Zertifikat, du unbekanntes Wesen

[spatzimatzi]

Hallo,
schon der Themen-Titel beschreibt mein Problem sehr deutlich. Ich verstehe die Problematik nicht.
Ich möchte mal kurz beschreiben, wie ich die Syno einsetze und welche Einstellungen ich vorgenommen habe.

Durch viel Lesen hier im Forum komme ich immer besser klar mit der Syno. Auch die Einstellungen, so glaube ich, habe ich im Griff.
Da der Zugriff auf die Syno sicher sein soll, setze ich nur die gesicherten Protokolle / Ports ein.
Damit ich von Extern auf die Syno zugreifen kann, habe ich mir für die myFritz-Adresse xyz.... .myfritz.net ein Zertikat anfertigen lassen.
Im Moment setze ich "Note Station" ein über Port 5001. Das funktioniert wunderbar.

Möchte ich lokal auf die Syno zugreifen, dann gebe ich die IP mit dem Port an. Das sieht wie folgt aus: 192.168.x.xx:5001
Hier fängt das Problem mit dem Browser (Firefox) an. Über eine Ausnahme komme ich dann doch auf die Syno.
Folgende Fehlermeldung wird angezeigt:
Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut dieser Website nicht,
weil das von der Website verwendete Zertifikat nicht für 192.168.x.xx:5001 gilt.
Das Zertifikat ist nur gültig für xyz... .myfritz.net.

Möchte ich Adressen in Thunderbird mit den Adressen unter Contacts abgleichen, dann bekomme ich bei der Einrichtung der Konten immer wieder Probleme mit den Zertifikaten.

Auf der FritzBox habe ich die Ports, 5001, 5006, 443 und 80 umgeleitet auf die Syno mit dem Port 192.168.x.xx.
Für die Erneuerung des Zertifikates habe ich die Firewall auf der Syno ausgeschaltet.

Um das Thema zu verstehen, brauche ich an dieser Stelle eure Hilfe
Leider kann euch nicht gezielt um die Beantwortung von Frage bitten, weil die Thematik für mich noch etwas schwammig ist. Somit auch keine Fragen.
Standardfrage wäre: Was mache ich falsch.

Selbstverständlich versuche ich alle noch fehlenden Informationen nachzureichen.

Gruß
spatzimatzi

 

[THDev]

Das ist ganz normal. Zertifikate werden normalerweise (geht auch auf IPS) für einen FQDN ausgestellt z.b xyz.myfritz.net.
Wenn du nun auf die IP zugreifst ist das Zertifikat natürlich dafür nicht validiert (aber weiterhin sicher) daher die warnung.

Kann man eigentlich Intern ignorieren wenn man sich bewusst ist was man damit bestätigt - extern natürlich nicht.

 

[the other]

Moinsen,
tja.
Variante 1: intern ohne https, nur http, dann geht auch die IP ohne Gemecker.
Variante 2: von extern mit VPN exclusive zugreifen und ein eigenes (nicht LetsEncrypt) Zertifikat basteln, das geht auch für ne IP. Da du dann ja VPN nutzt ist der Aufruf immer gleich

Ob du intern auch https nutzt ist ne Geschmacksfrage (oder auch abhängig vom Paranoia-Grad). Warum du allerdings die Firewall ausschaltest erschließt sich mir als geneigtem Leser nicht. Davon rate ich daher auch ab. Warum du nicht VPN für externe Zugriffe nutzt kann ich ebenfalls nicht nachvollziehen, da du nix zu deinem Vorhaben schreibst.

 

[blurrrr]

weil die Thematik für mich noch etwas schwammig ist

Das ist relativ einfach: Ist der Schlüssel von der Wohnungstür und von der Wohnzimmertür der gleiche? Theoretisch führt ja beides in den Flur. Das soll jetzt nur zeigen, dass beide erstmal nichts miteinander zu tun haben.

Grundsätzlich sieht es ja vermutlich ungefähr so aus:


Client --> LAN --> Switch --> NAS <-- Router <-- Internet <-- Client

Ob jetzt Switch, oder ob es auch über den Router geht (der dann auch nur als Switch agiert) sei mal dahingestellt.

Fakt ist:

Interne Verbindung zum NAS: Client -> NAS (z.B. 192.168.0.100 zu 192.168.0.200, privater IP-Bereich)
Externe Verbindung zum NAS: Client -> Router (extern) -> NAS (z.B. 80.80.80.80 zu 90.90.90.90, öffentlicher IP-Bereich, intern dann 192.168.0.1 zu 192.168.0.200)

Durch die myfritz-Geschichte hast Du von aussen eine "feste" Zuordnung, zu Deiner sich gern mal wechselnden öffentlichen IP-Adresse (90.90.90.90 heute, morgen z.,B. 90.90.90.95).

heute: meinddns.myfritz.net -> 90.90.90.90
morgen: meinddns.myfritz.net -> 90.90.90.95

Der DNS-Eintrag bleibt also der gleiche (meinddns.myfritz.net), allerdings das "dahinter" ändert sich. In der Regel werden Zertifikate auf einen FQDN (FullQualifiedDomainName) ausgestellt. Zum Beispiel eben sowas wie "meinddns.myfritz.net". Wenn das jetzt entsprechend hinterlegt wird (so wie Du es ja schon hast), läuft es so:

- Verbindung zu "meinddns.myfritz.net" (wird aufgelöst zur hinterlegten dynamischen öffentlichen IP und damit ist das Verbindungsziel auch korrekt)
- Zertifikat wird vom Ziel präsentiert: "meinddns.myfritz.net"(Ziel ist hier z.B. durch eine Portweiterleitung am Router Dein NAS)
- Angesprochener FQDN und im Zertifikat präsentierter FQDN passen zusammen, läuft!

Anders sieht es dann aus, wenn man über die interne IP geht:

- Verbindung zu "192.168.0.200"
- Zertifikat wird vom Ziel präsentiert: "meinddns.myfritz.net"
- Angesprochener FQDN (192.168.0.200) und Zertifikats-FQDN ("meinddns.myfritz.net") passen nicht zusammen, besagte Fehlermeldung erscheint.

Da gäbe es jetzt mehrere Lösungsansätze:

Einer der einfachsten (wenn auch weniger schönsten) wäre z.B. die Hinterlegung des FQDN zur internen IP des NAS auf dem lokalen Computer (bitte nicht bei Laptops!). In der "hosts"-Datei (maximal hinzufügen, nix löschen ) kann man quasi Dinge fix eintragen, die sonst nur über einen DNS-Server konfigurierbar wären, wie z.B.

meinddns.myfritz.net = 192.168.0.200

Somit bei Aufruf des FQDN garnicht mehr im öffentlichen DNS nachgefragt (was auf Deine öffentliche IP des Routers verweisen würde), sondern Dein lokaler Rechner beantwortet sich das einfach schon selbst. Somit würden alle anderen Clients als "Antwort" die öffentliche IP Deines Routers bekommen, nur Dein normaler Rechner würde sich das selbst beantworten.

Somit wäre der Aufruf von meinddns.myfritz.net vom Rechner aus eine rein lokale Verbindung und der Rechner würde sofort zur 192.168.0.200 wandern. Aufgerufener FQDN stimmt mit dem im Zertifikat überein, passt.

Alternativ kannst Du auch von intern den regulären FQDN aufrufen (also nicht via interner IP verbinden), allerdings kommt dann das Thema mit dem Rebind-Schutz ins Spiel (Fritzboxen z.B. können das auch noch anderweitig handhaben).

Die letzte und umständlichste Alternative wäre noch der Betrieb eines eigenen DNS-Servers (sowas kann die Syno auch), aber das ist schon wieder so ein Brett für sich, von daher wäre wohl eine der beiden anderen Möglichkeiten in Erwägung zu ziehen. Möglichkeit 1 ist schnell umgesetzt, Möglichkeit 2 nimmt keine Veränderungen am System vor, sondern benötigt nur eine Konfiguration am Router (sofern möglich), von daher wäre Möglichkeit 2 meines Erachtens nach auch zu bevorzugen in Deinem Fall ??

Wünsche viel Erfolg!

 

[spatzimatzi]

Hallo,
Variante 1 habe ich nicht gewählt, weil im diesem Forum immer gesagt wird, die unverschlüsselten Ports nicht zu verwenden bzw. nicht zu öffnen.
Variante 2 hatte ich schon mal. Habe nur mit VPN gearbeitet und ohne Portweiterleitung. Das habe ich jedoch wieder eingestellt, weil
1. bei einer dauerhaften VPN auf einem Samsung-Handy eine feste IP vorliegen muss. Die hatte ich nicht.
2. ich unsicher war und nicht genau wusste, was ich eigentlich wollte.
Die Firewall hatte ich nur abgeschaltet um das Zertifikat für myFritz-Adresse zu erneuern. Ist bereits wieder aktiv.

Die Frage nach meinem Vorhaben:
Das ist keine große Sache. Ich möchte mit der Note Station arbeiten, Termine und Adressen synchronisieren zwischen NAS, Thunderbird und Android.
Das klappt auch super zwischen NAS und Android.

Jetzt zu meiner Frage:
Wie kann ich denn ein sogenanntes lokales Zertifikat erzeugen (basteln) und muss dies dem Browser bekannt gegeben werden?

spatzimatzi

 

[blurrrr]

Wie kann ich denn ein sogenanntes lokales Zertifikat erzeugen (basteln) und muss dies dem Browser bekannt gegeben werden?

Naja, das Problem dabei ist dann wieder eine andere Fehlermeldung... (et hört einfach nicht auf... ? ). Hier wird es dann so sein, dass dieses Zertifikat nicht von einer vertrauenswürdigen Stelle signiert worden ist (bei öffentlichen ist das normalerweise der Fall). Das liest sich dann ungefähr so im Browser:

Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.

Anders sieht es z.B. bei Lets-Encrypt-Zertifikaten aus:

----------

----------

Das ganze ist halt ein bisschen wie bei unseren Personalausweisen. Die wurden ja quasi auch vom Staat signiert (also für glaubwürdig erklärt). Wir vertrauen unserem Staat (tun wir doch, oder? ?), also vertrauen wir auch diesen Personalausweisen. Dein Computer, Laptop, Handy, was auch immer... alle haben schon Stammzertifizierungsstellen-Zertifkate integriert. Kannst Du Dir auch gern mal anschauen... unter Windows z.B. auf folgendem Wege:

Startmenü öffnen und einfach drauf lostippen "mmc" und dann die App starten (ist nach Start noch leer). Danach gehst Du mal auf "Datei -> Snap-In hinzufügen" und wählst dort aus der Liste ganz unten den Eintrag "Zertifikate" aus ("Hinzufügen >" in der Mitte). Danach öffnet sich ein Dialog, dort belässt Du die Einstellung erstmal auf "Eigenes Benutzerkonto" und klickst auf "Fertigstellen". Sollte dann so aussehen:

----------

----------

Danach sieht man die Auswahlliste wieder, da klickst Du dann einfach unten noch auf "Ok".

Danach sollten auf der linken Seite des Fensters einige Ordner auftauchen, wobei ich hier auf kurz auf 2 eingehen möchte:

----------

----------

Es gibt die Stammzertifizierungsstellen (nennen wir sie mal "Länder") und es gibt Zwischenzertifizierungsstellen (nennen wir wir die Dinger einfach mal "Bundesländer"). Dein Personalausweis wird jetzt von Deinem Bundesland "signiert", der Ausweis des Bundeslandes ist wiederum vom Staat signiert. Wir vertrauen dem Staat (Stammzertifizierungsstelle), also vertrauen wir dem Bundesland (Zwischenzertifizierungsstelle), also vertrauen wir dem Personalausweis (Dein Zertifikat).

Wenn Du mal in die beiden markierten Ordner (Stammzertifizierungsstellen und Zwischenzertifizierungsstellen) schaust, wirst Du feststellen, dass dort vom Betriebssystem auch schon "etliche" hinterlegt sind. Deswegen funktioniert das ganze überhaupt so "problemlos".

Dein "Problem" ist jetzt, dass Dein eigens gebautes Zertifikat von niemandem "vertrautem" signiert ist. Das würde sich dann ungefähr so äussern:

----------

----------

Was man hier bräuchte ist eine sogenannte "CA" (Certificate Authority, oder eben zu deutsch: Zertifizierungsstelle), damit diese ihren Stempel auf das Zertifikat drücken kann. Ist natürlich auch ein Problem, weil... wer ist das schon? Kann man dieser CA überhaupt vertrauen? Da schliesst sich dann der Kreis, indem man dem Zertifikat der CA selbst eben vertraut und somit vertraut man auch allen Zertifikaten, welche von dieser CA signiert wurden.

Du merkst also.... "mal eben" ist da wieder so eine Sache...

Ein selbst erstelltes Zertifikat bringt Dich in diesem Kontext halt auch nicht weiter - Du wirst so "immer" ein Problem haben (entweder innen oder aussen) zzgl. der Problematik, dass es nicht von einer vertrauenswürdigen Stelle signiert wurde. Hoffe, dass ist durch die Ausführungen jetzt etwas klarer geworden

Ich persönlich würde - wie auch sonst - definitiv zu VPN-only raten (inkl. "VPN-on-Demand" kurz "VoD", macht das Leben schon einfacher), alternativ dazu würde ich sagen: Möglichkeit 2 (einfach beim alten Konstrukt bleiben) + DNS-Rebindschutz rekonfigurieren (sofern Du die Möglichkeit dazu hast).

 

[spatzimatzi]

Hallo @blurrrr,
sehr viele Informationen. Es sind einige interessante Möglichkeiten dargestellt worden. Die werde ich sukzessive testen.
Danach werde ich mir die klarste und galanteste Möglich für meinen Einsatzfall wählen.
Zunächst denke ich, werde ich für die näherer Zukunft wieder auf VPN umsteigen und die Syno über Port 5000 ansprechen.
Dann ist mein Zugriff aus dem Internet sicher und gleichzeitig kann ich intern bzw. lokal die Syno ohne Probleme ansprechen.

2 Fragen bleiben aber noch, die nicht unmittelbar mit den Zertifikaten zu tun haben:
1.
Bei DS Note Android gebe ich die myFritz-Adresse an für den Zufriff aus dem Internet.
Was geschieht eigentlich, wenn ich im WLan bin. Leitet die Fritzbox die Anforderung zu myFritz.net und kommt dann zurück.
Oder wird der interne Zugriff von der FritzBox erkannt?
2.
Wenn die myFritz-Adresse durch eine feste IP abgelöst wird, kann man dann mit Let's Encrypt daraus ein Zertifikat erzeugen?
Diese Fragen ist nicht für mich interessant, sondern für meinen Bruder.

spatzimatzi

 

[Benares]

DNS (Namensauflösung) und Zertifikate haben erstmal wenig miteinander zu tun (ausser, dass die Zertifikate für bestimmte Namen ausgestellt sind). Wenn du im Browser eine URL aufrufst wird erstmal der Name per DNS in die IP aufgelöst, so auch bei deiner eigenen MyFritz-Adresse (also deiner externen IP), dann wird die Verbindung aufgebaut.

Zu 1) Die Fritzbox beherrscht Loopback, d.h. sie merkt, dass du von intern auf deine eigene externe IP zugreifst und leitet die Anfrage über Firewall usw. in dein internes Netzwerk zurück. Du gehst also nicht wirklich "raus".
Zu 2) Ob die externe IP statisch oder dynamisch ist, ist zunächst mal egal. Bei einer statischen IP entfällt lediglich die zyklische DNS-Aktualisierung per DynDNS. Trotzdem muss der DNS-Name aufgelöst werden können und zum Zertifikat passen.

 

[the other]

Moinsen,
also, @blurrrr hat es wunderbar erklärt.
Kleine Ergänzung: ich signiere hier ausschließlich für den Heimgebracuh mit eigener CA eigene Zertifikate. Da kommt dann, sobald dem Browser die CA bekannt gegeben wurde, auch keine Warnmeldung mehr. Ist aber eigentlich (wie blurrrrr ja geschrieben hatte) Aufwand und getrickse.

Wenn du dir angewöhnst über VPN zu gehen, dann kannst du sowohl für den Zugriff darüber auf DSNote als auch im WLAN mit immer derselben IP zugreifen. Der "mal.so-und-mal-anders" Konflikt entsteht also gar nicht erst.
Ne feste IP kostet idR extra Geld, weil nur für business Kunden...

Also:
VPN Zugang einwählen, aufbauen, du bist im LAN. Dann mit der lokalen IP arbeiten im DSNote App Fenster. Eben genauso wie von der Couch.