Probleem met Toepassingsportaal en certificaten.

[Briolet]

Hier een oplossing voor een heel specifiek probleem waar waarschijnlijk weinigen tegenaan lopen.

In toepassingsportaal heb ik een domeinnaam ingesteld om Surveillance Station te bereiken. Vervolgens heb ik via Certificaten een certificaat van Let's Encrypt aan deze domeinnaam gekoppeld.

Dit werkt perfect op mijn PC, maar eens per 3 maand geeft DS-Cam op mijn telefoon een certificaat waarschuwing vanwege het updaten. Dit irriteert me al een jaar maar ik kon nooit de oorzaak vinden. Vooral ook omdat DS-Cam alleen een vingerprint van het certificaat geeft en niet de gebruikte domeinnaam. Ik had al een tijdje het idee dat DS-Cam een verkeerd certificaat gebruikt, maar vandaag vond ik de reden. In mijn optiek is dit een bug in toepassingsportaal.

Als je domeinnamen instelt, zijn dit feitelijk reverse proxys.



Ik kwam er net achter dat die reverse proxy alleen aangemaakt wordt voor "cam.mijndomein.nl:80" en "cam.mijndomein.nl:443". Maar voor "cam.mijndomein.nl:9901" wordt er geen reverse proxy aangemaakt. Als je dus een certificaat aan "cam.mijndomein.nl" koppelt, gebeurd dat alleen voor toegang via poort 443.
Als je echter via poort 9901 binnenkomt, dan wordt het default certificaat gebruikt. En bij mij is dat een ander certificaat.
Safari geeft tegenwoordig het volgende scherm. (Nieuw sinds de update naar versie 11)



DS-Cam gebruikt default echter poort 5000/5001. Voor poort 5001 wordt er ook geen reverse proxy aangemaakt, waardoor DS-Cam ook het default certificaat gebruikt.

Dit moet opgelost worden door in de "Reverse Proxy" tab een extra proxy te maken voor poort 5001 naar poort 9900. (En eventueel ook 9901 naar 9900) Deze proxy voor poort 5001 verschijnt nu ook tussen de certificaten en kun je koppelen aan het gewenste certificaat.

Ik heb het net getest en met Safari kan ik nu ook met "cam.mijndomein.nl:9901" inloggen.

Gedeeltelijk ontstaat dit probleem ook doordat de DS apps op de telefoon bij een https verbinding als default niet poort 443 gebruiken, maar de speciale poorten. Wil je dat de app via poort 443 binnenkomt, moet je dat expliciet aan de url toevoegen.

[Niels37]

citaat van briolet : DS-Cam gebruikt default echter poort 5000/5001. Voor poort 5001 wordt er ook geen reverse proxy aangemaakt, waardoor DS-Cam ook het default certificaat gebruikt.
Dit moet opgelost worden door in de "Reverse Proxy" tab een extra proxy te maken voor poort 5001 naar poort 9900. (En eventueel ook 9901 naar 9900) Deze proxy voor poort 5001 verschijnt nu ook tussen de certificaten en kun je koppelen aan het gewenste certificaat.
Ik heb het net getest en met Safari kan ik nu ook met "cam.mijndomein.nl:9901" inloggen.


Heb je deze extra reverse proxy regel gemaakt voor cam.mijndomein.nl ook nodig indien je een gekocht wildcard certificaat hebt ?


Begrijp ik het volgende goed qua gedachten gang ? Wil graag weten of het klopt wat ik denk hoe t werkt ( ff van die CAM uitgaande) :

url http://cam.mijndomein.nl OF https://cam.mijndomein.nl ( zonder poort nummer) --> klopt over poort 80 respectievelijk 443 aan bij router -->poort 80 respectievelijk 443 is forwarded naar IP NAS op poort 80 respectievelijk 443--> je komt uit op de CAM inlogpagina ( surveilance)! Indien geen ssl certificaat dan geeft browser fouten aan , wat klopt ! Ook als je in DSM http omleidt naar https hebt aangevinkt staan!



Echter in TOEPASSINGSPORTAAL bij de toepassing CAM  ( indien je dit aanvinkt uiteraard) wordt er een aangepaste poort geactiveerd , te weten http 9900 cq https 9901,de zogenoemde reverse proxy regel dus.
Deze zorgt er dus voor dat, indien je, vanuitgaande https  9901 achter de url tikt :
A : IN het LAN er direct naar de Toepassing gegaan wordt ( dit werkt dit heb ik geprobeerd)

B : Vanaf externe lokatie je over poort 9901 op de inlogpagina komt van deze toepassing ipv over de 443 poort ( standaard bij intikken url zonder 443 erachter). Dit werkt ook maar zie er zelf NU  het nut niet van in.

C : De app DS-CAM gaat over de standaard poorten 5000 en 5001 volgens Synology, dus indien je GEEN portforwarding voor deze poorten hebt gedaan in je router ( 5000 naar 5000 OF naar een andere door jou ingestelde standaard DSM poort), zou DSCAM app NIET moeten werken.  Ook dit geprobeerd, zonder werkt DS CAM Niet en met portforwarding  werkt DS CAM wel.


Snap nu opeens niet meer waarom ik niet op mijn ds.mijndomein.nl kan komen via url op mijn mobiel, welke via 4 g verbonden is ( wifi staat uit). Heb jij voor mij een voorbeeld , mits je dat zelf hebt natuurlijk, dan kan ik dat ff hier proberen.

Zie afbeeldingen ( weet overigens niet hoe ik de afbeeldingen tussendoor de tekst hier krijg ipv helemaal onderaan)

alvast bedankt voor het meedenken. Mijn hersenen zijn nu 

[Briolet]

Heb je deze extra reverse proxy regel gemaakt voor cam.mijndomein.nl ook nodig indien je een gekocht wildcard certificaat hebt ?

Het probleem treed op als je meerdere certificaten gebruikt en voor cam.mijndomein.nl niet het default certificaat gebruikt.

Dat geldt dus ook voor een wildcard certificaat. Alleen heb je bij een wildcard niet zo snel de behoefte om meerdere certificaten te gebruiken. Bij let's encrypt laat Synology maar 256 tekens toe voor de beveiligde domeinen. Dat zijn ca 10 verschillende subdomeinen. Jammer want Let's Encrypt zelf laat wel 100 domeinen toe per certificaat.

Edit: Let's Encrypt heeft aangekondigd dat ze vanaf 2018 ook wildcards gaan toestaan. Dat maakt het een stuk simpeler met veel subdomeinen die allen naar de nas wijzen.