Let's encrypt op twee diskstations in zelfde netwerk wens, is dit mogelijk ?

[florisvn]

Dag allemaal,


Ik zit met een vraag namens een klant van ons, welke 2 Synology NAS systemen heeft draaien in hetzelfde netwerk op dezelfde lokatie.
Graag willen wij let's encrypt certificaten toevoegen op beide diskstations (1511+).
Echter moet poort 80 hiervoor worden geopend, en dit kan maar naar 1 diskstation tegelijkertijd.

( info https://www.synology.com/nl-nl/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate )

Let's Encrypt zal een domeinvalidatie uitvoeren alvorens certificaten aan uw domeinen toe te wijzen. Vergewis u ervan dat poort 80 van uw Synology NAS en router open staat voor domeinvalidatie via het Internet. Elke andere communicatie met Let's Encrypt gaat over HTTPS om uw Synology NAS te beschermen.


Is er mischien alsnog een mogelijkheid of truuk, om beide diskstations te voorzien tegelijkerteijd van let's encrypt ceritificaat. ?
En dus ook dat ze automatisch vernieuwen, zonder handmatige handelingen.. ?

mischien kan er bijv. iets met webstation worden gedaan, om dit voor elkaar te krijgen.. ?

Heeft iemand van jullie hier een oplossing voor ons.. ?

Ik hoor graag van jullie, bedankt bij deze,

gr. Floris

[dvandonkelaar]

Het is denk ik het handigst om hiervoor een reverse proxy te maken. (instellingen > toepassingsportaal > reverse proxy)
Zelf gebruik ik dit ook en werkt naar mijn eisen/wensen. Voordeel is dat maar één poort geforward hoeft te worden en maar één certificaat gemaakt hoeft te worden.

[florisvn]

Hoi,

Dank voor je snelle bericht.

Ik ben wezen kijken in de instellingen, en vermoed dat mijn reverse proxy-regel mogelijk goed is.. ?
zie a.u.b bijgevoegde voorbeeld.

Ik verwijs hiermee poort 80 door naar de tweede NAS welke op lokaal IP : 192.168.1.4 staat.
of doe ik hier nog iets fout... ?

Ik hoor graag van je, bedankt !

[dvandonkelaar]

Het bestemming gedeelte is correct. Voor de rest moet ook nog wat ingevoerd worden natuurlijk.
Hieronder een voorbeeldje van een reverse proxy uit mijn setup.


bij protocol specificeer je HTTPS, je wil immers het certificaat gebruiken.
Bij Bron specificeer je welke hostname doorgestuurd moet worden. Hierbij heb ik mijn router als voorbeeld gebruikt (dit is natuurlijk tijdelijk voor deze test).
Daarbij de poort waarmee je naar die hostname wil verbinden, in dit geval poort 443.

Wanneer je dit zal testen zal de verbinding nog steeds als onveilig worden beschouwd.
Bij instellingen > certificaat kun je op configureren klikken. De aangemaakte reverse proxy staat nu in de lijst en kan hier worden geselecteerd.

[Briolet]

Voor de duidelijkheid:

De certificaataanvraag via een Reverse Proxy werkt goed. (heb ik ooit eens getest) Dan hoef je alleen poort 80 via het http protocol door te sturen.

Als je de 2e nas, na de certificaat aanvraag, ook via een reverse proxy wilt benaderen, moet je de certificaat aanvraag doen vanaf de nas waar de reverse proxy staat.

Zelf heb ik het ook zo ingericht dat ik het domein dsm2.mijndomein.nl:443 via een reverse proxy met https doorstuur naar poort 5001 van mijn tweede nas. Het certificaat wat de buitenwereld ziet staat dan op de eerste nas, want de buitenwereld communiceert met de reverse proxy op nas 1 daarna is het intern en kun je ook http verkeer gebruiken als je wilt.