Let's Encrypt SSL en webstation

[Briolet]

Ik wil gewoon dat iedereen in zijn adresbalk mijnnas.mijndomein.amsterdam kan invullen en dat je dan met een groen slotje bij de inlog pagina uitkomt.

Dat kan ook veel simpele als je toch geen website host. Gewoon in de router poort 443 forwarden naar poort 5001 intern.

Werkt perfect voor de gebruikers, maar elke bot die websites indexeert, zal ook jouw nas mee indexeren. Het voordeel van de reverse proxy is dat een poortscan op jouw IP adres, je DSM pagina nooit ziet, omdat je de DSM inlogpagina alleen ziet i.c.m. de bijbehorende domeinnaam.

Als je geen VPN wilt gebruiken, is dit gebruik van een reverse proxy ook een geschikte manier om je inlogpagina voor de standaard poortscanners te verbergen. Alleen jammer dat de DS apps op de telefoon juist poort 5001 als default poort gebruiken. (Tegen alle internet regels in) Als je poort 5000/5001 dicht zet op de router, moet je bij de DS apps steeds expliciet 80/443 erbij vermelden.

[Briolet]

En wat kies ik bij Bron --> Protocol, en Doel --> Protocol?

HTTP bij Bron en HTTPS bij doel?

Juist andersom. De bron is wat vanaf het internet binnenkomt. Daar wil je HTTPS verkeer. (Met certificaat) Het doel is een andere poort op de nas zelf. Dat kan gerust HTTP zijn, want dit verkeer blijft op de nas en gaat zelfs niet over je LAN.

En als je in de reverse-proxy ook HSTS aan zet, zal een browser na de eerste inlog met HTTPS onthouden dat deze site gecodeerde verbindingen wil en daarna automatisch een HTTP inlogpoging naar HTTPS omzetten.

[Proz]

Juist andersom. De bron is wat vanaf het internet binnenkomt. Daar wil je HTTPS verkeer. (Met certificaat) Het doel is een andere poort op de nas zelf. Dat kan gerust HTTP zijn, want dit verkeer blijft op de nas en gaat zelfs niet over je LAN.

ah vandaar dat het daarom alleen werkt. Beide HTTPS kan geen kwaad lijkt mij?

En met de reverse proxy is het dus eigenlijk veiliger dan die port forward van 443 naar 5001. Op zich wel fijn idee

[Proz]

Nogmaals dank voor het meedenken 

[Briolet]

Beide op HTTPS zetten kan geen kwaad, maar bedenk dat codering rekenkracht kost. Hij moet dan het binnenkomende verkeer ontsleutelen, weer coderen voor het interne default certificaat en dan weer intern ontsleutelen.

Een beetje overbodige moeite als het doel 'localhost' is, ook al zou je nas hardware encrypty ondersteunen. Bij Localhost als doel, zou ik alleen HTTP naar poort 5000 gebruiken. (doe ik in elk geval)

Off-topic:
De firewal kijkt naar de doelpoort. Dus ook al komt het verkeer extern via poort 443 binnen, voor de firewall is dit verkeer op poort 5000 en er gelden de ingestelde regels voor die poort. Het bron-IP voor de firewall is wel de externe bron en niet het IP van de reverse Proxy (dus niet de nas))

[Proz]

Als ik de doel op HTTP zet en naar poort 5000 óf 5001 dan krijg ik een bad request en kom ik niet bij de site.

Toch nog ergens iets niet goed staan dan ?

[Briolet]

Moet iets anders fout staan Ik benader mijn dsm inlogpagina al tijden met de volgende instelling:



Misschien begin je niet met een https inlog maar met http in je browser?

[Proz]

Hmm, als ik nu op een nieuwe computer het adres intyp mijnnas.mijndomein.nl dan blijft ie hangen en kom ik niet op de pagina terecht.
Alleen als ik :5001 of :443 erachter typ doet ie het wel. Daarna slaat ie het blijkbaar op in het cache want daarna hoef ik geen poort nummer meer te typen.
Ergens is dat natuurlijk wel veiliger voor de buitenwereld maar ik begrijp niet helemaal hoe dit precies werkt?

Nog even alles gecheckt en dit zijn nu mijn instellingen:

Op de router staan de poorten 443, 5000 en 5001 geforward naar de NAS in het LAN netwerk (poort 80 staat nu niet open, is dat erg?)
Op de NAS heb ik de volgende instellingen (zie bijlagen):

Volgens mij heb ik het nog niet helemaal goed staan dus...?

[dvandonkelaar]

Typ je in eerste instantie wel https://mijnnas.mijndomein.nl in plaats van mijnnas.mijndomein.nl?

[Briolet]

Poort 80 moet je altijd forwarden als je Let's Encrypt gebruikt.

Als je ook de eerste keer geen https wilt intikken, moet je ook een reverse proxy maken voor poort 80 en dan zorgen dat je een redirect naar de https poort maakt. Voor websites doe ik dat wel, maar dsm is voor een kleine groep gebruikers die de pagina maat met https moeten bookmarken.
Bovendien vraagt het op de nas ook wat extra instelwerk om een automatische redirect van http naar https te maken, omdat hij je dan standaard naar poort 5001 stuurt i.p.v. poort 443 die je wilt hebben. Om dat goed te krijgen moet je op de pagina voor "externe toegang", bij de optie "Advanced" de poorten 80 en 443 invullen. Samen met je domeinnaam. Op die manier zorg je er ook voor dat in alle mailtjes die gebruikers krijgen, ook deze url met de gewenste poorten verschijnt.



HSTS is een feature  die aan browsers doorgeeft dat ze de site een volgende keer direct met https moeten bezoeken, ook al begin je met http.  Dit wordt in de browser cache opgeslagen en blijft dus werken zolang je de cache niet wist. HSTS heeft ook een geldigheid van doorgaans een half jaar. Pas als je een site langer dan die periode niet bezocht hebt, werkt het ook niet meer.

HSTS is een bescherming tegen een MIT aanval door direct met http te beginnen. Als je nml een verbinding opzet vanuit het http protocol, kan een MIT-aanvaller het verkeer onderscheppen via een eigen certificaat, ook al staat de nas ingesteld om automatisch naar https om te schakelen.

[Proz]

Typ je in eerste instantie wel https://mijnnas.mijndomein.nl in plaats van mijnnas.mijndomein.nl?

Nee zonder. Als ik https erbij zet werkt het wel gewoon.

[Proz]

Wat als je poort 80 niet forward?
Want nu staat ie dicht, is dat niet veiliger? Ik kan de site wel gewoon bereiken als ik https ervoor invul.
Ik probeer te begrijpen wat er nou gebeurt als ik poort 80 dicht laat of wanneer ik m forward naar mijn NAS.

Qua veiligheid, maakt dat iets uit?

[Birdy]

Wat als je poort 80 niet forward?

Let's Encrypt zal een domeinvalidatie uitvoeren alvorens certificaten aan uw domeinen toe te wijzen.
Vergewis u ervan dat poort 80 van uw Synology NAS en router open staat voor domeinvalidatie via het Internet.
Elke andere communicatie met Let's Encrypt gaat over HTTPS om uw Synology NAS te beschermen.
De door Let's Encrypt verstrekte certificaten hebben een geldigheid van 90 dagen.
Voor dat de geldigheid van het certificaat vervalt, zal DSM automatisch dergelijke certificaten vernieuwen na een succesvolle domeinvalidatie.
Vergewis u ervan dat poort 80 van uw Synology NAS en router open staat om het certificaat te vernieuwen.

Bron.

[Briolet]

Die bron is gewoon de handleiding. Ik vind dat je dit als bekend mag veronderstellen als iemand Let's Encrypt gebruikt. Daarom wilde ik ook niet ingaan op die opmerking.