let´s encrypt / Portfreigabe / VPN?

[Benie]

Wenn der TE beispielsweise auf die Web-GUI seines Routers per HTTPS zugreifen möchte,

Das mache ich über my Fritz, das ist dann genau so sicher. Mit der My FritzApp oder auch mit Box To go App, auch vom PC hat man ja über my Fritz zugriff, was ja ähnlich wie QuickConnect zu Synology dann über eine myritz Adresse läuft.
Aber hat der TE ja wie Du auch geschrieben hast nicht. Das war zb. der Grund daß ich nicht die klassische VodafoneBox genommen habe und mir eine eigene FritzBox gekauft habe, damit ich von solchen Providerbestimmenden Dingen frei bin.

 

[Hagen2000]

über die dyndns-Adresse mit angehängtem [Doppelpunkt][Port] so auf die Weboberfläche

Wenn Du über VPN arbeitest, dann bist Du ja schon intern im eigenen Heimnetz. Die DynDNS-Adresse ist aber für die externe Adresse konfiguriert.

Zu deiner Frage: Du kannst normalerweise keine Zertifikate anhand deiner DynDNS-Adresse bekommen. Dazu wird eine Überprüfung (sog. Challenge) durchgeführt, die beispielsweise einen echten Server voraussetzt. Der Speedport-Router kann das m. E. nicht, das Synology NAS hingegen hat die notwendige Software eingebaut. Daher wirst Du ziemlich sicher kein Zertifikat bekommen.
Ich habe das nochmal bearbeitet - das zuvor Gesagte gilt vor allem für Let's Encrypt.
Ansonsten hast Du das richtig verstanden.

 

[jdscarpa]

Wenn Du über VPN arbeitest, dann bist Du ja schon intern im eigenen Heimnetz.

Ja das wusste ich schon nur hab ich im Internet "erfahren" dass ich für einen VPN eine dyndns brauche, deshalb hab ich mir eine erstellt für den speedport.

Zu deiner Frage: Du kannst normalerweise keine Zertifikate anhand deiner DynDNS-Adresse bekommen. Dazu wird eine Überprüfung (sog. Challenge) durchgeführt, die beispielsweise einen echten Server voraussetzt. Der Speedport-Router kann das m. E. nicht, das Synology NAS hingegen hat die notwendige Software eingebaut. Daher wirst Du ziemlich sicher kein Zertifikat bekommen.
Ich habe das nochmal bearbeitet - das zuvor Gesagte gilt vor allem für Let's Encrypt.
Ansonsten hast Du das richtig verstanden.

Okay alles klar. Mir ging es für die zweite domain ja auch gar nicht mehr um den Router, sondern nur ums NAS, damit ich der IP des NAS mir eine zweite domain erstelle und damit dann mein Zertifikat, damit ich die Sicherheitswarnungen zumindest für das NAS bei Zugriff per Weboberfläche nicht mehr erhalte.
Dann probier ich das mal aus.

Ich habe auch bisher alles verstanden und viel gelernt, vielen Dank dafür <3

Zwei letzte Fragen (vorerst) habe ich noch:

Als einfachste Lösung würde ich mich dem Vorschlag von @NSFH anschließen und Sicherheitsausnahmen für die nicht passenden Zertifikate erstellen. Dann kannst Du per HTTPS zugreifen und, da die vorhandenen Zertifikate in der Regel viele Jahre gelten, hast Du dann auch für die entsprechende Zeit Ruhe (gilt nicht für Let's Encrypt-Zertifikate).

Nur fürs Verständnis, sind hier bei den Ausnahmen die automatischen "Zertifikate" gemeint, die der Browser (bei mir Firefox) automatisch anlegt wenn ich die website trotzdem besuche oder andere?

Die zweite Lösung, die @Benie vorgschlagen hat, läuft darauf hinaus, dass Du dir über den Synology-DDNS-Dienst auf dem NAS einen weiteren DNS-Namen reservierst und diesen aber mit der internen (d. h. privaten) IPv4-Adresse deines NAS verknüpfst. Der DDNS-Dienst von Synology unterstützt dies. Darüber hinaus kannst Du dir ein kostenloses Let's Encrypt-Zertifikat ausstellen lassen. So kannst Du innerhalb deines Heimnetzes sauber per HTTPS mit offiziellem Zertifikat zugreifen. Auch von extern kann es funktionieren, wenn die VPN-Verbindung vorher aufgebaut wird.

Diese Lösung hat aber folgende Nachteile:

• Das Zertifikat gilt erst einmal nur für dein NAS. Man könnte ggf. ein Wildcard-Zertifikat verwenden, dieses müsstest Du dann aber regelmäßig auf deine anderen Geräte verteilen.
• Das Verwenden einer privaten IP-Adresse für DynDNS ist zwar erlaubt, aber nicht empfohlen: Ein Grund (*) liegt im sogenannten DNS-Rebind-Schutz

Wenn du hier von der internen IPv4-Adresse des NAS sprichst, ist damit die IP-Adresse von meiner Synology gemeint, die ich in der Weboberfläche des NAS/Routers sehe? Blöde Frage, aber welche sollte ich sonst benutzen? Ich dachte die einzige Adresse von mir, die öffentlich ist, ist die des Routers nach extern selbst, also jene, die mir der Provider zuordnet...

Sorry für die vielen Fragen

 

[Ronny1978]

Sorry für die vielen Fragen

Warum? Dafür ist ja ein Forum da, sowie hilfsbereite Mitmenschen, die ihr Wissen teilen.

 

[yonas]

Die zweite Lösung, die @Benie vorgschlagen hat, läuft darauf hinaus, dass Du dir über den Synology-DDNS-Dienst auf dem NAS einen weiteren DNS-Namen reservierst und diesen aber mit der internen (d. h. privaten) IPv4-Adresse deines NAS verknüpfst. Der DDNS-Dienst von Synology unterstützt dies. Darüber hinaus kannst Du dir ein kostenloses Let's Encrypt-Zertifikat ausstellen lassen. So kannst Du innerhalb deines Heimnetzes sauber per HTTPS mit offiziellem Zertifikat zugreifen. Auch von extern kann es funktionieren, wenn die VPN-Verbindung vorher aufgebaut wird.

Diese Lösung hat aber folgende Nachteile:

• Das Zertifikat gilt erst einmal nur für dein NAS. Man könnte ggf. ein Wildcard-Zertifikat verwenden, dieses müsstest Du dann aber regelmäßig auf deine anderen Geräte verteilen.
• Das Verwenden einer privaten IP-Adresse für DynDNS ist zwar erlaubt, aber nicht empfohlen: Ein Grund (*) liegt im sogenannten DNS-Rebind-Schutz:
• Manche Router - z. B. alle FRITZ!Boxen - verbieten standardmäßig DNS-Anfragen, die Adressen des eigenen Netzwerks als Ergebnis liefern und man muss eine entsprechende Ausnahme konfigurieren.
• Dieser DNS-Rebind-Schutz ist aber leider auch in einigen Hotel-(W)LANs oder öffentlichen WLANs aktiv und betrifft dort meistens sämtliche privaten IP-Adressen. Damit kannst Du dann zwar die VPN-Verbindung herstellen, dann aber scheinbar nicht über diese kommunizieren, weil die Namensauflösung der internen IP-Adressen nicht funktioniert. Das ist sehr störend und dieses Problem tritt natürlich ausgerechnet dann auf, wenn man auf ein fremdes (W)LAN angewiesen ist. Im Mobilfunknetz habe ich den DNS-Rebind-Schutz bislang nicht erlebt, da kann man dann zur Not noch ausweichen.

(*) Ein weiterer Grund ist, dass dies gegen das Prinzip der Eindeutigkeit des DNS verstößt: Private IP-Adressen dürfen ja von jedermann frei verwendet werden und so könnte der DNS-Name auch in einem fremden Netz zu einer gültigen IP-Adresse - aber eines ganz anderen Geräts - führen. Das braucht einen aber solange nicht zu stören, wie das Verfahren nicht offiziell untersagt wird.

Moin, ich würde gerne einmal an diesen Thread andocken und hoffe, das Thema damit nicht zu sehr zu strapazieren. Ich habe genau die hier beschriebene Lösung implementiert und einen synology-ddns auf die interne ipv4 geleitet, um ein gültiges Zertifikat zu bekommen und gleichzeitig meine DS nicht von außen erreichbar zu machen - außer via Wireguard, was auch (bisher) einwandfrei funktioniert. Hintergrund ist, dass ich auf der Synology im Prinzip alle meine wichtigen Daten habe, die ich einfach so wenig wie möglich exponieren möchte. Nun sind ja schon einige Synology-Lösungen sehr verlockend. Konkret würde mich eine Option reizen, gewisse Dateien nach außen (etwa per Linkfreigabe über Synology Drive) freigeben zu können. Wäre es denkbar, über einen Docker einen isolierten Bereich zu schaffen, wo man eine Freigabe einrichtet, ggfls Portweiterleitungen darauf lenkt mit separatem DDNS, so dass Angreifer im worst case wirklich nur die im Docker befindlichen Daten an-/abgreifen können, ohne dass die restliche DS bzw deren Daten gefährdet wären? Ist das Käse oder umsetzbar ohne Risiko für die wichtigen Daten und falls letzteres, was wäre zu beachten? Meine Expertise in diesem Bereich ist sehr limitiert. Wäre dankbar für eine Einschätzung.