DSM 6.x und darunter Let's Encrypt funktioniert "aus dem Internet", netzwerkintern ist es aber unsicher??

[squiddy]

Let's Encrypt funktioniert "aus dem Internet", netzwerkintern ist es aber unsicher??

Hallo,

ich habe heute ein Let's Encrypt-Zertifikat erstellt und aktiviert, hat auch beim Fernzugriff gleich funktioniert.
Wenn ich jetzt zu Hause (netzwerkintern) auf den DSM über die IP der Diskstation zugreife wird das Zertifikat als ungültig erkannt, passt halt nicht mit der "Domain" zusammen.
Kann man das irgendwie ändern?

Gruß,
Andi

 

[bitrot]

Ja. Entweder lokalen DNS Server laufen lassen (gibt es auch für Synology NAS als Paket) oder NAT Loopback in den Routereinstellungen aktivieren, sofern vom Router unterstützt. Dann kannst Du auch aus dem Heimnetzwerk Deine Synology über die "externe" URL erreichen.

 

[squiddy]

Ok, also in der Fritzbox habe ich bei DNS-Rebind-Schutz eine Ausnahme für meine Dyn-Domain hinzugefügt, klappt aber nicht, geht totzdem übers I-Net.
Das mit dem lokalen DNS macht Sinn, ist mir aber ehrlich gesagt zu umständlich.

Danke trotzdem für den Tipp!

Gruß,
Andi

 

[bitrot]

Was meinst Du mit "geht totzdem übers I-Net"? Kannst Du das bitte etwas konkretisieren?

Bei der Fritz!Box ist die eingetragene Ausnahme beim sog. "DNS-Rebind Schutz" in der Tat das erwähnte NAT Loopback für die jeweilige Domain. Damit sollte es eigentlich möglich sein, aus dem LAN über die 'externe' URL auf die DS zuzugreifen.

 

[squiddy]

Ne leider nicht, ich hatte es in den Varianten domain.de, https://domain.de, https://domain.de:5001 versucht, aber wenn ich mich dann im DSM anmelde und über den FileManager eine Datei vom PC hochlade, dann sehe ich Internet-Traffic (ich hab nebenbei cFos-Speed am PC laufen, da sieht man die aktuellen Internet-Up- und Downstreams, Netzwerkverkehr ausgeschlossen (wenn ich über die IP angemeldet bin steht die Anzeige). Geht also ins Internet und wieder zurück, entsprechend lahm ist auch die "Kopierrate" (hab nur 2000 kbps Upload).

So meine Erkenntnis...

 

[Fusion]

Wie schnell ist denn die Übertragung damit?

Normal geht der Verkehr zum Router, dort intern von LAN auf WAN und wieder zurück auf LAN, verlässt also das Gerät nicht. Kann schon sein, dass du das als Internet-Traffic registrierst (hab dein Setup aus den spärlichen Angaben geistig noch nicht zusammenbasteln können). Aber der Traffic bleibt im Gerät und die NAT Umsetzung sollte auch locker mit mehreren hundert MBit/s bis fast GBit/s laufen, je nach Router.

 

[bitrot]

Ach so, jetzt verstehe ich was Du meinst. Das ist auch richtig so, damit wirst Du leben müssen. Ich frage mich nur, warum Du über die WebGUI Daten hochlädst und nicht einfach via SMB im Heimnetzwerk? Das wäre so oder so deutlich schneller.

 

[squiddy]

Oha, jetzt kommt ein bisschen was durcheinander.

Also von vorne.

Router: FB 7390 mit GB-LAN, durchgängig zum PC und zur Diskstation.

Wenn ich im DSM mit dem Filemanager hochlade dann komme ich nicht über 220 KB/s (KiloByte), also ca. der 2000er Upload, daher die Vermutung.
Das mache ich ja auch nur jetzt zum testen, sonst natürlich über Samba, da habe ich dann auch meine 70-80 MB/s.

Dass der Traffic-Monitor das als Internet-Traffic sehen würde (wenn es denn funktionieren würde) leuchtet ein, aber es ist definitiv zu langsam...

Reicht denn ein "domain.de" oder sollte es https://domain.de sein?

Gruß,
Andi

 

[Fusion]

Also bei mir reicht da sub.domain.de, wenn ich via https:// sub.domain.de aufrufe.

Nutzt du eine eigene Domain, oder dynDNS, oder ....? Nur zum besseren Verständnis, auch wenn es nicht direkt was mit dem Problem zu tun hat.

 

[squiddy]

Bei Selfhost "meinedomain.de", dynamisch geroutet im Zusammenspiel mit/auf meine Fritzbox. Also keine Subdomain, sondern eine bezahlte .de-Domain.

 

[heavy]

Mal ne ganz dumme Frage, warum vertraust du dir nicht im eigenen Netz oder was ist eigentlich dein Antrieb es über https im eigenen Netz zu machen?

 

[squiddy]

Ja da hast du schon recht, aus dem eigenen Netz ist das nicht notwendig. Ich bin nur drüber gestolpert da die Cloud-Station gemeckert hat und dachte ich mir dass das ja eigentlich blöd ist.

WIe gesagt, die Fritzbox schickt es dummerweise übers Internet. Oder beschränkt die Rate, auf jeden Fall für mich nicht so praktikabel.

Gruß,
Andi

 

[bitrot]

Die Frage nach dem 'warum' steht aber noch aus. Warum ist das nicht praktikabel für Dich? Die Web GUI ist ja vornehmlich zum konfigurieren da, ich würde nur bei kleinen Dateien über die FileStation hochladen. Selbst im LAN ist das via SMB einfach erheblich schneller.

 

[squiddy]

Ich mache ja normalerweise ja alles über Samba (wenn es um Files geht), aber wenn ich mich im DSM einlogge dauert das einfach zu lange, es ist alles zu laggy. Wie gesagt, ist wie ein 2000er DSL. Und wenn ich die CloudStation mit der Domain konfiguriere passt zwar das Zertifikat, aber der Sync geht übers Internet, das kann halt irgendwie nicht sein.
Ist vielleicht auch ein bisschen Prinzipsache, aber dann lieder mit ungültigem Zertifikat.

Gruß,
Andi

 

[Outlaw]

Dass das Zertifikat angemeckert wird, ist logisch, intern heißt Deine DS einfach anders.

Nutze intern einfach http und feddich oder importiere das Zertifikat in Deinen Browser.

 

[HabNeFritzbox]

Zertifikat wird auf den Hostnamen/Domain erzeugt (inkl. Alternative meist www), alle Abweichung dazu sind eben nicht vertrauenswürdig, egal ob interner Hostname oder über IP Adresse.

Ist also soweit korrekt. Die Aussage geht über Internet, zeugt einfach nur von Unwissenheit. Wohin soll die FB den bitte etwas hochladen, wenn Quelle und Ziel im Netzwerk anzutreffen sind? Zufälliger Server Weltweit der was annimmt, und wieder zurück schickt?

Im DNS Rebind Schutz nur den Hostnamen eintragen ohne Protokoll, also kein http, ftp oder irgendwelche Ports ect.

Bei nur IPv4 sollte DNS Rebind Schutz keine Rolle spielen, da ja öffentliche IP im Hostnamen steht, und nicht die interne, bei IPv6 sieht es anders aus, da die IP intern und extern ist.

Ich greife ohne Probleme oder Einschränkungen intern über öffentlichen Hostnamen zu. Und sehe auch nichts im Trafficmonitor der FB dazu.