Zertifikaterneuerung über einen anderen Port als 80/443

[questo]

Hallo zusammen,

(Ich hoffe bin hier am richtigen Ort - betrifft nur den Zugriff auf das Webinterface bzw. File Station übers Web)
eine DS920+ befindet sich bei uns im Unternehmen, worauf nun immer mehr Nutzer nur noch übers Web statt über OpenVPN darauf zugreifen können/dürfen/müssen. SSL läuft dafür nun soweit.

Für die Reaktivierung des SSL-Zertifikats scheint es jeweils nötig zu sein, die Ports 443 und 80 nach aussen freizugeben. Mir ist eher unwohl dabei, die beiden Ports so nach draussen freizugeben, den eigenen Port kann ich scheinbar nicht in DSM/Let's Encrypt eingeben. Gibt es eine Möglichkeit, dies elegant zu realisieren, ohne dass ich die Ports alle drei Monate manuell freigeben muss? Die Domain selbst beim Webhoster einrichten und eine Subdomain auf dem NAS verwenden? Würde sowas funktionieren?

Vielen Dank.

 

[ottosykora]

ev einen richtigen Zertifikat beschaffen, der gilt dann 1 Jahr

 

[Gulliver]

Hab es über den Aufgabenplaner mit einem Script gelöst, welches zum 1. bzw. 15. jeden Monats die Firewall deaktiviert, das Zertifikat erneuert (falls erforderlich) und die Firewall wieder aktiviert. Hierzu muss man es zweimal anlegen - zum 1. und zum 15.
(Schöner wäre es, nur eine Firewall-Regel bzgl 80 und 443 zu schalten - aber da muss ich passen.)

Systemsteuerung > Aufgabenplaner > Erstellen > Geplante Aufgabe > Benutzerdefiniertes Script

Reiter Allgemein:
- Vorgang: Zertifikat erneuern
- Benutzer: root

Reiter Zeitplan:
- Am folgenden Datum ausführen: 1.02.2022 und monatlich wiederholen (bzw. 15.02.2022 im zweiten Script)
- Ausführungszeit frei wählen, Frequenz jeden Tag, letzte Ausführungszeit wie erste

Reiter Aufgabeneinstellungen:
- Details per mail senden (hab ich eingeschaltet), nicht nur bei fehlerhafter Ausführung
- Befehl ausführen:
synofirewall --disable
/usr/syno/sbin/syno-letsencrypt renew-all -v
synofirewall --enable

 

[questo]

Hab es über den Aufgabenplaner mit einem Script gelöst, welches zum 1. bzw. 15. jeden Monats die Firewall deaktiviert, das Zertifikat erneuert (falls erforderlich) und die Firewall wieder aktiviert. Hierzu muss man es zweimal anlegen - zum 1. und zum 15.
(Schöner wäre es, nur eine Firewall-Regel bzgl 80 und 443 zu schalten - aber da muss ich passen.)

Das hört sich gut an, danke dir!
Auf dem Router lässt du die beiden Ports also dauerhaft offen und leitest sie weiter zur Synology?
Mit aktiver Firewall welche die beiden Ports zumacht (geht übrigens unter Sicherheit, man kann die beiden Ports angeben) erhalte ich dann einen Error 504, soweit so gut.
Wenn ich dann example.com ohne Ports und ohne aktive Firewall aufrufe, leitet meine Synology mich standardmässig auf example.com:5000 weiter, den ich ja grundsätzlich nicht freigebe, und erhalte dann dort einen error 502. Klar, von intern ist das NAS über 5000 erreichbar, extern natürlich nicht. Wie hast du das gelöst?

Port 5000/5001 auch weiterleiten via Firewall blockieren macht irgendwie nicht so viel Sinn, dann kann ich meinen selbstdefinierten externen Port, den ich ja im Router auf 5001 weiterleite, auch nicht nutzen.

Hier: https://carlotti.ch/2020/06/synology-zertifikate-teil-1-lets-encrypt-mit-dns-01/ habe ich noch eine Anleitung gefunden wie man die Let's Encrypt über die DNS-Authentifizierung nutzen kann, eventuell probiere ich das noch mal aus.

 

[Gulliver]

Kann jetzt nicht folgen.
In den vorgeschalteten Routern ist hier tatsächlich nur eine Weiterleitung definiert, nämlich der durchgereichte Port zu einem RPi im LAN zwecks VPN.

Wenn die DS 'raustelefoniert' zu den LE-Servern, macht sie ja die Verbindung durch die Routerkaskade auf. Eine primäre Anfrage von draussen braucht nicht durch kommen.

 

[questo]

Ich dachte das NAS muss von aussen über Ports 80 und 443 erreichbar sein für Let's Encrypt? Konnte das Zertifikat ja auch erst anfordern als ich die beiden Ports freigab, steht auch so in besagtem Link

 

[Gulliver]

In der DS-Firewall müssen sie geöffnet sein (ich glaube, einer würde sogar reichen). Habe das Script gerade mal manuell angestossen: Schliesst ab ohne Fehlermeldung

 

[questo]

Tut mir Leid, ich kann nicht ganz folgen:
Müssen Port 80 und 443 nicht geöffnet sein für die Let's Encrypt Verifizierung? Das ist ja das ursprüngliche Problem - die sind bei dir dauerhaft zu?
Was hast du für Firewalleinstellungen, wenn du die Firewall dann jeweils deaktivieren musst?
Ich glaube, die einfachste Lösung wäre tatsächlich ein richtiges SSL Zertifikat, gibts ja mittlerweile für 10€...

 

[Benares]

Die Ports 80 und 443 müssen natürlich im Router zur DS weitergeleitet werden, Zusätzlich muss aber auch die Firewall in der DS dafür offen sein.
So wie ich es verstehe sind bei @Gulliver die Weiterleitung permanent aktiv, die Firewall steuert er per Script temporär.

 

[Gulliver]

Die Ports 80 und 443 müssen natürlich im Router zur DS weitergeleitet werden

Ich habe mein Doppel-NAT gerade neu aufgesetzt und weiß daher sicher, dass es keine Weiterleitung der Ports gibt. Hab meine öffentliche IP von außen angefragt und es geht keiner ran. Probeweise habe ich dann mal die Firewall aktiviert gelassen und manuell eine Zertifikatserneuerung ausgeführt: Hat geklappt.

Im Forum bin ich fündig geworden bei @Fusion, der hier schreibt:

Für synology.me kommt aktuell dns-01 zum Einsatz. Validierung also über das DNS System bei Synology. Dafür muss überhaupt kein Port offen sein. Hier werden auch Wildcard Zertifikate unterstützt.

Ich habe tatsächlich ein DDNS über synology.me und auch vor einiger Zeit alle Zertifikate gelöscht und ein Wildcard-Zertifikat von LE geholt.
Möglicherweise liegt es daran, dass es so unproblematisch funktioniert.

Das Ausschalten der Firewall habe ich jetzt mal auskommentiert und werde sehen, ob es dann am 1. April klappt...

 

[Fusion]

Kann sich auch jeder selbst davon überzeugen, oder analysieren, wenn man den Aufruf auf der Konsole tätigt (die absolute Pfadangabe in eckigen Klammern ist normal nicht nötig, schadet aber auch nicht.
[/usr/syno/sbin/]syno-letsencrypt renew-all -vv
oder per Aufgabenplaner als benutzerdefiniertes Script. Wenn das Logging für Scripte eingeschaltet ist findet man die Ausgabe dort. Andernfalls den Aufruf abwandeln und die Ausgabe umleiten (angepasst auf die eigenen Volume und Ordner-Strukturen.
[/usr/syno/sbin/]syno-letsencrypt renew-all -vv >> /volume1/FreigegebenerOrdner/cert_renewal.txt

Oft ist entscheidend seit wann die Zertifikate existieren auf der Syno. Wenn sie z.B. älter sind (oder auf eigene Domains lauten) und noch via http-01 (eingehend Port 80, ausgehend Port 443) ausgestellt sind wird er eventuell nur nach Löschen und Neu-Anlagen das Schema wechseln.
Und dns-01 wird der eingebaute certbot eh nur für synology.me Adressen nehmen.
Will man hier flexibler sein bleibt einem nur der Griff zu acme.sh oder anderen Clients.
Da kann man das ganze Arsenal wie dns-01 oder Wildcards (für beliebige Domains) benutzen und ebenfalls ohne Portfreigaben Zertifikate holen. Oder auch über Dritt-Domains (challenge-alias und/oder domain-alias) Zertifikate holen, wenn der gewünschte Hoster z.B. keine direkte automatische Manipulation seines DNS-Systems erlaubt.
Für interne Netze macht das natürlich nur Sinn, wenn man auch lokale DNS Server betreibt und man die Hosts dann schön mit https und Zertifikat aufrufen kann, auch wenn diese niemals aus dem öffentlichen Internet erreichbar sind.