[Problem] NAS mit Zertifikat hinter Fritz!Box erreichen... geht plötzlich nicht mehr

phlfx

Neuer User
Mitglied seit
18 Aug 2020
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Salve,
folgendes Problem fordert mich gerade ein wenig heraus .. und ich komme nicht drauf, wo ich meinen Denkfehler oder Verständnisproblem habe.

Fritz!Box 7520 mit OS 7.20
Synology NAS im LAN
ein gerüttelt Mass an PC/Tablets im WLAN und LAN

Die FB ist klassisch 192.168.178.1
Das NAS heisst bigboy und erhält immer die 192.168.178.25
PCs, Laptops, Tablets und Co erhalten auch immer die gleiche IP im Bereich .20-200. Also alles ganz normaler Standard.

Das NAS hat ein Let's Encrypt Zertifikat, ausgestellt auf ...sagen wir mal <bigboy.anbieter.com>

Ich meine (nicht wirklich sicher), vor der 7.20 der FB, hatte ich es irgendwie ohne permantes Forwarding hinbekommen, nun aber nicht mehr ..
also, was will ich machen.

Im heimischen Netz soll die NAS Oberfläche und die daranhängenden Dienste (Drive, Photos, etc) den Namen, der im Zertifikat genutzt wird, auch nutzen, also bigboy.anbieter.com.

Bis dato ging das irgendwie ohne eine Freigabe von Port 5000 und 5001 (https).
Das NAS leitet selbständig von http auf https weiter. Soweit so fein.

Nun nur noch mit .. und genau das möchte ich eigentlich nicht, die NAS soll nicht von aussen erreichbar sein, ich will (aufstampfendes Menschlein) aber das Zertifikat, weil mir dieses permantente "ohhh, diese Verbindung ist ja soooo unsicher, Gefahr, Gefahr" Meldung auf den Docht geht. Und ich mag das Schloss im Browser ... -.-

Auch der Eintrag von bigboy.anbieter.com in den DNS Rebind Schutz war nicht von Erfolg gekrönt um die Port Forwardings nicht zu benötigen.
Ich bin aber der Meinung, genau dass war der Punkt, der es vorher möglich machte. Nur bei einem Renew des Zertifikats musste einmal kurz das NAS als exposed Host definiert werden (statt einiger Port Forwardings) und wenn das Zertifikat da ist, wieder abschalten.

Long Story Short ... was zum Henker muss ich denn nun einstellen, wenn ich nur das Zertifikat nutzen will, ohne das NAS nach aussen hin sichtbar zu machen?
In der NAS wurde seit dem Einrichten vor 1.5 Jahren nichts verstellt .. daher schliesse ich den Fehler hier eigentlich aus.

Vielen Dank im Voraus für Tipps und Hilfe.
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
1,537
Punkte für Reaktionen
143
Punkte
63
Let’s Encrypt bietet ein ganzes Rudel an „Herausforderungen“. Welche kann Deine Synology bzw. wo startest Du die Validierung?
… bei einem Renew des Zertifikats musste einmal kurz das NAS als exposed Host definiert werden …
Anstatt einem Exposed-Host empfehle ich kurzeitig Port-Forwardings zu nehmen. Das Warum steht in diesem Thread …
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
16,021
Punkte für Reaktionen
325
Punkte
83
In der NAS wurde seit dem Einrichten vor 1.5 Jahren nichts verstellt
Also kein Updates und so? Dass könnte ein Problem sein, da LE API verändert wurde.

Port 80 muss erreichbar sein auf der DS.

Probiere sonst mal Cert ersetzen, also neues hinzufügen, ersetzen, und dann Daten erneut angeben.
 

phlfx

Neuer User
Mitglied seit
18 Aug 2020
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
[Edit Novize: Überflüssige Fullquotes durch eine kurze Anrede des jeweiligen Users ersetzt]
@sonyKatze: Das exposed war der Faulheit geschuldet. Funktioniert per PortForwarding auch. Danke für den Hinweis.
Die Syno Nas ist eine klitzekleine DS218j mit DSM 6.2.3-25426 Update2.

@HabNeFritzbox: Updates der NAS ja, also reines DSM Update. Keine Änderung der Konfiguration durch mich, meinte ich damit.

Das Zertifikat ist direkt über das DSM erstellt. Ich habe jetzt mal nur Port 80 als PortForwarding auf der FB eingestellt.
Nun das Zertifikat erneuert über die DSM Oberfläche .. altes Datum -> 2020-10-25 -> neu -> 2020-11-16

Mein Problem ist nicht, dass das LE Zert nur verwendet wird, wenn ich das NAS auch von aussen erreichbar mache,
also Port 80 auf 5000 und 443 auf 5001 durchlasse. Und genau das will ich ja nicht. Nur die zert abfrage sollte gemacht
werden. Ging ja "vorher" auch ... die Frage ist, vor was. Vor OS 7.20?
 
Zuletzt bearbeitet von einem Moderator:

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
16,021
Punkte für Reaktionen
325
Punkte
83
Hat mit der FB nichts zutun, für alte LE API muss Port 80 erreichbar sein.

Wenn dein Anbieter Syno ist, kannst dort auch ein neues ggf. Wildcard Cert erstellen, dass läuft über DNS und braucht keinen Port 80 mehr.

Für ein NAS welcher nicht erreichbar ist, braucht man auch kein Cert. Wenn ganze nur im Netzwerk nutzt kannst auch http mit Port 5000 nutzen.

Zudem wäre 80 auch auf 80 weiterzuleiten und nicht auf 5000.

Die Cert von LE sind nur 3 Monate gültig, und werden dann verlängert. Alternativ kaufst dir ein Cert für ca. 35€ welches 3 Jahre Gültigkeit hat.
 

phlfx

Neuer User
Mitglied seit
18 Aug 2020
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Das NAS ist ja erreichbar ... aber eben nur von "innen" .. und ich wollte halt wieder das schicke, schmucke, sicherheitsvermittelnde, wenn gleich auch völlig unnötige Schloss wieder sehen.

Albern, ich weiss, nicht hilfreich und ohne tieferen Sinn, ausser meinem Seelenfrieden. ;)
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
16,021
Punkte für Reaktionen
325
Punkte
83
Den Apps wie DS File oder DS Audio usw. ist es eh egal mit Cert.

Im Browser kannst auch selbst signierte in Ausnahme setzen.

Ohne Portfreigaben kannst normal selbst intern nicht über öffentlichen Hostnamen zugreifen, seiden hast beim Anbieter die interne IP gesetzt.
 

phlfx

Neuer User
Mitglied seit
18 Aug 2020
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
aber, ich will, ich will, ich will .. dass das wieder geht. ;(

leider ist mir auch klar, dass es eigentlich nicht gehen sollte, schliesslich sperre ich alles von aussen und will trotzdem das innen liegende zert von aussen bestätigt haben.
wenn ich nur wüsste, was der clou war, der es "damals" also vor ein paar wochen noch, erlaubte.
und aus versehen portfreigaben, waren es sicher nicht.

auch keine automagische konfig vom nas an die FB, denn die 7520 kann ja leider nicht konfiguriert werden von der DS218j.

Da dies aber nicht wieder hinzubiegen ist, werde ich vermutlich damit leben lernen .. gibt es da ne Selbsthilfegruppe oder muss ich mich alleine auf Alkohol verlassen?
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
16,021
Punkte für Reaktionen
325
Punkte
83
Die FB kann automatische Freigaben, musst für Gerät erlauben und in der DS auch einstellen.

Wie geschrieben, kannst ganze auch via DNS machen, ist aber eher Fummelkram mit Scripten.

Mit nem Syno Hostname würde es so gehen, da den Part Syno selbst übernimmt. Aber da wäre dann ja deine öffentliche IP, und könntest dann nicht zugreifen da die FB dich nicht umleitet.

Oder eben ein Cert kaufen für 3 Jahre.
 

phlfx

Neuer User
Mitglied seit
18 Aug 2020
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
In der FB ist dass dann unter Portfreigaben .> bigboy -> Selbständige Portfreigabe ? Hab ich jetzt an. 0 aktiv.
In der NAS ... äh .. hmm .. ok, das ist kein Syno Forum .. weiss es trotzdem jemand?

ich hätte bei Systemsteuerung -> Externer Zugriff -> Routerkonfiguration mein Glück versucht ...
Routerkonfig automatisch ... schnibbeldibipp .. erkannt .. und äh .. tja, Fertig.
Es sind 2 Ports angelegt .. 5000 und 5001 .. jedoch nciht aktiv. Dann aktivier ich die mal .. oder nicht?

2 aktiv bei der FB ..
bigboy.anbieter.com von intern und extern ... erreichbar.

hmm .. ok nun habe ich mit der automagischen einrichtung wieder genau das Problem wie am Anfang. ;)
Ich will ja nicht von aussen erreichbar sein.

Edit:
axo .. was meinst Du mit syno als hostname. Ich hatte zwar immer von bigboy.anbieter.com geschrieben,
es handelt sich aber um DDNS von syno. also so wie diskstation.me .. der teil davor ist fake, ich
wollte nur nicht, dass jetzt irgendein spassvogel einen random hostname aufs korn nimmt und ein LE Zert
eben auf diesen DDNS Eintrag.


[Edit Novize: Beiträge gemäß der Forumsregeln zusammengefasst. Beitrag 2]

So, es ist wieder passiert ...

die externe Erreichbarkeit will ich ja nicht. Also die Ports im NAS wieder deaktiviert.
in der FB die Portforwardings deaktiviert (keine selbst. Portweiterleitung) und aktualisiert.
Intern geht nun immer noch bigboy.anbieter.com mit SSL
Extern kommt "nicht erreichbar".

Aber, warum zum Henker? Merkt sich der lokale Rechner das einfach? Aber es ging ja über
Ewigkeiten .. ext. IP ändert sich .. DDNS Eintrag passt sich an ..
Mal anderen Browser nehmen ... Edge statt Chrome. Booooohhhhhhh .. not reachable.

Der Mist ist lokaler Cache. Ach verdammt ..
 
Zuletzt bearbeitet von einem Moderator:

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
16,021
Punkte für Reaktionen
325
Punkte
83
Dann bleibt nur Cert kaufen, selbst erstelltes Cert (= in Ausnahme im Browser) oder alle 3 Monate einmal kurz Freigabe, verlängern und wieder abschalten.
 

phlfx

Neuer User
Mitglied seit
18 Aug 2020
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Aber, aber, ... ach menno.
naja, dann ist es so.
das mit dem selbst erstellten zert habe ich am anfang mal versucht und bin mehr als kläglich gescheitert.
dsm erstellt eines, ich lade es runter und sag windows, hey schau, ein tolles eigenes zert, das packen wir in den default store und sind die kings.
Leider war das ding dann alles ausser ein weg ein schloss zu sehen.

albern, ich weiss. Ich hab es dann nach anleitung der youtube universität versucht, mit dem gleichen ergebnis. Dann hab ich es gelassen .. würde aber mit ordentlichem howto noch einen anlauf wagen.
:)
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
16,021
Punkte für Reaktionen
325
Punkte
83
Dass Cert wird nicht heruntergeladen auf den Desktop, dazu kann man im Firefox einfach unten sagen in Ausnahme hinzufügen, und gut ist.

1.jpg2.jpg3.jpg4.jpg
 
  • Like
Reaktionen: phlfx