DSM 6.x und darunter Zertifikat LAN/Internet lokal/öffentlich

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

bloodsurfer

Benutzer
Mitglied seit
09. Mrz 2017
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Hallo liebe Synology Gemeinde,

super Forum, hat mir schon einige Male weitergeholfen!
Da ich leider keine passende Antwort zu meiner Frage gefunden habe, habe ich mich mal fix angemeldet.

Es geht, wie es dem Titel schon zu entnehmen ist, um Zertifikate für die DS.
Ich habe die DS nun nicht nur für Internet sondern auch im LAN auf HTTPS umgestellt. Vorher hat alles schön funktioniert mit dem LE Zertifikat. Im Netzwerk zu Hause ist es jetzt natürlich so, dass die Fehlermeldung wegen des Zertifikats erscheint bzw. "Die Verbindung ist nicht sicher".

Jetzt natürlich die Frage, wie man das Problem beheben kann. Ohne Geld dafür ausgeben zu müssen.
Ist die Umsetzung mit einem 2. LE Zertifikat möglich wo die Domain fritz.box angegeben wird? Die im Internet lautet aktuell. xyz.myfritz.net:port oder gibt es andere Möglichkeiten.
Vielleicht könnt ihr mir Tipps geben und einen Lösungsweg aufzeigen.
Vielen Dank im voraus.

Gruß Bloody
 

Tuvok42

Benutzer
Mitglied seit
24. Jun 2013
Beiträge
170
Punkte für Reaktionen
0
Punkte
16
Ist die Umsetzung mit einem 2. LE Zertifikat möglich wo die Domain fritz.box angegeben wird?
Nein; fritz.box ist keine öffentliche Adresse (nur in privaten Netzen zulässig). Lösungsmöglichkeit: Den Rebind-Schutz in deiner Fritzbox [Schlussfolgerung wegen myfritz.net] deaktivieren und auch zuhause die Adresse xyz.myfritz.net verwenden.
 

bloodsurfer

Benutzer
Mitglied seit
09. Mrz 2017
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Vielen Dank für die schnelle Antwort, ich werde es am Wochenende mal testen.
Da fällt mir gleich eine Frage dazu ein. Wenn ich die Adresse vom Rebind Schutz ausschließe und das ganze Testen möchte, wie sehe ich ob ich jetzt lokal oder übers Internet auf die DS zugreife?
 

mbuzina

Benutzer
Mitglied seit
23. Nov 2015
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
Alternativ einen eigenen DNS server auf der Syno laufen lassen und die externe Adresse als Domain angeben. So läuft bei mir intern der Zugriff auf die Interne IP unter dem Namen meinedomain.ddnss.de (eigener DNS bindet dies an die lokale Adresse) oder Extern ebenfalls.
 

Tuvok42

Benutzer
Mitglied seit
24. Jun 2013
Beiträge
170
Punkte für Reaktionen
0
Punkte
16
wie sehe ich ob ich jetzt lokal oder übers Internet auf die DS zugreife?
Mit den Augen :D Wenn dein Eingabegerät (PC, Tablett, Smartphone) per WLAN oder LAN mit deiner FB verbunden ist: Intern. Wenn Du per Mobilfunk mit dem Internet verbunden bist: Internet.
 

mbuzina

Benutzer
Mitglied seit
23. Nov 2015
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
nslookup sagt dir welche IP gesetzt wird. Rebind Ausnahme geht auf jeden Fall nicht mit einer non-fritz DynDNS, die IP zeigt weiterhin auf das äußere Interface. Macht aber auch nicht wirklich viel, der Router (Fritz) sollte smart genug sein, sich nicht selbst über das Internet anzusprechen ;-)

Wie gesagt, eigener DNS auf der Syno erlaubt es einem dann die domain xyz.fritz.net selbst zu belegen - wenn diese DNS dann per DHCP gesetzt wird, wird im (W)LAN immer die lokale IP angesprochen, im Internet dann die externe.
 

bloodsurfer

Benutzer
Mitglied seit
09. Mrz 2017
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Mit den Augen :D Wenn dein Eingabegerät (PC, Tablett, Smartphone) per WLAN oder LAN mit deiner FB verbunden ist: Intern. Wenn Du per Mobilfunk mit dem Internet verbunden bist: Internet.

Das ist mir schon klar :D
Gut über nslookup theoretisch müsste das gehen.
 

bloodsurfer

Benutzer
Mitglied seit
09. Mrz 2017
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
nslookup sagt dir welche IP gesetzt wird. Rebind Ausnahme geht auf jeden Fall nicht mit einer non-fritz DynDNS, die IP zeigt weiterhin auf das äußere Interface. Macht aber auch nicht wirklich viel, der Router (Fritz) sollte smart genug sein, sich nicht selbst über das Internet anzusprechen ;-)

Wie gesagt, eigener DNS auf der Syno erlaubt es einem dann die domain xyz.fritz.net selbst zu belegen - wenn diese DNS dann per DHCP gesetzt wird, wird im (W)LAN immer die lokale IP angesprochen, im Internet dann die externe.


Das werde ich nochmal testen, komme wahrscheinlich erst am Wochenende dazu, liegt momentan viel an... Danke schon mal für die Info.
 

bloodsurfer

Benutzer
Mitglied seit
09. Mrz 2017
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Sooo, Leute!

Hat etwas länger gedauert... Hab jetzt den DNS Server eingerichtet und auch den DHCP Server, die DS ist jetzt auch unter xyz.domain.de erreichbar.
Jetzt wollte ich das Zertifikat erneuern und trage folgendes ein:
Domainame: domain.de
email: email@keineahnung.de
Betreff alternativer Name: xyz.domain.de; yyy.domain.de; bla@domain.de

Hab es auch mit nur einem alternativen Namen probiert.
Aber ich kriege es ums verrecken nicht hin. Die DS meckert immer:

Unbenannt.jpg

Habe aber in der FritzBox die beiden Ports freigeben...

Unbenannt1.jpg

Hat wer eine Idee? Mache ich was falsch?

Gruß
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Landet denn jeder der Domainnamen auf der DS, auch die domain.de?
 

bloodsurfer

Benutzer
Mitglied seit
09. Mrz 2017
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Nein, nur eine von den dreien und die DOmain.de geht nur von außerhalb.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Alle Namen die du in das Zertifikat einträgst müssen auch erreichbar sein auf der DS, anders geht es nicht.
Für zukünftige, oder nicht aktive Namen etc kann man keine Zertifikate anfordern.
 

bloodsurfer

Benutzer
Mitglied seit
09. Mrz 2017
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Okay, das heißt die Domain muss sowohl im LAN als auch dem Netz erreichbar sein und die anderen 3 subdomain.domain.de halt im LAN?
Wieso bringt er dann nur die Fehlermeldung, die auf das eigentliche Problem gar nicht hindeutet...

Dann funktioniert das mit dem DNS Server gar nicht so wie ich mir das vorstelle. Also das gültige Zertifikat und im LAN via https zugreifen.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Die Namen müssen ALLE von AUßEN erreichbar sein, weil von dort ja der Zugriff der LetsEncrypt Server erfolgt, die die Domainnamen prüfen.

Der DNS Server dient nur dazu, dass du AUCH von intern die Namen benutzen kannst.
 

bloodsurfer

Benutzer
Mitglied seit
09. Mrz 2017
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Alles klar, hab verstanden. Dann muss ich ggf. Meinen DDNS Anbieter wechseln.

Vielen Dank für die Infos :)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat