DSM 7.1 Mein persönliches(?) Freigaben Dilemma...

[megakeule]

Moin!
Ich muss hier jetzt mal etwas Frust ablassen. Bestimmte Funktionen verlangen zwingend offene Ports, obwohl man sie nur intern nutzen möchte. Her sind exemplarisch ABB und Passwordless Login genannt. Vielleicht hat ja jemand eine elegante Lösung oder teilt wenisgten meinen Schmerz.

Gegeben:
DS1621+ mit DSM 7.1 (erreichbar via fester interner IP und diskstation.fritz.box)
Fritzbox 7590ax mit FOS 7.50

Gewünscht:
a.) Nutzung von Passwordless Login auf der DSM (mit App und/oder Windows Hello) im LAN
b.) Nutzung von ActiveBackupForBusiness zum Full-Backup von Linux und Windows Rechnern
c.) intern HTTPS ohne Warnung wäre auch nett
d.) Die Diskstation soll NICHT über das Internet erreichbar sein (außer über Fritz VPN, bei Bedarf), also keine Portweiterleitung o.ä.
e.) Nur mit Bordmitteln!

Problem:
Hauptsächlich wohl die Zertifikate und deren Erstellung/Erneuerung.
So wie ich das verstehe schließen sich a.) und d.) sowieso aus, da zum Passwordless Login nur externe Domains verwendet werden können. Warum das so sein muss? Keine Ahnung!

Also erstmal zum Problem der Zertifikate für interne Domains und/oder IPs.
- Ich habe auf der DSM eine xxx.synology.me DDNS Adresse erstellt und angeklickt das ein LetsEncrypt Zeritikat dafür erstellt werden soll.
- Das hat ohne Fehlermeldung und ohne Portfreigabe (warum eigentlich?) funktioniert
- intern ist xxx.synology.me allerdings nicht erreichbar, daher kann ich diese Adresse auch nicht beim Setup von ABB verwenden. Logisch soweit.
- Ein LetsEncrypt Zertifikat für die feste interne IP oder den internen DNS Namen erstellen geht auch nicht
- Seit DSM 7 kann man übrigens mit DSM Bordmitteln auch keine Self-Signed Zertifikate mehr erstellen (wahrscheinlich weil die Browser das sowieso nicht mehr akzeptieren, oder?)

Welche Möglichkeit bleibt hier für die ABB Clients ein dauerhaft gültiges (oder auto-renew) Zertifikat bereit zustellen?

Wenn das Zertifikat für ABB nämlich abgelaufen ist, stellen die ABB Clients einfach mehr oder weniger kommentarlos das "Backupppen" ein. Wenn man das erst Wochen später bemerkt, kann das fatal sein.

Ich suche also primär eine Lösung für die interne IP Zertifikat Problematik, denke ich. Oder eine Möglichkeit das bei ABB zu umgehen.

Jemand eine Idee?

 

[Kurt-oe1kyw]

intern ist xxx.synology.me allerdings nicht erreichbar,

DNS Server auf der DS 1621+ installieren aus dem Paketzentrum.
DNS Server einrichten.
DNS Server löst intern deine xxxx.synology.me auf

 

[megakeule]

Ist zwar eine Möglichkeit, aber dann muss ich alle Clients aus diesen DNS Server umstellen.
Was wenn ich aus Konsistenzgründen und zur Einfachheit weiter den DNS des Routers verwenden will? Der hat eine höhere Uptime als die DSM.

Warum has Synology das Problem nicht bedacht und für ABB irgendwie automatisiert. Da kann ja ein internes Zertifikat der jeweiligen DSM verwenden der, dass bei der Erstverbindung einmalig festgelegt wird.

 

[plang.pl]

Du musst nur dem DHCP-Server sagen, dass er den DNS der DS mitgeben soll.
Ein gültiges Zertifikat für eine IP-Adresse gibt es in den seltensten Fällen.
Das Problem kannst du auch umgehen, indem du das Standardzertifikat der DS für AB4B festlegst. Das ändert sich ja nicht. Du musst also nur beim initialen Verbinden einmal die Warnung bestätigen.

Das hat ohne Fehlermeldung und ohne Portfreigabe (warum eigentlich?) funktioniert

synology.me Zertifikate lassen sich ohne Portweiterleitungen erstellen.
Self Signed Certs kannst du auch easy via Powershell erstellen. Das musst du aber auf jedem Client manuell als vertrauenswürdig deklarieren. Das geht aber nicht bei jedem Gerät.

 

[Benares]

... oder für solche Zwecke kann man sich auch ein selbst signiertes Zertifikat erstellen, wie hier beschrieben. Bei DSM6 ging das sogar über das GUI. keine Ahnung wieso das Synology rausgenommen hat. Der Artikel ist leider recht alt. Ab dem Schritt "Austausch der Dateien" geht es aber noch über das GUI.

 

[megakeule]

Welches ist das Standard-Zertifikat und wo kommt das 2. her?
(ja lesen kann ich auch "created by...." aber warum läuft das ab?)

Reicht es, denn ich für ABB das erste auswähle und einmalig beim Verbinden bestätige?

 

[EDvonSchleck]

Ich sehe bei deinem Vorhaben keine Probleme. Ich würde mir aber eine Domain sichern und diese nur intern nutzen. Die Domain kannst du nur interne nutzen und mit VPN zugreifen, das mache ich auch so. Dan ganze kann man natürlich auch mit einer DynDNS machen, nur wird die Domain länger und ist eventuell nicht ganz so personalisiert. Ab Sonntag gibt es die Domain für 1,60€ (dauerhaft) im Jahr günstig in der Netcup-Osteraktion abstauben. Ich und viele andere nutzen solche Angebote schon länger.

Was du noch benötigst wäre: Synologyx-DNS-Server oder Adguard home (nutze ich) oder Pi-Hole. Du bekommst bei den beiden letzten Varianten auch gleich noch einen Werbeblocker mit Jugendschutz uvm. Für das Zertifikat am besten gleich acme.sh. Das ist leicht einzurichten und benötigt keine Ports du zu öffnen sind und aktualisiert dieses Zertifikat auch automatisch alle 60 Tage. Ein Wildcard-Zertifikat ist natürlich auch möglich.

Die Bastelei mit dem selbst signiertem Zertifikat und das manuelle Einspielen würde ich mir sparen. Das ist etwas von vorgestern.

 

[megakeule]

Ich denke dein Vorschlag ist etwas Overengineered und auch nicht mit "Bordmitteln" zu erreichen

Es ist wohl halt einfach so, dass sie die Nutzung von HTTPS und Zertifikaten rein intern irgendwie auszuschließen scheint, oder? Finde nur ich das doof, ober habt ihr alle eurer DSen im Internet hängen?

 

[megakeule]

Übrigens:
Gleiches Problem bei Nutzung des internen Zertifikates:
Das ABB Client sagt, dass das Zertifikat nicht vertrauenswürdig ist, man kann aber trotzdem fortzufahren. Allerdings kommt dann der Hinweis, dass man jedes mal erneut sein Vertrauen aussprechen muss, wenn das Zertifikat erneuert wird. Die Hintergrund Sicherung mittels ABB Client wird dann also wieder still den Dienst einstellen, nis man am Clientrechner erneut vertraut. Das ist nicht gerade sehr Wartungsfreundlich!

 

[megakeule]

ABB bietet eine Funktion dafür:


Daher kam auch das 2. Zertifikat....

 

[EDvonSchleck]

Ich verstehe ja nicht, warum es so schwer sein soll, eine handvoll befehle zu kopieren nun auszuführen?
Warum kaufst du dir eine 1621 und 916, wenn du kein Interesse hast dich ein bisschen damit zu beschäftigen? Einen Schiebeschalter, so wie du es gern hättest, gibt es nicht. Was du benötigst, habe ich dir bereits geschrieben. Aber wenn du von Anfang an kein Interesse in der Umsetzung hast, weil es dir nicht einfach erscheint, habe ich dafür kein Verständnis. Das haben etliche andere User auch geschafft, nur muss man es auch wollen.

 

[plang.pl]

Reicht es, denn ich für ABB das erste auswähle und einmalig beim Verbinden bestätige?

Ich würde das abgelaufene wählen. Das ändert sich ja nicht mehr. Also einmal bestätigen und feddich. Ansonsten kannst du intern auch auf SSL verzichten. Ich persönlich handhabe es so wie @EDvonSchleck

 

[Crashandy]

Hallo @megakeule,

in Beitrag #6 hast Du ein Bild mit Ablaufdatum 22.04.2023 und im Beitrag #10 steht ein Ablaufdatum 04.04.2033.
An beiden Stellen muss das Datum gleich sein und ABB muss für dieses Zertifikat auch konfiguriert sein. Somit läuft ABB mit einmaliger Bestätigung des Zertifikates bis 04/2033.
Bei mir sieht es wie folgt aus und funktioniert tadellos.

 

[Crashandy]

Für alle anderen Anwendungen habe ich mein Standardzertifikat und dann noch das QuickConnect-Zertifikat.
Man kann auch das QuickConnect-Zertifikat als Standardzertifikat festlegen.
Und wenn @megakeule nach der Erstellung der Zertifikate kein Internet-Zugang zur DiskStation mehr haben möchte, dann kann man auch das Zertifikat von Active Backup for Business als Standartzertifikat festlegen und hat somit bis 2033 Ruhe.

 

[megakeule]

Ja, habe eine neues mit in der ABB Verwaltungskonsole erstellt und das ist jetzt bis 2033 gültig. Damit ist das ABB Problem gelöst. Ich habe das gleiche Zertifikat auch den Drive Server zugeordnet. Sollte damit erstmal bis 2033 Ruhe sein.

 

[Crashandy]

Sollte damit erstmal bis 2033 Ruhe sein.

Ich habe mir für solche speziellen Fälle die alten Zertifikate von Synology abgespeichert. Diese hatten im Jahr 2021 noch eine Laufzeit bis 2039. Es gibt ja auch DiskStationen auf welchen kein ABB installiert ist und dafür sind diese damaligen Zertifikate ideal geeignet.

 

[megakeule]

Ich verstehe ja nicht, warum es so schwer sein soll, eine handvoll befehle zu kopieren nun auszuführen?
Warum kaufst du dir eine 1621 und 916, wenn du kein Interesse hast dich ein bisschen damit zu beschäftigen? (...)

Das ist ja wohl ein blöder Spruch. Ich habe sehr wohl Interesse, sonst wäre das ja wohl nicht seit 13 Jahren dabei, aber
1.) Will ich meine NASse nicht zum Internet öffnen (wird ja auch hier immer wieder verteufelt)
2.) Will ich meine Netzwerkumgebung nicht verbiegen, nur damit es dann dem NAS passt.
Ich weiß nicht, was daran jetzt so falsch sein soll.

Mal zum 2. Punkt aus meinen ursprünglichen Post: Dem Passwordless Sign-in
Das wird von Synology als das sicherere und einfachere Verfahren propagiert, erfordert aber gleichzeitig das NAS zum Internet hin zu exponieren. Bin ich denn der einzige der das dämlich findet?

 

[megakeule]

Ich habe mir für solche speziellen Fälle die alten Zertifikate von Synology abgespeichert. Diese hatten im Jahr 2021 noch eine Laufzeit bis 2039. Es gibt ja auch DiskStationen auf welchen kein ABB installiert ist und dafür sind diese damaligen Zertifikate ideal geeignet.

Gute Idee. Kommt leider zu spät für mich. Ich denke das alte Zertifikat war nach der Migration zunächst sogar noch da. Hatte ich aber zwischenzeitlich gelöst.

 

[plang.pl]

Dass du dein NAS dafür ins Internet stellen musst, hat keiner behauptet und es ist auch nicht erforderlich

 

[Crashandy]

Bin ich denn der einzige der das dämlich findet?

Warum soll das noch Jemand dämlich finden?
Wie stellst Du Dir das eigentlich vor?
Passwörter auf dem PC, dem Tablet und dem Mobiltelefon sychron halten und das ohne Internet?
Dann musst Du einen anderen Passwort-Manager benutzen und zwar nativ auf jedem Gerät.
Ich verwende KeePass und meine Datenbank liegt verschlüsselt auf meinem eigenen Server. Da geht nichts zu einem Online-Anbieter für das Passwort-Management.