Synology-Forum.nl
Algemeen => The lounge => Topic gestart door: aliazzz op 25 januari 2019, 09:53:55
-
Hallo mede syno's
Na wat gepieker over welles/nietes heb ik besloten om een Domeinnaam aan te schaffen.
Dit blijkt materie te zijn met valkuilen, want ik heb op dit vlak nul ervaring.
Welnu, wat wil ik dan bereiken?
Een eigen domeinnaam voor thuisgebruik met SSL certificaat, reeds geschikt voor subdomeinen/wildcards. Ik wil voor eventuele hosting wellicht een nas inzetten. Zoals gezegd, primair is het doel een eigen domeinnaam met een wildcard SSL certificate. Secundair lokale hosting etc, etc.
Is, wat ik wil mogelijk? Zo nee, wat zijn alternatieven. Zo ja, bestaat hiervoor een "kookrecept" wat ik kan volgen om bij mijn eindoel uit te komen? De informatie die ik zoek staat ongetwijfeld versnipperd in subtopics op dit forum, maar ik zoek dus de rode draad, details komen later.
Hopelijk kunnen we dit topic, mits relevant, weer hergebruiken als wegwijzer voor anderen.
Graag hoor ik van jullie!
-
Ik zou met Let's Encrypt certificaten beginnen. Die zijn gratis, zodat je iets makkelijker kunt experimenteren en weer iets wegdoen.
Weliswaar geen wildcards, maar wel een boel subdomeinen per certificaat.
-
.
-
Let's Encrypt aanmaken kan niet met de router, alleen met de nas. Maar op een router ga je toch ook geen website hosten.
-
Dat is volgens mij niet helemaal waar, op het Engelse forum (https://forum.synology.com/enu/viewtopic.php?t=141181) staat een topic waarbij dit gedaan wordt.
Dit is wel een Let's Encrypt wildcard certificaat, dat is voor dit topic misschien iets te ingewikkeld.
-
Dat gaat via een methode die niet door Synology ondersteund wordt. Als je niet-ondersteunde methodes nodig hebt, betekend het bij mij dat het niet kan. ;)
-
Hoe configureer ik dan een dergelijk certificaat zodat ik een eigen domeinnaam krijg en een groen slotje?
Een domeinnaam is geen website. Simpel gezegd is het een reeks letters die het IP nummer vervangt. Meer niet.
Waarom niet eenvoudig beginnen met een domeinnaam aanschaffen.
Kijk of je dat werkend kan krijgen.
Dat certificaat kan je later aanvragen.
-
Dat geeft TS ook aan volgens mij:
Na wat gepieker over welles/nietes heb ik besloten om een Domeinnaam aan te schaffen.
EDIT:
Als je niet-ondersteunde methodes nodig hebt, betekend het bij mij dat het niet kan. ;)
Daar geef ik je dan ook wel weer gelijk in. ::)
-
Voor Let's Encrypt op de Router heb ik al eens een Ticket ingelegd.
Het komt erop neer dat ze dit niet beschikbaar gaan stellen op hun Routers.
-
.
-
Domein :
domein.nl
Sub-domein :
www.domein.nl
ftp.domein.nl
hiero.domein.nl
daaro.domein.nl
Wildcard (alles wat nog geen naam heeft) :
*.domein.nl
Voor de duidelijkheid.
De letters van een subdomein hebben zelf geen betekenis.
Het protocol dat je gebruikt bepaalt welke service gebruikt wordt.
Dus ftp.domein.nl, home.domein.nl, weetikveel.domein.nl komen alle op je NAS aan.
In de browser wordt een webpagina getoond.
Met een ftp programma kan je verbinden met de ftp server.
Met WebDAV verbind je met een WebDAV server.
enzovoort enzovoort.
Wel kan je met een webserver bepalen welke paginas worden getoond. Op de NAS doe je dat met Virtual Hosts.
-
Een wildcard is gemakkelijk, maar ook weer een security risk omdat plots alle subdomeinen bestaan. Daar moet je dan rekening mee houden als je b.v. mailservers configureert
Volgens mij zijn wildcard certificaten duidelijk duurder dan een certificaat met maar 1 domein en een www subdomein.
-
Kheb via mn NAS inmiddels een let's encrypt certificaat aangemaakt voor mijn DDNS domeinnaam (zie elders in dit forum hoe).
Dit certificaat heb ik op zijn beurt weer in mijn RT2600ac geplaatst. Hiermee is de WAN toegang voorzien van een geldig certificaat.
Kan ik nu ook voor mijn NASSen een let's encrypt certificaat maken op diezelfde DDNS domeinnaam? Graag hoor ik hierover want ik begrijp dit niet helemaal.
-
Je kunt het certificaat gebruiken op je 2 NASsen en Router.
Dus, je hoeft nu alleen het certificaat op de NAS te installeren, die geen certificaat heeft.
-
Ik heb dus dat reeds gedaan.... echter no way dat ik dan slotjes krijg via hun interne webadressen.
Zou je kort kunnen toelichten hoe ik die slotjes dan alsnog aan kan krijgen?
Tabelletje;
RT2600ac WAN adres = nieuw certificaat, wel slotje op 443 (yay) via DDNS domeinnaam xxx.vpnplus.to
RT2600ac LAN adres = nieuw certificaat, geen slotje
DS1515+ LAN adres = nieuw certificaat, geen slotje (port 80 geforward vanuit RT2600ac ivm auto-update Let's Encrypt)
DS415+ LAN adres = nieuw certificaat, geen slotje
-
Je moet wel bij certificaten instellen welke functie welk certificaat gebruikt.
-
Verder kun je geen discussie voeren als je steeds je eigen berichten wist. Dan is er niet meer terug te lezen.
Ik stop er dan ook mee want ik weet nu niet meer wat wel of niet geprobeerd is.
-
Die berichten staan compleet los?
Volgens mij staat de situatie luid en duidelijk in de recente posting.
-
Tabelletje;
RT2600ac WAN adres = nieuw certificaat, wel slotje op 443 (yay) via DDNS domeinnaam xxx.vpnplus.to
RT2600ac LAN adres = nieuw certificaat, geen slotje
DS1515+ LAN adres = nieuw certificaat, geen slotje (port 80 geforward vanuit RT2600ac ivm auto-update Let's Encrypt)
DS415+ LAN adres = nieuw certificaat, geen slotje
Let op: zelf maak ik geen gebruik van certificaten, omdat ik het niet nodig heb.
Elke NAS en Router, hebben standaard HTTPS poort 5001.
Je moet er dus voor zorgen dat elke NAS en de Router een eigen HTTPS poort hebben en deze kan je zelf instellen op de betreffende NAS en Router.
Maar, ik vraag mij af, waarom je persé een slotje wilt zien als je de NASsen alleen op LAN gebruikt, het zijn immers lokale IP-Adressen uiteindelijk dus je dan al zeker dat het je eigen NASsen zijn.
Een Certificaat vind ik pas belangrijk, als je je NASsen van buitenaf wilt gebruiken, dan wil je immers zeker zijn dat het jouw NAS is.
Als je VPN gebruikt om een verbinding te maken WAN naar je LAN Netwerk, dan zit de beveiliging al opgesloten in je VPN Certificaat.
NOTE: Dit is mijn persoonlijke mening !
-
NOTE: Dit is mijn persoonlijke mening !
@Birdy: En wat is je onpersoonlijke mening? ;)
-
Hoi,
Het volgende: "Je moet er dus voor zorgen dat elke NAS en de Router een eigen HTTPS poort hebben en deze kan je zelf instellen op de betreffende NAS en Router."
Uiteraard gebruik ik reeds de https poorten van de nassen en router. Tevens wordt het http verkeer ook automatisch omgeleid naar https.
Echter hoe krijg ik het voor elkaar dat ook de apparatuur lokaal groene slotjes in de browser te zien krijgen? Lostaand van wat het nut of noodzaak is hiervan.
Graag hoor ik over hoe dat geconfigureerd moet worden en wat ik daar al dan niet voor nodig heb.
-
echter no way dat ik dan slotjes krijg via hun interne webadressen.
Zolang je het interne webadres (dit lees ik als IP-adres) gebruikt krijg je (volgens mij) geen groen slotje.
-
Zolang je het interne webadres…
Op elk adres krijg je een groen slotje, mits het certificaat is aangemaakt voor dat adres. Dat is het hele doel van een certificaat: "Het certificeren dat je verbinding hebt met het beoogde certificaat".
Je kunt ook IP adressen opnemen in een certificaat, maar dan zul je met self-signed certificaten moeten gaan werken. De self-signed certificaten van Synology ondersteunen de opname van IP adressen tegenwoordig. Voor alleen intern gebruik geen enkel probleem. Externe verstrekkers van certificaten, zullen echter nooit interne adressen certificeren omdat ze dat zelf niet kunnen controleren.
-
Beste allen,
Duidelijk, wwarvoor dank!
Conclusie;
1) WAN IP adressen zijn te certificeren middels een (DDNS) domeinnaam met certificaat via een CA (zoals bijvoorbeeld Let's Encryot of andere partij).
2) LAN adressen zijn te certificeren middels een self signed certificaat (voor intern gebruik/ LAN gebruik) voorzien van static LAN IP adressen.
Mijn WAN IP met ddns domeinnaam (via Synology ddns) gebruikt methode 1.
Mijn static LAN IP adressen voor mijn Nassen zullen methode 2 gaan gebruiken.
Aliazzz
-
En gebruik de goede browser. Iets als Chrome kan niet goed met certificaten omgaan. Ik heb het b.v. eens getest met mijn 3 browsers. In mijn systeem staat een self-signed root certificaat. Ik heb vervolgens een gebruiklers certificaat gemaakt met een IP nummer erin via een CSR en dat op de nas geïnstalleerd.
Safari doet het netjes nadat je een uitzondering bevestigd hebt:
[attachimg=1]
Bij Firefox moet je ook een uitzondering bevestigen. Dan krijg je een uitroepteken in de balk met de melding dat de verbinding niet beveiligd is. Dit is een bug omdat hij zelfs beter beveiligd is dan met een extern certificaat. Je hebt dit certificaat tenslotte helemaal zelf gemaakt waardoor je zeker weet dat er geen 3e partij mee geknoeid heeft.
[attachimg=2]
Chrome maakt er helemaal een potje van. Die claimt dat het root certificaat niet vertrouwd is. Het root certificaat staat juist als vertrouwd gemarkeerd in het systeem. Chrome werkt op de mac anders dan op windows. Op de mac beheerd Chrome zelf geen certificaten, maar gebruikt die uit het systeem van de mac.
Vroeger werkte Chrome goed, maar sinds hun geknoei met certificaten, waarbij vrijwel alles verboden wordt, kun je er niet meer mee werken op een thuisnetwerk.
[attachimg=3]
Je kunt die waarschuwingen negeren, maar daarmee leer je jezelf de foute gewoonte aan om waarschuwingen te negeren. Vergelijk het met het uitschakelen van een alarm dat vaak een vals alarm genereert.
-
Proof : mijn WAN IP met ddns domeinnaam (via Synology ddns) gebruikt methode 1.
Screenshot via firefox [attachimg=1]
-
Hoi allemaal,
Draai nu een paar weken met volle tevredenheid de gratis DDNS optie met een gratis Let's Encrypt certificaat.
Opmerkingen;
- Synology SRM ondersteund NIET de aanvraag voor een (DDNS) domeinnaam met certificaat via een CA (jammer!)
- Synology DSM ondersteund WEL deze aanvraag, mits je hiervoor de webserver in DSM installeert en een portforward rule aanmaakt in SRM. Dit is noodzakelijk om de CA te laten verifieren dat het domein en ip adres echt in handen zijn van dezelfde partij (een identitycheck).
- Het aangemaakte certificaat in DSM kan dan worden geexporteerd naar SRM. Vergeet ook niet het intermediate certificate van Let's Encrypt op te halen bij Let's Encryp en de ze ook te importeren in SRM. Alhoewel niet verplicht tijdens import, zal binnen VPN Plus hier dikwijls naar gevraagd worden. Bij afwezigheid van het intermediate certificaat zal de gewenste optie niet in te schakelen zijn. Dus voor sommige pakketopties weldegelijk verplicht!