DS412+ DSM Zugriff von extern geht, aber WEBDAV Zugriff nicht

[cipup]

Hallo zusammen
Halte mich schon den ganzen Morgen auf Trab, in div. Foreneinträgen. Habe div. ausprobiert, aber noch keine Lösung.

Umgebung:
DS412+ mit DSM 5.2-5644 Update 1 / Win7 x64 mit allen Updates / D-Link DIR-635 Router => Port Weiterleitung: TCP = 21, 80, 137, 138, 139, 443, 445, 1723, 5000, 5001, 5005, 5006, 7000, 7001, 55536-55567 UDP = 1194, 69 direkt auf NAS IP
Registry Änderung => [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WebClient\Parameters] auf "BasicAuthLevel"=dword:00000002 gemacht (ein anderer aktueller Forenbeitrag), wo ich glaube, dass könnte eine Lösung sein. Hat aber nicht geholfen. :-(

Was läuft:
Internes Netzwerkzugriffe auf alle NAS-Shares / Von extern kann ich via dscloud.me und selfhost.de DynDNS auf DSM zugreifen und die DS412+ Einstellungen normal administrieren.

Was läuft nicht:
Wenn ich von extern per Netzwerkshare \\MEINNAS.dscloud.me\SHARENAME\ erscheint Win7 Fehlermeldung >Die Datei "\\MEINNAS.dscloud.me\SHARENAME\" wurde nicht gefunden. Überprüfen...<
Wenn ich von extern per Netzwerkshare \\MEINNAS.dscloud.me\SHARENAME erscheint Win7 Fehlermeldung >Die Datei "\\MEINNAS.dscloud.me\SHARENAME" wurde nicht gefunden. Überprüfen...<

Zusatzanmerkung:
Habe weitere NAS (nicht gleicher Typ) in der Verwaltung, an anderen Standorten mit anderen Routern und dort funzt es. Habe die Konfigurationen verglichen und sollten identisch sein.

Wer hat mir einen Tipp?
Danke im Voraus für alle Feedbacks.

 

[frankyst72]

die Webadresse müsste nach meiner Meinung https://MEINNAS.dscloud.me:5006/SHARENAME lauten (https://MEINNAS.dscloud.me:5006 müsste auch gehen, falls Du alle Freigaben auf Deiner DS sehen willst). Der Vorteil von Webdav ist ja, dass es über das http-Protokoll geht. (\\MEINNAS.dscloud.me\SHARENAME\ wäre SMB)

Zur Einrichtung musst Du im Windows Dateiexplorer über "Netzwerkadresse hinzufügen" gehen.

"BasicAuthLevel=dword:00000002" hilft, wenn Du kein eigenes gültiges Zertifikat hast, macht Dich aber angreifbar.

Weil ich gerade noch etwas rumgespielt habe, was auch noch gehen könnte, wäre \\MEINNAS.dscloud.me@SSL@5006\DavWWWRoot\SHARENAME, zumindest im lokalen Netzwerk direkt in die Adresszeile des WIndows Dateiexplorers (in der Adresszeile des Windows Dateiexplorers funktioniert die https-Adresse nicht -> öffnet einen Internetbrowser und wirft 404)

 

[cipup]

Hallo frankyst72

Danke für die Tipps.
Habe sie ausprobiert und (aus welchem Grund auch immer) sie funktionieren leider nicht.

Beim Einrichten wollte ich wie von Dir beschrieben, im Windows Dateiexplorer über "Netzwerkadresse hinzufügen" gehen. Das habe ich nicht gefunden. Bin dann über "Netzwerk" - "Netzlaufwerk verbinden" gegangen. Nach dem Login (mittels *Verbindung mit anderen Anmeldeinformationen herstellen") bekam ich nach einiger Zeit die Fehlermeldung: "Das Netzlaufwerk konnte nicht verbunden werden, da der folgende Fehelr aufgetreten ist: Unerwarteter Netzwerkfehler."

Habe da zusätzlich WEBDAV und SMB durcheinander gebracht. Sorry.

In diesem Zusammenhang jedoch, sei noch erwähnt, dass ich von extern, vor allem die SMB Verbindung nicht mehr aufbauen kann. Nach meinem Wissensstand brauche ich ja eigentlich "nur" die Ports 137, 138, 139, 445 weiterzuleiten. Oder mache ich da einen Überlegungsfehler?
Was mich am meisten nervt ist, alles lief bis vor ca. 2 Monaten. Da kamen einige DSM Updates. Auch einige Win7 Updates sind natürlich angefallen. Mir stellt sich nun die Frage, ob bei mir eines dieser Updates diesen Verbindungsunterbruch erzeugt haben könnten. Oder muss noch ein irgendwo ein Dienst aktiv sein? Habe nichts wissentlich an der Grundkonfig / Diensten des Rechners und der DS geändert.

Werde es nun noch auf einem weiteren Rechner versuchen. Nicht das mein Rechner das Problem ist.

Bin gespannt ob es noch weitere Hinweise gibt, wo der Fehler herkommen könnte.

DANKE für Eure Hilfe!

 

[Fusion]

SMB/CIFS ist nur für den Zugriff auf Netzwerkfreigaben im lokalen Netz. Das hat nichts im Internet verloren. Portweiterleitungen von 135-139 sind also unnötig und mindestens ein Sicherheitsrisiko. Viele Provider filtern zum Glück diese Ports noch in ihrem Netz.

Oder heißt "extern" bei dir einfach nur "anderer Standort der mit VPN verbunden ist"?
Vielleicht kannst du exemplarisch nochmal den problematischen und einen funktionierenden Standort aufführen. Eventuell findet sich dann doch ein Unterschied in der Konfiguration.

 

[cipup]

Hallo Fusion

Danke für den wertvolen Tipp betreffend der Sicherheit.Habe schon seit einigen Jahren Synology DS im Einsatz und dazumal hies es, mit SMB sei es am einfachsten, eine Verbindung zu erstellen. Kann nun natürlich sein, dass mein Internet Provider diese Ports seit kurzem auch rausfiltert und ich deshalb keinen Zugang mehr habe. Wäre ja auch gut so.

Mein VPN Erfahrungen waren, dass immer zuerst ein VPN Client gestartet werden musste und erst dann die Verbindung aufgenommen werden konnte. Bin seither kein VBPN Fan mehr gewesen und war froh die SMB Variante zu haben.

Mein heutiges VPN Wissen beruht darauf, dass einfach eine Verbindung durch einen Tunnel erstellt wird.

Muss ich denn auch heute noch zuerst immer auf meinen Win7 Rechnern einen VPN Client starten, beovr ich auf den Share im Windows Explorer zugreifen kann? Sorry, wenn ich so kompliziert frage, aber möchte da nun das sauber aufbauen.

Was ist Deine Empfehlung? Gibt es einen Link zu einer guten Beschreibung für einen "nicht-VPN-Spezi"?
Danke für Deine Unterstützung zur FIndung einer saubern Lösung.

Habe mir auch die Verbindung mit WEBDAV nochmal angeschaut. Dies gemäss => https://www.synology.com/de-de/knowledgebase/tutorials/610 => "So greifen Sie über WebDAV auf Dateien auf dem Synology NAS zu" - hier missfällt mir, dass ich eine kostenpflichte Software "NetDrive" benötige und verschiedene externe Benutzer könnten dann nicht zugreifen.

 

[Fusion]

Prinzipiell ist SMB/CIFS ein weit verbreitetes Protokoll für Zugriff auf Netzwerklaufwerke. Im Fokus steht also das LAN. Für Zugriffe auf entfernte Netze/Netzlaufwerke ist dies nicht gedacht und sollte im Normalfall auch nicht funktionieren, da das Protokoll meines Wissens nicht routebar ist.
Für den Zugriff auf entfernte Netze gibt es zwei weit verbreitete Methoden. Einmal webDAV und einmal VPN.

VPN dienst dazu zwei räumlich getrennte LANs zu koppeln oder eben einen Client in ein entferntes Netz zu bringen. Dazu kommen verschlüsselte Tunnel zum Einsatz. Als Resultat sind Rechner in beiden/mehreren LANs dann in der Lage miteinander zu kommunizieren, als wären sie in einem einzigen LAN.

webDAV dient dazu Freigaben via http oder bevorzugt ssl verschlüsselt (https) auch über LAN Grenzen hinweg verfügbar zu machen.
Das geht auch OHNE Netdrive, wenn du den Hinweis-Kasten (Netzlaufwerk verbinden) kurz davor gelesen hast. Wichtig sind die dort genannten Randbedingungen: Korrektes SSL Zertifikat und Zugriff via https.

Mein Vorschlag (da hier sehr viele Themen auf einmal abzuhandeln wären):
- einmal Konzentration auf Zugriff via webDAV ans Laufen zu bringen
- Überprüfung welche Dienste alle aus dem Internet erreichbar sein sollen (du hast so viele Ports offen, von denen ich nicht glaube, dass du sie wirklich brauchst)

In einem folgenden Schritt kannst du dir dann mal grundsätzlich Gedanken zu deinem Setup machen.
- Welche Geräte sind involviert
- Wo stehen die Geräte, wie sind sie ans Internet angebunden
- Auf welchen Geräten gibt es welche Freigaben.
- Welche Freigaben müssen von welche Clients abrufbar sein
- Welche sonstigen Anforderungen gibt es

Dann kann man nach einer sauberen Lösung/Kompromiss suchen. Schritt-für-Schritt Anleitungen gibt es dazu von mir nicht, weil sonst keinerlei Lern-Effekt vorhanden ist.

 

[Fusion]

Bezüglich webDAV hat @frankyst72 eigentlich auch schon Infos geschrieben.

Hier nochmal in der Zusammenfassung (bei den Ports verwende ich jetzt Standardangaben, diese können allerdings auch geändert werden, solange alle Beteiligten diesselben Ports verwenden):
- Port 5006 ist im Router weitergeleitet auf die IP der DS
- webDAV ist auf der DS in der Systemsteuerung aktiviert
- DDNS Domain/URL ist eingerichtet (ddns.domain.de) und löst auf die aktuelle Öffentliche IP des Internetanschlusses auf, hinter der die DS hängt
- Domain/URL ist verfügbar auf welche ein SSL Zertifikat ausgestellt (z.B: StartSSL) und auf der DS installiert ist (meine.domain.de)
- Domain/URL zeigt per CNAME auf die DDNS Domain/URL
- In der Systemsteuerung ist für den externen Zugriff der Hostname (meine.domain.de) eingegeben
- Via Netzlaufwerk verbinden gibt man bei Ordner "https://meine.domain.de:5006" ein ("bei Anmeldung wiederherstellen" und "mit anderen Anmeldeinformationen" bei Bedarf). Wenn gewollt auch direkt mit Pfad. Dann einfach ein /Freigabe oder /Freigabe/Pfad hinten anhängen (Groß/Kleinschreibung beachten).

So läuft es jedenfalls bei mir.
Eventuell läßt sich das mit dem Zertifikat auch noch umgehen, indem man das von der DS selbst ausgestellt Zertifikat in Windows importiert und dann im obigen Beispiel via ddns.domain.de anstatt meine.domain.de von Windows aus zugreift. Wichtig ist jedenfalls, dass Windows das Zertifikat als "akzeptierbar" ansieht, weil es einen Dialog in die Richtung "Wollen sie dieses Zertifkat akzeptieren, Ausnahmeregel hinzufügen" wie man es aus Web-Browsern her vielleicht gewohnt ist meines Wissens nicht gibt bzw. nicht nachgefragt wird.

Normal funktioniert es via Netzlaufwerk verbinden / https Adresse bei Ordner eintragen.
Das weiter oben genannte "Netzwerkadresse hinzufügen", welches man alternativ probieren kann findet sich übrigens im selben Dialog-Fenster unter "Verbindung mit einer Website herstellen ....".

 

[cipup]

Hallo Fusion

ECHT RIESEN DANK für die Erläuterungen.
Das mit dem Lern-Effekt sehe ich genau gleich.
- Einarbeiten, heisst verstehen.-
- Schritt-für-Schritt Anleitungen heisst, was nachmachen und nachher trotzdem nicht wissen weshalb was funktioniert oder eben noch nicht.
DANKE!

Werde mich nun auf WEBDAV konzentrieren und mich bei den Zertifiakten einlesen.
Erlaube mir zu einem späteren Zeitpunkt wiedermal ein Update zu geben, oder nochmal ne Frage zur dann aktuellen Situation (mit Beschreibung) zu posten.

Vorerst aber mal vielen Dank für das Auszeigen einer Lösungsrichtung.

 

[cipup]

Nur zur Info:
Auf einem zweiten NAS, bei einem anderen Provider, geht das problemlos mit dem SMB Zugriff via dem Internet und das schon seit Jahren.

 

[frankyst72]

Erlaube mir zu einem späteren Zeitpunkt wiedermal ein Update zu geben, oder nochmal ne Frage zur dann aktuellen Situation (mit Beschreibung) zu posten.

aber gerne doch

Ich habe es bei mir genau so (Schritt für Schritt), wie in den iDomix-Videos gemacht, dazu ist es aber notwendig, dass Du Dir ein eigene Domain holst. Ich habe eine von do.de. Kostet irgendetwas um die 3,50 €/JAHR.
do.de musst Du dann noch so einstellen, dass bei Eingabe Deiner Domain Dein Netzwerk angesprochen wird (DynDNS).
Synology DiskStation Gültiges, kostenloses SSL Zertifikat erstellen - https://www.youtube.com/watch?v=fIJqppzwZC0
Synology DiskStation DSM 6 Mit Windows über das Internet per WebDAV zugreifen - https://www.youtube.com/watch?v=9XwOYpmN2fQ oder Synology DiskStation Mit Windows über das Internet per WebDAV zugreifen - https://www.youtube.com/watch?v=QrZgPFKiw_8