Hallo liebe Community,
auf der Suche im Netz bzw. hier im Forum bin ich leider nicht fündig geworden bzw. habe die falsche Suchstrategie angewandt.
Nun konrekt:
Ist es möglich im eigenen Netzwerk per „https“ mit paperless-ngx (docker/synology) zu kommunizieren? Wenn ja, wie?
Da ich kein „Experte“ bin würde ich mich über eine ausführliche Umsetzungsbeschreibung freuen.
Im Voraus, vielen Dank für eure Unterstützung.
Wenn dann über den Proxy-Weg.
Vermutlich teil der Masterclass 
Wieso paperless https nicht integriert Frage Ich mich auch schon lange, denn andere Docker Projekte unterstützen es ach.
Nicht falsch verstehen und mal ehrlich… Welche Verbesserung versprichst Du dir davon im eigenen „Netzwerk“ ?
Der einzige Vorteil wäre mehr „Sicherheit“ die eigentlich nicht benötigt wird.
Es ist ja dein Netzwerk mit hoffentlich nur deinen Geräten, wenn nicht und du dein Netzwerk mit dem Nachbarn teilst ist das was anderes…
Was anderes wäre es wenn du übers Internet drauf zugreifen willst… Aber dann hast du ganz andere Probleme…
Synology sind zumindest deutlich weniger on der Presse mit Sicherheitslücken wie QNAP und co…
Ich empfehle dir wenn dann ne ordentliche VPN-Lösung dann kannst du bequem aus Dem Urlaub deime Domumente verwalten.
Ich selbst benötige HTTPS im LAN oder innerhalb des VPNs erst dann wenn es kein Browser
Das Thema intressiert mich auch.
Intern die Sicherheit zu erhöhen ist doch immer eine gute Sache. Ich habe es mal mit der Masterclass versucht ( Paperless-ngx aus dem Internet erreichbar machen mit Synology NAS). Das hat nicht geklappt und entspricht im Grunde nicht meinen Wünschen. Mir würde intern https und extern über openvpn reichen.
Wenn ich intern über den hostnamen die DSM erreichen will, kriege ich die Meldung, dass diese Website nicht erreichbar ist.
Frage: kann man überhaubt den selben hostnamen für openvpn und https benützen? Oder muss man intern https anders einrichten?
Danke für Eure Hilfe.
Das interne https habe ich mittlerweile verworfen. Ich nutze ein Gateway (Dreammachine) mit der ich mehrere VLANS betreibe darunter eins mit sehr strikter Zugriffsverwaltung, das auf meine Server ausgelegt ist. Zugriff über das Internet ist „ausgeschlossen“, außer VPN, das ebenfalls über die „Dreamemachine“ umgesetzt ist.
Danke @Ruedigger Das mit der Dreammaschine schwebt mir auch schon vor. Nur habe ich ein Glasfaser Anschluss mit entsprechendem Router. Diesen zu Bridgen ist offenbar gemäss meinem Schweizer Provider nicht möglich…
Betreff https: Soviel habe ich mal als Laie rausbekommen:
Da meine interne IP-Adresse der NAS statisch ist, benötige ich kein DDNS für den internen Zugriff. DDNS ist nützlich, wenn ich von asserhalb meines Netzwerks auf mein NAS zugreifen möchte und meine externe IP-Adresse sich ändert. Innerhalb des lokalen Netzwerks bleibt die statische IP-Adresse meiner NAS ja konstant…
Nun brauche ich aber ein SLL Zertifikat. Ob es einfacher ist eins selber zu machen oder über zBsp Let’s encrypt zu gehen finde ich noch heraus. Damit werde ich mich mal auseinandersetzen und feedback geben.
Bitte sagt mir, falls ich mich auf dem Holzweg finde… Danke
Ich habe festgestellt, dass das Thema mit DNS Server auf der Synology mit meinen Kenntnissen für mich zu Zeitintnsiv wird. Ob der nutzen dafür sich lohnt kann ich nicht abschätzen. Somit schliesse ich das Thema SSL im heimischen Nezwerk für mich ab und bleibe bei der Standardanmeldung über die http ip adresse… 
Die Funktionen die Synology bietet sind schön und gut… Aber wer was vernünftiges will wird nicht sein NAS als DNS / DHCP oder Domain-Server verwenden.
Dein Glasfaser Router ist zufällig von AVM mit nem Glasfaser Modul ?
Musst du wie bei DSL Zugangsdaten eingeben oder wird das über die Mac deines Glasfaser Adapter geregelt?
Hi,
HTTPS geht mit einer Synology recht einfach auch per „Reverse Proxy“.
Wenn man in der Synology DDNS einstellt erhält man gleich noch ein Zertifikat von Let’s Encrypt.
Somit hat man nur noch eine Paperless-HTTPS Andresse, egal ob man von extern oder Intern auf Paperless zugreift.
Ob das Sinn macht oder nicht darf jeder selber entscheiden.
Interessant wird es wenn man noch mehr Anwendungen per HTTPS von extern starten will, dann reicht eine Portfreigabe für HTTPS im Routermenü, im Reverse Proxy wird eingestellt welche Anwendung welchen internen Port nutzt.
Natürlich kann man auch VPN nutzen, das ist evtl aber nicht immer verfügbar.
Bitte mit solchen Pauschalurteilen vorsichtig sein. Damit ist leider niemandem geholfen.
Hilfreich wäre:
In meinen Augen sieht es so aus:
Kleiner Nachtrag:
Wer die Linkfreigabe nutzen will muss beim erstellen des Links zwangsläufig per externer HTTPS Adresse angemeldet sein damit er funktioniert.
Mit dem Link einer internet Netzwerkadresse kann die 3. Person nichts anfangen.
Hallo Michael
Mein Glasfaserrouter ist ein vom Provider (Schweiz) konfiguriertes Zyxel 7501B. Leider werden die Funktionen des Routers vom Provider. Ein bridgen sei offenbar nicht möglich und für die DMZ Funktion kenne ich mich zu wenig aus. Da ich die Hausverteilung über Unifi mache (Switches, AP’s, Cloud key) wäre für mich eine Dreammaschine naheliegend und spannend. Der Provider gibt aber die Freigabe für einen direkten Anschluss nicht… Auch nicht bei Angabe der Mac mit der Begründung, da sie keinen Support geben können. Haha - welchen Support 
Hallo Stefan
Vielen Dank! Ich finde diese kleine Vergleichstabelle recht übersichtlich:
Wobei mit deiner Anleitung aus der Masterclass das einrichten eines openvpn gut geklappt hat und auch deine Erklärungen dazu gut sind.
Danke Jake. Für meine Nutzen als Privatanwender reicht der Zugang über openvpn völlig aus. Ich wollte das ganze aus interesse mal versuchen. Für die Anwendungen wie Drive, Photo Mobile, DS Cam usw. nutze ich den Quickconnect. Für Paperless dann einfach openvpn. Ich brauche es 98% intern und nicht extern. Ich hätte es „sympatischer“ gefunden, die Anwendung intern über einen Namen und nicht über die IP zu starten. Aber dem sage ich „Luxusprobleme“.
Wenn ich übrigens im DDNS die IPv4 Adresse auf die NAS IP setze, funktioniert das ganze intern über https. Aber natürlich geht dann der openvpn nicht mehr. Darum wäre der vpn server eine Möglichkeit. Aber so einfach ist das dann auch nicht aufgesetzt und das Thema ist seehr umfangreich…
Bin zufällig bei Recherche auf den Kanal und dieses Video gestoßen.
Vielleicht auch bei dir umsetzbar.
Danke Michael. Intressant, aber für mich keine Alternative. Ich werde eher den ISP wechseln. Es gibt in der Schweiz Anbieter ohne Router Zwang resp. solche die das Bridge anbieten.
Die bessere Wahl ist es.
Bin bei Kabel Deutschland die zum Glück den Bridge Mode ermöglichen.
Hatte mit DSL aber auch immer nur Modems.
( Billiger bei Blitzeinschlag und Kondensator )
Dann viel Glück beim Wechsel
Ich beschäftige mich schon eine gewisse Zeit mit der Recherche bzgl. SSL/TLS im eingenen lokalen Netzwerk.
Ich möchte zu meiner VPN Verbindung via WG zu meiner UDM zusätzlich im lokalen Netzwerk via „https“ kommunizieren → Sinn oder Unsinn egal. Damit der automaitsche mobile (auf dem IPhone) Slefsync bei Obsidian funktioniert, wird „https“ gefordert. Idealerweise über LetsEncrypt bzw. anerkannte Zertifizierungsstellen und nicht ein eigenes Zertifikat.
Die mir zur Verfügung stehenden Mittel:
Ich bin absolut kein Netzwerkprofi, möchte jedoch gerne etwas dazu lernen und würde mich freuen wenn Ihr mich in der Umsetzung unterstützen könntet.
Vielen Dank im Vorfeld.
Ich hole mal ein bisschen aus.
TLS (früher SSL) funktioniert im Grunde so, dass man eine „Institution“ hat, der man (=jeder) vertraut. Große Unternehmen, die weltweit anerkannt sind, als „Vertrauensanker“ zu fungieren.
Diese Unternehmen haben eine Zertifizierungsstelle und können Zertifikate ausstellen. Ein Zertifikat muss immer von jemandem unterschrieben sein, in diesem Fall sind das die Vertrauensanker. Jemand, der ein unterschriebenes Zertifikat hat, kann andere Zertifikate unterschreiben und so weiter (unter bestimmten Umständen, führt zu weit):
Root-Zertifikat > Zertifikat > Zertifikat …
Man kann jetzt vom allerletzten Zertifikat in der Kette bis zum Root-Zertifikat zurück-verfolgen und nachweisen, dass die Kette vertrauenswürdig ist.
Jetzt ist das Problem, dass du in deinem Netzwerk kein solches Unternehmen hast, dem auch andere vertrauen. Du könntest natürlich deine eigene Zertifizierungsstelle hosten mit eigenem Root-Zertifikat usw., aber dann kommen im Browser Meldungen über ein nicht vertrauenswürdiges Zertifikat, bis du das Root-Zertifikat auf dieser Maschine als vertrauenswürdig kennzeichnest (importierst).
Lösung Nummer 1:
Lösung Nummer 2:
Ich finde Lösung 2 besser
In deiner Konfiguration könnte der Reverse Proxy z.B. auf der DS918+ laufen, wenn du DynDNS über Synology laufen lässt, hat sie ohnehin schon die nötigen Zertifikate und du kannst alle Services im Netzwerk von dort aus durch den Reverse Proxy laufen lassen.
Die Strato-Domains brauchst du also nicht zwingend.
Die praktische Umsetzung würde bestimmt nicht nur ich in eurer Synology Masterclass feiern. Schließlich habt ihr es schon leicht angekratzt.
Lösung 2 ist der absolute Königsweg, besonders wenn man bedenkt dass dies unter Einsatz einer Synology auch Laien gut bewerkstelligen können.
Statt Subdomains kann man aber auch einfach verschiedene Ports nutzen. Das hat noch den Vorteil, dass man eine zusätzliche Kontrolle über die Portfreigabe im Router hat.
Läuft beim Server irgendwas schief, sperrt man zur Sicherheit erst mal die Portfreigabe und kann sich absolut sicher sein, dass die fehlerhafte Anwendung vorerst nicht mehr im Netz zu sehen ist.
