Let's Encrypt Zertifikat für DS / Vaultwarden

[JackOh]

Hallo,

um meine Geräte und Dienste auf der DS im Heimnetz per IPv6 zu erreichen, musste ich den dynv6 DDNS Anbieter + den Portmapper Dienst von Feste-IP.net einsetzen. Das klappt soweit ganz gut.
Mein Problem aktuell ist, dass z. B. mein Vaultwarden (per Docker) per SSL angesprochen wird. Dafür wollte ich nun per Let's Encrypt ein Zertifikat erstellen. Jedoch fragt die DS nach der Query URL für dynv6 und bei dem DDNS Eintrag Daten wie Hostname, Benutzername, Kennwort etc.

Leider weiss ich nicht, welche Daten genau eingesetzt werden müssen. Bisher habe ich als Query URL dieselbe Update-URL für die Fritz!Box beim Serviceanbieter angelegt und als Hostnamen den Record für die DS xx.yyyyy.dynv6.net und Benutzer und Kennwort aus den Instructions bei dynv6.net. Leider schlägt das fehl.

Könnt Ihr mir sagen, welche Daten da rein müssen, bzw. was ich hier falsch mache?

 

[EDvonSchleck]

Es ist eigentlich ganz einfach. Du musst lediglich beim beantragen von einem LE -Zertifikat dei Ports 80 & 443 am Router zur Dískstation öffnen.
Danach gibst du nur noch eine Domain oder DDNS an und fertig.

https://www.synology-forum.de/threa...wizard-hinter-ds-lite-anschluss-nutzen.85244/

 

[JackOh]

Super, das hat funktioniert. Besten Dank!

Trotzdem wird die aufgerufene Addresse https://xyz.feste-ip.net:12345/ der DS vom Browser als Sicherheitsrisiko erkannt. Die Bitwarden Desktop App (Win) meldet "Failed to fetch".

Woran kann das liegen?

 

[EDvonSchleck]

https://xyz.feste-ip.net:12345/ ist auch deine DynDNS? Der Portmapper ist dazu da um einen bestimmten Port durch zu leiten. Die DynDNS um deine wechselnde IP aufzulösen oder zu vereinfachen. Auf welche Domain hast du das Zertifikat ausgestellt https://xyz.feste-ip.net?

 

[JackOh]

Ich habe das DDNS auf der Synology deaktiviert. Es ist nur noch in der FritzBox eingerichtet. Diese zeigt auf die Zone XYZ.dynv6.net im dynv6.net. Das Zertifikat habe ich per Let's Encrypt in der Synology NAS auf ds.xxxx.dynv6.net ausgestellt. Und es funktioniert, jedoch wird es immer noch als unsichere Seite erkannt.

 

[EDvonSchleck]

Unter der ds.xxxx.dynv6.net:12345 kommst du jetzt an deinen Vault?
Hast du einen reverse Proxy eingerichtet? Ist Vaultwarden (Dienst) auch das Zertifikat zugeteilt?

 

[JackOh]

Genau, unter ds.xxxx.dynv6.net:12345 komme ich auf meine Vault. Ein Proxy ist eingerichtet:

Ist Vaultwarden (Dienst) auch das Zertifikat zugeteilt?

Wo macht man das?

 

[EDvonSchleck]

Das findest du unter Sicherheit>Zertifikat>Einstellungen.

Dort sollte der Reverse Proxy Eintrag zu finden sein. Da du 2 Zertifikate hast muss natürlich das LE Zertifikat ausgewählt sein.. )ist aber laut Scrennshot schon incl.)
Damit der Reverse Proxy das Zertifikat annimmt, lauscht dieser auf die aufgerufene Domain. Laut deiner Aussage in #7 ist das aber nicht ds.xxxx.dynv6.net, sondern xyz.feste-ip.net!

Du musst das ganze noch einmal genau überdenken und ein xyz.feste-ip.net-Zertifikat ausstellen. Das dynv6.net-Zertifikat ist überflüssig, da du ja nicht über die Adresse hierin kommt. Meinst du die IPv6 (WAN) wird öfters geändert?
Deine Leitung sieht wie folgt aus:
Diskstation>Fritzbox>dynv6.net>feste-ip.net und zurück, eventuell kannst du dir dynv6.net auch komplett sparen. Wenn man mag kann man vor feste-ip.net noch eine Domain oder andere Dyndns (ipv4 eventuell alte) setzen.

Ich weis ja nicht wie lange dein Vertrag bei feste-ip.net läuft, aber wäre es nicht besser den Dienst selbst zu hosten? Mit max 24€ im Jahr ist du dabei und hast keine Begrenzung und auch keiner der dazwischen hängt. Alternativ sich vor dem Wechsel des Internetanbieters informieren - so ein gutes Angebot kannst du nicht von O2 bekommen haben!

 

[JackOh]

Das Reverse Proxy zeigt auf die feste-ip.net Adresse. Genau so sehe ich es auch: eigentlich müsste das Zertifikat ebenso auf die feste-ip.net Adresse zeigen. Aber das funktioniert nicht. Sobald ich versuche, ein Zertifikat für die feste-ip.net Adresse zu holen, wird es leider abgelehnt.


Das Portmapping selbst zu hosten gefällt mir auch sehr gut. Leider habe ich mich bisher davor gescheut. Das Video kommt mir auch bekannt vor. Aber ich werde es mir noch mal zu Gemüte führen.

 

[JackOh]

Diskstation>Fritzbox>dynv6.net>feste-ip.net und zurück, eventuell kannst du dir dynv6.net auch komplett sparen.

Genau so sieht es aus. Meinst du, ich soll die IPv6 Adresse der NAS bei feste-ip.net eintragen? Laut o2 würde sich die WAN angeblich nicht ändern. Ich meine, wenn es sich selten ändert, wäre das nicht unbedingt ein Problem.

Was genau trage ich bei feste-ip.net dafür ein?

 

[EDvonSchleck]

Das Problem ist aber das der Reverse Proxy erkennt das du eben nicht über diese Webseite kommst.
Die WAN Adresse trägst du bei feste-ip.net als Ziel ein: Diskstation>Fritzbox>WANIP>feste-ip.net. Da die WAN IP nicht gewechselt wird, brauchst du auch dem zufolge keine Dyndns. Das dient ja nur bei wechselnden IPs eine Verbindung zum Router aufzubauen ohne jedes mal die IP ausfindig zu machen. Das stammt noch aus Zeiten wo es täglich nachts eine Zwangstrennung gab.

Wie lange läuft dein vertrag bei feste IP? ich würde auf jeden Fall 6tunnenl selber hosten. Bei IONOS kostet das ganze 18€ im ersten Jahr und 24€ im Folgejahr. Du hast keine Begrenzung auf die Portanzahl oder Domain/Dyndns ud die Daten liegen bei dir (extern). Das sind auch nur 2-3 befehle die du mit c&p einfach umsetzen kannst - das schafft jeder!

 

[JackOh]

Ok, habe jetzt die IPv6 Adresse der NAS bei feste-ip hinterlegt und es funktioniert. Ich habe auf der Syno und auf der Fritz!Box die DDNS Dienste deaktiviert.

Jetzt frage ich mich aber, wie ich für die feste-ip.net jetzt ein Zertifikat ausstellen kann. Was trage ich denn in die Felder ein? Wie im Screenshot im Post #9 zu sehen, wird es mit der feste-ip Domain abgelehnt.

Noch habe ich keinen Vertrag bei Feste-IP, da ich gerade die 50 Credits Testzeit begonnen habe. Wie heisst der VPS genau bei IONOS? Ich hoffe, dass du mich dabei auch unterstützen kannst, wenn ich so ein Server miete Oder gerne eine gut verständliche Anleitung zeigen.

Jedenfalls bin ich dir sehr dankbar für deine bisherige Hilfsbereitschaft!

 

[EDvonSchleck]

Bestimmt,

Ich würde es sebst hosten und damit hast du die volle Kontrolle. VPS = Virtual Private Server. Für wenige Euros kannst du diesen bei unterschiedlichen Anbietern mieten z.B. 1&1 (IONOS) oder netcup oder... je nach Preis. Bei IONOS bekommst du das in den ersten 6 Monaten für 1€ pro Monat. Das reicht um es ausgiebig zu testen. Wie gesagt es sind nur 3-4 c&p Befehle - das bekommt jeder hin!

Bei den Zertifikatserstellung hast du auch die Ports 80 & 443 auf die Diskstation freigegeben?
Das Creditsystem, Zertifikatproxy, Anzahl Portfreigaben etc finde ich bei feste-ip.net nicht richtig transparent und zu teuer gegenüber das selber hosten mit 6tunnel.

Das einrichten können wir auch gerne zusammen machen.

 

[JackOh]

Ich schaue mir das mit dem VPS demnächst näher an. Jetzt muss ich aber das Zertifikat für die DS hinbekommen. Die Ports sind offen. Das hat auch für die zertifizierung des dynv6-Record, was ich vorher drin hatte, funktioniert.
Ist es denn richtig, dass ich die feste-ip.net Domain eintrage? Im Reverse Proxy ist sie ja auch hinterlegt.

 

[EDvonSchleck]

ja ist richtig. Ich bin mir aber nicht sicher ob das irgendwie vom Anbieter geblockt wird, da dieser auch ein Zertifikatsproxy gegen Credits anbietet!
Du kannst aber auch eine normale dyndns davor hängen. Ich würde aber nicht so viel zeit inst testen stecken und gleich einen VPS aufsetzen und gut ist die Sache!

 

[JackOh]

Ok, was ist die Mindestanforderung an so einen VPS?

 

[EDvonSchleck]

Account anlegen, der kleiste Server den es gibt bei IONOS > VPS S



Wenn du magst noch einen eigene Domain für 8ct/Monat in den ersten 12 Monaten

 

[JackOh]

Strato bietet gleiche Konfig dauerhaft für 1€ an. Damit sollte es doch auch gehen, oder?

 

[JackOh]

Bei Strato bin ich auch bereits Kunde und habe dort auch eine bestehende Domain

 

[EDvonSchleck]

Dann mache es dort, wo der VPS läuft ist ja egal. Kannst denn auch gleich deine Domain dafür nutzen!?