DSM 6.x und darunter DSM auf Port 80 bzw. 443 umleiten

[Hunters_DS411slim]

Hallo Leute,

ich möchte insbesondere den DSM Port 5001 ändern auf 443. Hintergrund: Es gibt ein anderes Netzwerk aus dem ich nicht auf den Port 5001 gehen kann (wird abgelehnt). Im DSM wird unter DSM-Einstellungen der Port 443 für HTTPS abgelehnt, da für das System reserviert. Also habe ich in meiner Fritzbox eine Portfreigabe erstellt, die da lautet HTTPS, externer Port 443, interner Port 5001. Das klappt aber auch nicht: Wenn ich über meine DynDnS-Adresse gehe erscheint automatisch wieder der Port 5001 (und der wird ja wie erwähnt abgelehnt).

Jemand ne Idee was ich machen kann?

Viele grüße vom Hunter

 

[ottosykora]

wie erscheint?

Hast du Browser cache geleert oder beim Reload die Shift Taste gedrückt?

 

[Hunters_DS411slim]

Ja, trotzdem erscheint im Browser https://Domainname:5001 .

 

[Solear]

So simpel es klingt, überprüfe noch einmal deine Portweiterleitung. Sie muss von außen/443 zu 5001/IP der Syno gehen.
Mach mal ein Screenshot davon und zeigte es uns.
Dann solltest du mit der simplen Webadresse https://meinedomain.de da raufkommen.

 

[est1958]

Die Frage hat mir aufgezeigt, dass ich mich damit schon mehrere Monate nicht mehr beschäftigt habe, au weia..

Vielleicht wird ja ein Port, der nicht 5001 ist, akzeptiert ?? 443 ist allgemein für WEBSERVER / auch für die Fritzbox als Standard vorgeben.

Ich hab drei DSen, also war ich schon von daher gezwungen von der 5001 wegzukommen und habe die drei in 5011 / 5021 / 5031 auftteilt. Der 443 ist für Webserver der Master-DS eingestellt und die Fritzbox muss ich deswegen von außen mit www.domain.de:XXX anfahren (hier wäre der Standard 443 und den musste ich ändern) . Meine dyndns-Adresse ist nur in der Fritzbox eingestellt., die Weiterleitung zu Master-DS ist per Portweiterleitung geregelt. In der DS ist nur der Port 5021 eingestellt. Also komme ich mit www.domain.de:XXX auf die Fritzbox mit www.domain.de:5021 auf die DS.

Also die Weiterleitung geht nur, wenn die Ports in der Fritzbox und in der DS übereinstimmen.

DS > Systemsteuerung > Netzwerk > DSM-Einstellungen.

PS: Was ist eigentlich der Ablehnungsgrund ???? Unsicher - Zertifikat ungültig oder was ??

 

[ottosykora]

Ja, trotzdem erscheint im Browser https://Domainname:5001 .

dann nimm anderen Browser, oder lösche einfach die automatische url Vervollständigung
Der macht das weil er meint du willst es so, weil du es vorher mehrmals so eingegeben hast.
Also all diese History Teile löschen, neu von Hand eingeben und shift Taste drücken

 

[Hunters_DS411slim]

Hilfeee! Ich habe jetzt diverse Ports konfiguriert/aktiviert gelöscht/deaktiviert mit dem Ergebnis, das ich nicht mehr auf meine DS raufkomme.
Fehlermeldung: 400 Bad Request
The plain HTTP request was sent to HTTPS port
nginx

Konfiguriert habe ich in der Fritz box jetzt erstmal wieder
1. Andere Anwendung 5000-5001 TCP extern 5000-5001
2. HTTP-Server 80-80 extern 80-80 und
3. HTTPS-Server 443-443 extern 443-443

 

[Fusion]

Die Fehlermeldung sagt nur dass du per

http://irgendwas:port

etwas aufrufst, was aber nur unter

https://irgendwas:port

erreichbar sein will.

 

[Hunters_DS411slim]

Deine Antwort hilft mir leider nicht. Intern über die fest vergebene IP komme ich auf die DS. Von außen nicht.....

 

[Fusion]

Bitte keine Vollzitate.

Die Anwort bezog sich auf deine Fehlermeldung 400 Bad Request.
Das heißt nix anderes als dass du eine Adresse mit http (oder ganz ohne Angabe des Protokolls) aufrufen willst, die aber nur via https erreichbar ist.

 

[ottosykora]

Konfiguriert habe ich in der Fritz box jetzt erstmal wieder
1. Andere Anwendung 5000-5001 TCP extern 5000-5001
2. HTTP-Server 80-80 extern 80-80 und
3. HTTPS-Server 443-443 extern 443-443

also zuerst mal schon 443 vergessen, weil dort ohne eine Änderung die FritzB selber antworten will.
Da musst du die FB schon auf ein anderes Port legen.

Und wohin gehen die Anfragen von extern 80?
Wohin gehen die Anfragen von extern auf 5000-5001?

 

[Hunters_DS411slim]

also zuerst mal schon 443 vergessen

Wieso? Hatte ich vorher in der FBox konfiguriert und funktionierte perfekt.
Die Anfragen gehen alle auf die interne IP meiner DS (Domain-->DynDNS-->Fritzbox-->Portweiterleitung aud DS-IP). Auf der DS habe ich unter Netzwerk auf die Weiterleitung von HTTP auf HTTPS aktiviert. Aber auch per HTTPS://Domain komme ich nicht von außen auf die DS. Ein neues Let's Encrypt-Zertifikat hat auch nicht geholfen....

 

[ottosykora]

Wieso? Hatte ich vorher in der FBox konfiguriert und funktionierte perfekt.
..

Die FB ist selber erreichbar auf 443, weil es dort einen Wartungszugang gibt. Darum kann es nicht funktionieren, weil dann mindestesn 2 Geräte auf die gleichen Anfragen versuchen zu antworten. Du kannst immer nur eine Anwendung im Netz haben welches auf einem Port hört.

Wenn du ein neues LE bezogen hast, dann hört deine DS auf Port 80 und dies wird auch korrekt von dem Router zu deiner DS geleitet. Wäre das nicht so, würdest du keinen LE Zert bekommen.

Wenn du also intern auf die DS kommst, schalte für die Fehlersuche die automatische http-https aus.


BTW: wie genau testest du das von aussen?

 

[Hunters_DS411slim]

Wenn du also intern auf die DS kommst, schalte für die Fehlersuche die automatische http-https aus.

BTW: wie genau testest du das von aussen?

Hab ich ausgeschaltet. Jetzt läuft er intern und extern genauso auf den Fehler. Er leitet immer auf die :5000 mit der 400 Bad Request. Ich teste mit Pad/Handy und Sim-Karte von außen. Die 443 Diskussion lassen wir mal außen vor, da es vorher immer damit funktioniert hat.

 

[ottosykora]

wenn du Anfrage an Port 5000 schickst und es 400 Bad Request gibt, dann hast du die 5000 Anfrage nicht an ein Gerät/Applikation geschickt welche auf dem Port hört.

Also nochmals kontrollieren und alles auch speichern in der DS.
Schau nochmals nach was dein Browser so in der url Zeile einfügt. Das 'es zeigt immer noch Port...an' kommt vom Browser alleine und nicht von dem Netzwerk.

Bleibt dein Port 443 gleichzeitig auf zwei Anwendungen gerichtet, dann verursachst du Chaos und niemand kann dir sagen warum etwas nicht geht.

 

[Hunters_DS411slim]

Hab den 443 schon lange deaktiviert

Ok, das heißt meine NAS hört nicht auf 5000, obwohl in den DSM Einstellungen 5000/5001 hinterlegt ist.....hmm...und nun?
Wenn ich intern auf HTTPS://INTERNEIP:5001 gehe heißt es "INTERNEIP:5001 verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat gilt nur für DOMAIN
Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN" . Aber das hilft warscheinlich auch nicht.... Und zum Browser: Bei DOMAIN fügt er die 5000 und bei HTTPS://DOMAN die 5001 ein. Browserdaten habe ich schon xmal gelöscht (Mozilla und Edge).

 

[ottosykora]

443 würde ich bei der FB auf so was wie 450 oder sonst was stellen, dann kann man es auch remote bedienen wenn alles versagt.

Das ein Zertifikat ungültig ist heisst nur es kann entweder nicht verifiziert werden oder es gibt kein Zertifikat auf diesen Namen (192.168.178.100 oder so)
Dafür gibt es die Browser Ausnahmen.
Dass es Zertifikat Fehler anzeigt ist normal, bis zu der Erfindung von LE Zertifikaten gab es gar keine andere vernünftige Möglichkeit für dynamische Adressen.

Wenn der Browser bei Domain irgendeinen Port zufügt, dann hast immer noch die automatische url Ergänzung aktiv. Weder Netzwerk, noch Router noch DS können ahnen was du in der url Zeile eingeben willst.
Und selbst wenn es der Browser einfügt, dann kannst du es wieder löschen, richtigen Port eingeben und shift drücken und Seiten Reload machen.

Wenn du interneIP:5000 eingibst und es zu keiner Antwort von der DSM Oberfläche führt, dann werden diese Anfragen immer noch woanders umgeleitet, also nicht zu der DSM direkt.
Wenn du http://interneip eingibst, dann sollst du was bekommen wie diese Seite gibt es nicht, feundliche Grüsse Synology oder so ähnlich.

Rufst du http://interneip:5001 auf, solltest du 400 bekommen

 

[ottosykora]

Hab den 443 schon lange deaktiviert


Wenn ich intern auf HTTPS://INTERNEIP:5001 gehe heißt es "INTERNEIP:5001 verwendet ein ungültiges Sicherheitszertifikat.

Das ist dann korrekt, also deine DS funktioniert normal. Die https Anfragen werden korrekt beantwortet.

 

[NSFH]

Jetzt muss ich erst mal dumm fragen: warum nutzt du auf den verschiedenen Synos Varianten von 5001? Und wenn du 100 Synos im LAN betreibst, das Unterscheidungsmerkmal ist immer die IP und nicht der Port.
Bitte erleuchte mich.

 

[Puppetmaster]

...das Unterscheidungsmerkmal ist immer die IP und nicht der Port.

Und wie machst du das von ausserhalb deines Netzes?