SSL Zertifikat für TLD, die auf synology.me weiterleitet?

[DjMG]

Hallo Community,

Für meine 214play würde ich gerne ein kostenloses SSL Zertifikat ausstellen lassen um via HTTPS auf die Weboberfläche zu gelangen.
(Nach dieser Anleitung: https://www.youtube.com/watch?v=fIJqppzwZC0)

Ich besitze eine TLD.at, die ich aber lediglich auf die synology.me Adresse weiterleite.
Beispiel: nas.meinetld.at in den Browser eingeben >> bringt mich zu (im Domainanbieter als URL Eintrag bei DNS) >> meinaccount.synology.me

Meine Frage: Sind somit die Vorgaben erfüllt und ich kann laut Anleitung vorgehen? Oder muss ich etwas umstellen?
Ich habe meine Zweifel, weil in der Adresszeile des Browser nach der Weiterleitung logischerweise "meinaccount.synology.me" steht und nicht mehr die dann registrierte SSL-Adresse mit subdomain.TLD.at

 

[Fusion]

TLD heißt Top Level Domain und ist in deinem Falle .at

Du mußt entweder für nas.domain.tld ein CNAME auf meinaccount.synology.me setzen, wenn du das bei deinem Domainverwalter machen kannst, oder versuchen die Umleitung als "versteckte" Umleitung einzustellen, ebenfalls beim Domainverwalter. In beiden Fällen bleibt die URL im Browser erhalten.
Manche Domain-Anbieter unterstützen auch direkt DDNS für Domains die sie verwalten und man kann sich den Umweg über synology.me sparen.

 

[DjMG]

Ja, ich kann CNAME als Weiterleitungsregel bei meinem Domainanbieter (übrigens inwx.de) einstellen.
Leider bekomme ich da aber einen Syntaxfehler, wenn ich nas.domain.tld auf die synology.me:5001 weiterleiten möchte.
Screenshot anbei.

Wo liegt der Fehler?

 

[Frogman]

Den Port musst Du weglassen und das Protokoll vorne auch - also nur die Angabe xxx.synology.me. Port und Protokoll gehören immer in den Aufruf bspw. im Browser.

 

[DjMG]

Das hätte ich versucht. Aber die Eingabe "meinname.synology.me" in die Browserzeile (ohne Protokoll vorne und Port hinten), führt nirgendswo hin

 

[Frogman]

Ähm, das obige gelesen, aber mißverstanden? Du musst im CNAME Protokoll und Port weglassen, im Browser aber angeben!

 

[Fusion]

Der CNAME Eintrag lautet "meinname.synology.me", sonst nix.
Im Browser mußt du natürlich weiterhin "https://nas.domain.tld:5001" benutzen.

CNAME (Canonical Name) fügt nur einen alternativen Namen hinzu. Protokoll und Port müssen weiterhin mit der Anfrage selbst mitgeschickt werden.

Edit:
Zudem würde ich dir empfehlen den Port 5001 durch einen anderen zu ersetzen, z.B. 34521 (zwischen 1024 und 65535), wenn du schon das DSM aus dem Internet erreichen willst.
Das geht entweder durch Portmapping im Router Port extern -> Port intern (In der DSM-Systemsteuerung unter Externer Zugriff auch noch den gewählten externen Port angeben), oder durch setzen eines anderen Ports unter DSM-Systemsteuerung > Netzwerk und für diesen geänderten Port dann ein Portforwarding im Router setzen.

Weitere Sicherheitshinweise:
- Nur Dienste öffnen die man wirklich braucht
- VPN (mindestens) in Betracht ziehen für Administrative Zugänge, z.B. DSM
- AutoBlockIP in den Einstellungen der Systemsteuerung setzen. Vorsicht, nicht sich selber aussperren.

 

[DjMG]

Okay, habe nun verstanden wegen CNAME / Browserzeile.
Irgendwie geht dann aber der Komfort verloren, den die Subdomain mit sich brachte.
Vielleicht werde ich dann doch auf das SSL Zertifikat (die Website startssl.com funktioniert derzeit sowieso nicht so ganz) und bei der alten Variante bleiben.

Danke für die Sicherheitstipps!
a) Also Port habe ich umgestellt (und mich soeben ausgesperrt, weil der Port im Router sicherlich nicht weitergegeben wird) - das muss ich dann von zu Hause aus reparieren
b) Dienste habe ich offen: CloudStation, FTP, Web-DSM, VideoStation
c) AutoBlockIP: ist aktiviert
d) VPN soll ich einschalten? In Sachen (open)VPN bin ich Einsteiger will dadurch nicht Tür und Tor für Angreifer öffnen, weil ich mich nicht auskenne

 

[Fusion]

Der Komfort ist eine verschlüsselte Verbindung zu deinem NAS. ist die Angabe des Ports wirklich soooo nervig?

Da kann man drüber nachdenken via .htaccess eine rewrite rule vorzugeben. Dabei würde anhand eines Teiles der URL die du aufrufst lokal auf dem Webserver der DS eine Umleitung auf den DSM wirksam. Anleitung habe ich jetzt gerade nicht zur Hand. Beispiel: Könnte nas.domain.tld/dsm dann nach nas.domain.tld:34521 umlenken.
Je nachdem welche Dienste du von extern nutzen willst, kann man im Anwendungsportal in der DSM Systemsteuerung auf Aliase definieren und dann z.B. via nas.domain.tld/audio die Audiostation auf nas.domain.tld:34565 erreichen.
Hängt eben vom Einzelfall ab, was da am geschicktesten ist.

Bezüglich Sicherheitstipps:
- Wichtig ist welche Dienste du von extern erreichbar haben willst. Nur lokale verfügbare Dienste sind erstmal weniger kritisch. Deshalb sehr genau evaluieren, was von außen nutzbar sein muß. z.B. Videostation scheitert oft schon an der Bandbreite des eigenen Anschlußes, also muß sie auch nicht erreichbar sein, wenn ich sie eh nicht richtig nutzen kann.

Stichwort VPN.
Damit kannst du einen externen Client in dein lokales Netz bringen via verschlüsseltem Tunnel, so als ob er im lokalen Netz angestöpselt wäre. Hier gilt wiederum: Je nachdem welche Endgeräte und
Dienste genutzt werden sollen wäre dies eine Alternative, weil man außer VPN keinen Dienst nach außen hin verfügbar machen müßte.
Man kann da auch gemischte Szenarien fahren, so daß manche Dienste nur via VPN und andere direkt von außen erreichbar sind.
Muß jeder eben einem Kompromiss finden aus den eigenen Komfort- und Sicherheitsansprüchen.

Tür und Tor öffnet man mit jedem Dienst der nach außen verfügbar gemacht wird, von daher sollte man bei allem versuchen zu verstehen was man macht so gut es eben möglich ist.

Backups, wichtige Daten immer nochmal offline vorhalten. Kann man nicht oft genug sagen, auch wenn es nervt.

 

[DjMG]

Das SSL Zertifikat macht die Verbindung aber nicht verschlüsselt, sondern unterbindet den "Schönheitsfehler" von "Die Website hat kein Zertifikat, wollen sie dennoch fortfahren" - oder sehe ich das falsch?
HTTPS verwende ich ja sowieso! Ich kann in der Domainverwaltung nas.domain.tld gleich auf (URL 301) https://meinaccount.synology.me:5001 weiterleiten, und brauche händisch weder Port noch Protokoll angeben (klappt eben nur, wenn ich das mit dem Zertifikat nicht mache)

- Die VideoStation habe ich absichtlich aktiviert, weil eben die Bandbreite ausreicht und ich auch so von extern meine Filme schauen kann
- CloudStation, weil ich meine Dateien auf allen Geräten synchron haben will
- VPN: Prinzipiell ist mir bewusst was VPN macht, aber ich glaube ich benötige es nicht so recht. Sehe keine Vorteile (außer dass auf alle meine Geräte (Router, TV,...) daheim auch alle zugreifen könnte. Ob ich das jemals brauche...

 

[Frogman]

Das SSL Zertifikat macht die Verbindung aber nicht verschlüsselt, sondern unterbindet den "Schönheitsfehler" von "Die Website hat kein Zertifikat, wollen sie dennoch fortfahren" - oder sehe ich das falsch?...

Nicht ganz richtig - die Meldung lautet sicher nicht "die Website hat kein Zertifikat"... sie hat nämlich eines, nur lautet das auf eine andere Domain, daher wird eine Warnung ausgesprochen, dass der Vertrauensstatus nicht gewährleistet sei. Verschlüsselt ist die Verbindung in beiden Fällen, ob mit Warnung (bei generischen oder selbstsignierten Zertifikaten) oder ohne Warnung (mit auf den Domainnamen lautenden Zertifikaten inkl. korrekter Vertrauenskette bis zu einem CA-Rootzertifikat).

 

[Fusion]

Du verwendest ein Zertifikat für die Verschlüsselung sobald du https benutzt. Der Unterschied ist nur, dass einmal der Name nicht stimmt und du eine Ausnahme genehmigen mußt und andern falls eben nicht. Verschlüsselt ist am Ende in beiden Fällen.

Brauchst du die DSM wirklich von extern?
Die Video Station könntest du zum Beispiel von außen auch direkt erreichen z.B. via nas.domain.tld:9001 bzw. den Alias nas.domain.tld/video wenn aktiv.

VPN - es reduziert die Angriffsfläche nach außen, weil ja in jedem genutzten Dienst Angriffspunkte existieren können. Wenn nach außen nur VPN Zugriff besteht ist dies neben der Firmware des Routers der einzige Einstiegspunkt.
Das hängt eben vom eigenen Gerätepark ab, was da am ehesten den eigenen Geschmack trifft.
Persönlich habe ich z.B. die Audio und Photo Station von außen erreichbar und den Rest nur via VPN lokal. Ich will eben auf Photos und Musik zugreifen, auch wenn ich mal nicht von einem meiner eigenen Geräte auf denen ein VPN CLient läuft zugreifen will, also z.B. zu Hause bei Freunden etc.

Nebenfrage: Was hast du denn für eine Leitung?

 

[DjMG]

Nun gut, dann will ich das mit dem Zertifikat versuchen. Wo habt ihr es her?
Der Anbieter "startssl.com" kann schonmal nichts (Bestätigungsseite hängt seit 2h).

Die DSM-Weboberfläche möchte ich auf alle Fälle von außen erreichen.
Und dann eben die CloudStation, FTP und VideoStation. Danke für die Tipps, aber ich würde vorerst VPN deaktiviert lassen

Mein Internet ist 100 Mbit/s Download und 6 Mbit/s Upload. (Könnte auf 10 Mbit Upload relativ günstig upgraden).

 

[Frogman]

Die DSM-Weboberfläche möchte ich auf alle Fälle von außen erreichen.Und dann eben die CloudStation, FTP und VideoStation. Danke für die Tipps, aber ich würde vorerst VPN deaktiviert lassen.

Nachzulesen hier im Wiki. Bei konkreten Fragen, auf die Du per Suche keine Antwort findest, einfach fragen. Hinweis: aus aktuellem Anlass (Stichwort Synolocker, auch hier im Forum) würde sich allerdings gerade VPN empfehlen, zumindest um auf die DSM-Konfiguration zuzugreifen!

 

[Fusion]

Ich habe meine Zertifikate von startssl und keine Probleme, seit Jahren.
Deine Fehlermeldung ist zu allgemein, als dass ich dir ja jetzt konkret einen Tip geben könnte.

Die Leitung sieht nach Kabel Deutschland aus.
Bei 6 MBit kannst du mit etwas Glück 720p streamen, wenn sonst nix auf der Leitung unterwegs ist. Für PAL 720x576 sollte es reichen.

 

[DjMG]

@STARTSSL:
Beim Registrieren von startssl musste man ja einen Bestätigungscode eingeben.
Den geb ich ein, klicke auf Continue und dann passiert nichts, außer dass die Website 2h lang lädt... Ich werds morgen nochmal mit einem anderen Browser probieren.

@Leitung:
Wohne in Österreich, aber ich denke, wenn die DS eine Hardware-Kodierung vornimmt, könnte auch High-Definition klappen.
Mit 4 Mbit Upload ruckelt es ein wenig. 6 Mbit kann ich die Tage testen und alternativ kann gegen ein bisschen Aufpreis auf 10 Mbit Upload upgraden.

 

[Frogman]

@STARTSSL:Ich werds morgen nochmal mit einem anderen Browser probieren.

Nimm den IE - der macht keine Probleme.

 

[DjMG]

Bezüglich Sicherheit:
Ich habe jetzt in den Firewall Einstellungen ALLES blockiert, außer ein paar Dienste.
Welche das sind, siehe Screenshot anbei. Komisch ist, obwohl ich es nicht ausgewählt hatte, sind Audio Station, CMS usw. auch freigegeben? Woran liegt das?

--------
ERLAUBT:


--------
GESPERRT:

 

[Fusion]

Wenn du auf bearbeiten gehst, sind die Dienste dann ausgewählt?
Vielleicht werden sie bei Regel-Erstellung automatisch hinzugefügt wenn sie laufen. Das wäre zwar selten dämlich, aber ...

 

[DjMG]

Das ist ja das kuriose. Sie sind NICHT ausgewählt!