https link über externe synology ip

Michi777

Commander
Registriert
Apr. 2009
Beiträge
2.088
Liebe Community!

wir haben eine NAS (Synology 916+) welche von außen erreichbar sein muss.
Weil Quickconnect viel zu langsam ist und jeden Verbindung über die halbe Welt, hab ich erfolgreich Portforwarding auf unserer Firewall (Fortigate 60c) eingerichtet und die NAS ist wia unserer öffentlichen fixen IP erreichbar.

Jetzt soll ein schöner https link darüber und so habe ich beim domainhost einen A-Name eintrag share.domäne.at auf externe ip gemacht.

Damit keine Zertifikatswarnung kommt wollte ich ein Zertifikat von Letsencrypt abrufen und habe dazu share.domäne.at und meine Mailadresse eingetragen.
Doch es kommt entweder „richten sie port 80 ein für prüfung“ oder melden sie sich nocheimal an am "DMS“, siehe Anhang.

Ich habe aber Port 80 und Port 443 wie ich denke richtig forgewardet für letsencrypt.

Habe ihre eine Idee?

Vielen Dank!
 

Anhänge

  • encryptmeldung.JPG
    encryptmeldung.JPG
    26,3 KB · Aufrufe: 441
  • forwardings.jpg
    forwardings.jpg
    31,9 KB · Aufrufe: 422
Wenn du den Zugang nur für dich brauchst (Familien- Firmenintern) dann kannst du auch einfach ein selbst signiertes Zertifikat nehmen. Musst nur das erste Mal wenn du drauf zugreifst eine dauerhafte Ausnahme einstellen.
 
@Sparta8:
Ist leider mit externen Leuten.

Beim selbstausgestellten Zertifikat steht nun Aussteller nicht gefunden.
dns name ist aber exakt.
 

Anhänge

  • zert.jpg
    zert.jpg
    31,9 KB · Aufrufe: 384
Zuletzt bearbeitet:
Ja genau. Jetzt musst du deiner Software nur noch sagen, dass das Zertifikat trotzdem angenommen werden soll.

LetsEncrypt ist eine bekannte Zertifikatsstelle. Also in der Software ist eingetragen: Wenn du ein Zertifikat von LetsEncrypt ausgeliefert bekommst, kannst du dem vertrauen, weil LetsEnrycpt ein vertrauenswürdiger Aussteller ist.

Signierst du nun selbst ein Zertifikat bist du global natürlich nicht vertrauenswürdig, weil das kann ja jeder machen. Du weißt aber, dass das Zertifikat von dir ist und stellst nun in der Software eine dauerhafte Ausnahme ein.

Falls du es doch mit Letsencrypt versuchen willst, schau ob dir das hier weiterhilft: https://forum.synology.com/enu/viewtopic.php?t=141181

Falls deine Port 80 und 443 Weiterleitungen sicher funktionieren und du trotzdem nicht weiterkommst, versuch im Synology Forum nach Hilfe zu bitten.
 
Nach Ablauf der TTL vom vertippten EIntrag (Zahl falsch) und dem Greifen des neuen DNS Eintrages funktionierte die Zertifizierung und muss sagen ziemlich einfach und gut in das System integriert.
Kenn mich nun mehr in dem Thema SSL, Firewall und so aus.
 
Kleiner Tipp - der Sicherheit wegen: Zugriff auf die Virtual IP bestmöglich begrenzen und sofern die Services auf der FortiGate laufen IPS & Co (Profile auf die offenen Services konfigurieren, der Performance wegen) nutzen.

Wenn alle Externen statische IPs haben, auf jene begrenzen; ansonsten mit Geo-IPs (neues Adressobjekt -> Typ 'Geography') ansetzen, dann ist der Chinamann schonmal außen vor.
Oder gleich auf VPN umbauen, das kann die FortiGate. Dann hängt die DSM nicht direkt im Internet, was ich persönlich so machen würde.

Wenn du Hilfe brauchst, kannst mir gerne eine PN schicken.
 
Du hast dein DSM benutzt um die Filestation ins www zu stellen. Das ist aber gar nicht nötig. Mit dem Reverse Proxy hast du eine viel elegantere Lösung vorliegen.
In der DSM Systemsteuerung gehst du auf Anwendungsportal und gibst der FileStation einen separaten https Port. Dann auf dem Reverse Proxy Tab die externe DNS-Adresse als Ziel auf diesen localhost Port umbiegen lassen und Viola, nicht dein DSM ist von außen erreichbar sondern nur deine FileStation. Für die Benutzerrechte ist das sauberer und egal wer es benutzt hat keinen Zugriff auf DSM. Und da es über 443 läuft, hast du auch kein Problem mit fremden Firewalls die dir den :4422 sperren würden.
Das geht auch für Chat, FotoStation und wenn man das falsche Autodiscover akzeptiert auch für Exchange.
 

Anhänge

  • synoFile_Port.jpg
    synoFile_Port.jpg
    21,1 KB · Aufrufe: 387
  • synoFile_ReverseProxy.jpg
    synoFile_ReverseProxy.jpg
    13,4 KB · Aufrufe: 379
  • Gefällt mir
Reaktionen: Madman1209
Zurück
Oben