Private IP (192.) mit https schützen

[Harry K]

oh man. bin gerade auf der NAS. der sicherheitsberater der Nas meldet sich mit: die standart unix berechtigungen für ftp sind deaktiviert.
Folge ich der Anweisung, soll ich auf ftp, erweitert die standard unix anwenden. nur habe ich in systemsteuerung, ftp kein erweitert. nur ein erweitert in der systemsteuerung. nirgends ein hinweis auf auf die unix standart berechtigung

 

[synfor]

 

[Harry K]

mist. die windowsleiste verdeckt den bereich, da kann ich nicht runterscrollen, das ist das problem.
ist nur ein teilproblem. das fenster ist auch noch zu groß, so das die buttons nicht angezeigt werden
ok, problem gelöst

 

[Benie]

Neues Zertifikat kann ich auch nicht anlegen. Da die IP Adresse kein Domainname hat.
http://namemeinernas

Wenn ich das hier alles richtig verstanden habe, geht das ganze mit einer Synology DNS ganz einfach.

Es macht auch nichts wenn man schon ein Synology Zertifikat hat.
Einfach ein WildCard Zertifikat auf die selbe example.Synology. me welche bereits vorhanden ist Adresse zusätzlich erstellen. Hierzu verwende *.example.synology.me.
AUf diese Adresse kann man mittels reverseProxy eigentlich alles auflösen lassen.
Nun unter Externen Zugriff unter der Synology Adresse unter DynDNS auf die interne statt der externen Adresse auswählen. kleiner schwarzer Pfeil neben der IP rechts.

NAchdem das alles abgeschlossen ist, kann man intern alle https:// Adressen zur Verbindung ohne jegliche Warnungen erreichen. SSL ist dabei vorhanden und Übertragung läuft gesichert. Im Router muß die DxnDNS noch im Rebindschutz eingetragen werden, somit weiß der Router Bescheid und es läuft alle nur intern.

Ich mache das schon lange so, und wenn ich von Auserhalb zugreifen will, greife ich ausschließlich über VPN/Wireguard zu, so kann ich so alles nutzen als wenn ich netzintern unterwegs bin.

Ich hoffe ich habe das richtig erkannt worum es geht.

 

[Harry K]

Moin Bennie. meine Domain hat aber eine andere IP adresse als die, die ich schützen will. letztere ist eine Private IP. So wie ich das mit Wildcard verstehe wird es dann nicht funktionieren.

 

[JohneDoe]

Dann musst du dir eine zweite holen. Du kannst dafür auch duckdns verwenden. Da musst du keine Ports öffnen und hast SSL Zertifikat mit dabei.

 

[Benie]

Ich muß zugestehen daß ich das so nicht zuordnen kann. Von welcher Domain und welcher IP Du schreibst.

 

[JohneDoe]

Dann bin ich ja nicht alleine der dem ganzen nicht komplett folgen kann

 

[Benie]

Ich verwende duckDNS auf meiner UGREEN DXP, ohne offene Ports geht da aber nichts, trotz verwendeten nginxReverseProxy.

 

[w00dcu11er]

Hat ja fast einen Tagebuch-Charakter hier ^^
Gekritzeleien, die nur der Autor selber versteht (oder doch nicht?).

Also

meine Domain hat aber eine andere IP adresse als die, die ich schützen will. letztere ist eine Private IP.

Dann kannst du ja in deinem Domain-Anbieter die IP ändern? Was genau ist das Problem?

Mit "private IP" ist hier also 192.168.x.x gemeint, wenn ich dem Thread-Titel hier entnehme, ja?
Dann gibt es hierfür kein Zertifikat.

(Wildcard-)Zertfikat geht nur mit dem Namen. Also sprich mit Domain-Adressen, nicht mit IP-Adressen.
Du musst also einen der Domainnamen verwenden, der unter Systemsteuerung / Sicherheit / Zertifikat bei "Betreff Alternativer Name" aufgeführt ist. Falls dort nichts eingetragen hast, müsstest du also neu ausstellen lassen.

Sonst bitte Fehler konkret beschreiben - am besten mit Screenshots.

 

[JohneDoe]

ohne offene Ports geht da aber nichts, trotz verwendeten ngixReverseProxy

Doch... Musst es nur auf deine interne IP auflösen. Also bei den Records

 

[Harry K]

ich möchte eine private IP adresse mit port auf https umsetzen. 192.168.x.xort. Setze ich aber ein https davor erhalte ich eine fehlermeldung Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG. Daraufhin habe ich versucht das problem zu lösen. Habe jetzt den link der seite nicht mehr. den tips bin ich gefolgt. mir raucht der kopf davon. problem nicht gelöst

 

[Benie]

nur auf deine interne IP auflösen.

So etwas kann man auf der UGREEN nicht, das ist eine Synology Eigenheit seit irgendwann mit DSM 7.x, vielleicht findet sich noch ein weg über den npm, das wollte ich bei Gelegenheit mal testen. Auf einer UGREEN gibt es so viele Eigenheiten und noch nicht gut umgesetzte Funktionen, da weiß man oft nicht wo man zuerst ansetzen soll. Für mich ist das Spielerei und Forschung wenn es die Zeit hergibt.

 

[JohneDoe]

@Benie Achso... Dann reden wir an einander vorbei. Ich meinte DuckDNS als Dienst über deren Webseite. Und keine Integration in Ugreen oder DSM.

 

[Benares]

Zur Not hilft auch oft ein einfacher hosts-Eintrag.

 

[ottosykora]

meine private IP mit https und den dazugehörigen Port aufzurufen

bei mir stellt sich dabei die Frage: wozu genau?

 

[Harry K]

bei mir stellt sich dabei die Frage: wozu genau?

weil die http://192... eine https://192...ORT sein soll. setze ich einfach ein https: vor der privaten IP erhalte ich einen SSL_ERROR_RX_RECORD_TOO_LONG. den ich aber nicht loswerde.

 

[ottosykora]

ja, aber warum nur? wozu soll eine Verbindung im eigenen Netz https werden? Gibt es dazu irgendwelche speziellen Gründe?


also ja, es ist machbar einen Zertifikat für eine interne IP zu produzieren, eine echte CA wird dies nicht machen.
Von Hand stricken aber nicht unmöglich.

nur wozu der Aufwand?

 

[patrickn]

nutzt du bei https auch den Standardport 5001 statt 5000?

 

[Harry K]

bei der :5001 komme ich auf meine NAS. und diese ist eine andere 192.er IP.
ich sollte es wohl mit der DS220 lassen. Das Ding ist zu kompliziert für mich.
Gibt es da noch andere leichtere Alternativen?