Andere Threads haben mit nicht geholfen: Zugriff auf DS aus Internet nicht möglich, kein DS-Lite-Tunnel, Quickconnect geht.

[Bulliwolle]

Hallo zusammen,

meine DS 214 Play habe ich bereits seit ca. drei Jahren zu Hause stehen und komme damit im Heimnetzwerk und unterwegs per VPN über meine Fritzbox 7490 ganz gut zurecht. Auch der Zugriff von Extern über Quickconnect funktioniert reibungslos.

Jetzt ist zu Weihnachten ein WLAN-Lautsprecher bei mir eingezogen, der auch Alexa integriert hat. Meines Erachtens nach eine nette Spielerei, besonders gerade, wo es neu für mich ist. Bis jetzt hatte ich nur mit Siri zu tun und die kann weit weniger als es Alexa offenbar kann. Ich hätte daher gerne, das Alexa mit dem Synology-Skill auf meine Audio-Station zugreifen kann und mir meine Lieblingsmusik auf Zuruf abspielt.

Ich habe mich dafür an dieser Anleitung versucht: Audio Station Skill auf Amazon Alexa aktivieren

Entsprechend der Anleitung habe ich den Alexa-Dienst aktiviert und meinen Hostnamen "meinHost.synology.me" eingegeben. Da Alexa eine HTTPS-Verbindung erfordert, habe ich auch diese Anleitung zur Aktivierung von HTTPS und Erstellung einer Zertifikatsignierungsanforderung auf dem Synology NAS befolgt.

Hier fing das Problem dann an. Nachdem die Einstellungen übernommen wurden, habe ich versucht, über "https://meinHost.synology.me:5001" auf die DS zuzugreifen. Aus dem gleichen Netzwerk klappte es nicht, aber auch mein Handy konnte über das Mobilfunknetz mit dieser Adresse keine Verbindung herstellen.

Also habe ich hier etwas gelesen und etwas über DS-Lite-Anschlüsse gefunden. Offenbar trifft das aber auf mich nicht zu:

In der Hoffnung es damit hinzubekommen, habe ich in der Fritzbox der DS dann die selbstständige Portfreigabe erlaubt. Die Netzinterne IP der Diskstation hat sich auch noch nie geändert. Ich hoffte, dass ich damit im DSM die Einrichtung eines Routers für den externen Zugriff hinbekomme, was leider auch nicht klappte. Trotzdem die Fritzbox jetzt UPnP unterstützen sollte, bekam ich die Fehlermeldung:

Wenn ich dann versuchte, mit der manuellen Installation fortzufahren, gab es die 7490 noch nicht einmal zu Auswahl.

Jetzt bin ich irgendwie ziemlich ratlos und würde mich sehr über ein paar (halbwegs einfach formulierte) Tipps freuen.

Wenn noch Informationen von Nöten sind, reiche ich die schnellstmöglich nach.

Vielen Dank schonmal!

Grüße
Wolle

 

[Bulliwolle]

Noch etwas irritiert mich.

Ich habe bei der Fritzbox jetzt die automatische Portfreigabe nochmal rausgenommen und versucht, für die DS die Ports 5000-5001 manuell freizugeben. Das sieht so aus:

Allerdings steht das bei Adresse im Internet IPv6, dabei habe ich offensichtlich doch nur einen IPv4-Zugang...?

 

[Wollfuchs]

aus keinem der Bilder wuerde ich schliessen, dass Du einen IPv4 Zugang hast ..

auf welche IP loest der DDNS Name auf und welche IP (v4) hat die Fritte Deiner
Meinung nach, nach aussen?

 

[THDev]

Ports immer selbst im router freigeben und nie UPnP nutzen.
Was sagt denn ein Online Port checker? Ist der Port dort offen? Falls nicht => DS LITE.

 

[Bulliwolle]

aus keinem der Bilder wuerde ich schliessen, dass Du einen IPv4 Zugang hast ..

auf welche IP loest der DDNS Name auf und welche IP (v4) hat die Fritte Deiner
Meinung nach, nach aussen?

Hi,
ich dachte, dass man hier sehen kann, dass keine Verbindung über IPv6 besteht und dass nur die IPv4 aktiv ist:

Meine Fritzbox hat mir heute z.B. die IP-Adresse 188.107.xxx.xx mitgeteilt... Auf diese löst auch der MyFritz!-DDNS-Zugang auf.

 

[Bulliwolle]

Ports immer selbst im router freigeben und nie UPnP nutzen.
Was sagt denn ein Online Port checker? Ist der Port dort offen? Falls nicht => DS LITE.

Hi,
wenn ich auf meiner aktuellen IP den Port 5001 checke, dann wird der als open angezeigt. Das heißt doch, dass ich eigentlich kein DS Lite habe?

 

[Bulliwolle]

Ich habe in der Fritzbox mal versucht, die Portfreigabe anders zu gestalten:

Das hat allerdings nur zu einer Fehlermeldung geführt:

Und wenn ich jetzt ohne UPnP versuche die myhost.synology.me aufzurufen, dann kommt jetzt folgendes:

Edit:
Nach versehentlichem Ab- und wieder Anmelden an der Fritzbox sah das plötzlich so aus:

 

[Benares]

Screenshot 1: Entweder 5000-5001, extern 5000 oder 5001-5001, extern 5001
Du leitest 5001 an 5000 weiter.

 

[Wollfuchs]

IP-Adresse 188.107.xxx.xx

mei, das kann je nach Anbieter noch immer ne lustige NAT Nummer sein ..

mach doch einfach 2 ganz normale Portweiterleitungen.

aussen 5000 auf innen 5000
aussen 5001 auf innen 5001

dann ist je nachdem ob intern noch http auf https gezwungen wird, wenigstens nicht
unklar, wo die sache haengt.

abgesehen davon ... sieht doch ned sooo scheisse aus ..

 

[servilianus]

Ich verstehe ehrlich gesagt den Umweg über Quickconnect nicht. Wenn Du einen IP4-Anschluss hast und die Port-Weiterleitungen richtig konfiguriert sind und auch die FritzboxDDNS-Adresse funktioniert - dann braucht es doch Quickconnect gar nicht.
Also wenn die Portweiterleitungen in der Fritzbox (diese auch mal neu starten, manchmal werden neuangelegte Portweiterleitungen erst nach einem Neustart aktiv), und Du dann im Browser die https://FritzboxDDNS-Adresse:5000 eingibst - solltest Du auf der Weboberfläche der Synology sein. Und dann kannst Du die Adresse doch auch im Synology Skill eintragen. Voraussetzung ist, dass Du ein funktionierendes https-Zertifikat (letsencrypt) auf der Synology hinterlegt hast. Hast Du? Und wenn ja: Mit/für welche Domain? Das Zertifikat gilt genau und nur für diese eine Domain, keine IP-Adresse!

Nachteil an dieser ganzen Audio-Station Konstruktion mit Alexa ist, dass Du gezwungen bist, deinen Router bzw. Deine Synology fürs Internet zu öffnen (eben durch die Portweiterleitungen). Viel sicherer wäre es, von außerhalb nur mit VPN auf die Synology zuzugreifst. Das geht aber wiederum nicht, wenn Du mit Alexa auf die Audio-Station möchtest. Dann tu Dir wenigstens den Gefallen, dass Du in der Synology die 2-Faktor-Authentifizierung aktivierst die Umleitung von 5000 auf 5001 anhakst und Dir ein starkes Admin-Kennwort vergibst.

Ich habe daher von diesem Umweg Abstand genommen - und mir SONOS-Lautsprecher zugelegt, hier kann ich nämlich meine Musiksammlung auf der Synology als Netzlaufwerk hinzufügen und diese mit Alexa steuern (ohne einen Audiostation-Skill, der im Übrigen auch nicht immer stabil läuft).

Dir sollte eben klar sein, dass Du Dir für die Bequemlichkeit des Alexa-Zugriffs via Audiostation auf der anderen Seite eine Sicherheitsgefahr schaffst.

 

[Bulliwolle]

mei, das kann je nach Anbieter noch immer ne lustige NAT Nummer sein ..

mach doch einfach 2 ganz normale Portweiterleitungen.

aussen 5000 auf innen 5000
aussen 5001 auf innen 5001

dann ist je nachdem ob intern noch http auf https gezwungen wird, wenigstens nicht
unklar, wo die sache haengt.

abgesehen davon ... sieht doch ned sooo scheisse aus ..

Tatsächlich habe ich vorhin von Unterwegs (aus Langeweile beim warten auf meine Frau XD) auch nochmal versucht auf die DS zuzugreifen und siehe da, diesmal hat es tatsächlich funktioniert! Ich werde jetzt mal weiterschauen, ob das damit jetzt auch mit Alexa klappt.

Aber sag mir doch noch, womit ich meine DDNS und meinen Hostnamen oder eine IP verraten habe..?

 

[Bulliwolle]

Ich verstehe ehrlich gesagt den Umweg über Quickconnect nicht. Wenn Du einen IP4-Anschluss hast und die Port-Weiterleitungen richtig konfiguriert sind und auch die FritzboxDDNS-Adresse funktioniert - dann braucht es doch Quickconnect gar nicht.
Also wenn die Portweiterleitungen in der Fritzbox (diese auch mal neu starten, manchmal werden neuangelegte Portweiterleitungen erst nach einem Neustart aktiv), und Du dann im Browser die https://FritzboxDDNS-Adresse:5000 eingibst - solltest Du auf der Weboberfläche der Synology sein. Und dann kannst Du die Adresse doch auch im Synology Skill eintragen. Voraussetzung ist, dass Du ein funktionierendes https-Zertifikat (letsencrypt) auf der Synology hinterlegt hast. Hast Du? Und wenn ja: Mit/für welche Domain? Das Zertifikat gilt genau und nur für diese eine Domain, keine IP-Adresse!

Das Quickconnect habe ich damals eingerichtet, weil das mit der Portweiterleitung irgendwie nie funktioniert habe, bzw. es einfacher war Quickconnect zu nutzen als mich damit zu beschäftigen? Das Zertifikat habe ich für meinHostname.synology.me hinterlegt.

Nachteil an dieser ganzen Audio-Station Konstruktion mit Alexa ist, dass Du gezwungen bist, deinen Router bzw. Deine Synology fürs Internet zu öffnen (eben durch die Portweiterleitungen). Viel sicherer wäre es, von außerhalb nur mit VPN auf die Synology zuzugreifst. Das geht aber wiederum nicht, wenn Du mit Alexa auf die Audio-Station möchtest. Dann tu Dir wenigstens den Gefallen, dass Du in der Synology die 2-Faktor-Authentifizierung aktivierst die Umleitung von 5000 auf 5001 anhakst und Dir ein starkes Admin-Kennwort vergibst.

Ja, das mit dem Öffnen gefällt mir natürlich auch nicht soooo gut, bis jetzt habe ich immer nur die VPN-Verbindung genutzt, selbst das Quickconnect habe ich noch nie wirklich gebraucht. Allerdings habe ich jetzt keinen anderen Weg gesehen. Das Passwort ist schon sehr stark, die 2-Faktor-Authentifizierung stelle ich noch ein, guter Tipp. Bei allem was geht nutze ich die bereits, wusste aber nicht, dass das auf der DS auch geht.

Ich habe daher von diesem Umweg Abstand genommen - und mir SONOS-Lautsprecher zugelegt, hier kann ich nämlich meine Musiksammlung auf der Synology als Netzlaufwerk hinzufügen und diese mit Alexa steuern (ohne einen Audiostation-Skill, der im Übrigen auch nicht immer stabil läuft).

Dir sollte eben klar sein, dass Du Dir für die Bequemlichkeit des Alexa-Zugriffs via Audiostation auf der anderen Seite eine Sicherheitsgefahr schaffst.

Wie machst du das mit dem Sonos? Ich habe mich aus klanglichen und vor allem mobilen Gründen für den Libratone Zipp2 entschieden. Klar kann ich mit dem iPhone in die Audio-Station gehen, dort Musik starten und per Airplay auf dem Zipp2 wiedergeben lassen, allerdings kommen weder Siri übers Handy, noch Alexa über den Lautsprecher an die Station. Zumindest ist mir der Weg unklar, wie ich der Lautsprecher-Alexa da anderen Zugang zu verschaffen könnte, ohne Skill.

 

[the other]

Moinsen,
Das ist nicht so schwer, denn in dem Screenshot in deinem Post (Nummer 7) ist die Fehlermeldung des Browsers... Dort nachzulesen.
Beweise, watson, Beweise...

 

[Bulliwolle]

Unglaublich. Glasauge bleib wachsam! Das habe ich tatsächlich komplett übersehen! Hauptsache, es kommt keiner auf Das Admin-Passwort admin12345 ...! ;-)

 

[the other]

Moinsen, du kannst den post auch mit dem Button melden und den mod bitten, den Screenshot zu entfernen... Ist mir auch schon passiert.

 

[Bulliwolle]

Danke, das habe ich gemacht.


Ich brauche aber nochmal Hilfe bezüglich der Zertifikatserstellung. Das habe ich über das DMS gemacht und ein Zertifikat von Let's Encrypt abgerufen. Das sah so aus:

Ich habe das letzte Feld offen gelassen, keine Ahnung was ich da angeben könnte.

Dummerweise habe ich beim Aufrufen der internen IP-Adresse dann eine Fehlermeldung bekommen, dass das Zertifikat zwar für diese Adress gültig sei, nicht aber für die interne Weiterleitung auf meine 192.etc.etc.xx:5001-Adresse. Diese Adresse kann ich allerdings auch nicht einfach in das dritte Feld der Zertifikatserstellung eintragen.

 

[servilianus]

das Alias wäre z.B. : WWW.hostname.synology.me

Das https-Zertifikat wird immer nur auf eine Domain ausgestellt, nie auf eine IP-Adresse. Da Du aber im Heimnetz unterwegs bist, und Du weisst, dass die IP-Adresse deiner Synology vertrauenswürdig ist, kannst Du den Zertifikatsfehler ignorieren (also auf: Risiko akzeptieren und fortfahren klicken), oder die Seite als (vertrauenswürdige) Ausnahme hinzufügen. Wie das bei Firefox geht weiss ich nicht, ich bin mit Safari unterwegs.

 

[Bulliwolle]

Vielen Dank, die Einrichtung des Skills hat damit jetzt auch geklappt.

Wenn es dennoch noch Tipps gibt, wie ich vielleicht auch anders per Sprachsteuerung (es geht auch Siri) auf die AudioStation zugreifen kann ohne sie aus dem Netz freizugeben, bin ich für alles offen.

Vielen Dank allen die mir geholfen haben!!