Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Netzwerke>Synology Let's Encrypt-Schlüssel für Lokal-Netzwerk

Synology Let's Encrypt-Schlüssel für Lokal-Netzwerk

barbagianni
barbagianni01.09.1914:29
Hallo Zusammen,
ich habe für mein Synology eine Let's Encrypt Zertifikat erstellen und es funktioniert ganz gut.
Wenn ich mein Domain https://meinname.synology.me im Browser eingebe werde ich an https://meinname.synology.me:5001 weitergeleitet.

Wie verbinde ich mich jetzt lokal mit meiner DiskStation?
Wenn ich die IP meiner Diskstation im Safari,Opera,Firefox eingebe bekomme ich folgende Infos:
in den Zertifikat
DST Root CA X3
Let's Encrypt Authority X3 (Dieses Zertifikat ist gültig)
meinname.synology.me (Dieses Zertifikat ist nicht gültig. Hostname stimmt nicht überein)

Ich vermute weil in Let's Encrypt Zertifikat ist meinname.synology.me als Domain eingetragen ist und nicht die IP von DS.

Wie soll ich mich mit dem DS verbinden damit ich auch local mit dem DS eine sichere Verdindung aufbauen kann?








Innerhalb der Let'sEncript stehe Zertifikat ist ungültig

In Fritzbox habe ich die Weiterleitung der IP meiner DS auf TCP port extern Freigeben 5000 bis 5001.
0

Kommentare

Embrace01.09.1916:17
  • Ich würde erstens nur den HTTPS Port verwenden und Zugriff per HTTP verbieten.
  • Dann würde ich auch nicht den Standardport 5001 verwenden, sondern einen anderen (inkl. entsprechender Portweiterleitung in der FritzBox).
  • Verbinden würde ich mich dann ganz normal über https://meinname.synology.me und nicht über die interne IP.

Falls du dich über die lokale IP verbinden willst, kannst du das auch machen, indem du dem „unsicheren“ Zertifikat (weil Zertifikate keine IP-Adressen beinhalten dürfen) vertraust.

Für den Zugriff als Fileserver brauchst du kein Zertifikat und solltest die DiskStation ganz normal im Finder sehen, wenn beide Geräte im selben lokalen Netzwerk sind.

Du könntest auch alternativ in /etc/hosts folgenden Eintrag hinterlegen:
lokale IP deiner DiskStation meinname.synology.me

Beispiel, falls DiskStation die IP 192.178.1.10 hat:
192.178.1.10 meinname.synology.me

So hast du lokalen Zugriff und es kommt keine Meldung, dass das Zertifikat unsicher sei.
+1
barbagianni
barbagianni01.09.1917:59
Viele dank!
Ich hatte schon die standarporte der ds geändert und die entsprechende weiterleitungen in fritzbox (TCP) eingerichtet. bin gerade unterwegs und komme nicht auf den DS.
Habe gelesen das lets encrypt 2 porten offen braucht die 80 und 443.
Wie werden weitere porten weitergeleitet für die gleich ip in der fritZ BoX?
0
eMac Extreme02.09.1906:17
barbagianni
Habe gelesen das lets encrypt 2 porten offen braucht die 80 und 443.

Diese Ports werden nur für die Erstellung bzw. die Verlängerung des Zertifikats benötigt. Nach dem jeweiligen Vorgang, würde ich diese Port-Weiterleitung wieder schließen.
+1
olbea02.09.1907:12
meinname.synology.me (Dieses Zertifikat ist nicht gültig. Hostname stimmt nicht überein)
Du musst per Namensauflösung auf die DiskStation zugreifen.
Dazu brauchst du einen DNS Server.
/etc/hosts kannst du bei iPhones nicht manipulieren.
Synology kann das z.b.
0
barbagianni
barbagianni02.09.1909:11
Guten Morgen,

gestern hat es dann funktioniert mit der Let's encrypt nachdem ich in der Fritzbox die Portweiterleitungen 80 und 443 geöffnet habe. Jetzt sind sie wieder zu und es läuft.

Trotzdem, wenn ich lokal die https://meinname.synology.me eingebe komme ich nicht auf die DS-Anmeldeseite.
Sondern es kommt ein Meldung "Seite wurde nicht gefunden"

Ich muss immer : 5111 (Beispiel-Port) daran hängen. DAnn komme ich auf die Anmeldeseite von DS
Die Port ist, aber in der Fritzbox als Weiterleitung (extern) eingerichtet.
Ist es normal oder habe ich einen Fehler gemacht?
0
void
void02.09.1910:19
barbagianni
Ich muss immer : 5111 (Beispiel-Port) daran hängen. DAnn komme ich auf die Anmeldeseite von DS
Die Port ist, aber in der Fritzbox als Weiterleitung (extern) eingerichtet.

Eben, extern Übers interne Netzwerk greift die nicht, weil dein Zugriff ja gar nicht erst über die Fritzbox läuft, sondern direkt bei der DS ankommt.
„Developer of the Day 11. Februar 2013“
+1
barbagianni
barbagianni02.09.1910:32
Verstehe. Danke sehr.
sorry für die vielen Fragen, ich lerne gerade wie das alles funktioniert.


Was ist wenn ich ein Domain eintrage wie im Screenshot?


Habe ich dann einen Lokalen-Zugriff ohne DNS Server /etc/hosts ?
0
Josch
Josch02.09.1910:34
Hallo,
barbagianni
[…] Wie soll ich mich mit dem DS verbinden damit ich auch local mit dem DS eine sichere Verdindung aufbauen kann?[…]

du musst nur das „unsichere“ Zertifikat akzeptieren, wenn Du Dich über die IP direkt verbindest. Eine https-Verbindung ist per se verschlüsselt und sicher - das Zertifikat ist im rein internen Gebrauch nicht notwendig - Du selber weißt ja, dass Du Dich „zu Dir“ verbindest und musst das nicht noch mit einem von Dir selbst ausgestellten Zertifikat für Dich vertrauenswürdig machen

Ein Zertifikat, welches über eine Zertifizierungsstelle mit entsprechender Prüfung (z. B. mit telefonischer Rückfrage seitens der Zertifizierungsstelle) ausgestellt wurde soll eigentlich Dritten dazu dienen nachprüfen zu können, ob die Verbindung vertrauenswürdig ist. Derartige Zertifikate bekommt man allerdings nicht kostenlos.
+1
barbagianni
barbagianni02.09.1910:47
Josch

Wenn ich die IP meine DS in Browser z.B. 192.168.178.99 aufrufe werde ich dann auf meine HTTPS weitergeleitet und hängt dann daran die Portnummer :5111

In der DS habe ich auch probiert die Option ABzuschalten HTTP auf HTTPS automatisch weiterleiten. Auch dann werde ich auf die Portnummer :5111 weitergeleitet.
0
Embrace02.09.1910:52
Das mit der Portnummer ist schon so in Ordnung. Du machst nichts falsch, wenn du bspw. bei lokalem Zugriff 192.168.178.9:5111 im Browser stehen hast.
0
barbagianni
barbagianni02.09.1911:01
Embrace
Das mit der Portnummer ist schon so in Ordnung. Du machst nichts falsch, wenn du bspw. bei lokalem Zugriff 192.168.178.9:5111 im Browser stehen hast.

DAs ist aber toll. Danke sehr an alle.
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.