Toggle sidebar

Zertifikate bei ShareSync mit Offsite-NAS

F

flox1024

Benutzer
Registriert
01. März 2025
Beiträge
68
Reaktionspunkte
7
Punkte
8
Hallo zusammen,

Ich habe meine NAS DS414 auf die Offsite-DS224+ meiner Eltern via VPN-Tunnel gebackupt (siehe hier: Link zu Thread).

Nun habe ich zusätzlich einen Freigegebenen Ordner via Synology Drive ShareSync eingerichtet, auf dem wir als Familie Dokumente teilen können, ohne uns ständig gegenseitig das Email-Postfach zumüllen zu müssen. Das funktioniert auch gut soweit.

Zu meinem Problem:
Beim Einrichten kam jedoch folgende Warnung, die ich einfach mit "Ja" bestätigt habe, jedoch bzgl. Gefährdungspotential für meine Datensicherheit nicht genau einschätzen kann (Funktionieren tut ja alles):
1742914632491.png

Meine Fragen:
  1. Warum ist das SSL Zertifikat nicht vertrauenswürdig bzw. Wie kann ich es Vertrauenswürdig machen?
  2. Habe ich mir dadurch eine (gravierende) Sicherheitslücke geschaffen (mir ist bewusst, dass immer bei Portfreigaben ein gewisses Risiko besteht)

Folgende Zertifikate sehe ich auf meiner DS414 (zu der ich via ShareSync eine Verbindung aufbauen möchte):

1742918514084.png


Sonstige Angaben zu meinem Setup:
  • DS414 mit DSM 7.1.1-42962 Update 8 ("Ziel-NAS")
  • DS224+ mit DSM 7.2.2-72806 Update 3
  • Fritzbox 7690 Router

Besten Dank im Voraus für die Unterstützung!
VG
flox
 
1. Was hast Du bei Adresse des Remote-NAS angegeben (hast Du leider unkenntlich gemacht)? Eine IP-Adresse?
2. Jein, ist aber unpraktisch, da das Let‘s Encrypt-Zertifikat alle 2-3 Monate abläuft und dann bekommst du wieder eine Warnung.

Hast Du wegen der VPN-Verbindung schon auf beiden NAS’ den DDNS-Dienst von Synology eingerichtet?
 
Hallo Hagen, danke für die Antwort.
Wir hatten ja letztens schon in dem anderen Thread zur Verbindung meiner NAS mit der meiner Eltern viel Kontakt :D

  1. Als Adresse des Remote-NAS habe ich die Quickconnect-ID angegeben (ohne das ".quickconnect.to" hinten dran)
  2. Was hat es mit dem Let's Encrypt Zertifikat auf sich?
  3. Der DDNS-Dienst von Synology ist auf beiden NAS' eingerichtet, jedoch wird aktuell nur der auf meiner NAS genutzt (meine NAS hostet den VPN-Server und die NAS meiner Eltern tunnelt sich via openVPN als Client dort hin --> entsprechend habe ich in der openVPN-Datei die DDNS meiner NAS eingetragen)
Hätte ich denn einen Vorteil, wenn ich anstatt Quickconnect den DDNS-Dienst nehmen würde?
 
Also mit Quickconnect habe ich noch nicht gearbeitet, da muss ggf. jemand anderes helfen.

Nur soviel: Du hast zwei Let‘s Encrypt-Zertifikate, eines für deinen Namen bei synology.me - welches bei dir momentan als Standard markiert ist - und ein zweites für deinen Quickconnect Namen. Du kannst irgendwo einstellen, für welchen Dienst welches Zertifikat verwendet wird und müsstest für Synology Drive vermutlich das Quickconnect-Zertifikat wählen.
Letztlich verschwindet der Zertifikatsfehler erst dann, wenn du mit einem der Namen zugreifst, auf die das Zertifikat ausgestellt ist.

Ob Quickconnect so schlau ist, den VPN-Tunnel zu benutzen, kann ich dir leider nicht sagen. Letztlich kann es ja auch ohne VPN arbeiten.

Wozu hast du eigentlich das Zertifikat für synology.me angelegt? Das brauchst du doch eigentlich gar nicht, wenn du mit VPN arbeitest?
 
Zuletzt bearbeitet:
QuickConnect funktioniert nicht mit VPN, da die Verbindung über Synology eigene Server läuft, die quasi die DynDNS Funktion übernehmen.
Wenn Du VPN nutzt, verbindest Du Dich ja direkt mit Deiner Fritzbox oder dem Router. Das ganze läuft dann ja als Datentunnel direkt zum Router und von dort aus arbeitest Du ja wie internen Netzwerk zb. über IP.
 
Hallo ihr zwei, danke die Antworten:

@Benie ich habe zum Spaß auch mal die Verbindung über den VPN-Tunnel eingerichtet, klappt genauso (und ist aufgrund des geschützten Übertragungswegs wahrscheinlich die bessere Variante). Wegen dem Zertifikat meckert die NAS aber genauso rum...

@Hagen2000 wieso ich das Zertifkat habe, weiß ich nicht so genau. Habe mir vor dem Anlegen der DDNS ein paar Videos dazu anschaut und dort wurde wahrscheinlich empfohlen, den Haken zu setzen (siehe roter Marker im Screenshot unten)

Welchen Nachteil habe ich denn konkret, wenn das Zertifikat nicht vertrauenswürdig ist bzw. scheinbar nach ein paar Monaten abläuft?

1742984219713.png
 
Vertrauenswürdigkeit und Zertifikat.
Sind den Deine Anwendungen auch dem Zertifikat zugeordnet worden. -> Sicherheit - Zertifikate - aufs Zertifikat klicken - Einstellungen.
Das funktioniert bis hierher nur mit Synology Anwendungen, für Fremdanwendungen, brauchst Du ein Wildcard Zertifikat falls noch nicht erstellt.
 
Benie hat Dir ja geschrieben, wo Du die Zertifikate zuordnen kannst. Falls Du nur über VPN von außen auf dein NAS zugreifst, benötigst Du das Zertifikat für synology.me eigentlich nicht und kannst einfach das Quickconnect-Zertifikat als Standardzertifikat einstellen.
Bitte probier das doch aus und berichte, ob der Fehler damit behoben werden kann.
flox1024 schrieb:
Welchen Nachteil habe ich denn konkret, wenn das Zertifikat nicht vertrauenswürdig ist bzw. scheinbar nach ein paar Monaten abläuft?
Zum Vergrößern anklicken....
Du musst Dir einerseits die Frage stellen "Bin ich wirklich mit dem richtigen Server verbunden?" wenn Du die Ausnahme akzeptieren willst und andererseits musst Du - bzw. Mitglieder deiner Familie - das nach ein paar Monaten erneut machen, weil Let's Encrypt-Zertifikate eben nach 3 Monaten ablaufen. Die Gefahr ist, dass man sich angewöhnt, solche Warnungen einfach wegzuklicken und das sollte man im Internet keinesfalls tun.
 
Normalerweise verlängern sich LE-Zertifikate welche zu einer Synokogy DNS gehören alle 3 Monate automatisch, hierfür braucht es auch keine offene Ports oder sonstiges dazu.
 
Sorry, ich kann euch nicht wirklich folgen (mein Wissen über Zertifikate ist auch = 0)

Hagen2000 schrieb:
Du musst Dir einerseits die Frage stellen "Bin ich wirklich mit dem richtigen Server verbunden?"
Zum Vergrößern anklicken....
Hier bin ich mir sicher, dass es der Richtige Server ist, nämlich meine Box.
Verlängern muss ich das Zertifikat scheinbar nicht, wenn @Benie recht hat.

Hagen2000 schrieb:
Falls Du nur über VPN von außen auf dein NAS zugreifst, benötigst Du das Zertifikat für synology.me eigentlich nicht und kannst einfach das Quickconnect-Zertifikat als Standardzertifikat einstellen.
Zum Vergrößern anklicken....
Ich möchte beides können: Einmal über VPN und einmal über Quickconnect von außen zugreifen. Dann brauche ich auch beide Zertifikate, oder?


@Benie So sieht das aktuell bei mir aus, habe dort aber nichts händisch eingestellt.
Ich deute es so, dass Synology Drive Server (über das ja auch ShareSync läuft) das Zertifikat der DDNS zugeordnet ist. Passt das so oder ist das eher Käse?

1743002905798.png
 
Der Zugriff über VPN läuft ab der FritzBox über die IP, hierfür brauchst Du kein Zertifikat.
QuickConnect und VPN können problemlos nebeneinander genutzt werden. Für QuickConnect hat sich ja bereits Synology beim Anlegen des Zugangs quasi gekümmert und das QuickConnect Zertifikat erstellt.
Wie @Hagen2000 bereits geschrieben hat, eigentlich brauchst Du für VPN/Wireguard kein Zertifikat. Es tut aber auch nicht weh, wenn Du es hast.
Die Zuordnung des Zertifikats past soweit, aber sobalt Du mitt https://ip der synology DS auf die DS zugreifst kommt eine Warnung, da das Zertifikat bei einer IP nicht greift.
Das Zertifikat brauchst Du eigentlich nur wenn Du von Außerhalb per DynDNS auf die DS zugreifen möchtest.(Sprich dann kein VPN)

Prüfe doch mal beim Quick Connect Zertifikat ob da auch alle dienste/Anwendungen dem Zertifikat zugeordnet wurden.
 
@Benie Er hat den VPN-Tunnel über OpenVPN direkt zwischen den beiden NAS-Systemen eingerichtet, siehe Link in #1, spielt aber eigentlich keine Rolle.
flox1024 schrieb:
Verlängern muss ich das Zertifikat scheinbar nicht, wenn @Benie recht hat.
Zum Vergrößern anklicken....
Das sind zwei verschiedene Dinge: Die Verlängerung macht dein NAS automatisch. Da bei der Verlängerung aber in Wirklichkeit ein neues Zertifikat ausgestellt wird, musst Du die Ausnahme erneut bestätigen.
flox1024 schrieb:
Ich möchte beides können: Einmal über VPN und einmal über Quickconnect von außen zugreifen. Dann brauche ich auch beide Zertifikate, oder?
Zum Vergrößern anklicken....
Nein, VPN braucht kein Zertifikat, daher reicht das für Quickconnect.
flox1024 schrieb:
Passt das so ...
Zum Vergrößern anklicken....
Nein: Hier müsstest Du auch das Quickconnect-Zertifikat für den Synology Drive Server hinterlegen.
 
@Benie ist so wie Hagen meinte: Ich habe die beiden NAS direkt per VPN-Tunnel verbunden (Meine NAS hostet den VPN-Server, die NAS meiner Eltern ist der Client).
Zusätzlich habe ich natürlich auch ein Wireguard-VPN auf meine Fritzbox eingerichtet, aber das hat hiermit jetzt erstmal nichts zu tun...


Die Zertifikateliste bei Quickconnect sieht so aus:
Für mich wieder alles Bahnhof, vllt könnt ihr ja damit was anfangen :ROFLMAO:
1743006187368.png

Hagen2000 schrieb:
Nein: Hier müsstest Du auch das Quickconnect-Zertifikat für den Synology Drive Server hinterlegen.
Zum Vergrößern anklicken....
Was meinst du damit?
Ich kann beim DDNS-Zertifikat kein zusätzliches Zertifikat hinterlegen, sondern immer nur eines für jeden Dienst. Oder übersehe ich etwas?

Hagen2000 schrieb:
Das sind zwei verschiedene Dinge: Die Verlängerung macht dein NAS automatisch. Da bei der Verlängerung aber in Wirklichkeit ein neues Zertifikat ausgestellt wird, musst Du die Ausnahme erneut bestätigen
Zum Vergrößern anklicken....
Wie äußert sich das automatisch erneuerte Zertifikat dann bei mir? Geht die Synchronisation nach 3 Monaten nicht mehr oder ich muss es erneut aufsetzen?
 
Alles klar.
Ich habe jetzt das Zertifikat für Quickconnect bei Synology Drive Server hinterlegt.
Zum Verständnis: Was bringt mir das jetzt? Würde gerne verstehen warum ich das tue :D
 
Deine Anwendung arbeitet jetzt über eine Sichere Verbindung, sozusagen hier wird unmerklich der App bestätigt, daß die Verbindung nicht irgendwohin aufgebaut wurde ohne daß Du es weißt.
Wenn dem nicht so ist wirst Du eben erst gefragt ob Du die Verbindung zulassen möchtest oder nicht.
 
Das habe ich mir schon so in die Richtung gedacht.
Ich habe einige Folgefragen dazu. Zur Besseren Übersicht in einer Aufzählung:
  1. Kümmert sich die NAS jetzt automatisch um das Zertifikat im Hintergrund oder muss ich noch was manuell bestätigen (alle 3 Monate)?
  2. Wieso brauche ich das Quickconnect-Zertifikat, wenn ich die Verbindung über einen VPN-Tunnel zwischen den beiden NAS' und der lokalen IP-Adresse hergestellt habe?
  3. Wie kann der Fall eintreten, dass "die Verbindung [...]irgendwohin aufgebaut wird", wie du meintest @Benie ? Könnte ein Hacker theoretisch bei abgelaufenem Zertifikat die Zieladresse ändern?
Sorry für die ganzen Anfängerfragen, aber ich würde wirklcih gern mehr verstehen dazu und komme beim Lesen alleine irgendwie auf keinen grünen Zweig...
 
Nein, Du mußt Dich um das Zertifikat normalerweise nicht mehr kümmern, nachdem das Zertifikat nach 3 Monaten verlängert wurde, mußt Du es nur wieder in den entsprechenden Anwendungen bestätigen.
Ob Du das Zertifikat trotz VPN Tunnel benötigst, kommt darauf an wie Du Dich mit dem zweiten NAS verbunden hast, zb. IP oder DNS, QuickConnect.
Ich zb. verwende extern und intern DNS, deshalb brauche ich zb. auch intern ein Zertifikat, trotz VPN.
DIe DS baut grundsätzlich schon die richtige Verbindung auf, aber es könnte sein, daß die Verbindung abgefangen wird, durch das Zertifikat wird bestätigt, daß dem nicht so ist und Du zur richtigen Stelle verbunden bist. Siehe Fehlermeldung im Post#1

Warum dort diese Unsicherheitswarnung kam, kann ich jetzt so nicht sagen, da ich nicht weiß wie und mit was DU Dich zu welcher App verbunden hast.
 
  1. Wie sieht so eine Bestätigung konkret aus? Kommt dann ein Pop-Up-Fenster, wenn ich mich auf der DSM-Oberfläche einwähle?
  2. Ich habe mich via IP-Adresse verbunden, darum dachte ich (ohne es zu wissen), dass ich kein Zertifikat brauche
  3. Verstanden.
  4. Weitere Frage: Ich habe eine DDNS über Synology erstellt. Dadurch wird meine dynamische IP zu einem "Namen", nämlich XXX.synology.me gematcht. Wenn ich nun den "Namen" XXX.synology.me in meinen Browser eingebe, kommt eine Fehlermeldung (siehe Screenshot) und ich kann mich nicht verbinden. Müsste da nicht eigentlich das Anmeldefenster zur DS erscheinen? Oder verstehe ich das falsch?
1743017519522.png
 
1. Nein, es kommt keine bestätigung, nur wenn etwas nicht stimmt kommt die Nachfrage, genau solche Dinge will man ja dabei auch vermeiden.
2. Wenn eine Verbindung via VPN/Wireguard steht, braucht man normalerweise kein Zertifikat, solange man sich mit http://192....IP der Gegenstelle/Anwendung verbindet
3. Ds würde nur funktionieren, insofern ich mich jetzt nicht ganz täusche, wenn Deine DNS auf die interne IP auf der DS aufgelöst wird. (So mache ich das, aber das ist wieder ein anderes Thema.
 

Additional post fields

Synology Driver Server Installation
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten