Hallo zusammen,
ich habe eine Synology Diskstation, auf der ein Webserver mit einer Groupware läuft. Um diese vom Internet aus erreichbar zu machen, habe ich im Lancom Router einer Portweiterleitung von externen Port 15621 auf internen Port 443 gemacht.
Weiterhin gibt es eine DDNS Adresse von meinem Provider (diskstation.meinedomain.de), die auf meine externe IP zeigt und auf der Diskstation habe ich einen namensbasierten VHost für diskstation.meinedomain.de angelegt. Danach habe ich in der Diskstation ein Let's encrypt-Zertifikat für diese Adresse gezogen.
Wenn ich jetzt https://diskstation.meinedomain.de:15621 im Browser aufrufe, funktioniert das einwandfrei. Schaue ich mir das SSL Zertifikat an, dann ist es das von Let's encrypt. Alles gut.
Wenn ich jetzt aber diese Adresse bei iOS einfüge und per CalDAV einen Kalender laden will, dann geht das zwar, aber ich bekomme die Meldung, dass einem Zertifikat nicht vertraut wird. Schaue ich mir das Zertifikat an, dann ist das ein Zertifikat vom Lancom Router. Da steht dann als Aussteller auch eine lange Nummer, weiß es nicht mehr genau, aber sowas in der Art 4005920049204. Ansonsten wird noch Lancom Würselen erwähnt.
Eben kam wieder die Meldung, die Zertifikatdetails sehen so aus:
Name des Inhabers
Land: DE
Bundesland: NRW
Ort: Wuerselen
Organisation: LANCOM Systems
Organisationseinheit: Engineering
E-Mail-Adresse: info@lancom-systems.de
Allgemeiner Name: diskstation.meinedomain.de
Name des Ausstellers
Land: DE
Bundesland: NRW
Ort: Wuerselen
Organisation: LANCOM Systems
Organisationseinheit: Engineering
E-Mail-Adresse: info@lancom-systems.de
Allgemeiner Name: 4003767718100790
Weiß jemand, woran das liegt? Ich dachte immer, durch die Portweiterleitung wird dann das Zertifikat auf der Diskstation genutzt. Das scheint nur beim Browser der Fall zu sein... komisch...
Port weitergeleitet aber SSL Zertifikat von Router?
Moderator: Lancom-Systems Moderatoren
-
Dr.Einstein
- Beiträge: 3212
- Registriert: 12 Jan 2010, 14:10
Re: Port weitergeleitet aber SSL Zertifikat von Router?
Bist du beim Testen im WLAN oder via LTE/5G verbunden? Hast du über WAN HTTPs am Lancom Router erlaubt?
Re: Port weitergeleitet aber SSL Zertifikat von Router?
Ich bin beim Testen mit dem WLAN verbunden.
Unter Zugriffs-Rechte - Protokolle steht bei WAN HTTPS nur über VPN und bei WLAN HTTPS nicht erlaubt (s. Anhang).
Edit:
Ich habe jetzt bei https alles mal auf erlaubt gestellt. Trotzdem erhalte ich auf dem iPhone aber immer noch die Meldung, dass die Serveridentität nicht überprüft werden kann. Bei Klick auf "Details" sehe ich dann wieder das Lancom Zertifikat. Ich kann die Meldung aber Abbrechen - der Sync klappt dann komischerweise trotzdem.
Edit2:
Interessanterweise akzeptiert das iPhone die Serverangaben bei der Ersteinrichtung völlig problemlos. Also der Kalender wird hinzugefügt und die Termine werden auch alle geladen. Erst dann kommt plötzlich der Hinweis, dass die Serveridentität nicht geprüft werden kann. Und das passiert auch nur bei CalDAV. Verbinde ich mich mit denselben Daten per ActiveSync gibt es keine Fehlermeldung zur Serveridentität.
Ich war übrigens beim Testen jetzt im 5G Netz. Problem ist aber identisch.
Das Macbook, wo ich mit den exakt selben Daten auch per CalDAV den Kalender eingebunden habe, meckert auch nicht über die Serveridentität. Das funktioniert die ganze Zeit problemlos.
Edit3:
Und jetzt habe ich es noch mal auf einem Android Smartphone mit DAVx5 probiert. Auch da funktioniert es direkt, ohne, dass ich irgendeinen Zertifikatfehler habe. Es betrifft also nur das iPhone, welches beim Hinzufügen eines CalDAV-Kalenders plötzlich auf das Lancom Zertifikat zugreift und daher die Serveridentität nicht prüfen kann. Ich bin ratlos.
Unter Zugriffs-Rechte - Protokolle steht bei WAN HTTPS nur über VPN und bei WLAN HTTPS nicht erlaubt (s. Anhang).
Edit:
Ich habe jetzt bei https alles mal auf erlaubt gestellt. Trotzdem erhalte ich auf dem iPhone aber immer noch die Meldung, dass die Serveridentität nicht überprüft werden kann. Bei Klick auf "Details" sehe ich dann wieder das Lancom Zertifikat. Ich kann die Meldung aber Abbrechen - der Sync klappt dann komischerweise trotzdem.
Edit2:
Interessanterweise akzeptiert das iPhone die Serverangaben bei der Ersteinrichtung völlig problemlos. Also der Kalender wird hinzugefügt und die Termine werden auch alle geladen. Erst dann kommt plötzlich der Hinweis, dass die Serveridentität nicht geprüft werden kann. Und das passiert auch nur bei CalDAV. Verbinde ich mich mit denselben Daten per ActiveSync gibt es keine Fehlermeldung zur Serveridentität.
Ich war übrigens beim Testen jetzt im 5G Netz. Problem ist aber identisch.
Das Macbook, wo ich mit den exakt selben Daten auch per CalDAV den Kalender eingebunden habe, meckert auch nicht über die Serveridentität. Das funktioniert die ganze Zeit problemlos.
Edit3:
Und jetzt habe ich es noch mal auf einem Android Smartphone mit DAVx5 probiert. Auch da funktioniert es direkt, ohne, dass ich irgendeinen Zertifikatfehler habe. Es betrifft also nur das iPhone, welches beim Hinzufügen eines CalDAV-Kalenders plötzlich auf das Lancom Zertifikat zugreift und daher die Serveridentität nicht prüfen kann. Ich bin ratlos.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Port weitergeleitet aber SSL Zertifikat von Router?
Moin,
mutmaßlich wird Dein Eifon aus irgendeinem Grund versuchen, eine Verbindung auf Port 443 zu der Adresse (Dein FQDN) aufzubauen und dann „nur“ den Router erreichen (in dessen selfsigned Zertifikat sehen.
Mach mal einen Paketrace auf dem Routet.
VG
mutmaßlich wird Dein Eifon aus irgendeinem Grund versuchen, eine Verbindung auf Port 443 zu der Adresse (Dein FQDN) aufzubauen und dann „nur“ den Router erreichen (in dessen selfsigned Zertifikat sehen.
Mach mal einen Paketrace auf dem Routet.
VG
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
Re: Port weitergeleitet aber SSL Zertifikat von Router?
Ja, das scheint zu stimmen. Ich habe heute morgen mal den Port 443 direkt auf die Groupware weitergeleitet und so eingerichtet und seit dem ist der Fehler nicht mehr aufgetreten. Es scheint so zu sein, dass das iPhone irgendwie trotz anderer Portangabe den Port 443 versucht zu nutzen.
Ich dachte, es wäre grundsätzlich ungünstig, den Port 443 freizugeben, weil der halt immer gescannt wird.
Gibt es eine Möglichkeit, dem Lancom zu sagen, dass auch auf Port 443 das Zertifikat des Servers bzw der DDNS Adresse zu nutzen, ohne den Port freizugeben?
Ich versuche mich heute Abend mal an einem Pakettrace. Habe ich noch nie gemacht, schau aber mal, ob ich rausfinde, wie das geht.
Ich dachte, es wäre grundsätzlich ungünstig, den Port 443 freizugeben, weil der halt immer gescannt wird.
Gibt es eine Möglichkeit, dem Lancom zu sagen, dass auch auf Port 443 das Zertifikat des Servers bzw der DDNS Adresse zu nutzen, ohne den Port freizugeben?
Ich versuche mich heute Abend mal an einem Pakettrace. Habe ich noch nie gemacht, schau aber mal, ob ich rausfinde, wie das geht.