Nummer Serie DS 112: Ich bekomme den Zugriff von außen nicht hin!

Aller Geräte der Nummer-Serie (ohne j, + und xs Zusatz). Geräte für Privatanwender bis hin zu Firmenarbeitsgruppen
Status
Für weitere Antworten geschlossen.

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.549
Punkte für Reaktionen
47
Punkte
94
Hallo,

So, kommen wir zum nächsten Schritt, die Änderung des Zugriffs auf die DS-Oberfläche nicht mehr über Port 5000 (http), sondern über Port 5001 (https).

im Router forwarding auf 5001 stellen.
Auf dem NAS unter Systemsteuerung > DSM-Einstellungen > HTTP-Dienst > HTTPS-Verbindung aktiveren

Zugriff mit https://xxxx.selfhost.de:5001
 

HSV-Steph

Benutzer
Mitglied seit
27. Nov 2012
Beiträge
197
Punkte für Reaktionen
1
Punkte
16
Um ganz sicher zu gehen (ich kann es gerade nicht machen, sondern erst heute abend, da ich noch nicht weiß, wie ich einen Fernzugriff auf den Router hin bekomme; deshalb frage ich so detailliert):

Portweiterleitung am Router:
- Typ: benutzerdefiniert
- Protokoll: TCP
- Remote Host: leer lassen
- Remote Portnummernbereich: 5001
- Lokaler Host: Die interne IP der DS
- Lokale Portnummer: 5001
- Status: aktiviert

Einstellungen in der DS:
- System/DSM-Einstellungen/HTTP-Dienst: Haken bei "HTTPS-Verbindung aktivieren"
- HTTPS-Port ist 5001
- Soll / muss ich noch einen Haken setzen bei "HTTP-Verbindungen automatisch zu HTTPS umleiten"
- Und wenn ja: Was bedeutet Zertifikat importieren und wo bekomme ich ein solches her?

Danke!
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.549
Punkte für Reaktionen
47
Punkte
94
jepp, genauso wird es gemacht.

- Soll / muss ich noch einen Haken setzen bei "HTTP-Verbindungen automatisch zu HTTPS umleiten"

dann werden halt alle http eingaben auf https umgeleitet, das kannste anhaken ist für die Verbindung von aussen aber nicht notwendig.

- Und wenn ja: Was bedeutet Zertifikat importieren und wo bekomme ich ein solches her?

schau mal wegen ein eigenes Zertifikat ins WIKI, da gibt es einiges zu lesen. Du kannst auch die SuFu hier im Forum benutzen
 

HSV-Steph

Benutzer
Mitglied seit
27. Nov 2012
Beiträge
197
Punkte für Reaktionen
1
Punkte
16
Funktioniert! (hab meine Frau gerade genötigt, den Port 5001 weiterzuleiten :) )

Danke!

Jetzt kommt halt nur so eine Zertifikats-Fehlermeldung, die kann ich aber per "weiter" auch einfach ignorieren, oder?
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.549
Punkte für Reaktionen
47
Punkte
94
als Fehlermeldung würde ich es nicht bezeichnen, es mach dich darauf aufmerksam das die Identität unbekannt ist.
Du musst es speichern und dann ist gut.
 

HSV-Steph

Benutzer
Mitglied seit
27. Nov 2012
Beiträge
197
Punkte für Reaktionen
1
Punkte
16
Alles klar, danke!
 

HSV-Steph

Benutzer
Mitglied seit
27. Nov 2012
Beiträge
197
Punkte für Reaktionen
1
Punkte
16
So, der nächste Schritt steht an :)

Ich möchte den FTP-Zugriff sicherer machen (SSL / TLS).
Hierzu habe ich die folgenden Einstellungen vorgenommen:

DS:
- Haken bei "FTP-Service aktivieren (keine Verschlüsselung)"
- Haken bei "FTP SSL/TLS Verschlüsslungsdienst (FTPS) aktivieren"
- Passives FTP: Standardportbereich verwenden (55536 - 55543)
- Haken bei "externe ip im PASV Modus aktivieren"

Router:
- Die Ports 20 und 21 sind auf die interne IP der DS weitergeleitet
- Der oben genannte passive Portbereich wird auf die interne IP der DS weitergeleitet (allerdings jeder Port einzeln, ich kann keine Portbereiche eingeben)

FileZilla:
- Server: intern: IP der Ds / externe: xxxx.selfhost.de
- Port 21
- Verschlüsselung: Explizites FTP über TLS erfordern


Nun passiert folgendes:

Status: Verbinde mit xxxx:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 DSM-DiskStation FTP server ready.
Befehl: AUTH TLS
Antwort: 234 AUTH SSL command successful.
Status: Initialisiere TLS...
Status: Überprüfe Zertifikat...
Befehl: USER admin
Status: TLS/SSL-Verbindung hergestellt.
Fehler: GnuTLS error -12: A TLS fatal alert has been received.
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen



Dieser Fehler passiert sowohl im internen Netz (über die IP:21) wie auch extern (xxxx.selfhost.de:21).

Kann da jemand was mit anfangen?

Danke!
 

HSV-Steph

Benutzer
Mitglied seit
27. Nov 2012
Beiträge
197
Punkte für Reaktionen
1
Punkte
16
Interessanterweise hänge ich jetzt hier im Büro (also extern) schon an folgender Stelle:

Status: Auflösen der IP-Adresse für xxxx.selfhost.de
Status: Verbinde mit x.xxx.xx.xxx:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 DSM-DiskStation FTP server ready.
Befehl: AUTH TLS
Antwort: 234 AUTH SSL command successful.
Status: Initialisiere TLS...
Fehler: Zeitüberschreitung der Verbindung
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
 

Spooky_

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
176
Punkte für Reaktionen
0
Punkte
0
Probier's mal zum Vergleich über SFTP. Ist ohnehin die bessere Variante ;) (und du brauchst für SFTP auch keinen passive mode).
 

HSV-Steph

Benutzer
Mitglied seit
27. Nov 2012
Beiträge
197
Punkte für Reaktionen
1
Punkte
16
Probier's mal zum Vergleich über SFTP. Ist ohnehin die bessere Variante ;) (und du brauchst für SFTP auch keinen passive mode).

Welche Ports müssen dafür weitergeleitet werden?
 

Spooky_

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
176
Punkte für Reaktionen
0
Punkte
0
Welche Ports müssen dafür weitergeleitet werden?
Den Port kannst du selbst konfigurieren. Default ist 22 (der von SSH; SFTP = SSH File Transfer Protocol).

Um SFTP zu aktivieren: Control Panel - FTP - General - Enable SFTP service
Um den Port zu ändern: Control Panel - FTP - SFTP - Port number: - Use another Port:

Ich würde an deiner Stelle nicht den default SSH Port weiterleiten*, sondern entweder ein Port Mapping machen von, zB, 8022 auf 22. Oder SSH von außen gar nicht zulassen und dafür den SFTP Port auf 8022 stellen und diesen Port weiterleiten. (Oder 8022 auf 22 und den SSH Terminal nur bei Bedarf aktivieren, wie auch immer dir es am besten gefällt ;))


*In manchen Fällen ist dies jedoch leider notwendig. Wenn du zB ein Network Backup von einer DiskStation auf eine andere machst und Transfer Encryption verwenden willst, verwendet das Backup Tool SSH für die Verbindung. Der Port ist dann jedoch auf 22 fixiert und lässt sich nicht ändern, daher müsste man gezwungenermaßen auch den default Port 22 weiterleiten lassen, für die Ziel-DiskStation. Aber das nur nebenbei.
 
Zuletzt bearbeitet:

HSV-Steph

Benutzer
Mitglied seit
27. Nov 2012
Beiträge
197
Punkte für Reaktionen
1
Punkte
16
Ok, danke für die Antwort.
Ich möchte aber eigentlich gerade nicht schon wieder ein neues Thema "in meinem Kopf" aufmachen :)

Kann mir denn keiner bei der SSL / TLS - Filezilla Geschichte helfen?
 

Spooky_

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
176
Punkte für Reaktionen
0
Punkte
0
Ok, danke für die Antwort.
Ich möchte aber eigentlich gerade nicht schon wieder ein neues Thema "in meinem Kopf" aufmachen :)

Kann mir denn keiner bei der SSL / TLS - Filezilla Geschichte helfen?
Naja, es geht ja jetzt darum das Problem evt. ein wenig einzugrenzen. Wenn es mit SFTP auch nicht funktioniert, könnte das evt. Hinweise liefern. Meine Vermutung ist allerdings, dass es wieder mal ein Problem mit dem passive mode ist. Wobei, es passiert ja auch im LAN, da kommt dann kein passive mode zum Einsatz.

Und wie gesagt, SFTP würde ich FTPS sowieso vorziehen. Mit FTP(S) hast du dir das Leben ohnehin schon schwerer gemacht, als es notwendig war ;) (Du musstest manuell jeden einzelnen passive port forwarden und musstest schon Energie dafür aufwenden, um zu ergründen wieso FTPS nicht funktioniert).
 
Zuletzt bearbeitet:

HSV-Steph

Benutzer
Mitglied seit
27. Nov 2012
Beiträge
197
Punkte für Reaktionen
1
Punkte
16
Den Port kannst du selbst konfigurieren. Default ist 22 (der von SSH; SFTP = SSH File Transfer Protocol).

Um SFTP zu aktivieren: Control Panel - FTP - General - Enable SFTP service
Um den Port zu ändern: Control Panel - FTP - SFTP - Port number: - Use another Port:

Ich würde an deiner Stelle nicht den default SSH Port weiterleiten*, sondern entweder ein Port Mapping machen von, zB, 8022 auf 22. Oder SSH von außen gar nicht zulassen und dafür den SFTP Port auf 8022 stellen und diesen Port weiterleiten. (Oder 8022 auf 22 und den SSH Terminal nur bei Bedarf aktivieren, wie auch immer dir es am besten gefällt ;))


*In manchen Fällen ist dies jedoch leider notwendig. Wenn du zB ein Network Backup von einer DiskStation auf eine andere machst und Transfer Encryption verwenden willst, verwendet das Backup Tool SSH für die Verbindung. Der Port ist dann jedoch auf 22 fixiert und lässt sich nicht ändern, daher müsste man gezwungenermaßen auch den default Port 22 weiterleiten lassen, für die Ziel-DiskStation. Aber das nur nebenbei.

Ok, dann versuche ich mich mal in SFTP.

In der Diskstation habe ich SFTP angehakt, die erweiterten Einstellungen lasse ich erst mal auf Port 22. Ggf. kann ich ja hier (wenn es mal läuft) auf 8022 umstellen. (das mit den Weiterleitungen von Port zu Port hab ich nicht verstanden und wüsste auch gar nicht, wie ich das einstelle)
FRAGE: Kann ich (wenn es denn mal läuft) dann die beiden Haken bei "FTP umverschlüsselt" und "FTP SSL" eigentlich raus nehmen?

Im Router werden ich nun den Port 22 an die DS weiterleiten (später ggf. den Port 8022).
FRAGE: Sonst keinen weiteren Port?

In FileZilla ändere ich das Protokoll auf SFTP - SSH und den Port auf 22.


Soweit alles richtig?
 

Spooky_

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
176
Punkte für Reaktionen
0
Punkte
0
(das mit den Weiterleitungen von Port zu Port hab ich nicht verstanden und wüsste auch gar nicht, wie ich das einstelle)
Kommt auf den Router an, aber ist auch erstmal nicht so wichtig.


FRAGE: Kann ich (wenn es denn mal läuft) dann die beiden Haken bei "FTP umverschlüsselt" und "FTP SSL" eigentlich raus nehmen?
Ja kannst du dann entfernen. Also nur mehr "Enable SFTP service" (oder wie auch immer die Deutsche Übersetzung davon ist) angehakt lassen.


FRAGE: Sonst keinen weiteren Port?
Ja, nur Port 22 (oder den Port, den du dann selbst einstellt), sonst nichts.


In FileZilla ändere ich das Protokoll auf SFTP - SSH und den Port auf 22.


Soweit alles richtig?
Jup :).
 

HSV-Steph

Benutzer
Mitglied seit
27. Nov 2012
Beiträge
197
Punkte für Reaktionen
1
Punkte
16
Gut, dann erstmal vielen Dank! Dummerweise kann ich das wieder nicht sofort testen, da ich immer noch nicht weiß, wie ich per Fernzugriff auf meinen Router komme. Und heute ist noch nicht mal meine Frau zu Hause :-(
Ich meld mich, sobald ich da Ergebnisse habe.


Noch mal zurück zum TLS-Problem. Ich konnte inzwischen den Fehlerunterschied lokalisieren:

Status: Auflösen der IP-Adresse für xxxx.selfhost.de
Status: Verbinde mit x.xxx.xx.xxx:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 DSM-DiskStation FTP server ready.
Befehl: AUTH TLS
Antwort: 234 AUTH SSL command successful.
Status: Initialisiere TLS...
Fehler: Zeitüberschreitung der Verbindung
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

=> PASSIERT BEIM ZUGRIFF ÜBER DAS FIRMENNETZWERK

Status: Verbinde mit xxxx:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 DSM-DiskStation FTP server ready.
Befehl: AUTH TLS
Antwort: 234 AUTH SSL command successful.
Status: Initialisiere TLS...
Status: Überprüfe Zertifikat...
Befehl: USER admin
Status: TLS/SSL-Verbindung hergestellt.
Fehler: GnuTLS error -12: A TLS fatal alert has been received.
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

=> PASSIERT BEIM ZUGRIFF ÜBER FREIES WLAN (BZW ZU HAUSE ÜBER SMARTPHONE PER MOBILFUNKNETZ)


Hier mal die Router-Einstellungen:

- Typ: FTP (wird aber automatisch in benutzerdefiniert geändert)
- Protokoll: TCP
- Remote Host: frei gelassen
- Remote-Portnummernbereich: 21, 20, 55536, 55537, 55538, 55539, 55540, 55541, 55542, 55543 => ALLE EINZELN EINGEGEBEN, HIER KÖNNTE ICH ABER AUCH EINEN BEREICH ERFASSEN
- Lokaler Host: IP der NAS (xxx.xxx.x.xx)
- Lokale Portnummer: 21, 20, 55536, 55537, 55538, 55539, 55540, 55541, 55542, 55543 => ALLE EINZELN EINGEGEBEN, HIER KÖNNTE AUCH KEINEN BEREICH ERFASSEN
- Status: Aktiviert

In der DS steht der Passiv-Portbereich auf Standard (55536-55543)
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
Fehler: GnuTLS error -12: A TLS fatal alert has been received.
ist ein bekannter Fehler bei der Kombination Filezilla - DSM 4.2, evtl. einen anderes Programm probieren.

Gruß Götz
 

HSV-Steph

Benutzer
Mitglied seit
27. Nov 2012
Beiträge
197
Punkte für Reaktionen
1
Punkte
16
Hallo,

ist ein bekannter Fehler bei der Kombination Filezilla - DSM 4.2, evtl. einen anderes Programm probieren.

Gruß Götz

Ah, ok. Na dann liegt es ja wenigstens nicht an meinen Einstellungen :)

Der Fehler betrifft aber nicht den SFTP-Zugriff, oder?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat