Private IP (192.) mit https schützen

[Harry K]

Über zertifikat oder VPN?
Als allererstes bringt mich die SynNas durcheinander.
Systemsteuerung: Allgemein steht eine IP Adresse mit 192. beginnend, endet mit einer Ziffer
Systemsteuerung: Netzwerkschnittstelle beginnt die IP zwar auch mit 192. endet mit 2 Ziffern. diese möchte ich über https geschützt haben.
Diese ist auch der Name meiner Nas. diese ist nur http://namemeinernas. Aber NAMEMEINERNAS ist doch kein Domainname. Wie bekomme ich diese geschützt?
Im Internet habe ich nur was über Domain namen gefunden.

 

[maxblank]

Alle Zugriffe im NAS auf https umleiten.
Intern benötigst du kein Zertifikat und kannst die Meldung des Browsers von wegen „Webseite ist unsicher“ getrost ignorieren.

https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/connection_network_dsmsetting?version=6

https://kb.synology.com/de-de/DSM/t...rowser_when_connecting_to_my_Synology_product

 

[Benares]

Geht aber nicht so leicht mit jedem Browser. Die Alternative wäre, den DDNS-Dienst von synology.me zu missbrauchen und sich einen externen Namen incl. zug. Zertifikat für die interne IP ausstellen zu lassen. Etwa sowas in der Art:

 

[Harry K]

Hallo max. ok da guck ich mir mal deine links an
Benares: dein link geht nicht

 

[Benares]

Drück mal F5. Musste den Screenshot nochmal tauschen.

 

[Harry K]

ddns hinzufügen
fehlermeldung: sie können nur einen hostnamen pro ddns-anbieter festlegen
https ist schon auf 5001 und automatisch http auf https ist auch schon

 

[Harry K]

Neues Zertifikat kann ich auch nicht anlegen. Da die IP Adresse kein Domainname hat.
http://namemeinernas
und in der Fritzbox unter der IP Adresse: NAMEMEINERNAS.fritz.box

 

[Benares]

fehlermeldung: sie können nur einen hostnamen pro ddns-anbieter festlegen

Ja, das stimmt. Wusste ja nicht, dass du sysnology.me schon nutzt.

 

[Harry K]

eine andere Option gibt es dann nicht?

 

[Benares]

Wäre halt mit 2-3 Mausklicks einzurichten gewesen. Alles andere ist aufwändiger.
Hast du vielleicht eine eigene Domain mit gültigem Wildcard-Zertifikat? Dann wäre ein neuer CNAME für die lokale IP auch denkbar.
Das Prinzip ist ja immer identisch, du brauchst einen Namen, der auf die lokale IP auflöst, dazu ein Zertifikat, das für diesen Namen gilt.

 

[Harry K]

Na klar. Warum sollte es auch mal einfach gehen.
Eigene Domain habe ich, aber ob es ein Wildcard Zertifikat ist, weiß ich nicht. Glaube ich aber auch nicht.

 

[maxblank]

Warum möchtest du eine interne IP oder einen internen Hostnamen mit einem Zertifikat versehen? Erkläre bitte kurz die Hintergründe.

 

[Harry K]

Weil es http ist, aber https sein soll.

 

[maxblank]

An der grundsätzlichen Verschlüsselung bei https ändert es allerdings nichts, ob du ein Zertifikat hast oder nicht. Der Traffic ist auch ohne Zertifikat per https verschlüsselt.

 

[Harry K]

Die IP Adresse ist aber nur http.

 

[JohneDoe]

Kannst aber auch https://deine-ip aufrufen....
Dann meckert der Browser und du sagst, dass du das Risiko akzeptierst und dann hast du auch HTTPS.

 

[Benares]

Eine Domain mit allen lokalen Adressen und zugehörigem Wildcard-Zert ist schon ganz nützlich, gerade wenn mal eine App auf https-Zugriff beharrt. und man nicht gleich das ganz große Rad mit Portfreigaben etc. drehen möchte.
Ich habe mir sowas mal über ipv64.net mit allen IPv6 meiner internen Geräte (nur Präfix-Update per DDNS durch die Fritte) gebastelt. acme.sh aktualisiert das Wildcard-Zert meiner Domaine wie gewohnt und die Pv6-Namen sind CNAMES darin.

 

[JohneDoe]

Man könnte bei der eigenen Domain auch per DNS Challenge sich ein Wildcard Zertifikat holen und dies sollte nur intern auflösen. Es gibt sehr viele Möglichkeiten, aber du müsstest vielleicht auch genauer erklären was du zur Verfügung hast bzw. bereit wärst dir zu holen oder einzurichten und was der genaue Zweck ist. HTTPS alleine geht ja auch ohne Zertifikat, wenn ich es persönlich auch mit vorziehe.