FritzBOX 7590, DynDNS und Zertifikat

[Wonko]

Hallo,

ich habe bei mir eine Synology NAS hinter der FritzBox und diese mit DynDNS von noip.com öffentlich erreichbar gemacht. Das klappt auch alles, nur kommt jetzt immer die Meldung, die Verbindung sei nicht sicher.

In der FritzBox ist zwar ein erfolgreich erstelltest Zertifikat von letsencrypt.org hinterlegt, aber ich vermute, das spielt keine Rolle, da die Anfrage ja an noip.com geht.

Laut dieser Anleitung muss ich ein Zertifikat kaufen und installieren, zuvor aber nach dieser Anleitung eine Zertifikatsanforderung erstellen. In der Anleitung ist dazu die Vorgehensweise für alle möglichen Server beschrieben, aber eben nicht für eine FritzBox.

Da mich das Thema Zertifikate schon immer überfordert hat, meine Frage, ob die Vorgehensweise überhaupt richtig ist und wie ich gfls. diese Zertifikatsanforderung erstelle. Oder gibt es noch eine ganz anderes Vorgehen, um die Verbindung sicher zu machen.

Vielen Dank für Eure Hilfe
Wonko

 

[Barungar]

Das "Problem" dürfte sein, dass das Let's Encrypt Zertifikat Deiner FritzBox auf deren "MyFritz.net"-Namen lautet.
Wenn Du nun also eine noip.com-Adresse verwendest, dann passt der Name des Zertifikats nicht zum eingegebenen Namen.

Die FritzBox kann kein CSR generieren, dafür gibt es keine Funktion in der UI. Du musst manuell ein SSL-Keypair erzeugen und kannst dann ebenfalls manuell ein passendes CSR generieren. Anschließend kannst Du damit ein Zertifikat "kaufen" und in der FritzBox importieren.

Alternativ kannst Du das noip-DynDNS auch auf der Synology installieren, das hätte ggf. sogar den Vorteil, dass passende A und AAAA Records für das NAS erzeugt werden. Du müsstest dann in der FritzBox neben der IPv4-Portweiterleitung nur noch eine IPv6-Interfacefreigabe einrichten. Das wäre sogar der sauberere Weg!

 

[Stationary]

Gibt es keine Möglichkeit sich mit der Fritzbox per VPN zu verbinden? Dann erreicht man die DS quasi aus dem eigenen Netzwerk, auch wenn man außerhalb ist und spart sich ein Zertifikat auf der FB. Oder ist die Zielsetzung, die DS für Dritte erreichbar zu machen?

 

[Wonko]

Ja, soll auch für Dritte erreichbar sein.

 

[Wonko]

Das "Problem" dürfte sein, dass das Let's Encrypt Zertifikat Deiner FritzBox auf deren "MyFritz.net"-Namen lautet.
Wenn Du nun also eine noip.com-Adresse verwendest, dann passt der Name des Zertifikats nicht zum eingegebenen Namen.

Die FritzBox kann kein CSR generieren, dafür gibt es keine Funktion in der UI. Du musst manuell ein SSL-Keypair erzeugen und kannst dann ebenfalls manuell ein passendes CSR generieren. Anschließend kannst Du damit ein Zertifikat "kaufen" und in der FritzBox importieren.

Alternativ kannst Du das noip-DynDNS auch auf der Synology installieren, das hätte ggf. sogar den Vorteil, dass passende A und AAAA Records für das NAS erzeugt werden. Du müsstest dann in der FritzBox neben der IPv4-Portweiterleitung nur noch eine IPv6-Interfacefreigabe einrichten. Das wäre sogar der sauberere Weg!

Hallo,

vielen Dank für die Antwort, aber ich weiß jetzt immer noch nicht so recht, was ich konkret machen muss. Wie gesagt, um Zertifikate und sowas habe ich bislang immer einen großen Bogen gemacht.

In der Synology habe ich den noip-DNS eingetragen, aber das allein reicht ja wohl noch nicht. Portweiterleitung funktioniert ja grundsätzlich, aber unter Freigaben habe ich in der FritzBox nichts zu IPv6 gefunden.

Viele Grüße
Wonko

 

[blurrrr]

DynDNS-Adresse zeigt auf die WAN-IP vom Router, dieser leitet die Anfragen für die entsprechenden Ports (80/TCP + 443/TCP) weiter an die Syno. Bei der Syno erzeugst Du unter Systemsteuerung/Sicherheit/Zertifkat ein neues Zertifikat (Lets Encrypt). Wenn Du das Zertifikat von Lets Encrypt bekommen hast, klickst Du nochmal auf "Einstellungen" und weist das neue Zertifikat den gewünschten Diensten zu (je nachdem, welche App Du von aussen erreichbar gemacht hast - z.B. die Filestation).

EDIT: Wenn im Router nichts von IPv6 zu sehen ist, hast Du vermutlich einfach kein IPv6.