DSM 6.x und darunter DSM Update: Webstation über HTTPs von extern nicht mehr erreichbar

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

mike399845

Benutzer
Mitglied seit
06. Jun 2013
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
ich habe leider seit ca. anfang dezember (müsste das update auf 5.1-5004 Update 2 gewesen sein) das problem, dass meine webstation auf der DS213+ (aktuell mit DSM 5.1-5022) nur mehr intern vom LAN aus erreichbar ist. von extern geht leider nichts mehr. andere anwendungen wie z.b. die downloadstation sind nach wie vor problemlos erreichbar, web- und damit auch photostation aber nicht.

am router, der die LAN/WAN verbindung herstellt kann es nicht liegen, da die einstellungen (port forwarding) sich (1) nicht verändert und (2) auch mehrfach überprüft wurden. auch die DSM firewall einstellungen habe ich mehrfach überprüft - es passt aber nach wie vor alles.

was ich bislang heraus gefunden habe: port 80 funktioniert von extern, aber 443 eben nicht. ich möchte aber wie auch bislang alle HTTP verbindungen auf HTTPs umleiten.

ich vermute daher, dass die DSM firewall hinsichtlich HTTPs einen bug hat.


kann diesen problem jemand von euch bestätigen? ich habe bislang gehofft, dass die neuen DSM versionen den fehler beheben, aber leider ist das nicht passiert. kontakt mit dem synology support habe ich noch nicht aufgenommen - dafür wäre es für mich hilfreich zu wissen, ob jemand von euch das problem ebenfalls hat oder das nur auf meiner kiste auftritt.

vielen dank schon mal!
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
ich vermute daher, dass die DSM firewall hinsichtlich HTTPs einen bug hat.

kann diesen problem jemand von euch bestätigen?
Nein, kann ich nicht. Läuft alles problemlos.

Vielleicht einmal https bei den Webdiensten deaktivieren und danach wieder aktivieren...
 

mike399845

Benutzer
Mitglied seit
06. Jun 2013
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
danke für die schnelle antwort.

deaktivieren / aktivieren habe ich eigentlich bei allen relevanten einstellungen schon probiert - leider hilft das nicht.

komisch ist eindeutig, dass HTTPs intern funktioniert. daher auch meine anfängliche vermutung, dass es an meiner eigenen infrastruktur außerhalb der DS liegt. das ist es aber auch nicht, zumal ja auch die downloadstation erreichbar ist.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Dann schlage ich vor, Du deaktivierst testweise einmal alle Firewallregeln, löschst die Portweiterleitung 443 im Router und richtest sie neu ein.
 

mike399845

Benutzer
Mitglied seit
06. Jun 2013
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
danke auch für diesen tipp.

ich habe alle firewallregel (allgemein) deaktiviert. ebenso in beiden schnittstellen und dann auf "wenn keine regel zutrifft: zugriff zulassen".

im router die regel für meine port forwardings deaktiviert und eine neue angelegt: an rechner [nas ip], quelle tcp, beliebiger port zu zielport 443 (ebenfalls für UDP aktiviert).

leider immer noch der selbe fehler.

edit: von intern wie gesagt kein problem; extern habe ich mit einer weiteren unabhängigen internetverbindung getesten - immer das gleiche ergebnis, dass die website nicht erreicht werden kann.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...an rechner [nas ip], quelle tcp, beliebiger port zu zielport 443 (ebenfalls für UDP aktiviert).
Es reicht TCP. Und bitte Port 80 (extern) an 80 (intern an die DS) weiterleiten sowie 443 (extern) an 443 (intern an die DS).
 

mike399845

Benutzer
Mitglied seit
06. Jun 2013
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
UDP habe ich entfernt, das war kein problem.
die jeweiligen quellports muss ich aber auf "beliebig" lassen, sonst geht gar nichts mehr durch (getestet mit 80, 443 und port für die downloadstation - überall das gleiche resultat).

immer noch wie gehabt: 80 und downloadstation sind erreichbar https/443 nicht.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
die jeweiligen quellports muss ich aber auf "beliebig" lassen, sonst geht gar nichts mehr durch
Wie bitte? Welchen Router hast Du? Kannst Du mal einen Screenshot des Menüs für die Portweiterleitung posten?
 

mike399845

Benutzer
Mitglied seit
06. Jun 2013
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
das ist der standardrouter von meinem österreichischen ISP (A1 Telekom) - ein pirelli modem.

hier der screenshot:

portf.JPG
(das ist das vierte untermenü zur definition von port forwardings. wenn es hilfreich ist, stell ich gerne weitere screenshots rein).

edit: genau produktnummer: Pirelli PRGAV4202N
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Wenn ich auf die Seite 40 des Handbuches zu Deinem Modem schaue, dann ist dort detailliiert beschrieben, wie man einzelne externe Ports an einzelne Ports intern weiterleitet. Arbeite die bitte einmal für Port 80 und 443 jeweils ab.
 

mike399845

Benutzer
Mitglied seit
06. Jun 2013
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
danke, das handbuch kenne ich.

so wie auf seite 40 habe ich es gemacht (seite 42 beschreibt port triggering). das handbuch ist nicht sehr detailliert was den port forwarding abschnitt betrifft. wie erwähnt gibt es da ein hauptmenü zu port forwarding und dann drei untermenüs, wenn man eigene dienste (mit benutzerdefinierten ports) anlegen will. die standardmäßig definierten ports sind aber genauso eingerichtet wie ich es gemacht habe, also mit quellport beliebig.

ich kann schon nachvollziehen, dass das eine sicherheitslücke sein kann, aber offenbar ist das mit dem router nicht anders umsetzbar.


ich glaube aber wie gesagt nicht, dass es am router liegt. sonst wären ja nicht 80 und die downloadstation erreichbar. zudem habe ich am router nichts verändert und plötzlich - nach dem DSM update im dezember - gab es plötzlich probleme.

edit: vielen dank jedenfalls für deine umfangreiche hilfe!

edit2: bringt es evtl. etwas die firewall settings der DS über die commandline zu prüfen? ob quasi in den linux settings auch wirklich das drinnen steht, was laut DSM drinnen stehen sollte? ich habe nur leider keine ahnung wie das geht (grundlegende linux kenntnisse habe ich). ich habe keine erweiterungen installiert (zwar DSM pakete, aber keine zusätzlichen configs oder pakete über die commandline).
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
ich glaube aber wie gesagt nicht, dass es am router liegt. sonst wären ja nicht 80 und die downloadstation erreichbar.
Wenn innerhalb des LANs nichts blockiert (sprich die Firewall) und der Zugriff per https über 443 funktioniert, dann gibt es keinen technischen Grund, warum der Zugriff von außen nicht auch funktioniert - es sei denn, der Router leitet die Pakete auf 443 nicht korrekt an die DS weiter.
 

mike399845

Benutzer
Mitglied seit
06. Jun 2013
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
ok, ich hab jetzt das NAS für einen kurzen test als DMZ freigeschaltet - immer noch das gleiche verhalten.

mein erster gedanke vor einem monat war auch, dass es der router sein muss, aber das glaube ich nach den ganzen tests nicht mehr, da der router seit einiger zeit kein update bekommen hat und der fehler unmittelbar nach dem DSM update aufgetreten ist.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Sorry, wenn Du im LAN die Photostation per https erreichst (und Firewall-Regeln externe Zugriffe nicht blocken), dann liegt der Fehler nicht in der DS - wo auch immer bei Dir der Wurm steckt...
 

mike399845

Benutzer
Mitglied seit
06. Jun 2013
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
ok, dann vielen dank für die ausführlichen antworten.

ich werde es für heute bleiben lassen, aktuell habe ich keine idee mehr, an welcher schraube ich noch drehen soll...
 

mike399845

Benutzer
Mitglied seit
06. Jun 2013
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
jetzt hab ich doch noch mal weiter getestet und fühle mich in meiner theorie durchaus bestärkt, dass der bug auch im DSM liegen kann.

1) port forwarding auf einen eigens definierten, zweiten HTTPs port funktioniert (z.B. 8443).
2) nur weil HTTPs im LAN funktioniert, heißt es nicht automatisch, dass nicht durch einen bug im DSM externe request blockiert werden können: der externe request wird über port forwarding an das NAS weitergeleitet und kommt dort ja auch mit der externen IP an. insofern kann durch einen bug die externe anfrage auf port 443 blockiert werden.

fraglich ist aber immer noch, warum das problem nur mein NAS betrifft.
 
Zuletzt bearbeitet:

g202e

Benutzer
Mitglied seit
07. Jun 2009
Beiträge
2.293
Punkte für Reaktionen
0
Punkte
82

mike399845

Benutzer
Mitglied seit
06. Jun 2013
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
naja, es wäre ja nicht das erste mal, dass nicht jede DS auf ein update gleich reagiert. kann ja durchaus sein, dass bestehende configs auf einer DS ein problem auslösen und auf einer anderen alles glatt läuft.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
1) port forwarding auf einen eigens definierten, zweiten HTTPs port funktioniert (z.B. 8443).
2) nur weil HTTPs im LAN funktioniert, heißt es nicht automatisch, dass nicht durch einen bug im DSM externe request blockiert werden können: der externe request wird über port forwarding an das NAS weitergeleitet und kommt dort ja auch mit der externen IP an. insofern kann durch einen bug die externe anfrage auf port 443 blockiert werden.

fraglich ist aber immer noch, warum das problem nur mein NAS betrifft.
So mal als Anregung aus der Tatsache, dass es mit einem anderen Port klappt: vielleicht nutzt Dein Modem den Port 443 für eine Fernkonfiguration? Wäre nicht das erste Gerät ;)
 

mike399845

Benutzer
Mitglied seit
06. Jun 2013
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
ja, auch mit der lösung wäre ich hoch zufrieden :p.
leider hab ich auch das schon 10 mal in allen möglichen untermenüs kontrolliert.

übrigens kann ich auch einen 443 forward auf ein anders LAN device machen und die externe verbindung klappt. nur mit der DS gibt's dieses thema.

naja, jetzt lass ichs wirklich sein. muss halt bis auf weiteres ein anderer port herhalten.

danke nochmal für eure hilfe!
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat