Kniffelig: Verbindung nach Hause, Zertifikatfehler

Hallo Profi-Hacker ,

habe ein kleines Problem mit dem QNAP Zertifikat.

Folgende Situation:
Mein Router verbindet sich automatisch & regelmässig auf meinen öffentlichen Webserver (bei einem grossen Provider) und hinterlegt dort eine Datei mit der IP, mit der der Rechner daheim gerade ans Internet angebunden ist.

Will ich nun unterwegs/von ausserhalb auf mein NAS daheim zugreifen, verbinde ich mich auf eine Passwortgeschützte PHP-Seite auf dem öffentlichen Webserver, der die zuvor gesicherte IP zu einer klickbaren Webadresse verwurstet und mich nach zu Hause umleitet. Bspw nach: https://111.222.333.150:12345

Auf dem Router daheim wird der einzige offene Port 12345 per NAT umgeleitet aufs NAS, bspw. nach https://192.168.100.1:8081

Das ganze funktioniert wie DynDNS, nur eben dass ich mich mit MEINER Domain (bspw. http://www.HeimnetzMueller.de) anmelden kann, statt einen kostenpflichtigen Dienst zu benutzen.

In kurz nochmal die Verbindungswege:
- Router legt IP-Adresse als Datei öffentlich ab
- http://www.HeimnetzMueller.de/meinNAS.php liest diese Datei und leitet per http-Forwarding nach Hause weiter: https://[gespeicherte IP-Datei]:12345
- Router (nur offen unter Port 12345) leitet Heimintern weiter aufs NAS; von Port 12345 nach intern https://192.168.100.1:8081 (= NAS)

So, und nun kommts: JEDES Mal wenn ich mich aufs NAS verbinden lasse zeigt der Browser einen Zertifikatsfehler an.
(Das Zertifikat ist das vom NAS, von QNAP zertifiziert), jedoch wird jedes Mal ein 'sec_error_untrusted_issuer' erzeugt.

Lange Rede, kurzer Sinn: WO kann ich ansetzen kann, um diesen Fehler abzustellen, bzw. im Browser das Zertifikat NUR EIN MAL anzunicken?

Die IP des Heimrechners/NAS ändert sich ja alle 24 Stunden. Und ergo muss man JEDES MAL das 'unsichere' Zertifikat abnicken. Wenn ich das mit den Zertifikat-Gedöhns richtig verstanden habe würde es auch nichts bringen, selbst ein Zertifikat zu erstellen, da dies ja an die Webadresse gebunden ist, die sich ja alle 24 Stunden ändert (ist ja keine Names,Domain, sondern nur eine immer wechselnde IP-Adresse)...

Vielleicht weiss ein Crack, wo ich ansetzen könnte. Oder habe ich irgendwo mit der Verbindung/Weiterleitung Mist gebaut??
Q: Wie verbindet ihr "nach Hause"? Kommt dann auch der Zertifikat-Fehler?

> Eine Zertifikatfehlermeldung käme bei Google auch: https://173.194.69.94
Genau DAS ist mein Problem.
Ich verbinde auf "FamilieMueller.de", das PHP-Script schickt mich via header([NAS-IP Adresse]) weiter nach Hause, nach https://123.22.33.234:1234.

Somit verlasse ich FamilieMueller.de und das für FamilieMueller.de erstellte (und auf dem NAS gespeicherte) Zertifikat findet bei http://[ipadresse] keine Anwendung mehr.

Ich verlasse ja IMMER "FamilieMueller.de" wenn ich aufs NAS zugreife. Somit muss ich IMMER ein unsicheres Zertifikat abnicken.

Argh. EIne andere Art der Weiterleitung gibts unter PHP nicht. Höchstens ich lads in 'nem iFrame oder ziehe nur partielle Daten, wie Bilder oder Files per Direktzugriff aufs NAS; die Webseiten wären dann auf FamMueller.de gebunkert.
Das will ich aber auch nicht bzw. geht nicht, weil ich die -daheim- liegenden PHP-Skripte ausführen will (muss).

---

Wenn ich DynDNS benutze, dann ändert sich doch AUCH die Adresse oben im Browser, von dyndns.org/Lieschenmueller in http://111.222.333.123, wenn ich aufs NAS zugreife?! Oder nicht?

Hach.

> Der NAME bleibt aber gleich, nämlich z.B. familie-mueller.dyndns.org.
> Somit musst Du das Zertfikat EINMAL abnicken

Das täte mich wirklich brennend interessieren, wie DAS geht.
Auf dem NAS habe ich bereits 'mein' Zertifikat installiert; signiert auf die Startseite/Umleitungsseite "FamilieMueller.de".

Beim ersten Verbinden wird es auch korrekt angezeigt --> Ausnahmeregel definiert und im Browser als 'du darfst verbinden' gesichert.

Das blöde ist aber, sobald sich die Heim-IP Adresse ändert (alle 24h) geht das Spiel von vorn los und man muss es erneut abgenickt werden. (Somit kein Unterschied, ob ich nun das Original QNAP Zertifikat abnicke, oder meins, dass die Referrer-Seite als vertrauenswürdig einstufen soll(te).)

Bei Anzeige des Zertifikats steht halt immer drin:
"Blabla ... Verschlüsselung sorgt dafür, dass das Daten sicher an 111.222.333.123 gesendet werden"

Hier liegt der Knackpunkt: (Immer wechselnde) IP Adresse 111.222..., statt gleichbleibendem DNS-Name.
Ist ja eigentlich auch logisch korrekt. Ich wechsel ja von FamMueller nach 'daheim', also auf eine völlig andere URL.

Ich fürchte ich muss das ganz anders machen. Nämlich dass die 'Startseite' oder dann besser Portalseite sich nur einzelne Seiten/Datenbröckchen vom NAS holt, die eigentlichen HTML-Seiten aber auf "FamilieMueller.de" gehostet sind und man dort verbleibt.
Da drängt sich die Frage auf, wie man den "Zugriff zum NAS muss dann offen sein" abgesichert bekommt...
..goggel't nach HTTP AUTH weitergabe

Und ich darf jede Webseite umschreiben und mit der ständig wechselnden IP anpassen
Naja, hab ja das zum Glück schon mal gemacht und weiss, was mich erwartet...

Aaaah, JETZT ist der Groschen gefallen. Vielen Dank! Super Erklärung.
Jetzt weiss ich auch wo ich ansetzen muss und dass es mit 'meinem' Redirect so gar nicht funktionieren kann. HIer lag der Denk-(Verständnis)fehler eindeutig auf meiner Seite.

Habe auch schon ein paar Seiten / PHP-Scripts gefunden, die wie oben beschrieben funktionieren sollen.
Wenn ichs hinbekommen habe, lade ich den Heim DynDNS Quellcode hier hoch, zum nachbauen

Die C't hat offenbar auch so etwas im Petto (Nachbau eines dynamischen Namensdiensts), wie mir ein Redakteur schrieb. Sollte vielleicht mit etwas Glück in einer der nächsten Ausgaben stehen.
Würde ja zeitlich exakt passen.

Wär' doch gelacht, wenn man das nicht selbst hinbekommt, ohne einen anderen Dienst (womöglich noch im schnüffelnden Ausland, *hust* USA/NSA) hinbekommen würde. Wofür hat man denn einen öffentlichen Webserver; wenn man ihn nicht für solche Sachen missbrauchen kann?!

> "Force SSL" aktiviert
Nein, ist nicht. Habe schon so etwas gelesen, dass man mit dieser Option Vorsicht walten lassen sollte

> Zudem muss das Zertifikat auf den exakten Hostnamen ausgestellt sein
Ja, das ist logisch und auch so von mir erstellt worden.

----------------

Edit / Nachtrag:

Mittlerweile habe ich mir auf meinem öffenlichen Webhoster eine Test-Subdomain eingerichtet und zum testen die Heim-IP Adresse eingetragen. Und ich sag' euch: JA, GENAU SO!
Test.FamMueller.de eingegeben und ich bin 'daheim' auf dem NAS. Sowie keine IP-Zahlenkolonne in der Browserzeile. Genausowollteichdashaben!

Jetzt nur noch tagelang googlen, wie ichs schaffe, dass die Fritzbox mit dem 'Heim IP-Adresse auf dem Webserver hinterlegen' gleich auch noch den DNS-Server des Providers mit der neuen IP füttert.
Ein paar Scripts/Anleitungen habe ich schon gefunden, aber ist doch noch ziemliches Kauderwelsch...
Morgen ist Feiertag - genügend Zeit zum lernen

prian:

No-IP.org zu nutzen wäre eine Möglichkeit, ich will aber MEINE Domain benutzen, die ich schon Jahre fürs-nach-Hause-telefonieren in Betrieb habe. Wenn ich schon ein paar Frei-Domains im Webhosting Paket frei habe...
Ausserdem sehe ich es sportlich: Ich will wissen wie das funktioniert und selbst machen. Und ich programmier' gern in PHP.
Jeder hat so seinen Teufel, der einen reitet ;o)
Und last-and-least: Alles in Deutschland - will da nix über die USA machen, noch von weiteren (zusätzlichen involvierten) Rechnern oder Firmen abhängig sein. Die Gründe sind ja seit Snowden bekannt.

subitus:

> Man kann auf der fritz.box einen individuellen DynDNS-Dienst einrichten
Ja, den habe ich auch am laufen. Der verbindet auf meine Domain und hinterlegt dort die IP-Adresse. Und bis auf den üblichen, alle 10min passierenden Fehler
"Die Dynamic DNS-Aktualisierung war erfolgreich, anschließend trat jedoch ein Fehler auf"
von dem nicht mal AVM weiss, wo das herkommt, weil sie selbst NICHT den zu erwarteten Rückgabewert bei Benutzerdefinierten DNS-Anbieter wissen, funktioniert das auch einwandfrei und schon seit Jahren.
Ich bin aber grad mit denen in Kontakt; vielleicht kriegt das mal ein Programmierer zu sehen - weitergeleitet haben sie's jedenfalls...
Lt. Google ist der Rückgabewert bei Fritzbox & DynDNS.org "good" bzw. "good [ip]". Doch bei Benutzerdefiniert reagiert die Fritzbox darauf nicht.

In der Fritz habe ich das so eingestellt (unter Benutzerdefinierter DynDNS Anbieter):
- Update-URL: http://www.webseite.de/updateip.php?ip=<ipaddr>
- Domainname: webseite.de
- Benutzername: x *)
- Passwort: x *)

[*) Dialog lässt sich nur speichern, wenn in diesen Feldern irgendetwas steht]

Das auf dem Hostingpaket liegende/aufgerufene PHP-Script:

<?php
$filename = '.meineip';
echo "good"; // generell immer alles OK für die Fritzbox. Die ignoriert das nur leider.


// Sichergehen, dass die Datei existiert und beschreibbar ist
if (is_writable($filename)) {
    if (!$handle = fopen($filename, "w")) {
        exit;
    }


    // Schreibe $somecontent in die geöffnete Datei.
    if (!fwrite($handle, $_GET["ip"])) {
        exit;
    }
    fclose($handle);
}
?>

Wenn ich mein öffentliches Hosting-Paket anwähle (bspw: FamMueller.de) greift sich die index.php die gesicherte Testdatei $filename und verwurstet das via 'header ();' zur Umleitung nach Hause aufs NAS.
Zugriff auf diese Umleitung (hier bspw. FamMueller.de) ist per .htaccess Passwortgeschützt.

Jetzt geht es darum dem Hosting Provider diese gesicherte IP-Adresse unterzujubeln. Im Konfig-Dialog gehts schon mal; man muss nur die IP ins Formular eintragen.
Ich könnte mich ja per PHP-Script genau bis dahin durchhangeln *hüstel*. Aber das geht bestimmt auch eleganter.

Dank deiner Stichworte werde ich mich mal schlaulesen. Mit den ganzen bind9 usw.
So langsam habe ich daran einen Narren gefressen und es macht richtig Spaß sich durchzubeissen.

> Das Update-Skript würde ich mit einem Passwort versehen
Ja, kömmt das später. Aber bisher (schon ettliche Jahre) keine Probleme damit. Zudem hat die PHP-Datei (die die IP updatet) ein '.' vorangestellt (bsp: .speichereIp.php) , somit 'unsichtbar' und liegt auf einer völlig anderen Domain, sowie das Verzeichnis wurde zusätzlich via robots.txt exkludiert. Wer normal in diesem Verzeichnis landet und widererwarten die Standard index.html/default.htm etc. startet oder keine Webseite angibt, wird sofort auf Google umgeleitet.
Aber hast schon recht, trau, schau, wem Ist ja recht einfach das komplette Verzeichnis mit Passwort zu schützen.

> Um den fritz.box-Fehler zu eliminieren (..)
Habe schon beides versucht; ein 'good', 'good ' gefolgt von der IP oder nur die IP als Rückgabewert. Half beides nicht.
Deswegen habe ich ja AVM angetickert, nur die wissens als Hersteller und Programmierer der Firmware auch nicht... :roll:

> Zudem dauern DNS-Updates i.d.R. einige Zeit
Verzögerung wäre nicht allzu tragisch. Man kann die Fritzbox ja so schalten, dass sie bspw. morgens um 4 Uhr sich eine frische IP holt/neu einwählt; bis ~8 Uhr sollte die Adresse dann überall durchgereicht sein.
Ist ja nur für mal-daheim-zugreifen; also nicht weltbewegend, wenn es mal nicht sofort klappt.

> Was ist damit gemeint? Unterjubeln = DNS-Eintrag ändern?
Genau. Im Webhosting Control-Center geht das ja auch einfach per Dialog. IP vom NAS eintragen und schon ist's aktiv und ich komme nach Eingabe von bspw. FamMueller.de nach Hause auf das NAS.
Beim gestrigen Test war die IP Adresse binnen weniger Minuten aktiv/publik.
Vielleicht schreibe ich die mal an, ob man das auch automatisiert updaten kann.
Alle anderen Methoden (per PHP) die ich gefunden habe setzten immer einen Nameserver voraus.

Wenn alle Stricke reissen kann ich noch immer die anderen Möglichkeiten nutzen, die hier reichlich vorgeschlagen wurden.
Aber es juckt mich, es selbst gebacken zu kriegen. So bin ich unabhängig von anderen Diensten.

------

Edit / heute weiter gespielt:
Was bereits funktioniert *g*:
- kostenlosen No-IP Account angelegt à la 'irgendeinname.no-ip.biz"
- Fritzbox "Dynamische IP" so konfiguriert, dass sie No-IP mit der aktuellen IP füttert
- Im Terminal "ping irgendeinname.no-ip.biz" --> IP-Addresse merken
- Im Webhosting-Paket zum testen eine Subdomain angelegt (bspw: einloggen.FamMueller.de)
- Hosting Subdomain auf die IP-Adresse (A-Record) von NO-IP umgeleitet (im Webhosting-Dialog kann man leider nur eine IP-Adr, keine URL eingeben)
- Funktionierts? Eingabe im Browser "https://einloggen.FamMueller.de:[port]" uuuuund schwuppdich, bin daheim auf dem NAS
In der Browserzeile steht und bleibt einloggen.FamMueller.de. Yess, Strike!

Googles DNS (8.8.8.8, und 8.8.2.2 in der Fritz so eingetragen) brauchte auch nur knapp ne Stunde, bis er die geänderte Durchleitung im Datensatz hatte.
Kann man schön im Terminal mit 'nslookup einloggen.fammueller.de 8.8.8.8' prüfen.

Würde nur noch ein für die Hostingsadresse passendes QNAP Zertifikat fehlen, dass man ja schnell erstellen kann. Und das muss man dann auch nur ein einziges Mal abnicken.

Das war mal eine kaum-Arbeit-Lösung.

Jetzt das einige Tage so lassen, ob sich die No-IP IP (sic) ändert oder gleich bleibt.
Wenn sie gleich bliebe (hoffentlich) und sich nicht ändert dann hätte ich es genau so, wie ich es wollte und könnte dann die eigentlich gewünschte Adresse "FamMueller.de" auf --> No-IP --> auf das NAS umleiten. Inkl. FamMueller.de in der Adresszeile, sichere SSL Verbindung, nur einmaliges QNAP Zertifikat-Abnicken und die Fritzbox manage't den Zugriff, indem sie die Heim-IP auf No-IP aktuell hält.
Bin dann zwar abhängig von einem Fremd DynDNS Hoster ... aber hey, der Aufwand war dann echt gering. Nur ein wenig in der Weltgeschichte herumgeroutet

> warum machst du nicht ein Redirect von deiner eigenen Subdomain auf die DynDNS-Adresse
Ja, so ist das mit dem Wald vor lauter Bäumen. Prima Idee. Da bin ich noch gar nicht darauf gekommen.

Das mit dem festen "Eintragen der IP-Adresse" im Hosting-Paket hat natürlich nicht funktioniert, da sich die IP-Adresse (Weiterleitung, bei NO-IP hinterlegt) ändert. War ja zu erwarten...

> Fritzbox / Möglicherweise reicht es aus, nur "echo 'good';" zurückzuliefern
Habe schon alles durch. good, good+IP, OK Ok plus IP - die Fritzbox ist mit keinem Rückgabewert zufrieden. Ach, soll sie doch das Log mit dem Fehler zumüllen.

Werde mich dann mal an einen deutschen Redirect-Service (Two-DNS) versuchen. So muss ich nicht über die USA. No-IP war ja nur kurz zum Testen.
Two-DNS bekommt dann die Fritzbox hoffentlich ohne Fehler gebacken - ist ja im Auswahldialog mit drin.
Habe es mittlerweile aufgegeben, mir ein DynDNS selbst zu basteln. Vielleicht macht lt. Redakteur der C't es die Zeitschrift ja wahr, mit dem selbstgebastelten DynDNS-Artikel.

> Eine robot.txt ist nur eine "Empfehlung zur Höflichkeit" an die Crawler
Diese Sicherheitsbedenken habe ich mir auch schon durch den Kopf gehen lassen - die Robots.txt ist ja förmlich eine Einladung für die interessanten Verzeichnisse. Ein Schelm, der...
Zur Sicherheit des vestecken Verzeichnisses: Alle Files die für das IP-Update zuständig sind, sind dort per vorangestelltem Punkt quasi unsichtbar und für einen schnellen Zugriff. Stattdessen wird per Default (sobald jemand das Verzeichnis ansteuert) sofort nach Google umgeleitet.
Aber diese Umleitung "nach Hause" fällt ja dann eh weg, wenn es mir mit Two-DNS 'genehm' ist.

Ich will ja nur (in dieser Reihenfolge)
a) Webseiten-Anwahl: Hier Passwortabfrage
b) Anzeige Portalseite (liegt auf öffentlichem Webserver) zur Auswahl/Anwahl von: Webserver / Photo-Station / Musik-Station / WebDAV etc.
c) dann durchgehende SSL-Verbindung nach Hause aufs QNAP NAS (generell nur einmaliges Zertifikat abnicken)
d) AUTH Durchreichung (Identifizierung von a) ans NAS (sodass man nur 1x das Passwort eingeben muss)
e) MEINE Domainadresse von a) oben in der Browserzeile

Nur noch an c) und e) hängt es noch ein wenig, bis -ich- damit zufrieden bin ;o)

Danke für den regen Gedankenaustausch zum Thema NAS, Sicherheit und nach-Hause-telefonieren!!

Halo subitus,

der C't Redakteuer hat Wort gehalten. in der nächsten C't (Ausg. 24/2013, erscheint am 08.11.) ist ein Artikel "DynDNS selbst gebaut" drin.

Bestimmt ist das für einige hier recht interessant, um sich von unterwegs mit dem NAS zu verbinden, ohne auf einen Dritten DNS Dienst angewiesen zu sein.

War ebenfalls enttäuscht als ich am Samstag den Artikel überflogen hatte.
Schon allein die Artikel-Rubrik "Linux" dämpfte die Vorfreude. Dann eben DynDNS über die üblichen Wege. Schade.