impossibile accedere in locale con certificato synology letsencrypt

[barons86]

Buoniorno a tutti,
sono nuovo nel forum e ne approfitto per salutare nuovamente tutta la community.
Ho un problema e la mia pignoreria non mi consente di andare avanti nell'utilizzare il mio NAS DS224+ se prima non risolvo questo problema.
Il problema è il seguente:
- Riesco ad accedere al mio link "mionas.synology.com" dall'esterno e dall'interno sul browser mentre, quando utilizzo il link per accedere dai client installati sul pc e sul mac, non riesco ad usare il link ma solo l'ip interno del mio router. Questo tra l'altro crea un problema nell'eseguire il backup con Synology Active Backup che non riconosce il certificato letsencrypt di synology.
Avendo fatto un trilione di modifiche.. Non lo so se mi sto trascinando dietro qualche errore. Il mio modem non possiede la funzione loopback ( mi sembra si chiami cosi ) e possiedo un ip pubblico. Spero che postare le immagini possa aiutare, chi come me, è digiuno sull'argomento.
In breve quello che ho fatto:

• 1) creato certificato dns di synology

Immaginednssynology.png

• 2) ho installato DNS Server e l'ho configurato come segue

dns2.png

dns3.png

dns4.png

3) A questo punto seguendo alcuni commenti riportati nel forum ho eseguito delle modifiche nel mio router in modo da non utilizzare un certificato auto-firmato su ogni pc ma usando sempre dns synology letsencrypt. Le modifiche sono le seguenti:

modem1.png

4) Ho aperto le seguenti porte sul router perché, da quanto ho capito, sono necessarie per accedere dall'esterno e per usare i servizi dns di synology. ( se conoscete metodi alternativi per non aprire le porte sul router ed accedere dall'esterno sono tutto orecchi. Per me l'importante è accedere dall'esterno alle app che uso su ios. non mi interessa entrare nel DMS dall'esterno. - quindi se posso chiuderle per una questione di sicurezza, accetto consigli ).
** ho eliminato l immagine con le porte del router

• 5) Ho configurato il firewall del nas seguendo alcuni consigli in rete. vi posto comunque le immagini, non si sa mai, magari il problema sta proprio li.

• 5.1) Ho consentito solo questi servizi e bloccato il resto

• 6) Questa è la schermata di accesso se utilizzo l'ip del NAS

• 7) Infine ecco il famoso errore:

Mi scuso nuovamente se ho utilizzato molte immagini ma spero che, al contrario, questo possa facilitare chi è più esperto di me per dirmi in maniera precisa e semplice dove intervenire essendo un neofita ( possiedo il nas solo da lunedi pomeriggio ).

Ancora un ringraziamento anticipato a chi vorrà e potrà intervenire.

[barons86]

nessun anima pia hahahahahahahah..

[burghy86]

è che con il dns server non risolvi.

[barons86]

Grazie ugualmente della risposta
che poi credo sia tutto collegato ma anche OPENVPN. Riesco ad installarla correttamente, accedo alla vpn da pc o Mac ma digitando l'ip che mi viene fornito 10.8.0.x non mi trova la pagina di login.
Idem se provo a connettermi tramite smb non riesce a connettersi
e ovviamente anche se inserisco mionome.synology.me
credo sia tutto collegato ma non saprei davvero che soluzione altra inventarmi

[burghy86]

no aspetta. quali sono i tuoi obbiettivi?
se in casa tua hai la rete 192.168.1.x il router su 192.168.1.1 e il nas su 192.168.1.200 in locale lo raggiungi usando il nome hostname dato (default: diskstation) o usando l'ip
questi due dati puoi usarli via smb /afp/nfs ma anche http e https.
naturalmente essendo locale via browser da errore del certificato ma cliccando avanzate puoi proseguire comunque. puoi sempre estrarre il certificato e installarlo sul browser, non avrai il lucchetto verde ma entra diretto.

da fuori invece il certificato lets encrypt ha un senso. non so che porte tu abbia aperto ma se usi openvpn e hai flaggato di vedere la rete interna se da remoto ti colleghi in vpn puoi raggiungere il nas sia su 192.168.1.200 che via ip della vpn 10.8.0.1 (che è il gateway quindi il nas)

se.invece hai aperto la https su una porta non standard della 5001 con il ddns https://pippo.synology.me:portahttps avrai il.tuo agognato lucchetto verde.

NO la porta smb non si pubblica sul router.

voler tutti i costi il lucchetto verde è come voler parlare con la tua compagna che deve avere sempre sul petto la carta di identità perché tu possa verificare do star parlando proprio con la tua compagna.

[barons86]

Intanto ti ringrazio nuovamente del tempo che mi stai dedicando.
In realtà al di la della certificazione i miei obiettivi sono i seguenti:
- riuscire a garantire una ottima sicurezza del nas nel collegamento da remoto
- riuscire a connettermi da remoto senza magari aprire troppe porte sul router
- fare in modo che quando io mi connetta da remoto non debba modificare ogni volta le impostazioni delle app che uso su iphone e dei client che uso su pc e mac ( tipo synology drive o active backup ).
- riuscire ad utilizzare su pc e iphone la possibilità di "sfogliare" le cartelle ed i file presenti sul NAS, senza scaricarle. solitamente per usare questa funzionalità devo usare il comando smb://ipnas

Attualmente la configurazione del mio router è 192.168.1.1
Il nas è su 192.168.1.205
Sono riuscito ad usare openvpn ma:
- collegandomi in wifi non riesco a collegarmi al router usando 10.8.0.x
- riesco a collegarmi usando mionome.synology.me ( ma quando uso il dns di synology per qualche ragione mi bypassa openvpn perché vedo dal programma client che non scarica nessun dato )
- riesco a collegarmi ad 192.168.1.205

Io vorrei fare in modo che una volta che configuro i dispositivi dei miei famigliari non debbano sempre cambiare le impostazioni dei client. quindi gli direi di NON usare Openvpn quando sono in locale di modo che per fare i backup di foto video etc. non ci mettano una vita e di usare invece openvpn quando sono da remoto per avere accesso ai loro file.

grazie ancora

[burghy86]

dobbiamo discernere le cose. vuoi usare la vpn o no?
che porte hai aperto sul router?

perché se vuoi usare la vpn è tutto molto semplice.
imposti di collegarti alla rete locale su vpn server.
ricarichi la conf sui client
imposti su tutti i client 192.168.1.206 per le app e le share.
quando sei a casa in wifi non ti serve abilitare la vpn e quando sei fuori la attivi e poi apri le app o la share

[barons86]

Si vorrei abilitare vpn
ho abilitato vpn da synology con openvpn
scaricato file config su client
quindi utilizzo per ogni client 192.168.1.205
pertanto, se sto capendo bene, con lo stesso ip riesco ad accedere da locale e da remoto non ho bisogno di cambiare le configurazioni giusto?
Semplicemente, se sono a casa, non attivo openvpn mentre, quando sono da remoto, attivo openvpn ed utilizzo sempre 192.168.1.205
pertanto me ne infischio dell'avviso che la connessione non è protetta? capito bene?
Io ho aperto sul router per openvpn la porta 1194
A questo punto, potrei disabilitare le porte 80-443 che avevo aperto per accedere da remoto al synology senza vpn?
Potrei disabilitare anche la porta 53 che, in teoria, dal sito di synology doveva funzionare per il dns di synology..
Detto che non mi è chiarissimo quanto impatto abbia il fatto che mi dice che il sito in cui sto provando ad accedere non è protetto usando solo l'ip il problema del certificato si poneva più che altro per backub business in quanto, da quello che ho letto in rete, quando non usi alcun certificato ad un certo punto non ti si attiva più il backup in automatico.
Per quanto inerente la "protezione" in generale ho un pò smanettato con il firewall di synology usando un pò di guide in rete. Non saprei se conviene farlo altro..
grazie ancora

[papp185]

Buon giorno a tutti, mi scuso se approfitto di questa discussione, ma vorrei prendere spunto da questo problema (che sto riscontrando anche io) per chiedere aiuto anche a proposito di un altro problema.
Vorrei accedere da remoto al mio nas synology ds423+ per sfruttare synology photos e drive per fare backup automatico dei miei contenuti, e avere una galleria sempre aggiornata.
Purtoppo ho scoperto che il mio provider internet non mi fornisce ne un ip pubblico raggiungibile, ne la possibilitá di fare portforwarding.
Quindi non potendo al momento lavorare con openvpn, al momento (mentre valuto se cambiare operatore) uso tailscale per accedere ugualmente da remoto. Il problema é che sia accedendo in locale sia utilizzando tailscale, non riesco ad ottenere un certificato che mi permetta di sfruttare una connessione https.
Ora a questo punto vi chiedo se qualcuno si trova in una situazione analoga, se qualcuno usa tailscale e se eventualmente utilizzandolo ha trovato il modo di ottenere un certificato https.
Vi ringrazio

[burghy86]

se sei sotto nat e ti interessano soprattutto photo e drive perché non usare quickconnect alla fine fa lo stesso di tailscale.

per avere un certificato valido non è possibile nel tuo caso perché raggiungi il nas con ip locale che per sua natura (ip locale) non può essere usato per un dominio pubblico