Let's Encrypt op Synology NAS

Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4077
Lid geworden op: 04 Apr 2005
Locatie: België
Bedankt: 78 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 47 keer

Let's Encrypt op Synology NAS

Berichtdoor Ken » 08 Feb 2017, 15:12

Sinds enkele maand Let's Encrypt certificaten in gebruik op 2 Synology NAS.

Nadeel 1 :
Poort 80 = Open
Om de maand of 2 maand doet die automatisch een renew van het certificaat, maar moet blijkbaar poort 80 open staan en geforwarded worden naar de respectieve Synology z'n 'webstation' HTTP poort. Als je meerdere Synology NAS hebt op hetzelfde netwerk is dat dus onmogelijk...

Nadeel 2 :
Synology Cloud Station Drive client herkend nieuw cert niet en stopt automatisch syncen
Verder moet ik iedere Synology Cloud Station Drive manueel opnieuw doen verbinden na iedere certificate renew omdat die het nieuwe certificaat niet herkend...

Lekker lastig... Firstworldproblems... ;-)

Iemand die ook Let's Encrypt gebruikt en deze nadelen al heeft kunnen elimineren?

De bedoeling van Let's Encrypt is om dit hele gebeuren wat te automatiseren en het Internet veiliger te maken, maar als ik iedere 3 maanden alles manueel moet doen is daar niet echt veel sprake van...

Internet = Orange Love 200/20Mbps + Orange Surf Extra Card LTE backup
Telefonie = OVH VoIP Entreprise
GSM = Orange Arend Pro + Huawei Honor9
TV = Orange
Netwerk = 100% MikroTik powered

BertG3
Elite Poster
Elite Poster
Berichten: 1552
Lid geworden op: 27 Okt 2014
Bedankt: 150 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 164 keer

Re: Let's Encrypt op Synology NAS

Berichtdoor BertG3 » 08 Feb 2017, 16:30

Voor de vernieuwing van het certificaat kreeg ik een mail. Bij mij staat poort 80 niet open en kon ik dit doen door een commando te versturen via SSH. Wegens veiligheid laat ik poort 80 echt niet openstaan.

Het is dit commando /usr/syno/sbin/syno-letsencrypt renew-all

Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4077
Lid geworden op: 04 Apr 2005
Locatie: België
Bedankt: 78 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 47 keer

Re: Let's Encrypt op Synology NAS

Berichtdoor Ken » 08 Feb 2017, 16:40

BertG3 schreef:Voor de vernieuwing van het certificaat kreeg ik een mail. Bij mij staat poort 80 niet open en kon ik dit doen door een commando te versturen via SSH. Wegens veiligheid laat ik poort 80 echt niet openstaan.

Het is dit commando /usr/syno/sbin/syno-letsencrypt renew-all


Kan je dit commando uitvoeren in een crontab met de admin user en hoeft poort 80 hiervoor niet meer open te staan dan?

Internet = Orange Love 200/20Mbps + Orange Surf Extra Card LTE backup
Telefonie = OVH VoIP Entreprise
GSM = Orange Arend Pro + Huawei Honor9
TV = Orange
Netwerk = 100% MikroTik powered

BertG3
Elite Poster
Elite Poster
Berichten: 1552
Lid geworden op: 27 Okt 2014
Bedankt: 150 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 164 keer

Re: Let's Encrypt op Synology NAS

Berichtdoor BertG3 » 08 Feb 2017, 16:49

Ik heb dit uitgevoerd vanaf terminal op Mac of Putty op Windows via een SSH sessie (root user). Ik weet niet meer 100% zeker (is een eind geleden) of ik hiervoor 5 minuten poort 80 heb opengezet of niet. Het is sowieso zo dat je dit elk moment kan uitvoeren om je certificaat te verlengen. Als je poort 80 moet openzetten kan je dit tijdelijk doen en vanaf dat je certificaat weer verlengd is sluit je 'm weer.

Zal iets laten weten als ik het nog eens doorvoer en of ik dan poort 80 heb opengezet of niet.

EDIT: volgens deze post op het Synology forum hoeft het dus niet om poort 80 open te zetten als je het commando uitvoert :beerchug:
=> https://forum.synology.com/enu/viewtopi ... 99#p449283

gm123
Elite Poster
Elite Poster
Berichten: 1046
Lid geworden op: 08 Mar 2009
Bedankt: 110 keer
Uitgedeelde bedankjes: 59 keer

Re: Let's Encrypt op Synology NAS

Berichtdoor gm123 » 08 Feb 2017, 17:25

Hier staan poort 80 noch 443 open en mijn certificaat hernieuwt wel gewoon telkens op tijd. Die poorten staan wel open op de NAS zelf, maar op de router worden ze niet geforward.

In het begin ook last mee gehad, wou zelfs niet hernieuwen met de poorten open, maar 6 maanden geleden of zo nog eens een manuele herinstallatie van het certificaat gedaan en sindsdien werkt het wel. Enkel bij de installatie moest dat en erna heb ik ze gewoon dichtgezet en het bleef werken.

Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4077
Lid geworden op: 04 Apr 2005
Locatie: België
Bedankt: 78 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 47 keer

Re: Let's Encrypt op Synology NAS

Berichtdoor Ken » 08 Feb 2017, 17:27

Had het vanmorgen al gedaan via de root user. Maar met poort 80 open uiteraard.

Heb gewoonweg geen zin in al dat gezever met die poort 80 die dan open moeten staan, 't zou leuk zijn mocht die command in een cronjob zitten en poort 80 simpelweg dicht mag blijven.

Zal ze dan ook weer dicht zetten ;-) Binnen 3 maand dan nog eens checken.

Die client zal iets voor de support van Synology zijn, die moet het certificaat gewoonweg accepten punt.

Internet = Orange Love 200/20Mbps + Orange Surf Extra Card LTE backup
Telefonie = OVH VoIP Entreprise
GSM = Orange Arend Pro + Huawei Honor9
TV = Orange
Netwerk = 100% MikroTik powered

BasicQ
Member
Member
Berichten: 85
Lid geworden op: 20 Jun 2003
Bedankt: 4 keer
Uitgedeelde bedankjes: 1 keer
Contact:

Re: Let's Encrypt op Synology NAS

Berichtdoor BasicQ » 08 Feb 2017, 17:47

Ken schreef:Synology Cloud Station Drive client herkend nieuw cert niet en stopt automatisch syncen
Verder moet ik iedere Synology Cloud Station Drive manueel opnieuw doen verbinden na iedere certificate renew omdat die het nieuwe certificaat niet herkend...


Ik had dat probleem ook en heb nog een support ticket openstaan hierover. Na wat onderzoek lijkt dat hier te liggen aan het gebruik van QuickConnect om de CS Drive te verbinden met de NAS. Als je de CS Drive client laat connecteren op DNS naam (die ook in het certificaat geregistreerd is) dan heb je geen problemen met de renewal! Ik wacht nog op een reactie van Synology over deze bevinding...

Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4077
Lid geworden op: 04 Apr 2005
Locatie: België
Bedankt: 78 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 47 keer

Re: Let's Encrypt op Synology NAS

Berichtdoor Ken » 08 Feb 2017, 17:49

Is hier nochtans zelfde subdomein als in het certificaat. Telkens bij renewal moet ik de client opnieuw inloggen en het certificaat accepteren.
Zal hun antwoord eens afwachten thx!

Internet = Orange Love 200/20Mbps + Orange Surf Extra Card LTE backup
Telefonie = OVH VoIP Entreprise
GSM = Orange Arend Pro + Huawei Honor9
TV = Orange
Netwerk = 100% MikroTik powered

liegebeestig
Elite Poster
Elite Poster
Berichten: 962
Lid geworden op: 01 Jun 2006
Bedankt: 19 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 1 keer

Re: Let's Encrypt op Synology NAS

Berichtdoor liegebeestig » 22 Mar 2017, 19:49

Heb vandaag ook een Let's Encrypt certificaat geïnstalleerd via mijn domeinnaam en synology. Is prima gelukt, maar inderdaad wel poort 80 open op de router. De firewall van de Synology liet Let's Encrypt eerst niet door, zelfs met Poort 80 open. Heb dan maar 2 minuten alle poorten opengezet op die firewall (en enkel poort 80 doorgesluisd op de router). Zo ging het supervlot.

De vraag blijft dus wat die Firewall nog tegenhoudt en hoe we dit kunnen automatiseren.

Wel blij dat ik van die StartSSL af ben. Dat was heel ingewikkeld en de firma blijkt dus ook dubieus.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28838
Lid geworden op: 28 Okt 2003
Bedankt: 1891 keer
Recent bedankt: 10 keer
Uitgedeelde bedankjes: 391 keer

Re: Let's Encrypt op Synology NAS

Berichtdoor r2504 » 22 Mar 2017, 22:10

liegebeestig schreef:Wel blij dat ik van die StartSSL af ben. Dat was heel ingewikkeld en de firma blijkt dus ook dubieus.


Ingewikkeld ?? CSR paste en certificaat downloaden... wat mij betreft is Let's Encrypt veel meer gedoe.

liegebeestig
Elite Poster
Elite Poster
Berichten: 962
Lid geworden op: 01 Jun 2006
Bedankt: 19 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 1 keer

Re: Let's Encrypt op Synology NAS

Berichtdoor liegebeestig » 22 Mar 2017, 22:24

Misschien wel als je 't zelf gebruikt buiten Synology om, maar via Synology is het heel eenvoudig.

Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4077
Lid geworden op: 04 Apr 2005
Locatie: België
Bedankt: 78 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 47 keer

Re: Let's Encrypt op Synology NAS

Berichtdoor Ken » 24 Mar 2017, 09:40

Nu nog LE op de RDS servers, het is me manueel gelukt, maar automatisch renewen op een Windows Server 2012 lukt me nog niet :'(
Iemand die hier ervaring mee heeft?

Internet = Orange Love 200/20Mbps + Orange Surf Extra Card LTE backup
Telefonie = OVH VoIP Entreprise
GSM = Orange Arend Pro + Huawei Honor9
TV = Orange
Netwerk = 100% MikroTik powered

Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4077
Lid geworden op: 04 Apr 2005
Locatie: België
Bedankt: 78 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 47 keer

Re: Let's Encrypt op Synology NAS

Berichtdoor Ken » 07 Mei 2017, 00:30

BasicQ schreef:
Ken schreef:Synology Cloud Station Drive client herkend nieuw cert niet en stopt automatisch syncen
Verder moet ik iedere Synology Cloud Station Drive manueel opnieuw doen verbinden na iedere certificate renew omdat die het nieuwe certificaat niet herkend...


Ik had dat probleem ook en heb nog een support ticket openstaan hierover. Na wat onderzoek lijkt dat hier te liggen aan het gebruik van QuickConnect om de CS Drive te verbinden met de NAS. Als je de CS Drive client laat connecteren op DNS naam (die ook in het certificaat geregistreerd is) dan heb je geen problemen met de renewal! Ik wacht nog op een reactie van Synology over deze bevinding...


Nog altijd hetzelfde probleem. Na iedere renewal herkend die client het nieuwe certificaat niet en stopt het syncen.

Internet = Orange Love 200/20Mbps + Orange Surf Extra Card LTE backup
Telefonie = OVH VoIP Entreprise
GSM = Orange Arend Pro + Huawei Honor9
TV = Orange
Netwerk = 100% MikroTik powered

Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4077
Lid geworden op: 04 Apr 2005
Locatie: België
Bedankt: 78 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 47 keer

Re: Let's Encrypt op Synology NAS

Berichtdoor Ken » 19 Aug 2018, 11:42

Dit probleem lijkt voorlopig van de baan...

Intussen werk ik voor Cloud Station enkel maar over VPN

Om LE meer te automatiseren dan Synology zelf op een random tijdstip voorziet heb ik ook een cronjob ingesteld voor de LE cert renew op een specifieke dag en uur.

De ene NAS om bv. 4u00, de andere om 5u00.

En om het veilig te houden gaat de portward op de firewall ook open om 4u00 voor NAS1 en om 5u00 voor NAS2, en dit maar voor enkele minuten.

Zo blijft de HTTP poort 99% van de tijd gesloten en gaat die enkel open voor de LE cert renew. :beerchug:

Internet = Orange Love 200/20Mbps + Orange Surf Extra Card LTE backup
Telefonie = OVH VoIP Entreprise
GSM = Orange Arend Pro + Huawei Honor9
TV = Orange
Netwerk = 100% MikroTik powered

efari
Starter Plus
Starter Plus
Berichten: 31
Lid geworden op: 10 Sep 2015
Bedankt: 2 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 2 keer

Re: Let's Encrypt op Synology NAS

Berichtdoor efari » 19 Aug 2018, 19:51

voor zover ik me kan herinneren, heb ik gewoon het vinkje aangeklikt op de synology diskstation voor Let's Encrypt, en er verder nooit naar gekeken. (dus zelf heb ik geen cronjobs toegevoegd), en poort 80 nooit opgengezet op mijn router.

verder had ik idd het probleem dat je vanaf je LAN niet naar de https versie kon verbinden dmv [NAME].dikstation.me (of whatever quickconnect je hebt ingesteld) zonder de bekende melding dat de verbinding niet beveiligd is.

dus heb ik in m'n hosts file deze lijnen gezet:

Code: Selecteer alles

192.168.0.[ip] [NAME].diskstation.me
192.168.0.[ip] [NAME]


dan kan je er gewoon naar browsen, met de korte naam (quickconnect ID) of de echte quickconnect-url. :)


Terug naar “Computers en randapparatuur”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast