Pi, LetsEncrypt und SynologyDS

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo Gemeinde,

    ich stehe momentan etwas auf dem Schlauch und benötige eure Hilfe bei folgender Problemlösung:

    Ich betreibe seit geraumer Zeit eine SynologyDS 214+ und hab darauf einen Webserver und diverse andere Anwendungen laufen.
    Zur Entlastung des Systems habe ich mir nun ein Pi4 mit 8GB zugelegt, um dort u.a. dem HomeAssistant und den Unifi Controller laufen zu lassen (24/7)

    Jetzt stoße ich auf das Problem der SSL-Verschlüsselung, die plötzlich für mich Sinn ergibt, womit ich mich aber nie richtig auseinander gesetzt habe. (shame on me)

    Den DynDNS beziehe ich über die Diskstation. ( *.diskstation.me)

    Wie muss ich das LetsEncrypt SSL-Zertifikat installieren, sodass mein HomeAssistant und der Controller per SSL über das Web erreichbar sind?
    Wenn dabei auch künftig auch noch meine Anwendungen auf der SynologyDS SSL abbekämen, wäre das wie Weihnachten.

    Gateway ist eine Fritz!Box 7590

    Vielen Dank für die Hilfe,
    BJ70

  • Vielen Dank, Tigerbeere

    Leider habe ich keine Ahnung, wie ich das anstellen soll.
    Meine Kenntnisse diesbezüglich sind leider rudimentär.

    Gibt es dazu vielleicht irgendwo ein Tutorial oder magst du mich bei diesem Unterfangen etwas an die Hand nehmen?

    Gruß,
    BJ70

  • Hallo Baujahr70,

    du musst dich zunächst entscheiden, ob nur du Zugriff (über VPN-Verbindung oder SSH-Tunnel) auf die Oberflächen deiner Dienste Zugriff haben möchtest, oder auch das restliche Internet zugreifen soll. Wenn du der Einzige sein möchtest, nimmt man üblicherweise ein VPN. Der GatewayServer kann der Router sein oder auch der Raspberry. Clients sind dann dein Smartphone, Laptop. Je nachdem brauchst du eine Anleitung für PIVPN / wireguard, VPN mit FRITZ!Box oder den Reverse Proxy mit TLS Zertifikat.

  • Hallo Tigerbeere

    Im Prinzip sollte der UniFi Controller nur von mir, der HomeAssistant von meiner ganzen Familie und der Apache-Webserver von jedermann erreichbar sein.

    Ich habe auf YouTube ein Video gefunden, das das mit dem ReverseProxy beschreibt, hänge dort aber bereits, weil er dort auf einer EngineX den ReverseProxy unter Ubuntu einrichtet und bereits über LetsEncrypt Zertifikate verfügt. (

    Externer Inhalt youtu.be
    Inhalte von externen Seiten werden ohne deine Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklärst du dich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.
    )

    Ich habe weder Ahnung was EngineX ist, noch was ich bei LetsEncrypt genau anfordern muss.

    Ich bin eben noch ein blutiger Anfänger :-/

  • Ich bin eben noch ein blutiger Anfänger

    Das ist nicht schlimm, aber dann wird es umso schwieriger das zum Laufen zu bekommen. Mein Vorschlag wäre alles über ein VPN zu machen, was für dich und deine Familie ist. Den Webserver dann extra freigeben, dort mit Zertifikat und keinen Reverse Proxy einzusetzen.

  • Moinsen,

    mal doof gefragt:

    müssen HomeAssistant und Unifi Controller ÜBERHAUPT zwingend aus dem Netz (also von außerhalb deines Heimnetzes) erreichbar sein?

    Beim HA würden mir ja noch ein zwei Dinge einfallen (und das wäre dann was für VPN). Warum ich aber meinen WLAN Controller von außerhalb meines Heimnetzes unbedingt erreichen müsste, da fehlt mir die Fantasie für ein Szenario...und auch da würd ich immer zu VPN greifen.

    :)

    Grüßle,

    the other


    Gesund bleiben! Abstand halten! Mund-Nasen-Schutz tragen! Freundlich bleiben!

  • Mein Vorschlag wäre alles über ein VPN zu machen, was für dich und deine Familie ist. Den Webserver dann extra freigeben, dort mit Zertifikat und keinen Reverse Proxy einzusetzen.

    Okay, ich bin einverstanden.
    Was muss ich tun?

    Ich gehe davon aus, dass ich auf meiner SynologyDS das OpenVPN-Paket installieren und einrichten muss.
    ...oder doch auf dem Pi?


    Die Frage, die sich mir dann stellt ist, wie funktioniert dann die Verbindung zu den anderen Geräten im Netz, die eine Verbindung zum Internet brauchen?

    ... und muss ich auch etwas in meinen "managed Switches" einstellen?
    Die haben auch diverse VPN-Funktionen, die ich nicht verstehe.

    ...da fehlt mir die Fantasie für ein Szenario...

    Ich würde mir ungern die Möglichkeit nehmen, meinen Kindern von unterwegs das WLAN abzuschalten. ;)

    2 Mal editiert, zuletzt von Baujahr70 (2. August 2021 um 07:56)

  • Moinsen,

    ein VPN Server hat auf einem Fileserver (dein NAS) nix zu suchen. Nimm lieber den Pi. Alternativ (dann nicht openVPN) bei vorhandener Fritzbox einfach deren VPN Server einrichten und nutzen, da bietet AVM ne gute einfache Anleitung zu (Google ist dein Freund).

    Wenn du einmal im Heimnetz via VPN Tunnel bist, dann hast du (sofern keine Firewall den internen Verkehr reglementiert) Zugriff auf alle Geräte im Heimnetz (so als wärst du vor Ort).

    An den switches muss idR gar nix eingestellt werden.

    Deine Geräte im Heimnetz nutzen ganz normal weiter die normale Verbindung nach draußen. Du aber (von draußen kommend) nutzt den VPN Tunnel nach Hause. Darüber hast du dann verschlüsselten Zugriff auf dein Heimnetz. Alternativ kann der gesamte Verkehr dann (auch zum Surfen im öffentlichen WLAN) durch den Tunnel geschickt werden, was durchaus Sinn macht in öffentlichen WLANs.

    ;)

    Grüßle,

    the other


    Gesund bleiben! Abstand halten! Mund-Nasen-Schutz tragen! Freundlich bleiben!

  • Danke the other für deine Einschätzung.

    Ich habe natürlich bereits sehr viel Google und Youtube bemüht und überall wird von der Variante "Fritz!Box als VPN-Server" abgeraten und die OpenVPN-Variante wegen besserer Performance bevorzugt.

    Das Betriebssystem der SynologyDS stellt die Variante als VPN-Server zu fungieren bereit.
    Ich habe mich lediglich noch nicht damit auseinander gesetzt.

    Ferner hatte ich mir ja den PI angeschafft, um das System der DS etwas zu entlasten und künftig einige Anwendungen lieber dort laufen zu lassen.

    Der dynamische Hostname wird durch die Synology bereitgestellt.
    Kann ich dann OpenVPN auch auf dem PI installieren und bleibe trotzdem weiter über den von der Synology bereitgestellten Hostnamen im Internet erreichbar?

    Wie muss ich mir künftige Anfragen auf den Apache-Webserver vorstellen?
    Habe ich dann automatisch eine SSL (https) Verbindung?

    Ich bin total verwirrt

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!