Zertifikate, Https.. Domain..

[bernd_]

Hallo zusammen,

Ich habe eine eigene Domain bei einem Provider,
diese leite ich auf meine DS213+ weiter und pflege darauf eine kleine eigene Webseite.

Die DS ist über Quickconnect und die Website entweder über den domainame.de oder über xxx..myds.me (auf DS konfiguriert) erreichbar oder auch
über yyyy.dnshome.de.. auf der Friitzbox konfiguriert als Dyndns und Weiterleitung Port 80 auf die DS.

Ich möchte nun aber auf meine Domain und oder die DS Funktionen wie DS Foto usw über https zugreifen können.
Sollte ich dann nach dieser Anleitung vorgehen?

https://www.synology.com/de-de/know...tificate_signing_request_on_your_Synology_NAS

Hier ist die Rede von einer Domain... ist das die Domain die beim Provider gehostet ist?
Was ist sonst noch zu beachten?
Mit welchen Zertifikatsstellen habt Ihr positive Erfahrungen gemacht?

Danke für Tips!

 

[Fusion]

Unter Systemsteuerung > Sicherheit > Zertifikat kannst du einfach neue Lets Encrypt Zertifikate erstellen.
Einzig musst du dafür sorgen, dass deine DS via 80/443 erreichbar ist und dass dort auf die Domains die du im Zertifikat angibst jemand antwortet.

 

[bernd_]

Über Quickconnect wird schon via https zugegriffen.
wenn ich
Systemsteuerung > Sicherheit > Zertifikat
aufrufe..
dort auf hinzufügen / neues Zertifikat / Zertifikat von Lets encrypt abrufen clicke..
dann werde ich nach einer Domain gefragt, welchen Namen muss ich da eingeben?
Die die ich beim Provider hoste und weiterleite auf meine DS, auf die der Apache der DS dann mit seiner von mir programmierten Webseite antwortet..einen anderen Domainname gibt es ja nicht oder?
oder den dyndnsname der Fritzbox oder der DS?
..und als Beschreibung irgendwas eingeben zum Bsp Lets ecrypt 1?

 

[Fusion]

Beschreibung steht dir völlig frei, deshalb ist es ja eine Beschreibung. Kannst auch leer lassen.
Bei Domainnamen und alternativen Namen müssen die Namen rein, die via 80/443 auf der DS landen und erreichbar sind. Du kannst aber auch nur eine eintragen wenn du willst.

 

[HabNeFritzbox]

Quickconnect ist nur für DS Apps, ein ein Zugriff per https kann damit nicht erfolgen, dazu musste im Router entsprechende Portfreigabe machen.

Man kann eigene Domain verwenden welche dann DDNS übernimmt für dynamische IP, oder verwendet halt von nem DDNS Anbieter dessen Hostname, da weiß ich aber nicht ob Lets Encrypt damit funktioniert.

 

[Fusion]

Auch bei Quickconnect gibt es SSL Transportverschlüsselung (aber nicht End-to-End) und auch Zugriff via Browser ist möglich, nicht nur DS Apps (damit sind die mobilen Apps bezeichnet). Aber evntuell meinst du damit ja auch sowohl die Mobilen Apps als auch die entsprechende Webanwendung xxxx Station.

http://global.download.synology.com...tePaper/Synology_QuickConnect_White_Paper.pdf

 

[HabNeFritzbox]

Ok der Punkt ist mir neu, bin von ausgegangen geht wirklich nur mit den Apps und gibt ne ID ein, womit Portfreigaben dann wegen dem Relay übergangen werden um erreichbar zu sein.

 

[bernd_]

hmm wenn ich das procedere durchgehe und Zertifikat von Letsencrypt abrufen will und domainname.de nehme und email bernd@domainname.de
und alternativer domainname freilasse ... kommt eine Fehlermeldung..
..versuchen sie es später noch einmal..nochmals im dsm anmelden..?

Muss ich denn für die Anwendungen unter Systemsteuerung\Anwendungsportal\Anwendung\Bearbeiten auch etwas konfigurieren?
Ich würde gerne über die Android Apps auch via https auf die DS zugreifen...

 

[HabNeFritzbox]

Meldung kommt fälschlicherweise dann wenn DS über die genannte Domain nicht auf Port 80/443 (http/https) erreichbar ist.

 

[bernd_]

https TCP 443 DiskStation 443
HTTP-Server TCP 80 DiskStation 80

sagt die Fritzbox... bzgl Portweiterleitung...

 

[Thonav]

Firewall an? Sonst mal ausschalten für das Zertifikat.

 

[HabNeFritzbox]

Die Domain verweist auch auf die IP deiner FB?

 

[chrisuth]

Bei mir ist es identisch. Setdem die DSM 6 da ist habe ich gleich Let´s encrypt Zertifikate, mehrfach wurden die automatisch verlängert. Nun werden die nicht erneuert und auch über das Zertifakat Tool kommt die Meldung: "Keine Rückmeldung von Zielserver, bitte versuchen Sie es später erneut." Zielserver ist meine DS213+?

 

[HabNeFritzbox]

Bei mir ist Problem nicht. Lets Encrypt kam doch erst mit DSM 6, daher korrekt dass es vorher keine Probleme gab weil nicht möglich war.

Auch mit 6.1 keine Probleme. Prüft eure Erreichbarkeit der Domains, besonders bei IPv6 dass nicht IP vom Router angegeben ist, weil der ggf. sich um DDNS kümmert.

Sonst mal in /var/log/messages schauen ob da was steht an Fehler.

 

[bernd_]

Genau das war ja aber auch eine meiner Fragen..
welchen Domainname muss ich angeben, den den die ich beim externen Provider gekauft habe und auf die DS weiterleite oder den DyndnsName der in der Fritzbox hinterlegt ist oder in der der in der DS konfiguriert ist? Welchen Denkfehler mache ich da?
Danke für Tips!

DNS heisst ja Namensauflösung auf IP Adresse...

 

[HabNeFritzbox]

Domain beim Anbieter muss DDNS können oder CNAME auf die DS. Http Weiterleitung wird nicht gehen.

Es ist ein Hostname anzugeben welcher auf DS zeigt mit IP. Ob es Domain oder DDNS wie no-ip, myfritz oder so ist, ist irrelevant.

 

[bernd_]

..beim Provider konnte ich weiterleiten auf dyndnsname.ddns.net eintragen und die Weiterleitung funktioniert.
Das Zertifikat von Letsencrypt bekomme ich auch jetzt wenn ich bei der Beantragung diese dyndns Adresse eingebe..

Verbinden über DS Audio und DS Video über https kann ich aber nur wenn ich im lokalen Netz bin und die lokale IP der DS angebe und den Haken https setze + Passwort.
Weitherin sehe ich bei DS Video keine Videos obwohl welche in \video hinterlegt sind..

 

[bernd_]

Hat noch jemand eine Idee woran dies liegen könnte?

Verbinden über DS Audio und DS Video über https kann ich aber nur wenn ich im lokalen Netz bin und die lokale IP der DS angebe und den Haken https setze + Passwort.
Weitherin sehe ich bei DS Video keine Videos obwohl welche in \video hinterlegt sind.. -->> Wo muss ich hier auf der DS in welchem Pfad die Videos hinterlegen?
Oder ist es ein Berechtigungsproblem?

 

[Thonav]

Hast eine Benachrichtigung (oben rechts), Bernd.

 

[Fusion]

Was ist denn der aktuelle Stand deiner Einstellungen?
Welche Portweiterleitungen im Router?
Welche Einstellungen in der Systemsteuerung unter
- Netzwerk
- Netzwerk > DSM Einstellungen
- Externer Zugriff > Erweitert
- Anwendungsportal

Die DS Apps gehen stillschweigend davon aus, dass sie auf Port 5001 verbinden können. Wenn man das im Anwendungsportal durch eine benutzerdefinierte Domain auf Port 443 oder durch Eingaben unter Externer Zugriff > Erweitert https Port explizit selbst auf einen anderen Port gelegt hat, dann muss man diesen Port auch in den DS Apps angeben.
Also z.B. dynDNS.ddns.net:443 und Haken bei https, oder dynDNS.ddns.net:54321 und Haken bei https