DSM 7.2 DS Finder Anmeldung nicht möglich

[Huntermaster]

OK, also könnte mein Ausgangsproblem schon ein Zertifikateproblem sein?
DynDNS habe ich, glaube ich schon eingerichtet. Das ist eine Adresse beispielsweise in der Form MEINE_SYNOLOGY.synology.me richtig?
Die müsste ich dann für den externen Zugriff in der App DS Finder eintragen, wenn ich es richtig verstehe. Problem ist nur, dass da standardmäßig die IP eingetragen ist und ich dieses Feld nicht ändern kann.
Falls das doch irgendwie klappt, müsste ich in der FRITZ!Box eine Port für die Verbindung freigeben. Und dann müsste ich das genannte LetsEncrypt Zertifikat noch erstellen?

Hatte mir erhofft, dass das bedienerfreundlicher einzurichten geht.

 

[Benie]

Ja, so sollte es funktionieren,
Was ich noch nicht ganz verstehe,

dass da standardmäßig die IP eingetragen ist und ich dieses Feld nicht ändern kann.

Die IP kommt doch beim allerersten Einrichten der IP nicht von alleine dort hin.
Dort sollte eigentlich auch die DynDNS verwendet werden können.

 

[Huntermaster]

Ich glaube, die IP trägt er da automatisch ein, weil er die von einer anderen Synology App, die ich auf dem Handy verwende, bezogen hat. Ich habe noch die Apps Secure Signin und Drive installiert.
Nun gut, also das LetsEncrypt Zertifikat habe ich unter „Sicherheit“ in den Systemeinstellungen eingerichtet.
Aber beim Versuch des Zugriffs über die App DS Finder kommt nach wie vor die bekannte Fehlermeldung.

 

[Benie]

Das mit der IP ist schon merkwürdig, Ich kann das dann trotzdem noch abwählen. Evtl. spielt da Secure Sign In eine Rolle, aber hierzu kann ich nichts sagen, habe mich noch nie damit beschäftigt.

 

[Huntermaster]

Ich konnte die Verbindung nun mit der DDNS Adresse einrichten. Wenn ich dann verbinde, kommt zunächst wieder das Anmeldefenster, anschließend die 2FA und dann meckert er, dass keine Verbindung zum WLAN bestünde. Die Verbindung ist aber da, weil ich das aktuell zu Hause im Heimnetz versuche.

 

[Benie]

W-LAN am Handy ausschalten, boote mal das Handy neu und dann wieder W-LAN aktivieren.

 

[Huntermaster]

OK, habe ich gerade versucht - kommt wieder die gleiche Meldung.

 

[Huntermaster]

Muss ich eventuell in der FRITZ!Box in den Netzwerkeinstellungen der Synology an dieser Stelle etwas ändern?

 

[Benares]

Nein, damit würdest du der DS erlauben, die Firewall deiner Fritte remote per UPnP zu verwalten. Sowas macht man nicht.

 

[Huntermaster]

OK, gut zu wissen.
Dann weiß ich echt nicht mehr, wo ich noch schauen soll und was ich konfigurieren müsste.

 

[Huntermaster]

Ich bin schon am Überlegen, ob ich die externen Zugriffsmöglichkeiten auf das NAS, also QuickConnect und DDNS komplett lösche bzw. deaktiviere und dann eine Wireguard Verbindung zur FRITZ!Box einrichte. Würde diese auch Wake-On-LAN bei der Synology ermöglichen?
In Punkto Sicherheit und Geschwindigkeit sollte die Wireguard Verbindung ja nicht schlechter als die anderen Verbindungsmöglicheiten sein, oder?
Und der Zugriff via IP ist ohnehin nur eine Variante für das interne Netzwerk, korrekt? Die IP in der Form 192.168.178.xxx ist ja eine interne vom Router vergebene IP und somit vermutlich nicht von außerhalb aufrufbar.

 

[plang.pl]

Das ist eine gute Überlegung. WOL dann nur über die WebUI der Fritte denke ich.
Wenn du nicht gerade eine 7490 hast, ist WG nicht langsamer als DDNS + Portforwarding.

Die IP in der Form 192.168.178.xxx ist ja eine interne vom Router vergebene IP und somit vermutlich nicht von außerhalb aufrufbar.

Ja. Außer du bist per WG verbunden. Dann kannst du ganz normal überall die interne IP nutzen

 

[Huntermaster]

Hab ne 7590 AX.
OK, dann werde ich man den externen Zugriff vom iPhone und iPad aus via WireGuard konfigurieren. Falls das dann läuft, kann ich ja alles in DSM was QuickConnect und DDNS betrifft, rauswerfen. Eigentlich dann ja auch die erstellten Zertifikate, oder?
In der FRITZ!Box habe ich bereits das MyFritz Konto angelegt, das wohl für eine WireGuard Verbindung erforderlich ist.
Hab im Menü auch schon fürs iPhone einen QR-Code im Menü generiert und in der WireGuard App eingelesen. Der Verbindungsaufbau klappt, zumindest kommt keine Fehlermeldung. Natürlich habe ich dabei WLAN ausgeschaltet, um einen externen Zugriff via Mobilfunknetz auf das Heimnetz zu haben.
So, nun mit bestehender WireGuard Verbindung sollte ich doch eigentlich über die IP des NAS (192.168.178.xxx) darauf zugreifen können, oder? Klappt aber nicht. Muss ich da anders drauf zugreifen?

 

[Benie]

Eigentlich dann ja auch die erstellten Zertifikate, oder?

Das würde ich grundsätzlich nicht machen, sonst sind sie für immer weg.

Kann es sein, daß mittlerweile die IP deines Handys auf der DS, aufgrund der vielen Fehlverbindungen, auf der Blockierliste gelandet ist.

Überprüfe das doch mal.

 

[Huntermaster]

Was ich in diesem Zusammenhang auch nicht richtig verstehe:
Steckt in der generierten WireGuard Verbindung alles an Informationen drin oder muss ich für den Zugriff von außerhalb auch DynDNS in der Fritte einrichten?
Ich verstehe das jetzt so, dass ich DynDNS nur benötige, wenn ich von extern auf die Benutzeroberfläche der Fritte möchte. Wenn ich aber auf meine Synology im Heimnetz zugreifen möchte, brauche ich das DynDNS der Fritte nicht, da die WireGuard Verbindung alles regelt. Ist das korrekt?

 

[plang.pl]

Das MyFritz Konto, das für WG benötigt wird, stellt bereits einen DDNS Dienst zur externen Verbindung zur Verfügung. Die WireGuard Verbindung muss ja auf einen Server connecten (deine Fritte), die ja nach wie vor keine statische IP hat. Deshalb wird MyFritz als DDNS eingerichtet. Wenn du mit WireGuard verbunden bist, kannst du über die interne IP der DS auf diese zugreifen. Genauso kannst du zum Beispiel über die interne IP des Routers auf die FritzOS WebUI

 

[Huntermaster]

OK, ich werde das mal testen, indem ich am iPhone das WLAN ausschalte und über Mobildaten auf mein Heimnetz zugreife.
Zwischenzeitlich habe ich auf diese Weise versucht, die UI der Fritte mittels der in MyFritz angegebenen URL aufzurufen, aber auch das klappt nicht.

 

[plang.pl]

Das soll auch nicht klappen. Das klappt nur, wenn der Haken "Zugriff auf das Webinterface aus dem Internet aktivieren" oder so ähnlich gesetzt ist. Das sollte man möglichst NICHT aktivieren! Wie gesagt, wenn du per VPN verbunden bist, kannst du einfach per interner IP des Routers auf die Web UI zugreifen.

 

[Huntermaster]

OK, super. Schon mal danke für die Hilfestellung bis hier.
Es scheint jetzt per WireGuard zu klappen. Nun würde ich gerne die Synology so gut es geht nach außen absichern. Verstehe ich es richtig, dass ich eigentlich nur den SMB Dienst bräuchte, um Dateien von unterwegs vom NAS zu lesen oder drauf zu speichern, sowie Filme davon zu streamen etc.? Falls ja, könnte ich ja alles bis auf SMB deaktivieren.

 

[Benie]

Das freut mich für Dich.
Solange Du den Zugang von außen nur über Wireguard nutzt ja.
Was Du auf keinen Fall machen solltest den SMB Dienst vom Internet her zugänglich machen.
Wenn Du über Wireguard zugreifst, verhält sich alles so als wenn Du netzintern unterwegs bist. Von daher kann von außen her alles Dicht gemacht werden.
Auch die Zertifikate werden automatisch trotz geschlossenener Ports verlängert, insofern es Synology / LE Zertifikate sind. Auch dann, wenn Du sie aktuell nicht benötigst