Let's Encrypt op Synology NAS

Wil je iets weten over de hardware van een computer? Draait je CPU fan niet meer? Je printer wil niet meer mee?
Dan moet je hier zijn.
Plaats reactie
Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4276
Lid geworden op: 04 apr 2005, 23:18
Locatie: België
Uitgedeelde bedankjes: 49 keer
Bedankt: 97 keer

Sinds enkele maand Let's Encrypt certificaten in gebruik op 2 Synology NAS.

Nadeel 1 :
Poort 80 = Open
Om de maand of 2 maand doet die automatisch een renew van het certificaat, maar moet blijkbaar poort 80 open staan en geforwarded worden naar de respectieve Synology z'n 'webstation' HTTP poort. Als je meerdere Synology NAS hebt op hetzelfde netwerk is dat dus onmogelijk...

Nadeel 2 :
Synology Cloud Station Drive client herkend nieuw cert niet en stopt automatisch syncen
Verder moet ik iedere Synology Cloud Station Drive manueel opnieuw doen verbinden na iedere certificate renew omdat die het nieuwe certificaat niet herkend...

Lekker lastig... Firstworldproblems... ;-)

Iemand die ook Let's Encrypt gebruikt en deze nadelen al heeft kunnen elimineren?

De bedoeling van Let's Encrypt is om dit hele gebeuren wat te automatiseren en het Internet veiliger te maken, maar als ik iedere 3 maanden alles manueel moet doen is daar niet echt veel sprake van...
Internet = Proximus Fiber 1000/500 & back-up Telenet 300/30 / Fixed & mobile phone = Dstny SmartMobile + Samsung S23 & OVH VoIP Entreprise TV = FTA IPTV + Netflix / Network = 100% MikroTik powered / / I'm using Atera RMM to run my IT business, Atera offers a 30-day free trial, learn more here.
BertG3
Administrator
Administrator
Berichten: 1784
Lid geworden op: 27 okt 2014, 20:46
Uitgedeelde bedankjes: 172 keer
Bedankt: 201 keer

Voor de vernieuwing van het certificaat kreeg ik een mail. Bij mij staat poort 80 niet open en kon ik dit doen door een commando te versturen via SSH. Wegens veiligheid laat ik poort 80 echt niet openstaan.

Het is dit commando /usr/syno/sbin/syno-letsencrypt renew-all
Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4276
Lid geworden op: 04 apr 2005, 23:18
Locatie: België
Uitgedeelde bedankjes: 49 keer
Bedankt: 97 keer

BertG3 schreef:Voor de vernieuwing van het certificaat kreeg ik een mail. Bij mij staat poort 80 niet open en kon ik dit doen door een commando te versturen via SSH. Wegens veiligheid laat ik poort 80 echt niet openstaan.

Het is dit commando /usr/syno/sbin/syno-letsencrypt renew-all
Kan je dit commando uitvoeren in een crontab met de admin user en hoeft poort 80 hiervoor niet meer open te staan dan?
Internet = Proximus Fiber 1000/500 & back-up Telenet 300/30 / Fixed & mobile phone = Dstny SmartMobile + Samsung S23 & OVH VoIP Entreprise TV = FTA IPTV + Netflix / Network = 100% MikroTik powered / / I'm using Atera RMM to run my IT business, Atera offers a 30-day free trial, learn more here.
BertG3
Administrator
Administrator
Berichten: 1784
Lid geworden op: 27 okt 2014, 20:46
Uitgedeelde bedankjes: 172 keer
Bedankt: 201 keer

Ik heb dit uitgevoerd vanaf terminal op Mac of Putty op Windows via een SSH sessie (root user). Ik weet niet meer 100% zeker (is een eind geleden) of ik hiervoor 5 minuten poort 80 heb opengezet of niet. Het is sowieso zo dat je dit elk moment kan uitvoeren om je certificaat te verlengen. Als je poort 80 moet openzetten kan je dit tijdelijk doen en vanaf dat je certificaat weer verlengd is sluit je 'm weer.

Zal iets laten weten als ik het nog eens doorvoer en of ik dan poort 80 heb opengezet of niet.

EDIT: volgens deze post op het Synology forum hoeft het dus niet om poort 80 open te zetten als je het commando uitvoert :beerchug:
=> https://forum.synology.com/enu/viewtopi ... 99#p449283
gm123
Elite Poster
Elite Poster
Berichten: 1113
Lid geworden op: 08 maa 2009, 22:27
Uitgedeelde bedankjes: 63 keer
Bedankt: 116 keer

Hier staan poort 80 noch 443 open en mijn certificaat hernieuwt wel gewoon telkens op tijd. Die poorten staan wel open op de NAS zelf, maar op de router worden ze niet geforward.

In het begin ook last mee gehad, wou zelfs niet hernieuwen met de poorten open, maar 6 maanden geleden of zo nog eens een manuele herinstallatie van het certificaat gedaan en sindsdien werkt het wel. Enkel bij de installatie moest dat en erna heb ik ze gewoon dichtgezet en het bleef werken.
Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4276
Lid geworden op: 04 apr 2005, 23:18
Locatie: België
Uitgedeelde bedankjes: 49 keer
Bedankt: 97 keer

Had het vanmorgen al gedaan via de root user. Maar met poort 80 open uiteraard.

Heb gewoonweg geen zin in al dat gezever met die poort 80 die dan open moeten staan, 't zou leuk zijn mocht die command in een cronjob zitten en poort 80 simpelweg dicht mag blijven.

Zal ze dan ook weer dicht zetten ;-) Binnen 3 maand dan nog eens checken.

Die client zal iets voor de support van Synology zijn, die moet het certificaat gewoonweg accepten punt.
Internet = Proximus Fiber 1000/500 & back-up Telenet 300/30 / Fixed & mobile phone = Dstny SmartMobile + Samsung S23 & OVH VoIP Entreprise TV = FTA IPTV + Netflix / Network = 100% MikroTik powered / / I'm using Atera RMM to run my IT business, Atera offers a 30-day free trial, learn more here.
BasicQ
Plus Member
Plus Member
Berichten: 114
Lid geworden op: 20 jun 2003, 17:46
Uitgedeelde bedankjes: 5 keer
Bedankt: 7 keer
Contacteer:

Ken schreef: Synology Cloud Station Drive client herkend nieuw cert niet en stopt automatisch syncen
Verder moet ik iedere Synology Cloud Station Drive manueel opnieuw doen verbinden na iedere certificate renew omdat die het nieuwe certificaat niet herkend...
Ik had dat probleem ook en heb nog een support ticket openstaan hierover. Na wat onderzoek lijkt dat hier te liggen aan het gebruik van QuickConnect om de CS Drive te verbinden met de NAS. Als je de CS Drive client laat connecteren op DNS naam (die ook in het certificaat geregistreerd is) dan heb je geen problemen met de renewal! Ik wacht nog op een reactie van Synology over deze bevinding...
Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4276
Lid geworden op: 04 apr 2005, 23:18
Locatie: België
Uitgedeelde bedankjes: 49 keer
Bedankt: 97 keer

Is hier nochtans zelfde subdomein als in het certificaat. Telkens bij renewal moet ik de client opnieuw inloggen en het certificaat accepteren.
Zal hun antwoord eens afwachten thx!
Internet = Proximus Fiber 1000/500 & back-up Telenet 300/30 / Fixed & mobile phone = Dstny SmartMobile + Samsung S23 & OVH VoIP Entreprise TV = FTA IPTV + Netflix / Network = 100% MikroTik powered / / I'm using Atera RMM to run my IT business, Atera offers a 30-day free trial, learn more here.
liegebeestig
Elite Poster
Elite Poster
Berichten: 2265
Lid geworden op: 01 jun 2006, 15:16
Uitgedeelde bedankjes: 35 keer
Bedankt: 70 keer

Heb vandaag ook een Let's Encrypt certificaat geïnstalleerd via mijn domeinnaam en synology. Is prima gelukt, maar inderdaad wel poort 80 open op de router. De firewall van de Synology liet Let's Encrypt eerst niet door, zelfs met Poort 80 open. Heb dan maar 2 minuten alle poorten opengezet op die firewall (en enkel poort 80 doorgesluisd op de router). Zo ging het supervlot.

De vraag blijft dus wat die Firewall nog tegenhoudt en hoe we dit kunnen automatiseren.

Wel blij dat ik van die StartSSL af ben. Dat was heel ingewikkeld en de firma blijkt dus ook dubieus.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

liegebeestig schreef:Wel blij dat ik van die StartSSL af ben. Dat was heel ingewikkeld en de firma blijkt dus ook dubieus.
Ingewikkeld ?? CSR paste en certificaat downloaden... wat mij betreft is Let's Encrypt veel meer gedoe.
liegebeestig
Elite Poster
Elite Poster
Berichten: 2265
Lid geworden op: 01 jun 2006, 15:16
Uitgedeelde bedankjes: 35 keer
Bedankt: 70 keer

Misschien wel als je 't zelf gebruikt buiten Synology om, maar via Synology is het heel eenvoudig.
Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4276
Lid geworden op: 04 apr 2005, 23:18
Locatie: België
Uitgedeelde bedankjes: 49 keer
Bedankt: 97 keer

Nu nog LE op de RDS servers, het is me manueel gelukt, maar automatisch renewen op een Windows Server 2012 lukt me nog niet :'(
Iemand die hier ervaring mee heeft?
Internet = Proximus Fiber 1000/500 & back-up Telenet 300/30 / Fixed & mobile phone = Dstny SmartMobile + Samsung S23 & OVH VoIP Entreprise TV = FTA IPTV + Netflix / Network = 100% MikroTik powered / / I'm using Atera RMM to run my IT business, Atera offers a 30-day free trial, learn more here.
Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4276
Lid geworden op: 04 apr 2005, 23:18
Locatie: België
Uitgedeelde bedankjes: 49 keer
Bedankt: 97 keer

BasicQ schreef:
Ken schreef: Synology Cloud Station Drive client herkend nieuw cert niet en stopt automatisch syncen
Verder moet ik iedere Synology Cloud Station Drive manueel opnieuw doen verbinden na iedere certificate renew omdat die het nieuwe certificaat niet herkend...
Ik had dat probleem ook en heb nog een support ticket openstaan hierover. Na wat onderzoek lijkt dat hier te liggen aan het gebruik van QuickConnect om de CS Drive te verbinden met de NAS. Als je de CS Drive client laat connecteren op DNS naam (die ook in het certificaat geregistreerd is) dan heb je geen problemen met de renewal! Ik wacht nog op een reactie van Synology over deze bevinding...
Nog altijd hetzelfde probleem. Na iedere renewal herkend die client het nieuwe certificaat niet en stopt het syncen.
Internet = Proximus Fiber 1000/500 & back-up Telenet 300/30 / Fixed & mobile phone = Dstny SmartMobile + Samsung S23 & OVH VoIP Entreprise TV = FTA IPTV + Netflix / Network = 100% MikroTik powered / / I'm using Atera RMM to run my IT business, Atera offers a 30-day free trial, learn more here.
Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4276
Lid geworden op: 04 apr 2005, 23:18
Locatie: België
Uitgedeelde bedankjes: 49 keer
Bedankt: 97 keer

Dit probleem lijkt voorlopig van de baan...

Intussen werk ik voor Cloud Station enkel maar over VPN

Om LE meer te automatiseren dan Synology zelf op een random tijdstip voorziet heb ik ook een cronjob ingesteld voor de LE cert renew op een specifieke dag en uur.

De ene NAS om bv. 4u00, de andere om 5u00.

En om het veilig te houden gaat de portward op de firewall ook open om 4u00 voor NAS1 en om 5u00 voor NAS2, en dit maar voor enkele minuten.

Zo blijft de HTTP poort 99% van de tijd gesloten en gaat die enkel open voor de LE cert renew. :beerchug:
Internet = Proximus Fiber 1000/500 & back-up Telenet 300/30 / Fixed & mobile phone = Dstny SmartMobile + Samsung S23 & OVH VoIP Entreprise TV = FTA IPTV + Netflix / Network = 100% MikroTik powered / / I'm using Atera RMM to run my IT business, Atera offers a 30-day free trial, learn more here.
efari
Member
Member
Berichten: 82
Lid geworden op: 10 sep 2015, 21:49
Uitgedeelde bedankjes: 3 keer
Bedankt: 6 keer

voor zover ik me kan herinneren, heb ik gewoon het vinkje aangeklikt op de synology diskstation voor Let's Encrypt, en er verder nooit naar gekeken. (dus zelf heb ik geen cronjobs toegevoegd), en poort 80 nooit opgengezet op mijn router.

verder had ik idd het probleem dat je vanaf je LAN niet naar de https versie kon verbinden dmv [NAME].dikstation.me (of whatever quickconnect je hebt ingesteld) zonder de bekende melding dat de verbinding niet beveiligd is.

dus heb ik in m'n hosts file deze lijnen gezet:

Code: Selecteer alles

192.168.0.[ip] [NAME].diskstation.me
192.168.0.[ip] [NAME]
dan kan je er gewoon naar browsen, met de korte naam (quickconnect ID) of de echte quickconnect-url. :)
Plaats reactie

Terug naar “Hardware”