Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Proz op 02 juli 2018, 13:26:20
-
Hi,
Ik wilde af van de "niet veilige" melding van Synology als ik mijn NAS wilde bereiken dus ik heb een Let's Encrypt SSL aangemaakt en ingesteld als standaard certificaat.
ik heb in het DNS record een A record toegevoegd om mijn NAS te benaderen: mijnnas.mijndomein.amsterdam
Ik heb een tutorial gevolgd waarin gezegd wordt dat ik web station moet hebben draaien op de NAS en poort 80 moet openzetten.
Ik heb dit gedaan maar als ik nu mijnnas.mijndomein.amsterdam intyp dan kom ik op een ladingspagina van Web Station met deze melding: "Web Station has been enabled. To finish setting up your website, please see the "Web Service" section of DSM Help."
Als ik mijnnas.mijndomein.amsterdam:5001 intyp dan kom ik wel op de inlog pagina terecht voor mijn NAS.
Het lijkt dus alsof de poortforward niet goed gaat ofzo?
Ik heb poort 80, 443 en 5000-5001 openstaan en geforward naar het interne ip van mijn NAS.
-
DSM luistert naar poort 5001 en niet naar poort 443 (of 80)
Bij Instellingen > Externe toegang > Geavanceerd zal je het volgende in moeten vullen om het werkend te krijgen:
Hostnaam of statische IP: mijnnas.mijndomein.amsterdam
DSM (HTTPS): 443
Als je dan verbind met http://mijnnas.mijndomein.amsterdam dan kom je wel op de inlogpagina uit.
-
Hmm nee dan krijg ik nog steeds die landingspagina te zien van Web station.
Ik heb wel het SSL certificaat aangemaakt toen ik het vinkje nog aan had staan bij HTTP omleiden naar HTTPS.
Maakt dat iets uit?
-
Ikzelf gebruik een reverse-proxy die mijnnas.mijndomein.nl:443 doorstuurt naar poort 5001. Dan kan ik ook zonder gebruikmaking van poortnummers gewoon op DSM inloggen. Elke andere url leidt dan wel naar de webpagina's van WebStation.
Maar heb jij WebStation geïnstalleerd? Zo niet is het vreemd dat hij daarmee probeert te verbinden.
-
Dit lezende zit ik ook even naar mijn reverse proxy te kijken. Deze oplossing heb ik inderdaad ook gebruikt om dit goed in te stellen.
De eerder door mij genoemde oplossing is volgens mij alleen voor het openen van bestanden in google docs en niet voor DSM. Excuus voor de verwarring.
-
Ikzelf gebruik een reverse-proxy die mijnnas.mijndomein.nl:443 doorstuurt naar poort 5001. Dan kan ik ook zonder gebruikmaking van poortnummers gewoon op DSM inloggen. Elke andere url leidt dan wel naar de webpagina's van WebStation.
Maar heb jij WebStation geïnstalleerd? Zo niet is het vreemd dat hij daarmee probeert te verbinden.
Ik had een tutorial gevolgd waarin stond dat ik webstation moest activeren en poort 80 moest openzetten om Let's Encrypt werkend te krijgen. Dus nee ik gebruik het niet.
Ik wil gewoon dat iedereen in zijn adresbalk mijnnas.mijndomein.amsterdam kan invullen en dat je dan met een groen slotje bij de inlog pagina uitkomt.
Moet ik dit doen middels de reverse proxy?
Welke poorten moet ik geforward hebben?
-
Dit kan inderdaad via reverse proxy ja.
In principe hoeft hier alleen poort 443 voor geforward te worden.
Bij bron adres voer je dan mijnnas.mijndomein.amsterdam in en bij bron poort 443.
Bij doel IP voer je localhost in en bij doel poort 5001.
-
En wat kies ik bij Bron --> Protocol, en Doel --> Protocol?
HTTP bij Bron en HTTPS bij doel?
-
Ja, je wil immers via HTTPS verbinden. Anders heb je geen certificaat nodig ;)
-
Ok ik snap t even niet. Wat vul ik bij hostnaam in (Bron)? mijnnas.mijndomein.nl? dan krijg ik de melding dat dit de doelnaam al gebruikt wordt.
-
Een voor de hand liggende vraag, heb je die dan niet al ergens anders gebruikt?
-
Als ik poort 80 invul ipv 443 redirect ie m wel door naar 5001.
Ik zou niet weten waar ik m verder gebruik? Ik heb een SSL certificaat gemaakt voor mijnnas.mijndomein.nl en verder niks.
-
Op mijn mac schakelt met chrome ie wel naar 5001 door maar op safari krijg ik een niet veilige verbinding.
Andere computers worden ook niet gepusht naar HTTPS.
Snap er niks van
-
Ok nu doet ie het opeens wel.
Bij Bron heb ik HTTPS en poort 443 staan.
Bij doel ook HTTPS, localhost en poort 5001.
als ik nu naar mijnnas.mijndomein.nl ga stuurt ie m door naar de beveiligde HTTPS verbinding.
Toch snap ik het nog niet helemaal...
-
Hoe veilig is het nou eigenlijk als ik vanuit huis ga werken op de NAS die op kantoor staat?
admin account is uitgeschakeld en dus nu SSL certificaat.
Of zou je eigenlijk alleen met VPN moeten verbinden vanuit buiten?
-
Ik wil gewoon dat iedereen in zijn adresbalk mijnnas.mijndomein.amsterdam kan invullen en dat je dan met een groen slotje bij de inlog pagina uitkomt.
Dat kan ook veel simpele als je toch geen website host. Gewoon in de router poort 443 forwarden naar poort 5001 intern.
Werkt perfect voor de gebruikers, maar elke bot die websites indexeert, zal ook jouw nas mee indexeren. Het voordeel van de reverse proxy is dat een poortscan op jouw IP adres, je DSM pagina nooit ziet, omdat je de DSM inlogpagina alleen ziet i.c.m. de bijbehorende domeinnaam.
Als je geen VPN wilt gebruiken, is dit gebruik van een reverse proxy ook een geschikte manier om je inlogpagina voor de standaard poortscanners te verbergen. Alleen jammer dat de DS apps op de telefoon juist poort 5001 als default poort gebruiken. (Tegen alle internet regels in) Als je poort 5000/5001 dicht zet op de router, moet je bij de DS apps steeds expliciet 80/443 erbij vermelden.
-
En wat kies ik bij Bron --> Protocol, en Doel --> Protocol?
HTTP bij Bron en HTTPS bij doel?
Juist andersom. De bron is wat vanaf het internet binnenkomt. Daar wil je HTTPS verkeer. (Met certificaat) Het doel is een andere poort op de nas zelf. Dat kan gerust HTTP zijn, want dit verkeer blijft op de nas en gaat zelfs niet over je LAN.
En als je in de reverse-proxy ook HSTS aan zet, zal een browser na de eerste inlog met HTTPS onthouden dat deze site gecodeerde verbindingen wil en daarna automatisch een HTTP inlogpoging naar HTTPS omzetten.
-
Juist andersom. De bron is wat vanaf het internet binnenkomt. Daar wil je HTTPS verkeer. (Met certificaat) Het doel is een andere poort op de nas zelf. Dat kan gerust HTTP zijn, want dit verkeer blijft op de nas en gaat zelfs niet over je LAN.
ah vandaar dat het daarom alleen werkt. Beide HTTPS kan geen kwaad lijkt mij?
En met de reverse proxy is het dus eigenlijk veiliger dan die port forward van 443 naar 5001. Op zich wel fijn idee :)
-
Nogmaals dank voor het meedenken ;)
-
Beide op HTTPS zetten kan geen kwaad, maar bedenk dat codering rekenkracht kost. Hij moet dan het binnenkomende verkeer ontsleutelen, weer coderen voor het interne default certificaat en dan weer intern ontsleutelen.
Een beetje overbodige moeite als het doel 'localhost' is, ook al zou je nas hardware encrypty ondersteunen. Bij Localhost als doel, zou ik alleen HTTP naar poort 5000 gebruiken. (doe ik in elk geval)
Off-topic:
De firewal kijkt naar de doelpoort. Dus ook al komt het verkeer extern via poort 443 binnen, voor de firewall is dit verkeer op poort 5000 en er gelden de ingestelde regels voor die poort. Het bron-IP voor de firewall is wel de externe bron en niet het IP van de reverse Proxy (dus niet de nas))
-
Als ik de doel op HTTP zet en naar poort 5000 óf 5001 dan krijg ik een bad request en kom ik niet bij de site.
Toch nog ergens iets niet goed staan dan ?
-
Moet iets anders fout staan Ik benader mijn dsm inlogpagina al tijden met de volgende instelling:
[attachimg=1]
Misschien begin je niet met een https inlog maar met http in je browser?
-
Hmm, als ik nu op een nieuwe computer het adres intyp mijnnas.mijndomein.nl dan blijft ie hangen en kom ik niet op de pagina terecht.
Alleen als ik :5001 of :443 erachter typ doet ie het wel. Daarna slaat ie het blijkbaar op in het cache want daarna hoef ik geen poort nummer meer te typen.
Ergens is dat natuurlijk wel veiliger voor de buitenwereld maar ik begrijp niet helemaal hoe dit precies werkt?
Nog even alles gecheckt en dit zijn nu mijn instellingen:
Op de router staan de poorten 443, 5000 en 5001 geforward naar de NAS in het LAN netwerk (poort 80 staat nu niet open, is dat erg?)
Op de NAS heb ik de volgende instellingen (zie bijlagen):
Volgens mij heb ik het nog niet helemaal goed staan dus...?
-
Typ je in eerste instantie wel https://mijnnas.mijndomein.nl in plaats van mijnnas.mijndomein.nl?
-
Poort 80 moet je altijd forwarden als je Let's Encrypt gebruikt.
Als je ook de eerste keer geen https wilt intikken, moet je ook een reverse proxy maken voor poort 80 en dan zorgen dat je een redirect naar de https poort maakt. Voor websites doe ik dat wel, maar dsm is voor een kleine groep gebruikers die de pagina maat met https moeten bookmarken.
Bovendien vraagt het op de nas ook wat extra instelwerk om een automatische redirect van http naar https te maken, omdat hij je dan standaard naar poort 5001 stuurt i.p.v. poort 443 die je wilt hebben. Om dat goed te krijgen moet je op de pagina voor "externe toegang", bij de optie "Advanced" de poorten 80 en 443 invullen. Samen met je domeinnaam. Op die manier zorg je er ook voor dat in alle mailtjes die gebruikers krijgen, ook deze url met de gewenste poorten verschijnt.
HSTS is een feature die aan browsers doorgeeft dat ze de site een volgende keer direct met https moeten bezoeken, ook al begin je met http. Dit wordt in de browser cache opgeslagen en blijft dus werken zolang je de cache niet wist. HSTS heeft ook een geldigheid van doorgaans een half jaar. Pas als je een site langer dan die periode niet bezocht hebt, werkt het ook niet meer.
HSTS is een bescherming tegen een MIT aanval door direct met http te beginnen. Als je nml een verbinding opzet vanuit het http protocol, kan een MIT-aanvaller het verkeer onderscheppen via een eigen certificaat, ook al staat de nas ingesteld om automatisch naar https om te schakelen.
-
Typ je in eerste instantie wel https://mijnnas.mijndomein.nl in plaats van mijnnas.mijndomein.nl?
Nee zonder. Als ik https erbij zet werkt het wel gewoon.
-
Wat als je poort 80 niet forward?
Want nu staat ie dicht, is dat niet veiliger? Ik kan de site wel gewoon bereiken als ik https ervoor invul.
Ik probeer te begrijpen wat er nou gebeurt als ik poort 80 dicht laat of wanneer ik m forward naar mijn NAS.
Qua veiligheid, maakt dat iets uit?
-
Wat als je poort 80 niet forward?
Let's Encrypt zal een domeinvalidatie uitvoeren alvorens certificaten aan uw domeinen toe te wijzen.
Vergewis u ervan dat poort 80 van uw Synology NAS en router open staat voor domeinvalidatie via het Internet.
Elke andere communicatie met Let's Encrypt gaat over HTTPS om uw Synology NAS te beschermen.
De door Let's Encrypt verstrekte certificaten hebben een geldigheid van 90 dagen.
Voor dat de geldigheid van het certificaat vervalt, zal DSM automatisch dergelijke certificaten vernieuwen na een succesvolle domeinvalidatie.
Vergewis u ervan dat poort 80 van uw Synology NAS en router open staat om het certificaat te vernieuwen.
Bron. (https://www.synology.com/nl-nl/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate)
-
Die bron is gewoon de handleiding. Ik vind dat je dit als bekend mag veronderstellen als iemand Let's Encrypt gebruikt. Daarom wilde ik ook niet ingaan op die opmerking.