DSM 7.2 Synology Zertifikat - selbstständig eingebunden

[Benie]

Für Synology DDNS muss gar kein Port offen sein.
Wenn du nur VPN nutzt, muss gar kein Port weitergeleitet werden (solange der VPN-Server der Router ist, was ich empfehlen würde).

So läuft das mehr oder weniger auch bei mir, ich Melde mich mit meiner Synology DynDNS an der DS / DSM an, das ganze habe ich auf die interne IP umgeleitet. Dazu habe ich ein Wildcard Zertifikat für example.Synology.me welches ich auch für einzelne Dockergeschichten die ein Zertifikat benötigen auch nur intern verwende. Zugang für alles was außerhalb läuft ausschließlich über VPN mit Wireguard. Ports sind alle Dicht. Um die Verlängerung meiner Synology DynDNS brauch ich mich nicht zu kümmern. Daneben als Fallback habe ich noch QuickConnect.

 

[plang.pl]

ja, das geht problemlos. Die Meldung / Fehlermeldung mit nicht-offenen Port erscheint dennoch, ist aber nicht relevant.
Quelle: https://kb.synology.com/de-de/DSM/t...tificate_signing_request_on_your_Synology_NAS

 

[Benie]

Also ich habe da bisher noch keine Fehlermeldung bekommen . An welcher Stelle bzw. Zusammenhang sollte die kommen?

 

[plang.pl]

Wenn man das Zertifikat erstellt, kommt ne Meldung, dass der Port nicht offen ist. Zumindest bei mir. Das Cert erhält man aber dennoch

 

[Benie]

Ah ok, das kann ich natürlich nicht mehr nachvollziehen und ob ich das jemals hatte, weiß ich nicht kann mich da nicht mehr erinnenrn.
Im täglichen Betrieb funktioniert das von beschriebene Szenario jedenfalls klaglos und dürfte eigentlich so auf einfache Weise für die meisten Home User einer Synology DS ausreichen und genügend Sicherheit bieten.
Für Einzelfälle kann man sich dann immer noch etwas überlegen.
Ansonsten wie heute hier schon an anderer Stelle geschrieben, begegnet einem nur bei der Neuanmeldung einer App mit QuickConnect, das gemecker wegen dem nicht sicheren Zertifikat, aber das hat ja einen anderen Zusammenhang.

 

[mysteria]

Abschließend möchte ich mitteilen, dass ich heute Abend, Dank eurer Unterstützung und einem weiteren Einlesen, erfolgreich die automatische Umleitung auf HTTPS eingerichtet habe (auch wenn ich nur im lokalem Netz arbeite, ist ja nicht von Nachteil) und ein Zertifikat von Let`s Encrypt eingebunden habe. Hierbei hatte ich zu Anfangs ständig mit Fehlermeldungen zu kämpfen, bis ich DDNS eingerichtet habe (über All-Inkl). Den Port 80 habe ich nach Prüfung/Einbindung des Zertifikats wieder geschlossen. Im Moment passt für mich alles.

Morgen werde ich mich mit dem Medienserver und dem Video Player auseinandersetzen, um Videos auf der NAS auf dem SmartTV wiederzugeben. Getreu nach dem Motto - learning bei doing .

 

[ottosykora]

ja, und die Sniffer sitzen wohl in den aktiven Kabeln oder so was

und dann fabriziert dauernd jemand die Zertifikate für die IP Adressen, weil man die sonst nirgendwo bekommt

und alle die Server geben plötzlich unheimlich viel Inhalt von sich welche es mit http nicht geben würden


also sorry, für interne Kommunikation wird halt IP verwendet, da kann man nur handgestrickte Zertifikate basteln , das ist doch alles ziemlich übertrieben

 

[mysteria]

@ottosykora Alles gut, ich habe den Thread und die unterschiedlichen Meinungen verfolgt. Vermutlich reicht für die interne Kommunikation tatsächlich http völlig aus. Doch wie bereits erwähnt, ich möchte mich als NAS-Einsteiger einfach in die diversen Möglichkeiten und Themen einarbeiten um manches besser zu verstehen. Ich schätze Dein Fachwissen sehr, doch auch Du hast irgendwann bei 0 begonnen und dich sicher mit diversen Dingen beschäftigt um mehr Wissen zu erlangen. Bei dem Stand bin ich aktuell auch. Ich kann daran nichts abwägiges finden. Ob ich irgendwann die automatische Umleitung wieder herausnehme, mag ja sein. Dennoch bin ich heute einen kleinen Schritt weiter.

 

[ottosykora]

ja klar, wenn man Zugriff von Aussen macht, dann macht man es so. Mit einem Zertifikat, welches von einer Authorität signiert ist und deren Zertifikat wiederum in den üblichen Betriebsystemen vorhanden ist.
Zm Bsp Zugriff mit heutigen Browsern macht so was fast nötig, weil die meisten Leute nicht wissen wie sie eine Ausnahme für einen nicht korrekt unterschrieben Zertifikat einsetzen wollen.

Für interne Sachen ist es eben etwas komplizierter. Es gibt eigentlich keine Zertifikate für IP Adressen. Ja, es gibt Wege da mit entsprechenden Kommandozeilen Tools auch hier einen erstellen, wird deshalb trotzdem nicht einfach so von anderen Systemen akzeptiert.

Wir haben zum Bsp etwa 15 verschiedene Drucker, also diverse Drucker für Etiketten , Plastikkarten und solches Zeug. Wenn da jemand verlangt dass dies https gehen soll, dann wird es halt eben nicht gehen weil die Drucker eben keine solche Zertifikate verwenden können.

Ja, man kann auch den original Synolgy lokal verwenden, aber auch dieser ist 'nicht anerkannt' weil es ebenfalls ein selbsterstelltes ist. Man kann halt eine Ausnahme im Browser / Betriessystem erstelln, also 'ja ich vertraue dem, ich weiss welches Gerät es ist' abnicken und dann kann ohne weiteres lokal damit https gemacht werden. Früher war das auch nur eine einmalige Sache, die 'selfsigned' von Synology wurden für Jahrzehnte ausgestellt.
Das geht heute nicht mehr, neu erstelleten selfsigned sind etwa 1 Jahr gültig.

 

[Benie]

also sorry, für interne Kommunikation wird halt IP verwendet,

Ist aber auch kein Gesetz, aber ich gebe Dir da auch recht. Habe das auch lang auch so über die IP gemacht. Das es wenn man nicht über die IP geht, in etwas größeren Netzwerken ein großer Aufwand ist denke ich auch.

Ich wollte mir das nur mal alles vereinfachen/vereinheitlichen indem ich letztendlich nur die DynDNS verwende und mir keine Gedanken mehr machen muss welchen Zugang hast Du hier oder da verwendet.
Der größte Vorteil dürfte sein, daß ich aufgrund des Synology Wildcard Zertifikats nicht jedesmal die Verbindung nach automatischer Zertifikatsverlängerung der Clients 1/4 jährlich neu verbinden muß und für alles bleiben die Ports zu. Bei 6 Laptops mit ABB und oder Drive und mehreren Handys und Apps kommt da am Ende schon etwas zusammen.
Das nervigste ist ja, bei der Drive App auf dem Handy, wenn man nicht in den Einstellungen nachkontroliert, merkt man das oft nicht und wundert sich nur irgendwann, wo bleibt der Sync.

 

[Benie]

die 'selfsigned' von Synology wurden für Jahrzehnte ausgestellt.
Das geht heute nicht mehr, neu erstelleten selfsigned sind etwa 1 Jahr gültig.

Ich glaube, sobald man ein Synology Zertifikat von Lets Encrypt besitzt, bekommt man das eh nicht mehr. Auf meiner DS920+ habe ich das nicht mehr bekommen.
Auf den älteren DSn habe ich noch eines.

 

[ottosykora]

also bei mir sind die neusten, also auf den neuen Synos selfsigned Synology, 1 Jahr gültig. Auch dort wo von Hand neue Zert in der Syno erstellt wurden sind es selfsigned von Synology für 1 Jahr.

Bei den alten Synos sind die noch bis etwas wie 2032 oder so was gültig. Dort geht es, auch für den Zugriff mit Browser kann man halt den Leuten sagen eine Ausnahme zu machen.

Etwas mit LE ist da nicht drin, das würde eine ziemliche Infrastruktur bedeuten, dann noch DDNS oder sonst einen brauchbaren Namen für die Geräte und jemand müsste das dauernd überwachen, dauernd schauen dass die Zerts auch updated werden etc.
Zugriff auf die Daten würden sehr oft nur http gehen, weil es die Clienten mit den Zerts nicht schaffen. Ein Browser vielleicht, aber sonstige SW kaum.

Wir haben nur ein DS 'draussen', das hat zwar ein LE und das funktioniert auch, verwenden da aber nur QC und das hat sein eigens Zert.


Mit Zugriff via IP, oder halt Hostname, ist Zertifikat Management zwar nicht unmöglich, aber sehr aufwendig und kompliziert. Es gibt auch kein eigentliches Zugang, es geht lediglich mit Cisco L2TP/Ipsec und damit sind die Geräte auch untereinander verbunden.

Sicher gibt es extreme Lösungen, die für ein internes Netzwerk regelmässig Zertifikate erstellen, diese dann irgendwie verteilen, der Nutzen erschliesst sich mir nicht.