Auteur Topic: Let's Encrypt SSL en webstation  (gelezen 7475 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Let's Encrypt SSL en webstation
« Reactie #15 Gepost op: 02 juli 2018, 15:37:08 »
Ik wil gewoon dat iedereen in zijn adresbalk mijnnas.mijndomein.amsterdam kan invullen en dat je dan met een groen slotje bij de inlog pagina uitkomt.

Dat kan ook veel simpele als je toch geen website host. Gewoon in de router poort 443 forwarden naar poort 5001 intern.

Werkt perfect voor de gebruikers, maar elke bot die websites indexeert, zal ook jouw nas mee indexeren. Het voordeel van de reverse proxy is dat een poortscan op jouw IP adres, je DSM pagina nooit ziet, omdat je de DSM inlogpagina alleen ziet i.c.m. de bijbehorende domeinnaam.

Als je geen VPN wilt gebruiken, is dit gebruik van een reverse proxy ook een geschikte manier om je inlogpagina voor de standaard poortscanners te verbergen. Alleen jammer dat de DS apps op de telefoon juist poort 5001 als default poort gebruiken. (Tegen alle internet regels in) Als je poort 5000/5001 dicht zet op de router, moet je bij de DS apps steeds expliciet 80/443 erbij vermelden.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Gemarkeerd als beste antwoord door Prosper Gepost op 02 juli 2018, 15:50:20

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Let's Encrypt SSL en webstation
« Reactie #16 Gepost op: 02 juli 2018, 15:39:45 »
En wat kies ik bij Bron --> Protocol, en Doel --> Protocol?

HTTP bij Bron en HTTPS bij doel?

Juist andersom. De bron is wat vanaf het internet binnenkomt. Daar wil je HTTPS verkeer. (Met certificaat) Het doel is een andere poort op de nas zelf. Dat kan gerust HTTP zijn, want dit verkeer blijft op de nas en gaat zelfs niet over je LAN.

En als je in de reverse-proxy ook HSTS aan zet, zal een browser na de eerste inlog met HTTPS onthouden dat deze site gecodeerde verbindingen wil en daarna automatisch een HTTP inlogpoging naar HTTPS omzetten.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Proz

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 124
Re: Let's Encrypt SSL en webstation
« Reactie #17 Gepost op: 02 juli 2018, 15:46:34 »
Juist andersom. De bron is wat vanaf het internet binnenkomt. Daar wil je HTTPS verkeer. (Met certificaat) Het doel is een andere poort op de nas zelf. Dat kan gerust HTTP zijn, want dit verkeer blijft op de nas en gaat zelfs niet over je LAN.

ah vandaar dat het daarom alleen werkt. Beide HTTPS kan geen kwaad lijkt mij?

En met de reverse proxy is het dus eigenlijk veiliger dan die port forward van 443 naar 5001. Op zich wel fijn idee :)
  • Mijn Synology: DS1817+
  • HDD's: 3xWD60EFRX
  • Extra's: 2x850EVO 512GB Cache

Offline Proz

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 124
Re: Let's Encrypt SSL en webstation
« Reactie #18 Gepost op: 02 juli 2018, 15:50:40 »
Nogmaals dank voor het meedenken  ;)
  • Mijn Synology: DS1817+
  • HDD's: 3xWD60EFRX
  • Extra's: 2x850EVO 512GB Cache

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Let's Encrypt SSL en webstation
« Reactie #19 Gepost op: 02 juli 2018, 15:54:11 »
Beide op HTTPS zetten kan geen kwaad, maar bedenk dat codering rekenkracht kost. Hij moet dan het binnenkomende verkeer ontsleutelen, weer coderen voor het interne default certificaat en dan weer intern ontsleutelen.

Een beetje overbodige moeite als het doel 'localhost' is, ook al zou je nas hardware encrypty ondersteunen. Bij Localhost als doel, zou ik alleen HTTP naar poort 5000 gebruiken. (doe ik in elk geval)

Off-topic:
De firewal kijkt naar de doelpoort. Dus ook al komt het verkeer extern via poort 443 binnen, voor de firewall is dit verkeer op poort 5000 en er gelden de ingestelde regels voor die poort. Het bron-IP voor de firewall is wel de externe bron en niet het IP van de reverse Proxy (dus niet de nas))
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Proz

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 124
Re: Let's Encrypt SSL en webstation
« Reactie #20 Gepost op: 02 juli 2018, 16:08:17 »
Als ik de doel op HTTP zet en naar poort 5000 óf 5001 dan krijg ik een bad request en kom ik niet bij de site.

Toch nog ergens iets niet goed staan dan ?
  • Mijn Synology: DS1817+
  • HDD's: 3xWD60EFRX
  • Extra's: 2x850EVO 512GB Cache

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Let's Encrypt SSL en webstation
« Reactie #21 Gepost op: 02 juli 2018, 17:13:31 »
Moet iets anders fout staan Ik benader mijn dsm inlogpagina al tijden met de volgende instelling:



Misschien begin je niet met een https inlog maar met http in je browser?
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Proz

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 124
Re: Let's Encrypt SSL en webstation
« Reactie #22 Gepost op: 03 juli 2018, 11:08:43 »
Hmm, als ik nu op een nieuwe computer het adres intyp mijnnas.mijndomein.nl dan blijft ie hangen en kom ik niet op de pagina terecht.
Alleen als ik :5001 of :443 erachter typ doet ie het wel. Daarna slaat ie het blijkbaar op in het cache want daarna hoef ik geen poort nummer meer te typen.
Ergens is dat natuurlijk wel veiliger voor de buitenwereld maar ik begrijp niet helemaal hoe dit precies werkt?

Nog even alles gecheckt en dit zijn nu mijn instellingen:

Op de router staan de poorten 443, 5000 en 5001 geforward naar de NAS in het LAN netwerk (poort 80 staat nu niet open, is dat erg?)
Op de NAS heb ik de volgende instellingen (zie bijlagen):

Volgens mij heb ik het nog niet helemaal goed staan dus...?
  • Mijn Synology: DS1817+
  • HDD's: 3xWD60EFRX
  • Extra's: 2x850EVO 512GB Cache

Offline dvandonkelaar

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 161
  • Berichten: 937
Re: Let's Encrypt SSL en webstation
« Reactie #23 Gepost op: 03 juli 2018, 11:13:51 »
Typ je in eerste instantie wel https://mijnnas.mijndomein.nl in plaats van mijnnas.mijndomein.nl?
--
dvandonkelaar

DS415+ 8GB | 2xWD30EZRX en 2xWD30EFRX | RAID5 EXT4 [Productie]
DS211J | 2x WD20EZRZ | RAID1 EXT4 [Backup]
Eaton Ellipse PRO 650 DIN (Schuko)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Let's Encrypt SSL en webstation
« Reactie #24 Gepost op: 03 juli 2018, 11:54:43 »
Poort 80 moet je altijd forwarden als je Let's Encrypt gebruikt.

Als je ook de eerste keer geen https wilt intikken, moet je ook een reverse proxy maken voor poort 80 en dan zorgen dat je een redirect naar de https poort maakt. Voor websites doe ik dat wel, maar dsm is voor een kleine groep gebruikers die de pagina maat met https moeten bookmarken.
Bovendien vraagt het op de nas ook wat extra instelwerk om een automatische redirect van http naar https te maken, omdat hij je dan standaard naar poort 5001 stuurt i.p.v. poort 443 die je wilt hebben. Om dat goed te krijgen moet je op de pagina voor "externe toegang", bij de optie "Advanced" de poorten 80 en 443 invullen. Samen met je domeinnaam. Op die manier zorg je er ook voor dat in alle mailtjes die gebruikers krijgen, ook deze url met de gewenste poorten verschijnt.



HSTS is een feature  die aan browsers doorgeeft dat ze de site een volgende keer direct met https moeten bezoeken, ook al begin je met http.  Dit wordt in de browser cache opgeslagen en blijft dus werken zolang je de cache niet wist. HSTS heeft ook een geldigheid van doorgaans een half jaar. Pas als je een site langer dan die periode niet bezocht hebt, werkt het ook niet meer.

HSTS is een bescherming tegen een MIT aanval door direct met http te beginnen. Als je nml een verbinding opzet vanuit het http protocol, kan een MIT-aanvaller het verkeer onderscheppen via een eigen certificaat, ook al staat de nas ingesteld om automatisch naar https om te schakelen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Proz

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 124
Re: Let's Encrypt SSL en webstation
« Reactie #25 Gepost op: 04 juli 2018, 10:25:40 »
Typ je in eerste instantie wel https://mijnnas.mijndomein.nl in plaats van mijnnas.mijndomein.nl?

Nee zonder. Als ik https erbij zet werkt het wel gewoon.
  • Mijn Synology: DS1817+
  • HDD's: 3xWD60EFRX
  • Extra's: 2x850EVO 512GB Cache

Offline Proz

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 1
  • Berichten: 124
Re: Let's Encrypt SSL en webstation
« Reactie #26 Gepost op: 04 juli 2018, 10:48:23 »
Wat als je poort 80 niet forward?
Want nu staat ie dicht, is dat niet veiliger? Ik kan de site wel gewoon bereiken als ik https ervoor invul.
Ik probeer te begrijpen wat er nou gebeurt als ik poort 80 dicht laat of wanneer ik m forward naar mijn NAS.

Qua veiligheid, maakt dat iets uit?
  • Mijn Synology: DS1817+
  • HDD's: 3xWD60EFRX
  • Extra's: 2x850EVO 512GB Cache

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.169
  • Fijne feestdagen.......
    • Truebase
Re: Let's Encrypt SSL en webstation
« Reactie #27 Gepost op: 04 juli 2018, 12:14:42 »
Wat als je poort 80 niet forward?

Citaat
Let's Encrypt zal een domeinvalidatie uitvoeren alvorens certificaten aan uw domeinen toe te wijzen.
Vergewis u ervan dat poort 80 van uw Synology NAS en router open staat voor domeinvalidatie via het Internet.
Elke andere communicatie met Let's Encrypt gaat over HTTPS om uw Synology NAS te beschermen.
De door Let's Encrypt verstrekte certificaten hebben een geldigheid van 90 dagen.
Voor dat de geldigheid van het certificaat vervalt, zal DSM automatisch dergelijke certificaten vernieuwen na een succesvolle domeinvalidatie.
Vergewis u ervan dat poort 80 van uw Synology NAS en router open staat om het certificaat te vernieuwen.

Bron.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Let's Encrypt SSL en webstation
« Reactie #28 Gepost op: 04 juli 2018, 14:44:12 »
Die bron is gewoon de handleiding. Ik vind dat je dit als bekend mag veronderstellen als iemand Let's Encrypt gebruikt. Daarom wilde ik ook niet ingaan op die opmerking.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

SSL certificaat van Let's Encrypt voor aanvullende services

Gestart door mc_Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 8
Gelezen: 3717
Laatste bericht 20 december 2017, 14:28:24
door Briolet
Let's Encrypt: Certificaat verlopen, lukt niet om te vernieuwen.

Gestart door NelissuhBoard Synology DSM algemeen

Reacties: 3
Gelezen: 514
Laatste bericht 05 juli 2024, 09:21:11
door Briolet
Webstation map verwijderd

Gestart door joudenBoard Web Station

Reacties: 8
Gelezen: 3228
Laatste bericht 01 februari 2016, 20:55:29
door jouden
Nieuwe validatie door Let's Encrypt

Gestart door BrioletBoard Synology DSM algemeen

Reacties: 0
Gelezen: 593
Laatste bericht 22 februari 2020, 11:53:15
door Briolet
Let's encrypt op twee diskstations in zelfde netwerk wens, is dit mogelijk ?

Gestart door florisvnBoard Synology DSM algemeen

Reacties: 4
Gelezen: 1962
Laatste bericht 02 juli 2018, 12:29:55
door Briolet