UNIFY USG UND SYNOLOGY REVERSE PROXY
- Ersteller feron
- Erstellt am
Das '\t' könnte auf einen TAB in der Konfiguration hindeuten, was ihm nicht gefällt. Was steht denn in Zeile 27?
Hab die Tabs vorne weggenommen. Jetzt kommt dieses Meldung nicht mehr, dafür erhalte ich nun folgende Meldung:
Top, danke für die Antwort. Mit 2 Spaces gehts. Vom pc komme ich jetzt drauf auf die maske zum benutzername und passwort eingeben. Von der Home Assistant app erhalte ich folgende Meldung: The certificate dor this server is invalid. Was könnte das noch sein?
Wahrscheinlich was mit Zertifikaten. Aber da kann ich dir nicht weiterhelfen, mit Unify kenne ich mich nicht aus.
Hallo Alexhell
Also meinst du ein separates Zertifikat unter Synology nur für dieses Subdomain? Eigentlich steht der Name der Subdomain im Hauptzertifikat. Wie sollte das aussehen? Hast du auch hier einen Print-Screen?
Bei mir sieht es folgendermassen aus:
Das ist die Fehlermeldung die ich leider erhalten, wenn ich von der Home Assistant App, auf die Externe URL connecten möchte:
Also meinst du ein separates Zertifikat unter Synology nur für dieses Subdomain? Eigentlich steht der Name der Subdomain im Hauptzertifikat. Wie sollte das aussehen? Hast du auch hier einen Print-Screen?
Bei mir sieht es folgendermassen aus:
Das ist die Fehlermeldung die ich leider erhalten, wenn ich von der Home Assistant App, auf die Externe URL connecten möchte:
Zuletzt bearbeitet:
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.168
- Punkte für Reaktionen
- 919
- Punkte
- 424
Nein, steht er nicht.
Das wäre nur der Titel des Eintrags und der Abschnitt "Betreff Alternativer Name".
Unter "Für" steht nur für welche Dienste du das Zertifikat gesetzt hast.
Damit stimmt halt xxx.synology.me trotzdem nicht mit ha.xxx.synology.me überein.
Da du synology.me verwendest:
Lass dir ein neues Zertifikat ausstellen und das vorhandene damit ersetzen.
Zusätzlich zu xxx.synology.me trägst du als alternativen Namen noch "ha.xxx.synology.me" oder gleich "*.xxx.synology.me" (als Wildcard für alle Subdomains) ein.
Das wäre nur der Titel des Eintrags und der Abschnitt "Betreff Alternativer Name".
Unter "Für" steht nur für welche Dienste du das Zertifikat gesetzt hast.
Damit stimmt halt xxx.synology.me trotzdem nicht mit ha.xxx.synology.me überein.
Da du synology.me verwendest:
Lass dir ein neues Zertifikat ausstellen und das vorhandene damit ersetzen.
Zusätzlich zu xxx.synology.me trägst du als alternativen Namen noch "ha.xxx.synology.me" oder gleich "*.xxx.synology.me" (als Wildcard für alle Subdomains) ein.
Wie meinst du das genau? Ich habe neben xxx. synology.me noch ein zusätliches Zertifikat erstellt für ha.xxx.synology.me. Auch damit hat es nicht funktioniert. Meinst du das bestehende xxx.synology.me löschen und ein komplett neues erstellen und ha.xxx.synology me noch ergänzen? Wie kann ich dann ha.xxx.synology.me ergänzen?
Was würdest du sicherheitstechnisch empfehlen um auch auf die Diskstation am sichersten zuzugreiffen. Auch ein Reverse Proxy Eintrag mit einer anderen Subdomain z.b. dsm.xxx.synology.me und dann den Reverse Proxy auf https 5001? Wäre das eine gute Möglichkeit?
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.168
- Punkte für Reaktionen
- 919
- Punkte
- 424
Erster Post:
Was heißt du hast für ha.xxx.synology.me ein Zertifikat erstellt und es hat nicht funktioniert?
Was hast du genau gemacht?
Das Zertifikat auch dem Proxy zugeordnet? Alle Geräte mal neu gestartet oder Caches gelöscht (falls sie sich was altes gemerkt haben z.B.)?
Zweiter Post:
Ja, das habe ich gemeint.
Dritter Post:
Für DSM und die Synology Anwendungen gibt es schon eingebaute Reverse Proxies. Systemsteuerung > Anmeldeportal > "benutzerdefinierte Domains"
Sicherheit:
Am sichersten ist auch immer am schmerzvollsten / mit weniger Komfort.
Dass ich Smart-Home und Konsorten gar nicht aus dem öffentlichen Netz erreichbar machen würde hatte ich ja in #8 schon geschrieben.
Gab ja schon Beispiele, war in dem Fall ioBroker, wo Zugangsdaten an der falschen Stelle (Plugin) hinterlegt den Zugriff auf das NAS geöffnet hatten.
So die grobe Reihenfolge in meinen Augen (dass die Firewalls in NAS / Router benutzt werden und die Zugänge zu Endgeräten schon beschränken setze ich mal voraus):
Ausschalten
Einschalten, kein Netzwerk
Einschalten, nur lokales Netzwerk
VPN Zugriff auf das heimische Netz
Reverse Proxy auf einem separaten Gerät, nur die nötigen Dienste, nichts ohne Authentifizierung / 2-Faktor-Auth
VPN auf dem NAS
Reverse Proxy auf dem NAS für Anwendungen
Reverse Proxy auf dem NAS für DSM
...
beliebige weitere Abstufungen hier, hab grad keine große Lust mir Konstellationen zu überlegen.
...
Einschalten, alles Automatik von Portfreigabe bis zur deaktivierten Firewall. Offenes Scheunentor.
Mit Reverse Proxy hängt das Ding wenigsten schon mal nicht mit den Standardports des DSM im Netz und die 0815 IP scanner landen dann nur ... je nachdem was bei dir eingestellt ist bei einer reinen IP Anfrage.
Müssen sich also schon die Mühe machen die Zertifikatslogs von Lets Encrypt durch zu gehen um nach Domainnamen zu suchen um diese direkt ansprechen zu können.
https://letsencrypt.org/docs/ct-logs/
Solange sich also noch genug Opfer finden die weniger Aufwand treiben als du...
Das ist halt z.T. Security by Obscurity, zählt also zur gefühlten, aber nicht zur realen Sicherheit.
Jede(r) muss für sich einen Kompromiss finden mit dem er leben kann und nachher nicht jammern, wenn es einen doch erwischt.
Vor allem Backup, Backup, Backup...
Was heißt du hast für ha.xxx.synology.me ein Zertifikat erstellt und es hat nicht funktioniert?
Was hast du genau gemacht?
Das Zertifikat auch dem Proxy zugeordnet? Alle Geräte mal neu gestartet oder Caches gelöscht (falls sie sich was altes gemerkt haben z.B.)?
Zweiter Post:
Ja, das habe ich gemeint.
Dritter Post:
Für DSM und die Synology Anwendungen gibt es schon eingebaute Reverse Proxies. Systemsteuerung > Anmeldeportal > "benutzerdefinierte Domains"
Sicherheit:
Am sichersten ist auch immer am schmerzvollsten / mit weniger Komfort.
Dass ich Smart-Home und Konsorten gar nicht aus dem öffentlichen Netz erreichbar machen würde hatte ich ja in #8 schon geschrieben.
Gab ja schon Beispiele, war in dem Fall ioBroker, wo Zugangsdaten an der falschen Stelle (Plugin) hinterlegt den Zugriff auf das NAS geöffnet hatten.
So die grobe Reihenfolge in meinen Augen (dass die Firewalls in NAS / Router benutzt werden und die Zugänge zu Endgeräten schon beschränken setze ich mal voraus):
Ausschalten
Einschalten, kein Netzwerk
Einschalten, nur lokales Netzwerk
VPN Zugriff auf das heimische Netz
Reverse Proxy auf einem separaten Gerät, nur die nötigen Dienste, nichts ohne Authentifizierung / 2-Faktor-Auth
VPN auf dem NAS
Reverse Proxy auf dem NAS für Anwendungen
Reverse Proxy auf dem NAS für DSM
...
beliebige weitere Abstufungen hier, hab grad keine große Lust mir Konstellationen zu überlegen.
...
Einschalten, alles Automatik von Portfreigabe bis zur deaktivierten Firewall. Offenes Scheunentor.
Mit Reverse Proxy hängt das Ding wenigsten schon mal nicht mit den Standardports des DSM im Netz und die 0815 IP scanner landen dann nur ... je nachdem was bei dir eingestellt ist bei einer reinen IP Anfrage.
Müssen sich also schon die Mühe machen die Zertifikatslogs von Lets Encrypt durch zu gehen um nach Domainnamen zu suchen um diese direkt ansprechen zu können.
https://letsencrypt.org/docs/ct-logs/
Solange sich also noch genug Opfer finden die weniger Aufwand treiben als du...
Das ist halt z.T. Security by Obscurity, zählt also zur gefühlten, aber nicht zur realen Sicherheit.
Jede(r) muss für sich einen Kompromiss finden mit dem er leben kann und nachher nicht jammern, wenn es einen doch erwischt.
Vor allem Backup, Backup, Backup...
Bezüglich der sichersten Variante auf die DSM selber zuzugreiffen. Könnte ich also einfach unter Benutzerdefinierte Domain einen Domain Namen eintragen z.b. https://dsm.xxx.synology.me und so wäre dann die DSM auch über meine Portweiterleitung 443 über diesen Namen erreichbar? Und das Zertifikat wäre ja mit *.xxx.synology.me auch abgedeckt.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
