Zertifikate für Webseiten auf der NAS

[Digidiver]

Hallo zusammen, bin bei meiner Suche nach einer Lösung auf diesen Beitrag gestoßen. Ich habe genau das gleiche Problem und weiss nicht weiter. Zu meinem Aufbau.

Feste IP --> Fritzbox 7590 (weiterleitung aller Ports auf FirewallRouter) --> FirewallRouter (direkte weiterleitung Port 80/443 auf NAS)

Ich hatte vorher einen Webserver im Internet und werde diesen aus Kostengründen abschaffen. Da ich gerne meine Internetseiten weiter betreiben möchte, habe ich mir überlegt, dies direkt über meine NAS zu tun. Das sollte meine NAS auch packen: DS3622xs+. Ich hab mir nun zu dem Zweck von meinem Internet Provider eine feste IP geben lassen. Dann habe ich über die Webstation die erste Domain eingerichtet und über den Zertifikat's-Dienst von Letsencrypt ein Zertifikat zuweisen lassen. Alles super.

Jetzt habe ich noch zwei weitere Domains mit aufgenommen und diese in der Web Station eingebunden sowohl mit Domain.xx als auch www.domain.xx.
Beim Domain Hoster wurden die Weiterleitungen sowohl für Domain.xx als auch für www.domain.xx eingetragen.
Der Zugriff per https://domain.xx wie auch https://www.domain.xx funktioniert, auch wenn ein Zert Fehler angezeigt wird (nur bei den beiden letzten Domains. Die erste läuft).

Leider funktioniert die automatische Weiterleitung von HTTP auf HTTPS nur bei der ersten Domain mit Zertifikat. Wenn ich nun versuche ein Zertifikat über den Synology Dienst zu beantragen, bekomme ich immer den Fehler:
"Kontrollieren Sie, ob IP-Adresse, Reverse Proxy-Regeln und Firewall-Einstellungen korrekt konfiguriert sind, und versuchen sie es erneut."

Firewall in der NAS ist deaktiviert. Reverse Proxy kann nicht eingetragen werden (Domain ist bereits vorhanden).

Nun habe ich versucht, über meinen Domain Hoster ein Zertifikat für die zweite Domain zu bestellen. Das hat auch soweit geklappt, dieses habe ich nun unter SIcherheit --> Zertifikate eingebunden. Leider ohne Erfolg. Das Zertifikat ist hinterlegt jedoch wenn ich die Domain aufrufe, wird nur das unsichere Synology Zert angezeigt. DIe Zuordnung zur Domain in der Systemeinstellung wurde gemacht.

Was kann ich noch tun?

VG Digidiver

 

[EDvonSchleck]

Bei welchem Domain-Provider bist du denn? Sind alles Domains bei dem Gleichen?
Ich würde es nicht so realisieren, dann hast du alle 3 Monate das Problem mit der Verlängerung und wenn du es vergisst, kommt wieder die Fehlermeldung.

Weiterhin ist du Frage wie du deinen Webseiten getrennt hast über den Reverse Proxy oder Virtual Host?
Funktionieren die Aufrufe im internen Netz?
Soll ausschließlich eine HTTPS Verbindung genutzt werden, kannst du den Port 80 auch schließen.

 

[its]

Bei welchem Domain-Provider bist du denn? Sind alles Domains bei dem Gleichen?

Würde mich auch Interessieren.

Beim Domain Hoster wurden die Weiterleitungen sowohl für Domain.xx als auch für www.domain.xx eingetragen.

Was genau hast du beim Domain Hoster (wie) eingetragen!

 

[luha68]

@EDvonSchleck - Wie sieht denn eine bessere Vorgehensweise aus? Ich möchte gerne für WordPress eine eigene Domain nutzen und am liebsten eine weitere für eine NextCloud-Lösung auf meiner DS220+ realisieren, finde aber quasi nur alte Anleitungen und komme nicht wirklich weiter. Die Domains liegen bei Strato bzw. würde ich diese entsprechend und ausschließlich dafür anlegen.

Vielen Dank für einen guten Tipp!

 

[EDvonSchleck]

Kein Problem: hier ein Beispiel für Strato, wie ich es machen würde und bereits gemacht habe. Das ist wirklich problemlos einzurichten und danach wartungsfrei, mit automatischen Updates. Du deckst alles Subdomains mit ein Wildcartzertifikat ab und brauchst nichts beantragen, wenn du eine weitere Subdomain hinzufügst.

Mit Domains meinst du richtige Domains oder Subdomains? Beides ist kein Problem, würde es jedoch auch eine Subdomain laufen lassen wegen Wildcard.

Die Anwendungen kannst du am besten in Docker laufen lassen und den Reverse Proxy für die Verbindung nutzen.

 

[luha68]

Ich denke, ich folge Deinem Vorschlag und richte einfach xxx.zzz.de und yyy.zzz.de ein. Macht ja Sinn, allein schon wegen der Zertifikate. Mit Docker habe ich absolut NULL Erfahrung. Da müsste ich wirklich komplett neu einsteigen - ist das empfehlenswert für jemanden mit 6 Beiträgen hier im Forum?

 

[EDvonSchleck]

Na ja du kannst dich auch mit veralteter Software von Synology begnügen. Von Community-Pakte und Server halte ich nicht viel. Die werden noch schlechter gewartet und können ein Sicherheitsrisiko sein.

Ob du das machen willst, hängt ja von dir, deinen Wissensstand und Fähigkeiten ab. Manchmal ist es besser einfach dafür zu bezahlen oder man kämpft sich einfach durch. Das haben viele hier schon im Forum getan. Auch als Hobby-Admin muss man etwas tun.

Hast du die Domains schon im Besitz oder willst du sie neu anlegen?

 

[luha68]

Na, ich will mich da auf jeden Fall durchkämpfen, sonst wäre ich nicht hier! Ich hab die Domains, kann aber auch beliebig weitere anlegen - das Strato-Paket gibt es her. Gibt es weitere Optionen?

Ich muss die auf dem NAS liegenden Daten nicht wie Fort Knox verbarrikadieren, es geht eigentlich nur um ein wenig Hobbybastelei. Die Daten liegen in erster Hand in iCloud, als 2. Sicherung auf einem lokalen Monument Drive. Jetzt auch bereits die gesamte iCloud Fotos Sammlung (1.3 TB) auf der 220+. Also, es geht voran. Mach ich was falsch, verliere ich nicht viel. Aber ich möchte es können!

 

[EDvonSchleck]

Denn sollte ja nicht viel passieren. Natürlich kannst du auch erst mit den Synology Paketen anfangen. In dem Thread findest du eine Anleitung, wie du weiter kommst. Damit sind die Domains sehr schnell eingerichtet. Die Frage ist eher, ob du es über 2 Domains machen willst oder lieber über Subdomains. Mit Subdomains ist es einfacher unterschiedliche Anwendungen zu adressieren, weil sich nur der vordere Teil einer Domain ändert, unabhängig, ob du mehrere Adressen in deinem Vertrag hast.

 

[luha68]

Ich schaue mir das morgen - ausgeschlafen - an und bastle mal rum. Ich komme sicher wieder auf Dich zu, wenn Du erlaubst Für jetzt mal vielen Dank für die Einstiegshilfe!

 

[Digidiver]

Hallo zusammen, danke schon mal für das rege Interesse an diesem Thema.

Bei welchem Domain-Provider bist du denn? Sind alles Domains bei dem Gleichen?

Ich bin bei Hosteurope.

Ich habe hier schon vorab rumgespielt und das ganze zu Anfang mit CNAME und DYNDNS Account realisiert und dies in der Syn mit Reverse Proxy realisiert.
Da ich jedoch mehrere Domains nutzen wollte, war der einfachere Weg, feste IP und die "A" Einträge beim Provider zu nutzen. Bei der ersten Domain hat das ganze auch reibungslos funktioniert. Erst nach erfolgreichem Test, habe ich die beiden anderen Domains mit umgezogen.

Was genau hast du beim Domain Hoster (wie) eingetragen!

Ich habe jeweils einen "A" Eintrag für Domain.xx und für supDomain www.domain.xx gemacht. Auf beiden die IP eingetragen. Mehr nicht.

Wie gesagt, alle drei Domain verweisen nun auf die feste IP. Da ich die erste Domain zum Test eingerichtet hatte, hier alles reibungslos funktioniert hat, habe ich im Anschluss die beiden anderen gemacht. Hier habe ich nun das Problem, dass irgendetwas mit der Zuordnung nicht ganz klappt.

Weiterhin ist du Frage wie du deinen Webseiten getrennt hast über den Reverse Proxy oder Virtual Host?
Funktionieren die Aufrufe im internen Netz?

Da ich die A Einträge direkt gemacht habe, habe ich es nur über den virtuelle Host gelöst, schien mir der einfachste Weg.
Habe aber bei der Problemlösung schon versucht den reverse Proxy nachträglich einzurichten. Dies scheint jetzt aber nicht mehr zu funktionieren.

Danke und viele Grüße

 

[its]

Was bekommst du als Antwort, wenn du über die "Eingabeanforderung" (CMD) einen Ping an deine Domains sendest?

 

[EDvonSchleck]

Gib in der Eingabeaufforstung nslookup deinedomain.deein.Was bekommst du dort als Ausgabe? Bei den anderen beiden Domains die gleiche IP? Die IP stimmt mit deiner externen überein?

 

[Digidiver]

Was bekommst du als Antwort, wenn du über die "Eingabeanforderung" (CMD) einen Ping an deine Domains sendest?

Hi Its, über all das gleiche. Erreichbar unter der Festen IP.

Gib in der Eingabeaufforstung nslookup deinedomain.deein.Was bekommst du dort als Ausgabe? Bei den anderen beiden Domains die gleiche IP? Die IP stimmt mit deiner externen überein?

Hallo EDvonSchleck, hier der Text vom NSLOOKUP:
aus dem lokalen Netz kommt die IP der NAS.

Dann habe ich das ganze nochmals über eine VPN Verbindung getestet.

C:\Users\Thomas>nslookup domain.xx
Server: UnKnown
Address: 103.86.96.100

Nicht autorisierende Antwort:
Name: domain.xx
Address: Feste IP vom ISP

 

[EDvonSchleck]

Somit funktioniert alles, bis auf die Zertifikate. Auch wird die richtige IP angesprochen und an der DS sowie den richtigen Eintrag/Domain weitergeleitet.

Du nutzt ja den Reverse Proxy. Warum nicht den Virtual Host? Die einzelnen Domains das jeweilige Zertifikat zugeteilt?
Systemsteuerung > Sicherheit > Zertifikat > Einstellungen > Konfigurieren.

 

[Digidiver]

Du nutzt ja den Reverse Proxy. Warum nicht den Virtual Host? Die einzelnen Domains das jeweilige Zertifikat zugeteilt?
Systemsteuerung > Sicherheit > Zertifikat > Einstellungen > Konfigurieren.

Hi EDvonSchleck, nein ich habe zu Beginn den ReverseProxy genutzt, dann aber durch die Feste IP nur noch Virtuelle Hosts genommen. HIer habe ich für jede Domain zwei Stück mit verweis auf den jeweiligen Speicher eingestellt.

DomainA.xx >> VOL1\WEB\DomainA
www.DomainA.xx >> VOL1\WEB\DomainA
DomainB.xx >> VOL1\WEB\DomainB
www.DomainB.xx >> VOL1\WEB\DomainB
DomainC.xx >> VOL1\WEB\DomainC
www.DomainC.xx >> VOL1\WEB\DomainC

 

[EDvonSchleck]

Hast du jeder Domain auch das entsprechende Zertifikat zugewiesen? Und warum braucht man eine feste IP dafür?

 

[Digidiver]

Hast du jeder Domain auch das entsprechende Zertifikat zugewiesen? Und warum braucht man eine feste IP dafür?

Zu 1 Ja. Zu 2 Naja, is denke ich einfacher.

 

[EDvonSchleck]

1. Hast du die Einträge im Virtual Host einmal erneuert? Den Reverse Proxy hattest du vorher gelöscht?
2. Ob du eine IP oder eine DynDNS eingibst ist egal. Vorteil dabei du hättest acme.sh nutzen können für die automatische Zertifikatsverlängerung und Wildcard.

 

[Digidiver]

Hast du die Einträge im Virtual Host einmal erneuert? Den Reverse Proxy hattest du vorher gelöscht?

Ja, ich hab se geöffnet und neu geschrieben. Reicht das? Oder muss ich löschen und neu machen?