Photo Station Nicht triviale HTTPS-Frage

[MadMarvin]

Hallöchen,

ich stelle meine Frage mal hier rein, weil es vorrangig um die Photo Station geht.

Die Photostation meiner DS215j soll für den Zugriff für andere freigeschaltet werden.

Habe ich auch soweit eingerichtet, ist alles kein Problem, DynDNS-Domain ds2.example.com eingerichtet, Portweiterleitung von Port 80 und 443 auf die lokale IP der Diskstation eingerichtet, Webseite kann erreicht werden, der DSM aber nicht (da mit Port 5000 bzw. 5001 verdrahtet), soweit alles OK und funktionsfähig.

Jetzt geht es aber an die Kür, Einrichtung unter Nutzung von HTTPS. Da ich vorrangig passwortbasierte Alben erstellen will, wäre es mir ganz recht, wenn das Passwort verschlüsselt übertragen wird, also HTTPS als Protokoll genutzt wird.

Also Zertifikat über Startssl besorgt, in der Diskstation installiert, läuft soweit.

Jetzt zum Problem:
In den DSM-Einstellungen kann ich einstellen, dass er Verbindungen die auf HTTP basierend aufgebaut werden auf HTTPS umleitet und somit nur verschlüsselte Verbindungen zugelassen werden.

Greife ich über ds2.example.com auf die Diskstation zu wird die HTTPS-Verbindung aufgebaut und alles ist fein.

Da ich im lokalen Netz nicht per ds2.example.com sondern über die IP 192.168.77.13 zugreife kommt es hier zum Problem, da z.B. Google Chrome mosert, das Zertifikat kann nicht überprüft werden, bzw. es kann nicht sichergestellt werden, dass die IP 192.168.77.13 auch wirklich zu ds2.example.com gehört.

Unschön und für manche im Haushalt verwirrend.

Nehme ich die Einstellung für das Erzwingen von HTTPS zurück, kann die Photostation weiterhin per HTTP erreicht werden und ich kann nicht ausschliessen, dass HTTP-Links nach Ausserhalb geteilt werden, was ich eigentlich nicht will.

Jemand ne Idee, wie man das Problem umschiffen könnte?

 

[Puppetmaster]

Warum gibst du Port 80 frei, wenn du den Zugriff per http gar nicht willst!?

Musst du halt dann den Tod sterben, und deinen IPs immer https voranstellen. - Einen Tod stirbt man immer!

UPDATE:

Da ich im lokalen Netz nicht per ds2.example.com sondern über die IP 192.168.77.13 zugreife...

Und wenn du auch intern über die DynDNS gehst... Ist das kein gangbarer Weg?

 

[Benares]

Wenn dein Router Loopback unterstützt, wie z.B. die Fritzboxen, kannst du auch im lokalen Netz über ds2.example.com zugreifen.
Andernfalls, wenn der PC eh immer @home steht, könntest du ds2.example.com mit der lokalen IP in die hosts eintragen.

Grund für die Warnung ist, dass im Zertifikat nur ein Name (ds2.example.com) eingetragen ist. Ich nutze ein selbst erstelltes Zertifikat und hab dort neben dem DynDNS-Namen auch noch den lokalen DNS-Namen und die IP hinterlegt.

 

[MadMarvin]

Port 80 ist deshalb freigegeben, damit die Weiterleitung von HTTP auf HTTPS funktioniert.

ds2.example.com in die Hosts eintragen ist leider keine zufriedenstellende Lösung, so etwas ähnliches mache ich nämlich bereits in meinem Homenetz wo die 1815+ steht.

Für einen Eintrag in die Hosts sind zu viele PCs vorhanden, also habe ich mir in dem Heimnetzwerk der 1815+ (Netzwerk #1) einen DNS-Server eingerichtet, der die Zone example.com verwaltet und den einzelnen Hosts lokale IP-Adressen zuweist. Das funktionierte soweit ganz gut, bis ich die 215j am anderen Standort (Netzwerk #2) in Betrieb nahm und Ihr eine DynDNS-Subdomain unterhalb example.com eingerichtet habe.

Tja, von Netzwerk #1 konnte ich nicht auf die 215j zugreifen, da im DNS der Rechner ds2.example.com nicht enthalten war, der DNS-Server aber soweit konfiguriert war, dass er example.com selbst verwaltet. Auch wenn die IP zu ds2.example.com nicht gefunden werden konnte, hat er einfach die Forwarding-DNS-Server nicht gefragt. Auflösung Fehlanzeige.

Selbst ins Knie geschoßen...

Den DNS-Server in Netzwerk #1 habe ich jetzt soweit im Griff, dass er ds2.example.com auf die öffentliche IP auflöst und ich auch aus Netzwerk #1 den Host erreichen kann, aber in Netzwerk #2 wollte ich eigentlich keinen DNS installieren

Einfachste Lösung dürfte wohl sein, auch im lokalen Netzwerk nicht über die IP, sondern über den DNS-Namen zuzugreifen.
Oder für Heimnetz #2 eine eigene Domain einrichten und dort auch einen DNS zu installieren.

Selbst signierte Zertifikate haben wieder das Problem, dass man immer eine Zertifikatsmeldung bekommt.

 

[Benares]

Welche Router sind denn im Einsatz? Unterstützen die kein Loopback? DynDNS-Name von "innen" geht nicht? Das wäre die einfachste Lösung.

 

[Puppetmaster]

Selbst signierte Zertifikate haben wieder das Problem, dass man immer eine Zertifikatsmeldung bekommt.

Nein, nur einmal, wenn du sie denn dann dauerhaft als Ausnahme speicherst.

 

[MadMarvin]

Doch, Loopback wird unterstützt, ich kann die DS von intern über den DynDNS-Namen erreichen.
Solange das Internet nicht ausfällt zumindest

Da sich aber keine andere Lösung abzeichnet wird es wohl darauf hinauslaufen.


Es ist unschön, wenn bei geteilten Fotos auf jedem der Rechner, mit denen zugegriffen wird, die Zertifikatsmeldung erscheint und dann jeder zurückmeldet "Deine Seite ist unsicher", obwohl dies nicht stimmt.
Daher möchte ich gerne auf selbstsignierte Zertifikate verzichten.
Das mit den Ausnahmen würde funktionieren, wenn es nur ein paar Rechner sind und die alle unter meinem Einfluß wären.

 

[Benares]

Ich dachte, du hast ein "richtiges" Zertifikat.

 

[MadMarvin]

Habe ich auch.
Ein Lösungsvorschlag hier war selbstsignierte Zertifikate und ich habe nur meine Argumente angebracht, wieso ich mich dagegen entschieden habe.

 

[Benares]

Dann hast du mich falsch verstanden.

Ich wollte nur sagen, dass ich bei selbstsignierten Zertifikaten schon mal mehr als einen Namen hinterlegt habe. Ob das bei startssl-Zertifikaten auch geht, weiß ich nicht. Wenn aber von überall über den hinterlegten Namen zugegriffen werden kann, braucht man das ja nicht.

 

[MadMarvin]

Die Option hab ich noch nicht gefunden, zumindest bei den kostenfreien Exemplaren nicht.


Ich hab mir mittlerweile aber eine andere Möglichkeit ausgedacht um dem Problem zu entkommen:
Einen vorgeschalteten Apache mit entsprechender Rewrite-Rule.

Aus meinem Beispiel:
Photo Station ist weiterhin per ds2.example.com erreichbar.
Externer Apache ist über apache.example.com erreichbar.

Da ich in der Photo Station den Rechnernamen frei eintragen kann, trage ich dort apache.example.com ein, auf dem Apache wird ne Regel definiert, dass alle HTTP und HTTPS-Anfragen an apache.example.com an https://ds2.example.com weitergeleitet werden, wobei der Pfad hinter dem Rechnernamen erhalten bleibt. Im Router leite ich nur den Port 443 auf die Diskstation weiter.

Was passiert nun, wenn ein Benutzer der Photo Station ein Album teilt und einen Link verteilt:

Es wird (Benutzer ist (intern) über HTTP eingeloggt), der Link http://apache.example.com:80/photo/beispielsalbum/tralalalla... erzeugt.
Der Link kommt auf dem Apache an, wird zu https://ds2.example.com/photo/beispielsalbum/tralalalla... umgemodelt und das Album erscheint.

Oder:
Der Benutzer ist über https eingeloggt, es wird der Link https://apache.example.com:443/photo/beispielsalbum/tralalalla... erzeugt.
Der Link kommt auf dem Apache an, wird zu https://ds2.example.com/photo/beispielsalbum/tralalalla... umgemodelt und das Album erscheint.

Problem wäre dadurch umschifft (Gut das wir drüber geredet haben).

Dabei wäre alles so einfach, wenn die Photostation nen Einstellung besitzen würde, dass man sagen könnte, es sollen nur https-Links verschickt werden. Vielleicht kommts ja noch.

 

[tschortsch]

Doch, Loopback wird unterstützt, ich kann die DS von intern über den DynDNS-Namen erreichen.
Solange das Internet nicht ausfällt zumindest

Ich hab in der Host Datei des DNS server meines Routers einfach die die öffentliche adresse mit der internen IP verknüpft.
Somit klapt das auch wenn ich nicht mir dem Internet verbunden bin.

 

[MadMarvin]

Ich hab in der Host Datei des DNS server meines Routers einfach die die öffentliche adresse mit der internen IP verknüpft.
Somit klapt das auch wenn ich nicht mir dem Internet verbunden bin.

Das wirft nur mehr Probleme auf, als es Lösungen schafft, da ich eine Domain in 2 Heimnetzen verwende und die jeweiligen Subdomains aus den anderen Netzen mit den dann jeweils öffentlichen IPs versorgen muss, was bei DynDNS-Domains sehr schwierig zu handhaben ist.

Oder anderst gefragt:
Ist es bei Deinem DNS-Server möglich der Subdomain ds2.example.com die IP 192.168.77.13 zuzuweisen, während die Subdomain ds1.example.com über den DNS-Server des Providers angefragt werden soll?

Wenn ja, würde mich die Technik dahinter, und falls es auf einem bind9 basiert, die Zonenkonfig interessieren.

 

[tschortsch]

Ich verwende als Router eine IPCOP, also 0815 Linux.

Hab jetz nachgesehn und das ganze wird dabei nicht über den DNS Server gelöst sonder über die

die Datei "hosts" unter /etc/

Als zweiten externen Server hab ich einfach mal google genommen.

Die Datei schaut bei mir wie folgt aus:


127.0.0.1 localhost
10.0.10.138 ipcop.zuhause ipcop
10.0.10.200 diskstation.zuhause diskstation
173.194.112.111 google.no-ip.biz google
10.0.10.200 zuhause.no-ip.biz zuhause


Meine öffentliche Adresse ist zuhause.no-ip.biz, da komm ich direkt auf die Diskstation
wenn ich dann google.no-ip.biz eingebe kommich zu google.at
und bei eingabe von no-ip.biz komm ich auf die HP des Anbieters.


Ich habs erst jetz gesehn:
Das mit den 2 Heimnetzen unter eine Adresse ist dadurch nicht zu lösen da du ja die jeweilige öffentlich IP nicht kennst.

 

[MadMarvin]

Ich habs erst jetz gesehn:
Das mit den 2 Heimnetzen unter eine Adresse ist dadurch nicht zu lösen da du ja die jeweilige öffentlich IP nicht kennst.

Jaein, es geht, aber irgendwie genau so kompliziert, wie wenn man ne Mandeloperation durch den After durchführt.

Derzeit übertrage ich die öffentliche IP von ds2 in eine Datei auf meinem Webserver, wo der DNS-Server die Datei abholt und seinen DNS-Eintrag, wie bei einem DynDNS-Server, aktualisiert.

Gefallen tut mir das ganze aber nicht, evtl. hole ich für Heimnetz #2 eine extra Domain, die Kosten sind mit 18 EUR / Jahr überschaubar.

 

[jahlives]

Oder anderst gefragt:
Ist es bei Deinem DNS-Server möglich der Subdomain ds2.example.com die IP 192.168.77.13 zuzuweisen, während die Subdomain ds1.example.com über den DNS-Server des Providers angefragt werden soll?

Wenn ja, würde mich die Technik dahinter, und falls es auf einem bind9 basiert, die Zonenkonfig interessieren.

das geht grundsätzlich. Heisst bei bind dann Views (hier das Manual oder ein Beispiel)
Damit kannst du dann für LAN Clients eine interne IP liefern und für Clients im WAN die passende externe. Damit bräuchtest du keine zwei Subdomains, sondern kannst ds1 im LAN intern auflösen und von aussen mit der externen Adresse

 

[MadMarvin]

Danke für den Hinweis zu den Views, das scheint in der Tat das Problem mit der DNS-Auflösung zu beheben.
Mal schaun, wann ich Zeit dafür habe das zu implementieren

Mein Ursprungsproblem, dass ich alle Links zur Photostation auf https umleiten will, auch wenn die DS selber per http erreichbar ist, habe ich dann wie beschrieben mit einem Apache und Rewrite lösen können. So ist zwar eine weitere Subdomain verbrannt und ich muss mich um das Zertifikat für diese kümmern, aber naja, dafür hat man ja bei Selfhost unlimitierte Subdomains, oder?

Danke an alle Supporter!