Via subdomein met router verbinden

[Babylonia]

Ik lees echter nergens met wat voor certificaat jullie dat getest hebben.

Getest met  512 bits (64 bytes) - 1024 bits (128 bytes) - 2048 bits (256 bytes) = standaard - 4096 bits (512 bytes)

Ik zal het nu eens gaan testen met IP-adressen.

[nelek]

Met alle veiligheidsrisico's voor lief nemend

Die zijn niet anders dan wat men hier probeert 

[Briolet]

Babylonia, ik bedoel niet de sleutellengte, maar het gebruikte handtekening algoritme. Zie ook: Google+Chrome+gaat+support+van+SHA-1-algoritme+afbouwen. Daar doet Chrome moeilijk over als dat op SHA-1 staat. Mijn foscam camera heeft b.v. een 2048-bits certificaat met SHA-1.

Safari op de Mac laat sha1 nog wel toe, maar ook daar kun je al in het ontwikkelmenu instellen om deze certificaten niet meer met een slotje af te beelden.

[Babylonia]

Als men de info van een certificaat bekijkt, zit er zowel een SHA-256 "vingerafdruk" bij, alsook een SHA-1 "vingerafdruk".
(Rechts van het plaatje maar hieronder niet afgebeeld de certificaatgegevens).



Hoe die SHA-1 "vingerafdruk" uit te schakelen of niet te gebruiken is me echter onduidelijk.
Er zijn geen aparte functies om dat in te stellen.

De menu's,  (met even de voorbedrukte voorbeelden gebruikt):

Het 1e menu:





Als dat is ingevuld en men verder gaat, komen in het volgende menu er twee regels bij, waar men naar ik begrijp de IP-adressen of DNS domeinnaam vastlegt. (Onderste regel evt. subdomeinen  / aliassen).





Opvallend is wel dat in het hoofdmenu waar men die certificaten instelt, bij de Synology router er niet wordt aangegeven welk handtekeningen algoritme wordt gebruikt. Bij een Synology NAS (DSM 5.2 op een DS415+) juist expliciet info wordt gegeven dat SHA-256 wordt gebruikt.
Echter als ik het gebruikte certificaat van de NAS opklik in het begin van de browserregel en de informatie bekijk, wordt ook daar vergelijkbare informatie getoond zoals helemaal bovenaan in dit bericht. Dus zowel gegevens achter SHA-256 alsook achter SHA-1 vingerafdruk.

Overigens in Crome geeft bij mij de IP van de NAS eveneens dezelfde foutmelding, en kom ik er niet in verder.

[Pippin]

Weet niet veel van certificaten i.c.m. webserver/browser maar zoals @Briolet  al zei gaat het om het handtekenings algoritme.
De fingerprint is een hash van het hele certificaat.

Het standaard handtekenings algoritme van Synology is SHA256 (sinds ik dacht DSM 5.2).
Onder SHA2 vallen: SHA224, SHA256, SHA384 en SHA512.

[Briolet]

Waarschijnlijk heb ik het toch mis dat het aan de handtekening moet liggen. Als ik nml via mijn WAN IP inlog op mijn nas, krijg ik het groene slotje ook niet voor elkaar. Blijkbaar werkt mijn multi-domein certificaat toch beter dan ik dacht. Ik heb er mijn domen in staan, maar ook alle subdomeinen via een wildcard, mijn synology naam en mijn interne IP. Inloggen via een van deze 4 namen geeft een groen slotje, via het wan-IP echter niet. Ook mijn 2e nas krijgt geen groen slotje als ik hem via zijn IP benader omdat dat IP ook niet in het certificaat staat.

Ik dacht dat het multi-domein deel nog niet goed werkte en iets miste omdat ik bij andere browsers nog steeds bij de eerste keer een toestemming moest geven. Chrome reageert er echter wel goed op.

NB het zelf maken van zo'n certificaat die meerdere domeinen en IP's beschermt, heb ik elders op deze site eens beschreven.

[Ds211]

kijken of het met .srv bestand kan zoals @Ds211 schreef. Wellicht kun je me wat op weg  helpen Ds211 daar ik totaal geen ervaring heb met srv bestanden.

ik heb een A record aangemaakt als in router.domeinnaam.nl en deze verwezen naar de Wan Ip van de Synology router..

nou zal eerlijk zijn maar ik heb een stomme fout gemaakt
srv is alleen voor applicaties zoals bericht systemen telefonie en bv spellen en niet voor http heb gisteren even een sub aangemaakt met srv en werkt idd niet

[ddewit]

Bij fxw (mijn hosting provider incl dns) kan dus niet in de dns forwarden naar ip mét poort maar wel een forward instellen naar ip met poort via een dns forward server. Dit kan cloaked dus dat werkt.

[Babylonia]

Met betrekking tot die certificaten waar @Briolet  eerder naar verwijst.
In dat draadje, onderste reactie heeft iemand een certificaat gekocht voor weinig.

Ik heb even bij mijn web hosting-provider gekeken, en kom als goedkoopste optie aan een "domein-validatie" voor net geen Euro p/maand.
Als ik een domein en cerificaat laat koppelen aan mijn eigen thuis WAN IP-adres, waarachter router en nas zitten, is dat mogelijk ook een optie.
(Moet het dan nog wel even bij de provider verifiëren of het als zodanig werkt zoals ik in gedachte heb).

[ddewit]

Misschien mis ik iets maar je kunt voor 1 domein met 1 subdomein een gratis jaarlijks certificaat maken hier:
https://www.startssl.com/?app=39

Hoe het werkt (handleiding) staat hier:
http://blog.mobile-harddisk.nl/tutorials/installatie-geldig-beveiligingscertificaat-op-synology-nas/

Werkt prima zolang je de (sub)domeinnaam in de adresbalk hebt.

[B3rt]

Bij fxw (mijn hosting provider incl dns) kan dus niet in de dns forwarden naar ip mét poort maar wel een forward instellen naar ip met poort via een dns forward server. Dit kan cloaked dus dat werkt.

Dit kan volgens mij wel....
In je domein menu zie je rechts onderaan beheer forwards en in het forward menu kun je url forwarding kiezen dacht ik.
Hier kun je dan een 301, 302 of frame forwarding instellen en deze laten verwijzen naar een url met poort.
bv: router.joudomein.nl laten doorsturen naar https://login.joudomein.nl:5001
Je maakt eerst een A record aan van het subdomein 'login' en verwijst dat naar jou publiek IP adres
Dan dus een forwarder van router.joudomein.nl ---> https://login.joudomein.nl:5001
Je kunt echter NIET van router.xxxx.xx naar https://router.xxxx.xx:port verwijzen, dit zou in een infinity loop resulteren.
Als het goed is zal dit binnen 24uur werken.

[ddewit]

@B3rt
 Ja klopt dat dit kan, dat schrijf ik ook. Het kan niet rechtstreeks in de DNS maar wel met de domein forward fuctie.
Hoewel ik zelf nog geen poort kan meegeven. Ik krijg dan een error:

Fout
Het url [ip]:8001 is onjuist.

maar FXW zelf kan het wel instellen. Zal morgen f vragen hoe ik het kan doen, en ook hoe ik de door hen aangemaakt forwards mét poort kan editten (namelijk die functie is er niet).

BTW zoals ik nu in het DNS zie moet je je A record niet wijzen naar je ip, maar naar de Forwardserver van FXW (85.92.140.136)

[B3rt]

dat klopt, alleen je kunt niet forwarden naar jezelf want die forward server is je subdomein en die forward dan weer naar zichzelf alleen op een andere poort........

dwz
router.xxxx.xx forwarden naar router.xxx.xx:port kan niet
wel:
login.xxxxx.xxx forwarden naar router.xxxx.xx:port

Maar je hebt gelijk dat het via de interface niet kan, fxw zelf heeft inderdaad veel meer opties en daarmee kan het wel.
Of ze het doen is een andere vraag want wat jij wil is eigenlijk helemaal geen DNS functionaliteit maar iets wat ze zelf gemaakt hebben, kan me voorstellen dat ze dat zo min mogelijk willen (mis)gebruiken etc..
Het antwoord wat ze gaven dat je via de DNS niet kan port forwarden klopt wel..


Ik heb het zelf veel anders opgelost (heb ook fxw dns), heb het via een .htaccess redirect gedaan zoals eerder omschreven.
Je hebt hetzelfde als ik, deze router en synology nas toch?

Ik heb het volgende gedaan:

activeer de webservice op je nas en maak een subdomein aan en forward poort 80 en 443 naar je NAS:
Maak aan op de NAS
router.joudomein.nl  verwijs deze naar mapje en de 'web' directory 'router' bv
In dat mapje zet je een .htaccess bestand met de code:
Redirect 302 / https://router.joudomein.nl:8001

Wat gebeurd er, je geeft de url in de browser https://router.joudomein.nl deze wordt geforward naar je NAS, daar komt ie uit in dat router mapje en apache voert het .htaccess bestand uit en redirect de bezoeker naar de url in de .htaccess
Daar het dezelfde url is kom je ook weer bij jou uit echter zet je browser er nu zelf 8001 achter en dan pakt je router hem op ipv de NAS

Heb je een andere poort dan wijzig je dat gewoon.
Dit kan je ook doen voor DSM mits je een andere subdomein gebruikt.
bv voor de router:
router.mijndomein.nl
en nas:
nas.mijndomein.nl
Voor beide maak je een (sub) domein aan in je NAS en zet je in een apart mapje met ieder zijn eigen .htaccess

Dit werkt perfect, gebruik dit al jaren zo....

In de DNS verwijs je alle A records naar je huis IP (moet je wel vast IP hebben) of via een cname naar je dyndns naam, als je subdomein eenmaal op jou publiek IP uitkomt en je router is ingesteld voor forwarding zal dit perfect werken...

Succes!

[Babylonia]

Methode met een  .htaccess  heb ik al eerder op gewezen, maar nog niet zelf uitgeprobeerd.

EDIT:
Inmiddels uitgeprobeerd.
Heeft hetzelfde effect als de eerder besproken methode met een redirect in een index.html bestand.

[ddewit]

ok thx.
maar dat is dus ongeveer hetzelfde als in de draad al besproken wordt. zie topic start

Ik heb dat eerder gemaakt voor mijn NAS via de beschrijving van Luke Vredeveld http://www.lukevredeveld.nl/wordpress/?p=234 maar in de RSM zie ik geen mogelijkheid om de virtuele server aan te maken en daar de doorwijzing naar de poort (8000 of 8001) goed te zetten.

"
of hier:

Ik doe het via virtal hosts, waar het volgende index bestand in staat:

Een nadeel is dat je dus afhankelijk bent van 2 apparaten. stel je nas staat uit; dan werkt het niet meer.

En kan dit ook cloaked, zodat de (sub)domeinnaam in de adresbalk blijft staan? Dit i.v.m. certficaten / beveiligde verbinding.

Weet iemand of je met een DNS van Synology (die dus ook op de router draait) wel kan verwijzen naar een ip mét poort?