Nabend,
ich bin auf einen älteren Post von @the other
https://www.synology-forum.de/threads/zertifikat-nur-lokal.113131/post-924772
gestoßen und bei einer Anmerkung interessiert hängen geblieben und frage mich ob diese immer noch Gültigkeit hat.
Ich habe bei mir ein Unifi-Netzwerk mit einem Nginx Reverse Proxy, AdGuard, Synology DiskStation etc.
1ter DNS ist AdGuard
2ter DNS ist PiHole als Fallback
3ter DNS ist der Unifi-Router
AdGuard ist so konfiguriert, dass interne DNS Anfragen an den Unfi Router geleitet werden.
Der Nginx regelt Anfragen die von außen kommen und verteilt mit SSL entsprechend weiter.
Intern nutze ich Unifi für internes DNS Routing z.b. zum Nginx wenn interne Anfragen mit einem internen openssl Zertifikat von Nginx gehändelt werden sollen.
Das Funktioniert alles super.
Das einzige wo ich hänge ist, wie kann ich eine interne Anfrage "https://IP:_Port" auch mit SSL behaften.
Als Beispiel die Synology:
Anfragen von außen via SSL über Nginx geregelt => alles fein
Anfragen von innen auf einen DNS z.b. "synology.lan" werden über Unifi DNS Routing an den Nginx geleitet und geregelt => alles fein
PS ein lokales Zertifikat mit den alternativen DNS1, DNS2 .... inkl. der internen IP ist erstellt und u.a. in Nginx eingebunden.
Was ich nicht evtl noch nicht geschafft habe:
Wie schaffe ich es im Browser, die "https://192.168.1.10:5001" auch mit SSL zu händeln......
Ich hatte mal versucht das Zertifikat (mit DNS = IP) direkt im Browser zu laden => kein Erfolg
Er zieht sich ein Zertifikat direkt von der Synology "myds.me" dass ich vor Ngnix via let`sEncrypt für Anfragen von außen genutzt hatte und wenn ich das lokale Zertifikat bei synology einbinde führt das auch nicht zum Erfolg ....
Wenn ich als ersten "Forward" DNS den Unfi eingeben und alles zuerst an Nginx leiten würde, klappt das mit dem AdGuard wahrscheinlich nicht mehr ....
Ergo letzte Hoffnung
Hier einen cool Tipp zu bekommen, bevor ich mir weiterhin die Nächte mit SSL um die Ohren schlage
PS: klar es funktioniert alles über DNS intern/extern mit SSL ... ABER die "Königsklasse" würde mich halt auch interessieren vor allem weil es anscheinend irgendwie funktioniert ....
Anbei noch ein grober Netzwerkplan
ich bin auf einen älteren Post von @the other
https://www.synology-forum.de/threads/zertifikat-nur-lokal.113131/post-924772
gestoßen und bei einer Anmerkung interessiert hängen geblieben und frage mich ob diese immer noch Gültigkeit hat.
Ich habe bei mir ein Unifi-Netzwerk mit einem Nginx Reverse Proxy, AdGuard, Synology DiskStation etc.
1ter DNS ist AdGuard
2ter DNS ist PiHole als Fallback
3ter DNS ist der Unifi-Router
AdGuard ist so konfiguriert, dass interne DNS Anfragen an den Unfi Router geleitet werden.
Der Nginx regelt Anfragen die von außen kommen und verteilt mit SSL entsprechend weiter.
Intern nutze ich Unifi für internes DNS Routing z.b. zum Nginx wenn interne Anfragen mit einem internen openssl Zertifikat von Nginx gehändelt werden sollen.
Das Funktioniert alles super.
Das einzige wo ich hänge ist, wie kann ich eine interne Anfrage "https://IP:_Port" auch mit SSL behaften.
Als Beispiel die Synology:
Anfragen von außen via SSL über Nginx geregelt => alles fein
Anfragen von innen auf einen DNS z.b. "synology.lan" werden über Unifi DNS Routing an den Nginx geleitet und geregelt => alles fein
PS ein lokales Zertifikat mit den alternativen DNS1, DNS2 .... inkl. der internen IP ist erstellt und u.a. in Nginx eingebunden.
Was ich nicht evtl noch nicht geschafft habe:
Wie schaffe ich es im Browser, die "https://192.168.1.10:5001" auch mit SSL zu händeln......
Ich hatte mal versucht das Zertifikat (mit DNS = IP) direkt im Browser zu laden => kein Erfolg
Er zieht sich ein Zertifikat direkt von der Synology "myds.me" dass ich vor Ngnix via let`sEncrypt für Anfragen von außen genutzt hatte und wenn ich das lokale Zertifikat bei synology einbinde führt das auch nicht zum Erfolg ....
Wenn ich als ersten "Forward" DNS den Unfi eingeben und alles zuerst an Nginx leiten würde, klappt das mit dem AdGuard wahrscheinlich nicht mehr ....
Ergo letzte Hoffnung
Hier einen cool Tipp zu bekommen, bevor ich mir weiterhin die Nächte mit SSL um die Ohren schlage
PS: klar es funktioniert alles über DNS intern/extern mit SSL ... ABER die "Königsklasse" würde mich halt auch interessieren vor allem weil es anscheinend irgendwie funktioniert ....
Anbei noch ein grober Netzwerkplan
Anhänge
Zuletzt bearbeitet:
