DSM 6.x und darunter Über eigene Domain auf DS mit dynamischer iP zugreifen

Alle DSM Version von DSM 6.x und älter

BUGEE

Benutzer
Mitglied seit
17. Feb 2020
Beiträge
136
Punkte für Reaktionen
11
Punkte
18
Hallo zusammen,

ich habe eine Domain bei Strato (DDNS möglich) und würde diese gerne nutzen um auf meine DS (mit dynamischer iP + quickconnect) bzw. auf einige Anwendungen zuzugreifen.

Ich suche schon seit längerem nach einer Vorgehensweise, doch leider finde ich nichts, das mich weiterbringt.

Was muss alles eingestellt bzw. freigegeben werden?

Aktueller ist lediglich die Domain vorhanden und ansonsten nichts eingestellt. Auch habe ich explizit keine Ports freigegeben.

Hatte gestern zum testen mal unter Systemsteuerung - Externer Zugriff - DDNS meine Domaindaten eingetragen und bekam die Fehlermeldung "Die IP-Adresse xx.xx.xxx.xx kann nicht über DDNS-Dienst für www.meine-domain.de registriert werden [Authentifizierung fehlgeschlagen.].
Das Problem hat sich aber anscheinend erledigt, nachdem ich unter "Benutzername" meine Domainadresse eingetragen habe, denn aktuell kommt folgendes wenn ich meine Domain aufrufe:

DNS error (the host name of the page you are looking for does not exist) or Server did not accept the connection.
Please check that the host name has been spelled correctly.

Was genau muss denn hier stehen:

Serviceanbieter: Strato
Hostname: meine-domain.de ?
Benutzername/Email: meine-domain.de ?
Kennwort/Schlüssel: mein-kennwort der Domain
Externe Adresse (IPv4): ist bereits vorausgefüllt

Oder muss ich hier mit Subdomains arbeiten?

Ich habe natürlich auch noch keinen cname Eintrag o.ä. eingestellt, da ich mir nicht Sicher bin, was genau da eingegeben werden soll bzw. mein Synology-Hostname in welchem Format da stehen muss.

Gruß
BUGEE
 

Workstation

Benutzer
Mitglied seit
30. Mrz 2016
Beiträge
113
Punkte für Reaktionen
21
Punkte
18
Zuerst einmal sind Quickconnect und DynDNS 2 verschiedene Arten diese zu ermöglichen.
Ich nutze DynDNS bei Strato.
Ich habe für meine Domain eine DynDNS Weiterleitung aktiviert.
Das machst du bei Strato unter Domainverwaltung.
Das gleiche gilt für die Synology.
Ich habe dir mal meine Einstellungen als Foto angehangen.


Bildschirmfoto 2021-11-05 um 11.20.55.png
Bildschirmfoto 2021-11-05 um 11.27.06.png
 
  • Like
Reaktionen: BUGEE

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Zuerst mal würde ich die Domain bei Strato auf DDNS umstellen, dabei legts du ein Passwort fest (soweit ich mich erinnere)
Im nächsten Schritt musst du die IP deiner Domäne immer auf die aktuelle, externe IP deines Routers aktualisieren. Das geht am Besten über den DDNS-Client im Router (bei Fritzbox zum Beispiel unter Internet, Freigaben DynDNS).

Mit diesen beiden Schritten hast du schonmal einen Namen "meine-domain.de" der auf deine externe IP auflöst (testbar z.B. mit "nslookup meine-domain.de").

Jetzt willst du ja nicht mit "meine-domain.de" arbeiten, sondern mit Namen, die die verschiedenen Dienste adressieren, also z.B. "www.meine-domain.de", "photo.meine-domain.de", "dsm.meine-domain.de" usw. Für all diese Namen legst bei Strato CNAMES das. Das sind im Prinzip alles Aliase, die dann doch wieder auf meine-domain.de zeigen.

Im nächsten Schritt brauchst du jetzt noch ein Zertifikat für deine Domain, mit all den CNAMES als "Alternate Names". Das erstellst du am Besten auf der DS über Lets Encrypt.

Mach mal bisher, dann melde dich wieder.
 
  • Like
Reaktionen: BUGEE

BUGEE

Benutzer
Mitglied seit
17. Feb 2020
Beiträge
136
Punkte für Reaktionen
11
Punkte
18
Danke dir! (y)

- DDNS ist aktiviert auf Strato.
- FritzBox DDNS habe ich nun ebenfalls eingerichtet.

Jedoch noch eine Frage zu CNAMES, bevor ich da weitermachen kann.

Ich habe nun auf Strato die Subdomain "photo.meine-domain.de" erstellt. Gehe ich nun in die DNS-Einstellungen dieser Subdomain und klicke bei CNAME-Record auf "Verwalten" habe ich ja unter "CNAME-Eintrag" ändern, die Möglichkeit etwas einzutragen - Nur was genau muss hier denn stehen? Das habe ich noch nicht wirklich durchgeblickt.

Ich denke, dass es richtig ist, hier über die Subdomain zu gehen? Oder muss ich den CNAME Eintrag in der Hauptdomain machen?
In der Hauptdomain habe ich nämlich nicht den Eintrag "CNAME-Record" sondern nur "TXT und CNAME Records inklusive SPF und DKIM Einstellungen".
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Ja, ist bei Strato etwas komisch gemacht. Man legt erst eine Subdomain an und ändert die dann zu einem CNAME.
Was du einträgst, ist das Ziel, auf das der CNAME verweist, in deinem Fall also "meine-domain.de." (der Punkt am Ende ist wichtig).

Edit: Musste eben selbst nochmal schauen. Nachdem die Subdomain angelegt ist, gehst du wieder auf die Hauptdomain und klickst auf das + vor dem Domain-Namen. Das steht zunächst Umleitung intern bei der Subdomain. Dort gehst du auf verwalten und wählst DNS-Verwaltung, CNAME, CNAME-Eintrag ändern:

1636112330981.png
Edit:
Blöd gemacht, ich weiß. Evtl. kann man auch direkt über "TXT und CNAME Records inklusive SPF und DKIM Einstellungen" gehen und unten anhängen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: BUGEE

BUGEE

Benutzer
Mitglied seit
17. Feb 2020
Beiträge
136
Punkte für Reaktionen
11
Punkte
18
CNAME wurde nun auch erledigt.
Was hat das denn mit dem "Punkt" am Ende auf sich, dass es wichtig ist? Wäre niemals drauf gekommen.

Jetzt bin ich grad dabei das Zertifikat zu erstellen, jedoch glaube ich, dass ich wohl noch Ports freigeben muss, kann das sein?

Wenn ich auf der DS unter "Zertifikate" - "Hinzufügen" klicke:

- "Neues Zertifikat hinzufügen" anwähle und auf Weiter gehe
- unter Beschreibung "meine-domain.de" und "Zertifikat von Let´s Encrypt abrufen" wähle und auf Weiter gehe
- unter Domainname "meine-domain.de", unter Email "meine-Emailadresse" und unter Betreff Alternativer Name "photo.meine-domain.de; dsm.meine-domain.de" eingebe und auf Fertig klicke, bekomme ich folgende Fehlermeldung:

"Let´s Encrypt kann diesen Domainnamen nicht überprüfen. Stellen Sie sicher, dass auf ihrem DiskStation unt Router Port 80 für die Internet-Domainüberprüfung durch Let´s Encrypt geöffnet ist. Jegliche sonstige Kommunikation mit Let´s Encrypt läuft zum Schutz ihres DiskStation über HTTPS."

Muss ich nun den Port 80 in der FritzBox für die DS freigeben?

Auf der DS unter Externer Zugriff - Routerkonfiguration habe ich folgendes Bild:

DS.jpg



Weiß auch gar nicht, warum das überhaupt drinsteht und auch bei Verbindung testen "Fehlgeschlagen" angezeigt wird. QuickConnect funktioniert ohne Probleme.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Für die Zertifikatserstellung (und auch später für die Verlängerung) musst du Port 80 und 443 auf die DS weiterleiten. Port 80 kannst du zwischendurch aber wieder abschalten.

Vergiss vorerst mal dieses blöde Quickconnect. Das ist ein ganz anderer Weg über irgendwelche Synology-Server. Auch was du unter "Routerkonfiguration" vorfindest würde ich rausnehmen. Das sind dynamische Firewall-Anpassungen über UPnP durch die DS auf dem Router. Das müsste man erstmal auf der Fritzbox erlauben. Also besser nicht.

Edit:
Noch zu dem Punkt am Ende. Wenn ein Name über DNS aufgelöst werden soll, gibt es in den Einstellungen dazu eine sog. DNS-Suffix-Suchliste. Wenn man dort z.B. "fritz.box" einträgt, wird z.B. bei einem "ping DS" zuerst nach DS.fritz.box, dann nach DS.Box und zuletzt nach DS gesucht. Das ist ganz praktisch, wenn man z.B. intern mit Kurznamen arbeiten möchte, aber strenggenommen immer DS.fritz.box tippen müsste. Mit dem Punkt am Ende sagt man der Namensauflösung, dass man diese Suche eben nicht möchte. Das ist schon alles.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: BUGEE

BUGEE

Benutzer
Mitglied seit
17. Feb 2020
Beiträge
136
Punkte für Reaktionen
11
Punkte
18
Ports wurden freigegeben.

Zertifikat habe ich auch erstellt.

Für das Zertifikat habe ich unter Domainname "meine-domain.de" eingetragen. Das sollte so ja richtig sein, denke ich.
Oder müsste ich da "photo.meine-domain.de" eintragen?

Habe nämlich danach unter Zertifikat - Einstellungen bei "photo.meine-domain.de " das Zertifikat ausgewählt, welches ich neu angelegt habe (meine-domain.de).

Aufjedenfall funktioniert das mit der Subdomain "photo.meine-domain.de" nun.

Nur wird gemeckert, dass die Seite nicht sicher ist (Zertifikat). Wahrscheinlich dauert es aber einfach nur, bis das als Sicher eingestuft wird, kann das sein?

Ich danke dir jedenfalls vielmals @Benares (y) Ohne deine Hilfe hätte ich wahrscheinlich noch Tagelang weiter gesucht.



EDIT:
Sorry, mein Fehler mit dem Zertifikat. Habe es überlesen.

Habe nun bei "Betreff Alternativer Name" meine Subdomain eingetragen. Jetzt ist die Seite Sicher.
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Also du hast jetzt schon Zugriff auf Photo über https://photo.meine-domain.de ?

Die nächsten Schritte wären nämlich gewesen (aber vielleicht hast du das ja schon gemacht):
  • Unter Systemsteuerung, Anmeldeportal, Anwendungen bei Synology Photos als Domain den Namen photo.meine-domain.de eintragen.
  • unter Systemsteuerung, Sicherheit, Zertifikat, Einstellungen dem Dienst "Synology Photos - photo.meine-domain.de" dein neues Zertifikat zuordnen
Dann im Browser testen, ob der Zugriff klappt. Sollte eine Warnung kommen, stimmt was mit dem Zertifikat nicht. Mit Rechtklick auf dem Schloss vor der URL kannst du dir das Zertifikat anschauen. Das muss dann dein neues sein, für meine-domain.de ausgestellt, mit u.a. photo.meine-domain.de mit in der Liste der "Alternative Antragstellername" (Liste der Namen, für das Zertifikat gilt)
Hier mal als Beispiel das Zertifikat vom Forum hier:
1636120400880.png
Bedeutet: Das Zertifikat ist gültig, weil du den Namen www.synology-forum.de in der URL verwendest. Würdest du über https://85.214.52.208 (die IP vom Forum hier) zugreifen, wäre es ungültig. So ist es auch bei dir.

Diese Schritte kannst du für alle anderen Dienste wiederholen, auf die du von außen zugreifen möchtest. Unter Anmeldeportal, Erweitert, Reverse Proxy könntest du sogar weitere Dienste ergänzen, die noch nicht mal lokal auf deiner DS laufen müssen, sondern auf irgendeinem anderen Gerät in deinem Heimnetz. Blöd ist halt nur, dass du für jeden weiteren Dienst wieder einen neuen CNAME, ein neues Zertifikat, ... brauchst. Deshalb solltest du vorher überlegen, was du so alles brauchen könntest.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: BUGEE

BUGEE

Benutzer
Mitglied seit
17. Feb 2020
Beiträge
136
Punkte für Reaktionen
11
Punkte
18
Die nächsten Schritte wären nämlich gewesen (aber vielleicht hast du das ja schon gemacht)
Ja, genau, diese Schritte hatte ich bereits gemacht.

Aber Perfekt, dass du es noch einmal von dir aus erklärt hast. Ich denke, es werden einige dieses Problem haben. Dann ist hier nun sozusagen eine Schritt-für-Schritt Anleitung dank dir.


Unter Anmeldeportal, Erweitert, Reverse Proxy könntest du sogar weitere Dienste ergänzen, die noch nicht mal lokal auf deiner DS laufen müssen, sondern auf irgendeinem anderen Gerät in deinem Heimnetz.
Dieses Reverse Proxy hatte ich bereits vor einigen Tagen für eine Anwendung bei Docker aktiviert - Die funktioniert nun auch.
Wobei ich mir gar nicht sicher bin, ob es auch ohne Reverse Proxy und den Port, den ich eingegeben hatte, funktionieren würde, da es für mich als Laien so aussieht, als würde es lokal auf der DS laufen.

Blöd ist halt nur, dass du für jeden weiteren Dienst wieder einen neuen CNAME, ein neues Zertifikat, ... brauchst. Deshalb solltest du vorher überlegen, was du so alles brauchen könntest.
Stimmt, das ist echt Blöd.
Ich musste eben noch was hinzufügen, dann habe ich das Zertifikat gelöscht und nochmal neu erstellt.
Was ist denn sicherer bzw. besser? Alle Subdomains in einem Zertifikat oder jedes einzeln (gibt ja bestimmt auch eine Begrenzung für maximale Zertifikate)?


Ich habe nun gemerkt, dass z.B. meine-domain.de/photo auch funktioniert, weil unter Systemsteuerung, Anmeldeportal, Anwendungen bei Synology Photos als Aliasname "photo" eingetragen ist.
Funktioniert dies auch mit Docker Containern? Dass ich diesen einen Alias zuweise und darüber darauf zugreife, statt einer Subdomain?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Zum letzten Punkt vielleicht zuerst: Ich weiß nicht, ob da dein /photo dahinter nicht einfach ignoriert wird. Was steht denn oben in der URL nachdem Aufruf? Ist das /photo noch da?

Der große Vorteil des Reverse Proxy ist halt, dass alles über Port 443 reinkommt und dann intern rangiert wird, egal welches Ziel, egal welcher Port, und man nicht ständig an den Portweiterleitungen basteln muss.

Für meine Domain habe ich mir inzwischen ein Wildcard-Zertifikat gebastelt (*.meine-domain.de), so dass dieser Aufwand in Zukunft wegfällt. Leider geht das nicht mit Bordmitteln (außer m.W. für synology.me-Domains), sondern nur per Script. Ansonsten finde ich ein Zertifikat für alles besser als mehrere für verschiedene Dienste.
 

stefann42at

Benutzer
Mitglied seit
17. Jun 2020
Beiträge
121
Punkte für Reaktionen
19
Punkte
18
Lässt sich der cName-Eintrag für eine subdomain nicht vermeiden, wenn man mit den Reverse-Proxy Einstellungen auf der Synology arbeitet?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Das läuft ja alles über den Reverse Proxy. Das Ziel ist ja gerade, dass man über photo.meine-domain.de Zugriff hat und nicht über meine-domain.de/photo. Für ersteres braucht es halt CNAMEs.
Es gibt m.W. auch DNS-Provider, die sowas wie Wildcard-Domains anbieten, d.h. irgendwas.meine-domain.de löst immer auf die IP von meine-domain.de auf. Das ist natürlich praktisch. Ebenso gibt es Wildcard-Zertifikate, nur leider unterstützt der DSM diese wohl nur bei synology.me-Domains.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: BUGEE


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat