Toon posts:

SSL voor Synology services, packages en Docker containers

Pagina: 1
Acties:

Onderwerpen

Vraag


  • iAR
  • Registratie: November 2000
  • Niet online
Wellicht een simpele vraag maar ik zie door de bomen het bos even niet meer. Ik wil mijn Synology graag beveiligen, onder andere met een SSL certificaat. En dan zit je ineens diep in reverse proxy, DDNS, dnssec, Nginx, ...

Ik heb natuurlijk het admin-paneel, file- en notestation, Mosquitto (package) en Docker containers voor Sonarr, Radarr, Lidarr en Bazarr plus Sabnzbd, Homebridge en Home Assistant.

Schijnbaar heb ik ooit zelf wel ingesteld dat mijn DDNS *.synology.me een certificaat (van R3) heeft.
Ik heb eventueel een eigen domein (via OVH), die dnssec en ddns heeft als ik het goed begrijp.

Zoals je merkt: wat vragen, redelijk basaal ook. Ik kan best zelf ver komen alleen weet ik niet precies wat ik nu moet hebben en waar ik moet beginnen. En wat meer praktisch is. Zo zou het makkelijk zijn als ik alles via https://service.mijndomein.ovh (of mijnnas.synology.me) zou kunnen benaderen.
Regel ik dat via mijn domein, mijn NAS of via software als nginz...

Iemand die me of op weg kan helpen, de juiste richting op kan duwen of een goede tutorial heeft?

Alle reacties


  • hans_lenze
  • Registratie: Juli 2003
  • Laatst online: 25-03 13:09
Gebruik makend van certificaten van LetsEncrypt (https://letsencrypt.org/)

Stap 1:
Richt één of meerdere DNS record(s) op je thuis IP adres. Het liefst via een DDNS provider.
Bijvoorbeeld:
thuis.mijndomein.ovh --> mijnnas.synology.me (type CNAME)
nas.mijndomein.ovh --> mijnnas.synology.me (type CNAME)
sonarr.mijndomein.ovh --> mijnnas.synology.me (type CNAME)

Stap 2:
Zorg er voor dat poort 80 doorgestuurd wordt naar je NAS.

Stap 3:
Gebruik de Certbot van LetsEncrypt om voor elk domein een certificaat aan te vragen. Dit moet elke twee a drie maanden opnieuw dus je wilt dit automatiseren. Zie de verschillende handleidingen van de applicaties voor de installatie van elk certificaat op het juiste plekje.

while (! ( succeed = try ()));


  • iAR
  • Registratie: November 2000
  • Niet online
hans_lenze schreef op maandag 15 maart 2021 @ 17:31:
Gebruik makend van certificaten van LetsEncrypt (https://letsencrypt.org/)

Stap 1:
Richt één of meerdere DNS record(s) op je thuis IP adres. Het liefst via een DDNS provider.
Bijvoorbeeld:
thuis.mijndomein.ovh --> mijnnas.synology.me (type CNAME)
nas.mijndomein.ovh --> mijnnas.synology.me (type CNAME)
sonarr.mijndomein.ovh --> mijnnas.synology.me (type CNAME)

Stap 2:
Zorg er voor dat poort 80 doorgestuurd wordt naar je NAS.

Stap 3:
Gebruik de Certbot van LetsEncrypt om voor elk domein een certificaat aan te vragen. Dit moet elke twee a drie maanden opnieuw dus je wilt dit automatiseren. Zie de verschillende handleidingen van de applicaties voor de installatie van elk certificaat op het juiste plekje.
Dit klinkt al heel overzichtelijk! Dank je! 😉

Nog wat vragen.
1a. Waarom zou ik een CNAME naar mijngas.synology.me maken en geen A naar mijn IP-adres?
1b. Hoe regel ik dat de juiste poorten worden gekozen, m.a.w. hoe gaat sonar.mijndomein.ovh naar poort 8989. Anders dan nu mijngas.synology.me:8989.

2. Naast poort 80, lijkt me dat ik de poorten van al mijn services ook moet forwarden, anders komt er niets goed aan, zie ook 1b.

3. Volgens mij is dat bij OVH alleen mogelijk met een webhosting pakket :(

  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 01:27
De mapping van domeinnaam naar interne service (http://192.168.1.1:8989) kun je instellen onder Control Panel, Applications, Application Portal, Reverse Proxy.

Het aanvragen van LE-certificaten via Control Panel, Connectivity, Security, Certificate.

Je hoeft alleen poort 80 en 443 te forwarden in je router.

[Voor 10% gewijzigd door nescafe op 17-03-2021 10:27]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • Robbie T
  • Registratie: Februari 2006
  • Laatst online: 24-03 12:36
hans_lenze schreef op maandag 15 maart 2021 @ 17:31:
Gebruik makend van certificaten van LetsEncrypt (https://letsencrypt.org/)

Stap 1:
Richt één of meerdere DNS record(s) op je thuis IP adres. Het liefst via een DDNS provider.
Bijvoorbeeld:
thuis.mijndomein.ovh --> mijnnas.synology.me (type CNAME)
nas.mijndomein.ovh --> mijnnas.synology.me (type CNAME)
sonarr.mijndomein.ovh --> mijnnas.synology.me (type CNAME)

Stap 2:
Zorg er voor dat poort 80 doorgestuurd wordt naar je NAS.

Stap 3:
Gebruik de Certbot van LetsEncrypt om voor elk domein een certificaat aan te vragen. Dit moet elke twee a drie maanden opnieuw dus je wilt dit automatiseren. Zie de verschillende handleidingen van de applicaties voor de installatie van elk certificaat op het juiste plekje.
Ik heb een cname record aangemaakt binnen mijn DNS:
*.domeinnaam.nl -> domeinnaam.nl

Op deze manier hoef ik niet na het aanmaken van een reverse proxy eerst een dns entry te maken maar werkt dat out of the box.

Bij reverse proxy bop synology maak ik een nieuwe entry aan waarbij ik als naam opgeef: dienst.domeinnaam.nl en deze laat ik verwijzen naar localhost en het juiste poort nummer.


Via beveiliging -> certificaat vraag ik vervolgens een nieuwe certificaat aan via let's encrypt. Dit doe ik per dienst. Reden hiervoor is dat ik anders bij het toevoegen van een nieuwe dienst een nieuw certificaat moet aanvragen waarbij ik vervolgens alle hostnames weer opneem. Op deze manier is het eenvoudiger.

  • iAR
  • Registratie: November 2000
  • Niet online
nescafe schreef op woensdag 17 maart 2021 @ 10:26:
De mapping van domeinnaam naar interne service (http://192.168.1.1:8989) kun je instellen onder Control Panel, Applications, Application Portal, Reverse Proxy.

Het aanvragen van LE-certificaten via Control Panel, Connectivity, Security, Certificate.

Je hoeft alleen poort 80 en 443 te forwarden in je router.
Ah. Dus wat er eigenlijk gebeurt is dat alle sub domeinen (sonarr.xxx, sab.xxx) allemaal naar mijn NAS verwijzen. De mapping via reverse proxy leidt ze vervolgens naar de juiste poort (en dus service).

Als ik naar sab.mijndomein.ovh:32800 ga, dan opent netjes Sabnzbd over een niet veilige verbinding. Via 32801 (SSL) niet.
In mijn router is port 80 en poort 443 via UPNP opengesteld naar mijn Synology. Overigens poort 32800 is ook geforward naar mijn Synology.

Ik heb dit ingesteld maar sab.mijndomein.ovh geeft dan aan dat de server niet geageerd.

  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 01:27
Zo zou het inderdaad moeten werken.. wellicht werkt het al via https en blokkeert je provider poort 80?

Kun je intern wel naar http://192.168.178.120:32800 ?

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • iAR
  • Registratie: November 2000
  • Niet online
nescafe schreef op woensdag 17 maart 2021 @ 11:00:
Zo zou het inderdaad moeten werken.. wellicht werkt het al via https en blokkeert je provider poort 80?

Kun je intern wel naar http://192.168.178.120:32800 ?
Als eerste: ik weet niet precies wat dit allemaal doet, dus dat probeer ik ook even tot me te nemen. Zeker als je zegt: blokkeert Ziggo misschien 80, dan denk ik al weer: waar gaat dit mis (snap je? :)).

Intern werkt dat adres wel. Sowieso voor alle containers. Ook werkt mijngas.synology.me:32800 (dat komt waarschijnlijk omdat ik poort 32800 heb gemapt in mijn router?)

Ik heb nog niets ingesteld voor https, mijngas.synology.me:80 doet niets, :5001 ook niet maar :5000 wel.

  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 01:27
In mijn router is port 80 en poort 443 via UPNP opengesteld naar mijn Synology.
Controleer dit nog even goed. Als poort 80 het niet doet, probeer dan toch een regel voor https aan te maken en test die dan.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • Robbie T
  • Registratie: Februari 2006
  • Laatst online: 24-03 12:36
iAR schreef op woensdag 17 maart 2021 @ 10:56:
[...]

Ah. Dus wat er eigenlijk gebeurt is dat alle sub domeinen (sonarr.xxx, sab.xxx) allemaal naar mijn NAS verwijzen. De mapping via reverse proxy leidt ze vervolgens naar de juiste poort (en dus service).

Als ik naar sab.mijndomein.ovh:32800 ga, dan opent netjes Sabnzbd over een niet veilige verbinding. Via 32801 (SSL) niet.
In mijn router is port 80 en poort 443 via UPNP opengesteld naar mijn Synology. Overigens poort 32800 is ook geforward naar mijn Synology.

Ik heb dit ingesteld maar sab.mijndomein.ovh geeft dan aan dat de server niet geageerd.
[Afbeelding]
Bestaat het dns record ook? Dus heb je sab. opgenomen in je dns gegevens?
Het is daarnaast belangrijk dat je daadwerkelijk http:// gebruikt in je adres (en niet dat die daar automatisch https van maakt). Ziggo blokkeert poort 80 en 443 niet (situatie hier werkt prima)

  • iAR
  • Registratie: November 2000
  • Niet online
Robbie T schreef op woensdag 17 maart 2021 @ 13:21:
[...]


Bestaat het dns record ook? Dus heb je sab. opgenomen in je dns gegevens?
Het is daarnaast belangrijk dat je daadwerkelijk http:// gebruikt in je adres (en niet dat die daar automatisch https van maakt). Ziggo blokkeert poort 80 en 443 niet (situatie hier werkt prima)
Ja, de DNS heeft een record voor sab.mijndomein.ovh: CNAME naar nas.synology.me. Als ik nas.synology.me invul in mijn browser krijg ik een redirect naar het controlpanel (poort 5000). Als ik expliciet poort 80 opvraag dan gebeurt er niets: server niet gevonden oid. Webstation is overigens niet geïnstalleerd!
De port wordt geforward door mijn Ziggo router.

  • Robbie T
  • Registratie: Februari 2006
  • Laatst online: 24-03 12:36
iAR schreef op vrijdag 19 maart 2021 @ 08:33:
[...]

Ja, de DNS heeft een record voor sab.mijndomein.ovh: CNAME naar nas.synology.me. Als ik nas.synology.me invul in mijn browser krijg ik een redirect naar het controlpanel (poort 5000). Als ik expliciet poort 80 opvraag dan gebeurt er niets: server niet gevonden oid. Webstation is overigens niet geïnstalleerd!
De port wordt geforward door mijn Ziggo router.
En als je het cname record verwijst en er aan A-record van maakt welke rechtstreeks naar je wan ip verwijst?

  • iAR
  • Registratie: November 2000
  • Niet online
Robbie T schreef op vrijdag 19 maart 2021 @ 08:50:
En als je het cname record verwijst en er aan A-record van maakt welke rechtstreeks naar je wan ip verwijst?
Ook niet. Maar goed, ik heb hem net ingevoerd.

Hoe werkt dat met poort 80 precies? Dit point normaal natuurlijk naar een webserver.
Hoe komt de request via zo'n reverse proxy naar de service.

Al sik mijn WAN-IP invul met een poort van SAB, dan kom ik er wel gewoon.

  • Robbie T
  • Registratie: Februari 2006
  • Laatst online: 24-03 12:36
Een A-record zou met een minuut of 5 wel resolveable moeten zijn. Kan je een screenshot plaatsen van je entry in je reverse proxy en de config van je router?

  • iAR
  • Registratie: November 2000
  • Niet online
Hieronder de shots. Ik zie nu in de port forwarding wel iets geks, denk ik. Poort 80 wordt niet naar 80 geforward maar naar een hele andere. Ik weet even niet wie dit record heeft geplaatst (want UPNP, ik dacht Synology zelf) en wat er gebeurt als ik dat wijzig.
Poort 51498 komt extern als intern nergens uit als ik dat invul in de browser.

De port forwarding.


A-record
https://tweakers.net/i/BGwll7MLKqUeMDtPrKQNhu71OtI=/800x/filters:strip_exif()/f/image/rGdNTH4PCW10OkphJuvPFddg.png?f=fotoalbum_large

CNAME-record
https://tweakers.net/i/jEcdPP_5pJln_dKDNkw8zZxZhEU=/800x/filters:strip_exif()/f/image/IQTqJQsb57c3QW3oIhoPEqBq.png?f=fotoalbum_large

Reverse Proxy, nu voor A-record, ook geprobeerd voor CNAME (met sab.xxx.ovh).


192.168.178.120 is mijn NAS
en Sabnzbd is beschikbaar via 32800.

[Voor 4% gewijzigd door iAR op 19-03-2021 09:51]


  • Shadow771
  • Registratie: December 2011
  • Laatst online: 11:06
Dit kan ik geen port forwarding noemen. Dit zijn UPnP entries. UPnP vind ik persoonlijk onveilig aangezien je het openen van porten uit handen geeft en geen controle meer hebt..

Dus wat is bijv 51498 (row namen valt weg uit je screenshot)? Als je router verkeer op port 80 naar port 51498 intern stuurt, dan verklaart dat waarom dit niet werkt....

  • iAR
  • Registratie: November 2000
  • Niet online
Shadow771 schreef op vrijdag 19 maart 2021 @ 10:07:
[...]


Dit kan ik geen port forwarding noemen. Dit zijn UPnP entries. UPnP vind ik persoonlijk onveilig aangezien je het openen van porten uit handen geeft en geen controle meer hebt..

Dus wat is bijv 51498 (row namen valt weg uit je screenshot)? Als je router verkeer op port 80 naar port 51498 intern stuurt, dan verklaart dat waarom dit niet werkt....
Je hebt gelijk. Ik keek naar 't eerste deel, ik zag het juiste IP en dee juist poort. Had de gekke poort helemaal gemist. Ik vraag me ook af wie dit erin zet. Daarom ik niet achter natuurlijk.
Een nieuwe regel met 80-80, werkt! Phew. Merci! :)
hans_lenze schreef op maandag 15 maart 2021 @ 17:31:
Stap 3:
Gebruik de Certbot van LetsEncrypt om voor elk domein een certificaat aan te vragen. Dit moet elke twee a drie maanden opnieuw dus je wilt dit automatiseren. Zie de verschillende handleidingen van de applicaties voor de installatie van elk certificaat op het juiste plekje.
Gaat het hier dan om het nas.synology.me of om *.mijndomein.ovh. Bij OVH kun je namelijk alleen een SSL certificaat plaatsen als je ook webhosting afneemt. En dat heb ik niet (nodig).

Acties:
  • +1Henk 'm!

  • Robbie T
  • Registratie: Februari 2006
  • Laatst online: 24-03 12:36
iAR schreef op vrijdag 19 maart 2021 @ 10:18:
[...]

Je hebt gelijk. Ik keek naar 't eerste deel, ik zag het juiste IP en dee juist poort. Had de gekke poort helemaal gemist. Ik vraag me ook af wie dit erin zet. Daarom ik niet achter natuurlijk.
Een nieuwe regel met 80-80, werkt! Phew. Merci! :)


[...]

Gaat het hier dan om het nas.synology.me of om *.mijndomein.ovh. Bij OVH kun je namelijk alleen een SSL certificaat plaatsen als je ook webhosting afneemt. En dat heb ik niet (nodig).
Je hebt de Certbot hier niet voor nodig. Ga binnen DSM naar configuratie -> Beveiliging -> certificaat en vraag daar een certificaat aan voor het subdomein (sab.mijndomein.ovh). Nadat je dit hebt aangevraagd klik je op configureren en wijs je het juiste certificaat toe. Verlenging gebeurd automatisch.

  • Shadow771
  • Registratie: December 2011
  • Laatst online: 11:06
iAR schreef op vrijdag 19 maart 2021 @ 10:18:
[...]
Had de gekke poort helemaal gemist. Ik vraag me ook af wie dit erin zet. Daarom ik niet achter natuurlijk.
Wanneer een apparaat (A) verbinding maakt met een andere apparaat ( B ), dan gaat dat (in het TCP protocol) altijd naar een (destination) port van die apparaat ( B ). Maar apparaat (A) stuurt zijn communicatie uit met een andere random (source) port .

Als jij bijv naar tweakers.net gaat, je apparaat gaat niet vanuit port 80/443 verbinden om contact te leggen met de webservers van tweakers.net op port 80/443 .
Dit had je UPNP dus opgepikt.
iAR schreef op vrijdag 19 maart 2021 @ 10:18:
Gaat het hier dan om het nas.synology.me of om *.mijndomein.ovh. Bij OVH kun je namelijk alleen een SSL certificaat plaatsen als je ook webhosting afneemt. En dat heb ik niet (nodig).
Dus je kan dan ook geen HTTP- of DNS-challenge methode doen? Dan zou ik een andere DNS provider nemen...

  • Robbie T
  • Registratie: Februari 2006
  • Laatst online: 24-03 12:36
Shadow771 schreef op vrijdag 19 maart 2021 @ 10:33:
[...]


Dus je kan dan geen HTTP- of DNS-challenge methode doen? Dan zou ik een andere DNS provider nemen...
Maar dat hoeft ook niet. Zolang het DNS record gevonden wordt (wat het geval is) dan kan dsm de rest afhandelen ;-)

[Voor 40% gewijzigd door Robbie T op 19-03-2021 10:47]


  • ndonkersloot
  • Registratie: September 2009
  • Laatst online: 20-03 16:39
Misschien heb je er wat aan misschien niet maar ik heb een keer in een reddit post uitgeschreven hoe ik mijn certificaten heb geautomatiseerd. Ik vraag een widlcard certificaat aan via let's encrypt (inmiddels gebruik ik zero ssl maar dat ter zijde) en die deploy ik automatisch naar DSM.

Dit bied de volgende voordelen:
1. Je hoeft port 80 en 443 niet open te hebben staan, de verificatie gaat via een DNS challenge.
2. Als je ooit een keer een nieuw container gaat draaien hoef je daar geen nieuw certificaat voor te regelen.

https://www.reddit.com/r/...crypt_certificate_renewal

Vervolgens kan je in Synology een reverse proxy inrichten via de built-in mogelijkheden die je zo te zien al ontdekt had.

Edit:
Ik heb nu alle posts is beter gelezen en denk dat dit complexer voor je is dan nodig :+ .
Volgens mij ben je er al met losse certificaten?

[Voor 9% gewijzigd door ndonkersloot op 19-03-2021 11:41]

Fujifilm X-T3 | XF16mm f/2.8 | XF35mm f/2.0 | Flickr: ndonkersloot


  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 01:27
Voordeel 3 van een wildcard DNS: Niet al je endpoints liggen op straat door certificate transparency.

Zie bijv. de uitgegeven certificaten op tweakers.net. Voorheen was dat widget.tweakers.net, pwm.tweakers.net, dsp.tweakers.net, faq.tweakers.net, ims.tweakers.net, .... Potentieel zijn dat endpoints die je niet zomaar wilt publiceren. Met een wildcard-certificaat voorkom je dat.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • hans_lenze
  • Registratie: Juli 2003
  • Laatst online: 25-03 13:09
iAR schreef op vrijdag 19 maart 2021 @ 10:18:
[...]

Gaat het hier dan om het nas.synology.me of om *.mijndomein.ovh. Bij OVH kun je namelijk alleen een SSL certificaat plaatsen als je ook webhosting afneemt. En dat heb ik niet (nodig).
Het gaat hier om een domeinnaam die uitkomt op/wijst naar je NAS. Daar kun je dan zelf met de Synology wizard een certificaat voor genereren. OVH heeft niets te maken met jouw NAS dus daar hoef je geen certificaat aan te vragen.

Volg de aanwijzingen van RobbyT en je gaat er komen! :)

while (! ( succeed = try ()));

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee