SSL-Zertifikat für netzinterne Zugriffe

[ebecker]

Moin,

ich habe für Zugriff von außen ein Let's Encrypt Zertifikat laufen, das auf alle Dienste angewandt wird unter meinesyno.dyndnsanbieter.com
Funktioniert auch so weit ohne Gezeter.

Wenn ich aber auf https://syno:5001 im Heimnetz zugreife, dann meckert der Browser (zu Recht), dass das Zertifikat nicht vertrauenswürdig ist.
syno oder auch syno.fritz.box bekomme ich aber nicht mit ins Zertifikat mit rein. Und die Browser nerven mit jeden Release mehr, dass es ja ein gefährlicher Zugriff sei.

Gibt es außer der Möglichkeit, auf http zu gehen, eine Möglichkeit (2. Zertifikat?), dass die Browser die Adresse klaglos akzeptieren und das möglichst ohne, dass ich in jeden Browser und/oder auf Endgerät da was konfigurieren muss, also auf der Syno selbst?
(DS220+ mit DSM 7 aktueller Stand)

Bei der SuFu habe ich entweder die falschen Begriffe eingegeben oder es gibt noch keine dokumentierte Antwort.

Danke im Voraus.
E.

 

[Mahoessen]

warum httpS im Lan? http reicht doch…
ansonsten Ausnahmen im Browser akzeptieren
vg
M

 

[plang.pl]

Oder einen eigenen DNS-Server betreiben und deinen DynDNS im LAN auf die interne IP der DS zeigen lassen. Machen hier viele so. Ich auch. Bei der Gelegenheit gleich noch AdGuard als netzwerkweiten Werbe-/Tracker-/Malware-Blocker einrichten

 

[ctrlaltdelete]

Greif doch einfach intern auch über die subdomain zu. Und trage in der FRITZ!Box unter

DNS-Rebind-Schutz​

deine subdomains ein.

 

[ebecker]

Also: Ich habe die Syno so konfiguriert (oder zumind. versucht), dass die http-Zugriffe auf https umgeleitet werden, das kann man m.W. nur generell machen und nicht intern aushebeln.
Damit wird <interne-ip> oder "syno" vom Port 5000 automatisch auf 5001 umgeleitet. Wenn ich also HTTP nutze, wir http im Zweifel immer genutzt oder sehe ich das falsch?
Und da ich verschiedene Endgeräte nutze, wird das im Browser akzeptieren schwierig, weil verschiedene Browser auf verschiedenen Systemen, überall geht das anders und jedes Mal kommt die Abfrage :-(

Ich nutze PI-Hole. Wenn da jemand einen Tipp hat, ob/wie ich das da einstellen kann? Auf den ersten Blick habe ich nur gefunden, wie ich da eine DNS-Anfrage, z.B. an syno.dyndns.com an EINE interne IP umleiten kann. Das Betrifft dann leider nicht nur die Syno, sondern z.B. auch die Fritzbox.

 

[plang.pl]

wie ich da eine DNS-Anfrage, z.B. an syno.dyndns.com an EINE interne IP umleiten kann.

Genau das brauchst du doch. Alternativ: Wie @ctrlaltdelete schon anmerkte: Rufe mal deine Domain intern auf und schau ob du aufs NAS kommst. Mit nslookup kannst du prüfen, ob die Fritte vielleicht nicht schon so clever ist und die Domain intern auflöst

 

[ebecker]

Ja, das auflösen klappt, aber (Sorry, bin kein Netzwerkspezi) läuft dann nicht der gesamt Traffic über extern und damit "etwas" langsamer?
Ein Ping liefert jedenfalls meine externe IP und nicht die interne der Fritzbox

 

[ctrlaltdelete]

nein nur die DNS Auflösung.

 

[plang.pl]

Genau. Die Fritte beherrscht NAT-Loopback und der eigentliche Datenverkehr bleibt intern

 

[ebecker]

Ok, das ist dann sicher eine Lösung. Hab geade mal geprüft und im DSM eine größere Datei hochgeladen, nach außen war Ruhe. Danke! Dann kann ich immer über die externe Adresse gehen
Danke an alle, das reicht mir so.

 

[s3b-DS]

Hi zusammen,

darf ich mich an diesen noch gar nicht so alten Thread einmal anhängen? @ebecker beschreibt ein Setup, das exakt so auch bei mir schon seit Jahren läuft: Die Syno leitet automatisch auf https. Eine externe Domain zeigt per CNAME auf meine Myfritz-Adresse. Let's Encrypt läuft für die externe Domain. In der FritzBox sind spezifische Ports weitergeroutet - tatsächlich aber aus guten Gründen nicht der DSM Port.

Auch mich nerven die Browser-Hinweise im internen Netz. Das o. g. Szenario über die externe Domain auf Loopback intern läuft bei mir nicht. Der Browser "kann keine Verbindung aufbauen". Müsste ich dafür nämlich nicht auch den DSM Port in der Fritz öffnen?

VG & Dank voraus

 

[plang.pl]

Ja, dafür müsste der Port offen sein meines Wissens.
Die beste Lösung ist aber ein interner DNS-Server: https://www.synology-forum.de/threa...e-unbound-um-domain-lokal-aufzuloesen.127925/

 

[s3b-DS]

Danke für die prompte Antwort! Sofern keine weitere Stimme kommt, werde ich mein Setup dann im Neuen Jahr mal entsprechend ergänzen…

 

[plang.pl]

Wenn du es nur intern nutzt, kannst du auch nur den DDNS auf die interne IP biegen (insofern der DDNS über Synology als Anbieter läuft): https://www.synology-forum.de/threads/ddns-intern-nutzen.127599/
Oder du nutzt statt dem "komplexen" Aufbau, den ich in dem oben verlinkten Thread beschreibe, einfach den Synology DNS-Server. Mit meiner Anleitung bekommst du aber obendrauf noch einen netzwerkweiten Werbe- und Trackingblocker.

 

[Benie]

Wenn du es nur intern nutzt, kannst du auch nur den DDNS auf die interne IP biegen (insofern der DDNS über Synology als Anbieter läuft)

Funktioniert bestens, insofern man von außen für den Zugriff nur IP-Sec oder Wireguard nutzt.

 

[s3b-DS]

Danke euch. DDNS kommt eher weniger in Frage, da ich hier mEn mit MyFritz bzw. Quickconnect zwei kostenfreie Dienste sowieso anhand habe. #neverchangearunningsystem
Ich wollte ohnehin mein PiHole Setup mal auf den Prüfstand stellen und schaue mir Unbound mal an...

 

[plang.pl]

Ja mit pihole kannst du ja die DNS Einträge genauso setzen.
Und der Synology DDNS Dienst, der standardmäßig mit Boardmitteln auf die interne IP gebogen werden kann, ist auch kostenfrei.

 

[mikadoNA]

Hallo,
Ich habe versucht das mal bei mir umzusetzen, was ich aus dem Thema verstanden habe. Bin auf dem Gebiet Netzwerk nur Anfänger und Taste mich langsam voran.
In der Fritzbox habe ich unter DNS rebind-Schutz xxx.ddnsanbieter.de eingetragen
Als lokalen dns habe ich die interne-IP es pihole eingetragen (ist auch die lokale IP des NAS, da er dort als Docker-Container läuft).
Der pihole läuft damit einwandfrei.

Im pihole habe ich unter local DNS einen DNS Record xxx.ddnsanbieter.de auf die lokale IP des NAS eingerichtet.
Wenn ich jetzt https://xxx.ddnsanbieter.de:5001 im lokalen Netz in den Browser eingebe findet er das DMS des NAS nicht, sondern gibt an, dass die Seite nicht erreichbar ist.

Was habe ich vergessen bzw. wo liegt mein Gedankenfehler ?

 

[plang.pl]

Schaue mal mit dem Kommandozeilentool "nslookup" nach, ob der DDNS richtig auf die interne IP aufgelöst wird.
Und prüfe, ob der Client überhaupt den pihole als DNS-Server nutzt.

 

[mikadoNA]

Danke für den Anstoßes mit nslookup.
Ich war zu ungeduldig. Die fritzbox kannte den externen DNS-Eintrag noch von der letzten Abfrage. Nachdem ich die Box neu mit dem Internet verbunden habe (neue externe IP) wurde die DNS Abfrage erneuert. Jetzt funktioniert es.