Https verbinding door Open VPN tunnel

[ddewit]

Ik heb een OpenVPN verbinding opgezet via het internet met mijn Nas op de werklocatie. De verbinding wordt automatisch opgestart en de NAS heeft op dat LAN het lokale IP: 10.0.1.48.

1) Als ik vervolgens in de browser thuis ingeef: https://10.0.1.48:5001 dan maak ik een https verbinding met de NAS door die via VPN?

2) Nu heb ik op mijn Nas een certificaat geinstaleerd welke werkt via een domein, of 1 subdomein. Als ik dan aankom met 10.0.1.48 ipv dat (sub)domein dan geeft die https dus een melding dat dit niet klopt.


Hoe kan ik ervoor zorgen dat het wel klopt. Door bijvoorbeeld nog een tweede certifictaat op de NAS te installeren van een ander (sub)domein wat via de DNS verijst naar 10.0.1.48?

[Babylonia]

Deze melding ken ik dan weer niet, maar met vergelijkbare meldingen als verschil met een IP-nummer en een DDNS domeinnaam waar dat ook dubbel wordt weergegeven, ik denk gewoon de keuze onderaan kiezen  "Doorgaan naar 10.0.1.48 (onveilig)".
Mogelijk komt er daarna dan een melding om het certificaat op te slaan.

[ddewit]

Het zelfde gebeurt als ik een https verbinding opzet naar de Router met het IP waar ik ook certificaat op heb draaien met een domeinnaam en een subdomeinnaam. Vanuit een IP lukt dat dus niet.


Hoe kan ik wel een beveiligde verbding maken op basis van ip, of werkt een SSL certificaat altijd op basis van een (sub)domeinnaam? Zo ja kan ik dan ook meerdere start ssl class 1 certificaten op een NAS installeren of kom je dan uit bij zo'n verified class 2/3 certificaat uit (https://www.startssl.com/?app=39)

[Babylonia]

Zo moeilijk maak ik het allemaal niet. Standaard zit er achterliggend een algemeen "zelf ondertekend" Synology certificaat.
Dat kun je nog naar eigen wens aanpassen met eigen naam erin e.d.   Heb ik tot nu toe niet gedaan. (Bij mijn NAS wel).
Als er een melding komt in een webbrowser, toestaan, opslaan. (Het wordt dan lokaal als opgeslagen certificaat opgeslagen).
Daarna komen er geen meldingen meer.

Toegang tot mijn router / NAS is strikt persoonlijk en mijn naaste gezinsleden. Die kennen de procedure.
Alleen als je grotere groepen mensen zou willen toelaten tot bijv. bestanden op een USB-drive achter de router, kun je daar misschien beter een meer officieel certificaat aan hangen. In de Help-bestanden staat vrij uitvoerig beschreven hoe het allemaal in zijn werk gaat.

[Hofstede]

Het probleem is dus dat je het IP nummer gebruikt en niet de naam die in het certificaat geregistreerd staat. Daar zit dus verschil tussen.

Simpelste oplossing is om op je PC in de hosts file het gebruikte IP nummer te koppelen aan de juiste naam. Dan kun je in de browser de naam gebruiken in plaats van het IP nummer en zal de browser niet meer mekkeren.

[ddewit]

Zou je zoiets ook kunnen doen door het draaien van een dns op de router?

[Briolet]

Of een duurder multi-domein certificaat aanschaffen, waar zowel het LAN-IP als de domeinnaam in staat.

In plaats van de hostfile op je PC aan te passen, kun je ook een DNS server op de server installeren en die dns via vpn gebruiken. (Via PPTP en L2TP gaat dat betrekkelijk simpel. Met OpenVPN heb ik het nog niet geprobeerd maar moet dat via de config file kunnen)

Het makkelijkste is inderdaad je browser vertellen dat die site toch vertrouwd is.

[ddewit]

Was toch al van plan om op de Synology router een DNS server te gaan draaien. Dat gaat dan versneld gebeuren. En inderdaad ook wel een duurder certificaat. Is een x alles goed doen..