Zertitfikatswarnung Chat Client im lokalen Netzwerk ausschalten

[AdoGoldKante]

Seit neuestem (seit letztem Update?) erscheint ein kleines Fenster beim Start des Clients, ob man dem ungültigen Zertifikat vertrauen würde. Das hemmt den Workflow (benutze den Client in meiner Praxis) immens, weil die Damen das gar nicht registrieren, ergo Arbeitsplatz nicht erreichbar.
Das Zertifikat ist natürlich von Let's Encrypt für die DDNS Adresse ausgestellt. Zum Login gebe ich aber die lokale IP ein. Ich habe in der Hosts-Datei von Windows sogar die Zeile

<lokale IP> meineDomain.synology.me

eingefügt, was nichts bringt. Bei dem Versuch, die DDNS für den Login des Chat Clients zu verwenden, schlägt die Verbindung fehl. Dazu müsste ich wohl den Port wissen, den ich im Router frei geben müsste (TCP?).
Hat jemand eine bessere Idee?

 

[mayo007]

HTTP verwenden wenn es im lokalen Netzwerk ist

 

[AdoGoldKante]

Der Fehler kommt trotzdem. Ich muss die Portnummer (für DSM-Login) dahinter hängen. Die habe ich vom Standardwert geändert.

 

[AdoGoldKante]

Halt! Jetzt habe ich in den Einstellungen für DSM Zugang die Automatische Weiterleitung HTTP zu HTTPS abgestellt. Keine Fehlermeldung mehr.

 

[tproko]

lokale IP ein

Abgesehen davon, dass es ja jetzt via http klappt. (Was ich für schlecht befinde…)

Du musst im Browser natürlich die Domain angeben, und in der Host datei die lokale IP stehen haben, damit du im Browser keine Warnung bekommst.
Mit ip wird die nie weg gehen.

Optional statt dem host eintrag kannst du evt. ja auch deinem dns einstellen, dass er meinedomain intern mit lokaler IP retourniert.

 

[tproko]

HTTP verwenden wenn es im lokalen Netzwerk

Bei einem Mehrbenutzer NAS, anscheinend Arztpraxis etc.?, und einem Chat, wo seine Angestellten auch mit drauf gehen… ?

Seine Damen werden dann sicher noch überall das gleiche PW nutzen, also sicher praktisch, da alles über http zu haben wenn dann mal der IT Praktikant im Sommer kommt und mitliest ??

 

[AdoGoldKante]

Da kann ich jetzt nicht ganz folgen.
Wozu brauch ich beim Chat Client in einem lokalen Netzwerk SSL/TLS. HTTP ist doch in Ordnung. Es geht nur um die Datensicherheit nach außen. Das ist der einzige Haken. Schön wäre, die NAS Login-Seite wäre nur über https erreichbar. Letztlich kann ich mir auch überlegen, ob ich den externen Zugriff von jenseits des Routers ganz kappe, denn wenn ich via VPN/Fernzugriff auf meinen Server gehe, könnte ich von dort in den DSM.

 

[AdoGoldKante]

Passwort ist nicht überall gleich. Jeder Arbeitsplatz hat sein eigenes Nutzerkonto im NAS.

 

[AdoGoldKante]

<lokale IP> meineDomain.synology.me

Also genau anders herum in die hostsdatei eintragen?

Du musst im Browser natürlich die Domain angeben, und in der Host datei die lokale IP stehen haben, damit du im Browser keine Warnung bekommst.
Mit ip wird die nie weg gehen.

 

[tproko]

Jeder Arbeitsplatz hat sein eigenes Nutzerkonto im NAS.

Ja eigener Benutzer und eigenes Passwort.
Und dann ist plain http für mich einfach keine vernünftige Option. Auch nicht im lan.

Ich verwende wenig Windows und keine windows host Datei dort. Musst du selber recherchieren.
(Bei mir läuft für sowas ein eigener DNS server).

Im Endeffekt brauchst du einen Hosteintrag, der deine Domain auf die IP mapped. Und im Browser dann via Domain (die der Lets encrypt domain entspricht) die Seite aufrufen.

 

[ChiliApple]

Verwende auch DNS dafür, mittlerweile zwar im RC2600, hatte aber davor auf der DS einen laufen.
Für diesen Einsatzzweck ist die Konfiguration sehr überschaubar.
Außerdem kannst du mit der Lease Zeit der Auflösung die Geschwindigkeit bei der Auflösung für die Clients etwas erhöhen.
Also die Auflösung nach „draußen“ einstellen und dann A Zonen Einträge mit der Domain und der IP auf die DS …

bG

 

[AdoGoldKante]

Verwende auch DNS dafür, mittlerweile zwar im RC2600, hatte aber davor auf der DS einen laufen.
Für diesen Einsatzzweck ist die Konfiguration sehr überschaubar.
Außerdem kannst du mit der Lease Zeit der Auflösung die Geschwindigkeit bei der Auflösung für die Clients etwas erhöhen.
Also die Auflösung nach „draußen“ einstellen und dann A Zonen Einträge mit der Domain und der IP auf die DS …

bG

Ich verstehe nur Bahnhof...

 

[tproko]

Nachdem es hier ja um dein (?) Geschäft bzw. deine Praxis geht?
Evt. mal jemanden externen involvieren und da drüber sehen lassen.

Ist gar nicht böse gemeint. Bin selber nur Privatanwender, aber grundsätzlich fehlt hier einfach doch etwas das Wissen (wenn du Arzt oder sonst was bist, hast du ja auch genug anderes Wissen im Kopf rumschwirren, und logisch kann man sich nicht überall perfekt auskennen)?

Und evt. gibt es ja auch andere Baustellen in der Praxis?

Wie gesagt: mMn ist es egal ob LAN oder nicht, Logins wie bei Syno oder Chat Anwendungen dürfen einfach nie http sein, wenn „fremde Personen“ im LAN sind.