN-Zugang erreichbar. Da das VPN schon alle Daten verschlüsselt, ist das Verwenden von SSL-Verbindungen innerhalb des VPNs eigentlich überflüssig. Du kannst also auch per HTTP zugreifen und bekommst dann keine Zertifikatsfehler.

Jetzt zur ersten Frage: Zertifikate gelten nicht für IP-Adressen, sondern nur für DNS-Namen. Du würdest also einen zusätzlichen (den für die VPN-Verbindung benötigst Du ja weiterhin) DNS-Eintrag benötigen, der auf deine interne IP-Adresse auflöst. Das könnte man mit dem Synology-DDNS-Dienst auf dem NAS zwar lösen, aber Du musst dich dann eben auch mit der Zertifikatsverlängerung auseinandersetzen. Ich würde es eher nicht empfehlen.

 

[Benie]

Du musst dich dann eben auch mit der Zertifikatsverlängerung auseinandersetzen. Ich würde es eher nicht empfehlen.

Mit einer Synology DynDNS, braucht man für die Verlängerung keine offenen Ports, darüber hinaus, wird das Zertifikat von LE alleine, sprich ohne Dein dazutun verlängert.
Ich habe zusätzlich noch eine nicht Synology DynDNS, dort muß ich die Ports für die Verlängerung öffnen. Das verlängern läuft auch nicht automatisch, aber ich bekomme jedesmal von LE/Synology mehrere Erinnerungen, daß ich doch rechtzeitig verlängern soll.