Nach ssl Aktivierung der Domain, emby nicht mehr erreichbar.

[matrixpro]

Hallo zusammen eigentlich wollte ich den Kreislauf etwas absichern. Kurz zusammengefasst ich habe meine Domain bei strato darüber lauft auch der dyndns. Diese Daten habe ich in der fritzbox hinterlegt. Und es lief auch alles gut. Die Fritz Box war über https erreichbar und sich der emby Server war ihr meine Domain mit entsprechenden Port erreichbar.

Nun musste ich den dns bei strato kurz abschalten damit ich das ssl aktivieren konnte, dann dns wieder aktiviert. Jetzt nach weit über 24std sollte der dns ja eigentlich wieder wissen was los ist. Aber Werder emby noch die fritzbox sind erreichbar.

Jetzt die Frage muss das ssl Zertifikat nun bei allen endgeräten installiert sein? Damit die sich halt für echt verifizieren können?

 

[crammaster]

Moin,

Nun musste ich den dns bei strato kurz abschalten damit ich das ssl aktivieren konnte

Bei was hast du SSL aktiviert?

Die Fritz Box war über https erreichbar

Ich hoffe du meinst damit die öffentliche IP und nicht die Benutzteroberfläche

der emby Server war ihr meine Domain mit entsprechenden Port erreichbar

Du meinst etwa so -> meinedomain.de:8096

MfG
Marc

 

[matrixpro]

Moin, beim strato Domain Paket ist ein ssl Zertifikat inkl. Das war bis vor zwei Tagen aber noch nicht aktiv. Was es jetzt ist.

Normal benutze ich wireguard für nen VPN Tunnel zur fb. Zum testen ob der dns auflöst nutze ich die https Geschichte natürlich nicht mit Standardwert.

Und ja der emby war über meine Domain mit von mir geänderten Port erreichbar.

Jetzt steht bei strato das es bis zu 24std dauern kann bis die dns Einstellungen geändert sind. Also seit allem dns .. das ist ja nun aber schon gute 48 Std her.

Möglich das ich bei emby das ssl Zertifikat einfügen muss. Was man da ja kann. Aber ich denke mal das ich die Datei nicht vom strato bekommen kann.

 

[crammaster]

Du brauchst kein SSL von Strato. Die Synology kann dir Zertifikate von Lets Encrypt erstellen

Warum lässt du das über die Port Option laufen und nicht über eine Subdomain mit Reverse Proxy? Ganz ohne Port zugabe einfach "emby.meinedomain.de"

 

[matrixpro]

Weil ich in dem Thema noch nicht so bewandert bin. Und das grade erst alles kennenlerne.

Das Issum richtig das die synology das kann aber die Zertifikate kann ich dann nicht für meine Domain nutzen, da ich bei strato nur txt rec etwas einfügen kann.

 

[crammaster]

Du nutzt die Domain bei Strato nur für die Record. Als Beispiel: Du setzt bei "meineDomain.de" nicht auf "intern" als Umleitungsziel unter Webserver, sondern trägst unter "DNS" als A-Reocrd eine IP-Adresse für einen Webserver ein. Dieser Webserver übernimmt dann die Verteilung der SSL Zertifikate.

Mach eine Subdomain auf. nenn die zum Beispiel "dyndns.meinedomain.de", diese nutzt als DDNS Adresse mit der Fritzbox.

Mach noch eine Subdomain auf. mit zum Beispiel "drive.meinedomain.de" und dort trägst du unter "DNS" -> CNAME "dyndns.meinedomain.de." (ohne "", aber mit Punkt am Ende)

Dann Fritzbox Freigabe mit Port 80 / 443 auf NAS weiterleiten.

In der Synology dir den Port für Drive raus suchen und den Eintrag im Revers Proxy erstellen

Reverse-Proxy-Name: Drive - https
Protokoll: https
Quellehostname: "drive.meinedomain.de"
Port: 443

protokoll: http
zielhostname: localhost
port: (Drive Port bei deinem NAS)

Unter Sicherheit -> Zertifikate kannst du jetzt ein Zertifikat von Lets Encrypt anfordern.

Hinzufügen -> Neues Zertifikat hinzufügen -> Bespreichung: Drive -> Zertifikat von Lets Encrypt abrufen -> Domain: "drive.meinedomain.de" -> E-Mail Adresse rein -> Fertig -> einen Moment warten -> Profit

Wenn das Zertifikat erfolgreich angefordert wird, kann der Webserver der Synology mit Lets Encrypt kommunizieren bzw. er ist aus dem Internet erreichbar.

Nur noch über Einstellungen das Zertifikat an "drive.meinedomain.de" vergeben.

Browser öffnen -> "https://drive.meinedomain.de" aufrufen und freuen.

 

[matrixpro]

Vielen Dank für die Unterstützung. Heißt das was ich das lese das der Port 80 an Ende offen bleibt?

 

[Janüscht]

Für jede Anwendung, welche über ein Webif funktioniert, reicht der Port 443. Ich selbst habe auch nur den Port 443 geöffnet. Den Port 80 benötigst du nur zur Umleitung auf HTTPS oder beim Beantragen eines Zertifikates. Weil ich das automatische Öffnen der Ports nicht über Scripte machen möchte, nutze ich seit langer Zeit achme.sh. Dort wird das Zertifikat via API übertragen. Somit sind keinen Ports notwendig und das Zertifikat aktualisiert sich alle 60 Tage automatisch.

Leider bietet Strato keine ACME-Schnittstelle und du könntest es trotzdem über eine DNS-Challenge oder über die Änderung der Nameserver realisieren. Beides hat vor und Nachteile. Dass ich nicht sonderlich viel von Strato halte, habe ich schon in den anderen Threads geschrieben (lies meine anderen Beiträge der letzten 2 Tage).

Wenn du den Port 80 offen hältst, solltest du unbedingt die Weiterleitung auf HTTPS aktivieren (DSM > Amneldeportal)!

 

[crammaster]

Ja, der muß offen bleiben für Lets Encrypt. Sonst werden die Zertifikate nicht erneuert bzw. können nicht angefordert werden. Meiner Erfahrung nach.

Aber da ja sowieso nur Port 80 und 443 auf der Fritzbox offen sind, vlt noch ein zwei andere z.B. Drive und VPN; kommt man von außen sowieso nicht auf Port 5000/5001.

 

[Benie]

Du solltest aber, wenn Du offene Ports hast, zusätzlich auf der DS Deine Firewall aktivieren und entsprechend einrichten.

 

[Janüscht]

vlt noch ein zwei andere z.B. Drive und VPN; kommt man von außen sowieso nicht auf Port 5000/5001.

Das ganze kannst du auch über ein Script steuern, wenn man das unbedingt will. Mir ist das zu umständlich und unsicher. Weiteres habe ich oben schon geschrieben. Drive kannst du auch über eine Subdomain laufen lassen. Dazu musst du diese nur unter: Anmeldeportal > Anwendungen > Drive > Bearbeiten definieren und am besten auch HSTS aktivieren. Den Port 5000/5001 sollte man NIEMALS nach außen öffnen, es sei denn, man will unzählige Bot-Anmeldeversuche sammeln!

Um sein System abzusichern, kann man Update Blocklist von @geimist nutzen sowie die Firewall in der DS richtig (am besten auf Deutschland und Port HTTPS 443 beschränkt) einstellen. Wer noch Conditioner absichern will, kann dieses mit Fail2ban zusätzlich vor Anmeldeversuchen schützen. Einen 100 % Schutz wird es aber nie geben. In den Firmwares/Software/Apps können genügend Lücken stecken, die umgangen werden können. Eine regelmäßige Aktualisierung erhöht natürlich die Sicherheit, Docker-Container könne einfach periodisch & automatisch via Watchtower upgedatet werden.

Weiterhin würde ich die Webstation installieren und die vorhandene index.html von dem Synology-Zeugs befreien oder eine einfache Platzhalter-Webseite einfügen. Das gilt natürlich nicht, wenn die Hauptdomain auf einen Hostserver/Webseite zeigt z.B. "Under Construction". Ansonsten sieht man sehr einfach, welcher Server sich hinter dem Hosting sich versteckt. Da ist noch mehr möglich, nur sind es meistens Bots oder unbedarfte User die durch Zufall die Seite aufrufen. Weniger ist mehr

Ps. Die Anleitung von Marius zu Emby hat wieder einen kleinen Schönheitsfehler . Das ist ja nicht der erste und passiert, wenn man nur die Klickzahlen erhöhen will. Auch sollte weiter Variablen immer mit dem original Project verglichen werden. Am besten man bedient sich gleich der Anleitung auf Github & Co und erstellt selbst sein Installationsscript. Das ist nicht wirklich schwer und die Werte sind leicht zuzuordnen - auch für Anfänger.

 

[matrixpro]

Ich habe den Fehler gefunden. Es war ein Leerzeichen zu viel in der Update url in der FB für dyndns. Nun geht es wieder.

Zum einen wollte ich ja auch emby weiter nutzen zum anderen würde ich so ja direkt auf die Daten zugreifen können über den Browser. Bei emby müsste man erstmal die Domain kennen den Port der 5 stellen hat und man muss für den Server ein Konto haben sonst gibt es keine Verbindung. Was ich etwas besser finde.

Dazu Port 80 immer offen zu haben finde ich etwas ungut. Ich muss ich natürlich öffnen damit letsencrypt das Zertifikat holen kann. Das ist dann ja 90 Tage gültig.

Dennoch ganz großes Dankeschön für die Hilfe.

 

[Benie]

Ich muss ich natürlich öffnen damit letsencrypt das Zertifikat holen kann. Das ist dann ja 90 Tage gültig.

Danke für Deine Rückmeldung, es ist immer interresant zu wissen woran es lag.

Ich bekomme immer von Synology (Benachrichtigungen, läßt sich im Konto aktivieren) und öffne dann nur kurzzeitig en Port.

Es gibt auch noch eine Möglichkeit das ganze mit acme.sh zu lösen, allerdings bin ich hiermit nicht bewandert, da ich mich damit noch nicht wirklich beschäftigt habe.

Ich verwende in der Regel eine Synology DDNS, welche Kostenlos ist und hiermit funktioniert die Verlängerung ohne offene Ports. (Bin grad nicht ganz sicher, nur zur Einrichtung muß man Port 80 und 443 kurz öffnen. Auch ein Zertifikat / Wildcard Zertifikat erhält man hier über Lets Encrypt kostenlos mit der Synology DDNS.

Netzextern verbinde ich mich nahezu ausschließlich über VPN/Wireguard, so daß keine Ports geöffnet sein müssen. Via Wireguard kann man sich über die Synology DDNS oder IP von Netzextern verbinden.

 

[matrixpro]

Daran bin ich bei. Lese mich da Google Grade ein. Weil ich denke das man es selber versuchen sollte, und wenn es dann klemmt gibt es hier ja zum Glück viele nette Helfer.

 

[crammaster]

Ich habe den Fehler gefunden. Es war ein Leerzeichen zu viel in der Update url in der FB für dyndns. Nun geht es wieder.

Freut mich, manchmal macht so ein kleiner Fehler, die größten Probleme xD

Zum einen wollte ich ja auch emby weiter nutzen zum anderen würde ich so ja direkt auf die Daten zugreifen können über den Browser. Bei emby müsste man erstmal die Domain kennen den Port der 5 stellen hat und man muss für den Server ein Konto haben sonst gibt es keine Verbindung. Was ich etwas besser finde.

1. Wenn dich der Emby Server nach Zugangsdaten fragt, hast du ja schon eine Verbindung zum Server und die kann man auch angreifen.
2. Kannst du meinen Vorschlag im Beitrag #6 eigentlich mal ausprobiert?
3. Du hast für jeden "Dienst" wie Emby, Bitwarden, Paperless und soweiter jeweils einen Port offen bei der Fritzbox?