SSL Zertifikat

    Hallo,


    ich habe auf My Qnap Cloud ein SSL Zertifikat erworben, dieses heruntergeladen und aktiviert. Alles hat geklappt und das Zertifikat wird als gültig angezeigt. 'Wenn ich mich nunmehr im Browser über https beim NAS anmelden möchte, erscheint noch immer die Fehlermeldung Diese Website ist unsicher, das Zertifikat ist ungültig. Beim Anzeigen des Zertifikats erscheint alles normal nur unter dem Punkt Ausgestellt für steht beim Allgemeinden Namen meine qnapcloud Adresse, bei Organisation Qnap und bei Organisationseinheit steht Gehört nicht zum Zertifikat. Wo liegt hier der Fehler, oder muss ich das NAS nach der Installation einmal herunterfahren und neu starten? Oder muss ich das Zertifikat in der Fritzbox auch noch importieren und installieren?


    Danke für Eure Hilfe.

    Der CN ist mit einem FQDN gefüllt, damit das Zertifikat als gültig eingestuft wird, muss dieser FQDN mit dem Aufruf im Browser übereinstimmen.


    Ich habe deshalb bei meinem NAS ein eigenes Server Zertifikat erstellt, welches den FQDN und die interne IP enthält.

    So kann ich mit beidem zugreifen und mein Browser zeigt eine gültige SSL Kette an.


    Wenn du nur wegen der Warnung ein Zertifikat gekauft hast, dann war das leider rausgeschmissenes Geld, denn die Warnung ist nicht von Belang.

    Willst du aber Inhalte extern Freigeben, dann benötigst du eine Portweiterleitung von der FritzBox auf das NAS und das ist hochgradig gefährlich.

    Es werde immer wieder Systeme wie deines übernommen und verschlüsselt zwecks Lösegelderpressung.

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Hallo, bitte für Laien, was bedeutet CN und FQDN? Meinst Du, dass ich mit meinem Zertifikat nur auf MYQnap Cloud sicher über https zugreifen kann und auf das NAS selber nicht? Ich wollte das Zertifikat auch zur Anmeldung und zum Zugriff im eigenen Netzwerk zur Sicherheit installieren.


    Aus der Ferne wird ohnehin nur über VPN auf die Fritzbox und auch auf das NAS zugegriffen.

    Im eigenen Netzwerk ist das eher überflüssig.

    CN ist der "Common Name" der im Zertifikat steht, FQDN der "Full Qualified Domain Name".

    Sorry, aber wenn man mit Zertifikaten rumwerkelt, dann sollte man sich wenigtens die Grundkenntnisse aneignen. ;)


    Gruss


    Edit: Das heißt, wenn im Zertikat als CN "MyNAS" steht, das NAS aber z.B. mit der IP aufgerufen wird, dann erhält man nach wie vor die Warnung.

    Nur, wenn man das NAS mit "MyNAS" oder dem FQDN aufruft, dann wird das Zertifikat erkannt.

    OK soweit klar, wenn ich das NAs aus dem Qfinder über die IP Adresse aufrufe erscheint die Warnung weiterhin.


    Das verstehen ich. Warum passiert dann jedoch folgendes?: Wenn ich mein NAS aus dem eigenen Netzwerk über den CN aufrufe oder den FQDN (https://xxxxxxx.myqnapcloud.com) erhalte ich immer die Fehlermeldung, dass keine Verbindung hergestellt werden kann, wegen Zeitüberschreitung.


    Wo liegt hier der Fehler?


    Weiters wollte ich nachfragen, ob ich das richtig verstehe, dass das Zertifikat im Heimnetz bei ansonsten korrekt installierten Sicherheitseinrichtungen (Firewall, sicheres Passwort, Deaktivierung des Standard Admin) ohnehin nicht notwendig ist, bzw. bei externem Zugriff über VPN das Risiko auch entsprechend gering ist.


    Danke für die Rückmeldung.

    Das Zertifikat ist nur die Kirsche auf der Sahne oben drauf.

    Kann man machen, weil mal es halt kann, ich habe hier alles was einfach mit einem Zertifikat betankt werden kann versorgt.

    Dafür habe ich mit eine eigene CA aufgebaut, ein Root Zertifikat erstellt und mit diesem eigenen Server Zertifikate erstellt.


    Warum, weil ich mich einfach mal mit dem Thema auseinander setzten wollte, da ich damit Beruflich auch viel zu tun habe und ich mir das einfach aneignen wollte.



    Was dir jetzt fehlt ist die korrekte DNS Auslösung.


    Hast du keinen DNS Server der dir Split DNS ermöglicht, dann kannst du nur die Host Datei für diesen FQDN anpassen auf jedem Client einzeln.

    Eine Fritzbox hat nach meinem Wissensstand auch mit 7.5 noch keine Möglichkeit eigene DNS Einträge zu pflegen.

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Hallo,

    soweit mal halbwegs verständlich für mich. Ich habe eigentlich schon die Möglichkeit, in meiner FritzBox 4060 alternative DNS server anstelle der vom Internetanbieter zugewiesenen zu definieren, nur weiß ich nicht, ob das die von dir angesprochene Funktion ist. Wenn ich das Zertifikat ohnehin nicht brauche, dann werde ich diese Möglichkeit mit der host Datei auch nicht verwenden, dafür bin ich zu sehr Laie. Dann waren die Euro 40,00 für das Zertifikat halt vergeblich.


    Was damit aber noch immer nicht geklärt ist, ist das Problem, dass der Zugriff aus meinem eigenen Netzwerk mit xxxxxx.myqnapcloud.com weder unter http noch unter https funktioniert und immer den Fehler der Zeitüberschreitung auslöst. Vielleicht hat dafür noch jemand einen Lösungsvorschlag.


    Danke vorab.

    Du brauchst dafür einen eigenen DNS Resolver, der in der Lage ist selber Namen aufzulösen.


    Da musst du dann einen Eintrag xxxxxx.myqnapcloud.com -> 192.168.178.11 setzen, oder wie auch immer die IP vom NAS ist.


    Erst dann ist dieser Eintrag auch intern erreichbar.


    Oder du musst auf die externe IP auflösen und dann mit einer NAT Reflection Regel arbeiten, das kann aber die Fritzbox auch nicht.


    Mache doch mal testen was bei dir rauskommt wenn du in der cmd:


    nslookup xxxxxx.myqnapcloud.com auflösen willst.

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Hallo,


    wenn ich das von dir angeführte in der cmd teste, erhalte ich erst die meldung server: fritz box und die interne IP meiner Box, danach kommt die Meldung nicht autorisierende Antwort, unter Name steht xxxxxx.myqnapcloud.com und dann die externe IP Adresse meiner Box.


    Verstehe ich Dich richtig, dass der Zugang von intern nur mit dem DNS Solver funktioniert, was jedoch die Fritzbox nicht kann und von extern (also von einem fremden Wlan) der Zugang über xxxxx.myqnapcloud.com sehr wohl funktionieren sollte?

    Nur mit einer Portweiterleitung und das ist hochriskant!


    Daher Hosteintrag oder die Warnung ignorieren und das Zertifikat abhacken.

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    wie kann ich dann sicher von unterwegs auf das NAS zugreifen? Ich dachte dafür ist myqnapcloud gedacht. Ein Zugriff über VPN sollte doch sicher sein, oder nicht? Dass ich intern das Zertifikat ignorieren kann, habe ich verstanden, aber mir geht es um den externen zugriff. wie ist dieser sicher möglich, wenn nicht mit VPN? Ist eine Portweiterleitung beim externen Zugriff zwingend erforderlich, oder funktioniert das ohne auch?


    Der Zugriff auf die Dateien von extern erfolgt dann ohnehin nicht über myqnapcloud, sondern über entsprechende APPS (z. B Qfile). Habe ich das so richtig verstanden?


    Danke für die Rückmeldung.

    Einmal editiert, zuletzt von Spider67 ()

    myqnapcloud ist aber kein VPN!, Das funktioniert mit einer Portweiterleitung und wie o.. ist das brandgefährlich.

    Wenn Du nach "Deadbolt" suchst, dann wirst Du feststellen, das allein durch diese Malware imn den vergangenen 15 Monaten ein Lösegeld über 1,5 Mio.(!) € bezahlt wurde.

    Und Deadbolt suchst genau nach solchen Schwachstellen!


    myqnapcloudlink ist da wohl "etwas" sicherer, aber bei SICherheit traue ich QNAP nicht bis zu Nasenspitze. Selbst QVPN, also das vPN von QNAP selbst, war schon einmal das Einfallstor für Viren/Malware!


    Von daher: FInger weg von diesen QNAP Diensten und ein vernünftiges VPN auf dem Router/Client!


    Gruss

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Hallo, soweit mal klar. Ich habe auf meinem Router und Iphone auch gute, zuverlässige VPN Verbindungen eingerichtet. Von unterwegs wird auch nur unter der Verwendung dieser VPN Verbindungen darauf zugegriffen. Anders ist mir das natürlich zu unsicher. mir geht es vor allem um folgendes:


    Wie funktioniert grundsätzlich der Zugriff von unterwegs über My Qnap Cloud? Die Eingabe der Url: xxxxxx.myqnapcloud.com bringt jedenfalls immer eine Zeitüberschreitung. ist das deshalb, da ich am Router bisher wegen der Sicherheit keine Portweiterleitungen eingerichtet habe?


    Über die Homepage my.qnapcloud.com kann ich mich dann (natürlich unter Verwendung der VPN Verbindung) sehr wohl anmelden (ist damit der Zugang myqnapcloudlink gemeint?)


    Eine weitere Frage noch zu den DYNDNS Diensten: Kann man in der NAS zusätzlich zu myqnapcloud einen anderen DYNDNS Dienst einrichten und alternativ dann auch über diesen auf die NAS zugreifen (hier kommt dann aber wieder das Thema mit den Portweiterleitungen ins Spiel (oder liege ich da falsch)?


    Danke für Eure Hilfe aber, ich stehe bei der Thematik erst am Anfang.

    Ich habe weder myqnapcloud noch myqnapcloudlink je benutzt, darum bin ich im Detail nicht im Bilde.

    Bei myqnapcloud werden definitiv Portweiterleitungen benötigt,mit der ..link Variante habe ich mich aus o.a. Gründen nicht weiter befasst.

    Diese Variante soll(!) etwas sicherer sein. Dennoch geht alles über QNAP Server, und deren Reputation in punkto Sicherheit ist nicht gerade etwas, was heraus sticht - um es freundlich zu umschreiben.


    Einen DYNDNS Dienst richtet man sinnvollerweise auf dem Router ein, die Fritz kann das z.B. direkt über myfritz.net.

    Damit hast Du einen Zugriff über den DYNDNS Namen auf den Router und, soweit die Fritz auch den VPN Server stellt, auf das Heimnetzwerk.


    Dazu benötigt man weder myqnapcloud noch myqnapcloudlink.


    Gruss

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Hallo,


    das ist mir schon bekannt und habe ich auch gemacht. Ich meinte jedoch die Definition des DYNDNS am NAS. dort muss ich ja auch den DYNDNS definieren, und hier kann ich entweder den Standarddienst von Qnap verwenden und alternativ dazu auch Z.B einen von NO IP. Damit funktioniert der Zugriff dann wieder über myqnapcloud, wofür ich jedoch die Portweiterleitungen brauche. Habe ich das soweit richtig verstanden?


    Das heißt aber auch, der Zugriff von unterwegs - auf welche Art auch immer (unter Verzicht auf Portweiterleitungen) sollte bei Verwendung von VPN und starken Passwörtern aber doch vergleichsweise gering sein, oder liege ich da falsch?

    Einmal editiert, zuletzt von Spider67 ()

    Warum DYNDNs zusätzlich auf dem NAS? Das erschließt sich mir nicht.

    Wenn man den DYNDNS auf dem Router hat, ist ein weiterer überflüssig, wenn nicht sogar kontraproduktiv.

    Bei Verwendung von VPN hat Du die sicherste Möglichkeit eines Zugriffs von remote. Mit IKEv2 oder Wireguard bist Du auf der sicheren Seite.


    Gruss

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Hallo, danke für Deine Hilfe. Bezüglich DYNDNS ist ja im Handbuch und in diversen Foren überall beschrieben, dass man den DYNDNS im NAS einrichten soll bzw. den DYNDNS von Qnapcloud verwenden soll. Daher meine Frage.


    Bezüglich Remote Zugriff habe ich wie gesagt am Handy und am Laptop sichere VPN Verbindungen über die Fritzbox eingerichtet. Diese aktiviere ich dann ganz einfach vor der Verbindung zum NAS. Wenn Du jetzt aber schreibst, man soll dafür die Qnap dienste nicht verwenden, wie melde ich mich dann beim NAS an?


    Ich weiß schon über myFritz habe ich dann Zugriff aufs Heimnetz und somit auch das NAS, aber die Benutzeroberfläche des NAS muss ich doch über diese Dienste und Apps aufrufen oder wie klappt das sonst? Wenn ich z.B. am Laptop den FritzFernzugang aktiviert habe und mich dann mit meinem NAS verbinde, sollte das doch sicher sein, oder wo liegt hier das Risiko? einfacher wäre es wahrscheinlich, am Laptop ebenfalls den Qfinder zu installieren und dann ganz einfach darüber bei aktiver VPN Verbindung einen Zugriff auf das NAS durchzuführen. Oder siehst Du das anders?

    Vergiss diesen ganz QNAP und myqnapcloud S...s (Stuss) ;) .

    Den benötigt man nicht.

    Weder bei Einsatz einer Fritzbox mit myfritz noch einem vernünftigen Router. :P


    Wenn die VPN Verbindung von unterwegs steht, dann gehts Du ganz normal auf das NAS mit der IP, als wärst Du zu Hause im Netzwerk.

    Ich war nie ein Freund der Fritzfernzugang Software, ich hatte den Shrewsoft Client. Der ist zwar alt, war aber deutlich besser und bedienungsfreundlicher als der Fernzugang.


    Und bitte auch Qfinder vergessen, das ist ein Tool, das man i.d.R. nur ein einziges mal benötigt wenn man nicht am Router die IP eines neuen NAS finden kann.

    Ansonsten ist auch dieses Tool überflüssig, Ausnahme bei bestimmten Update Fehlern per GUI.


    Bei Windows 10 ist es übrigens bei mir auch heute noch so, das ich nach der VPN Verbindung noch eine Route manuell eintragen muss, damit ich ins Heimnetz komme. Irgendwie schafft es der VPN Eintrag des Win 10 nicht, die automatisch zu setzen.

    Ich habe mich aber nie drum gekümmert, das ich den Eintrag als Script hinterlegt habe und ihn einfach aufrufen kann.


    Gruss

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Hallo,


    jetzt kenne ich mich aus. Shrewsoft gibt es aber nicht offiziell für Windows 10. Was hälts Du von Alternativen wie Nordstream VPN oder Cyber Ghost (das im Gegensatz zu Nordstream nicht nur am Iphonde sondern auch am Fire TV und SMART TV läuft? Wäre das dann nicht die bessere Alternative?