DSM Website nicht sicher?
- Ersteller upkc
- Erstellt am
- Status
Danke für Antworten.
1. Aber wie lasse ich ausschliesslich https in den Einstellungen zu? Wo?
2. Bei HSTS ist z.B. Photostation nicht aufgeführt. Geschweige die DMS Site selbst.
Wie ist das bei euch?
Läuft sie unter https oder auch nur http?
1. Aber wie lasse ich ausschliesslich https in den Einstellungen zu? Wo?
2. Bei HSTS ist z.B. Photostation nicht aufgeführt. Geschweige die DMS Site selbst.
Wie ist das bei euch?
Läuft sie unter https oder auch nur http?
Must du das denn ändern? 192.168.1.xyz ist ja das lokale Netzwerk. Wenn das soweit vertrauenswürdig ist finde ich HTTPS nicht zwingend notwendig. Du handelst dir damit nämlich ein anderes Problem ein: Dein Browser wird auch https://192.168.1.xyz als unsicher einstufen weil es dafür kein passendes SSL Zertifikat gibt.
LetsEncrypt o.ä. greift an der Stelle nicht, da man damit nur Zertifikate erstellen kann sofern die Adresse von außen erreichbar ist, sowas wie https://meineds.meinedomain.de. Das ist ja aber bei der lokalen Adresse, IP oder Hostname, nicht gegeben.
LetsEncrypt o.ä. greift an der Stelle nicht, da man damit nur Zertifikate erstellen kann sofern die Adresse von außen erreichbar ist, sowas wie https://meineds.meinedomain.de. Das ist ja aber bei der lokalen Adresse, IP oder Hostname, nicht gegeben.
Hallo Frogman
Sicherlich hast du bemerkt, dass ich ein Anfänger im Bereich NAS bin. Insofern war dein Antwort nicht sehr hilfreich, nichts für ungut. Durch Zufall bin ich weiter gekommen, konnte mir das fehlende Zertifikat erstellen und alles auf https umleiten, - alles gut jetzt!
Danke!
Sicherlich hast du bemerkt, dass ich ein Anfänger im Bereich NAS bin. Insofern war dein Antwort nicht sehr hilfreich, nichts für ungut. Durch Zufall bin ich weiter gekommen, konnte mir das fehlende Zertifikat erstellen und alles auf https umleiten, - alles gut jetzt!
Danke!
Hi Ansorg
Ich will ja mal von aussen erreichbar sein. Deswegen das Zertifikat. Aber klappt immer noch nicht. Quickconnect lässt sich nicht einrichten, weil ich schon von vornherein eine feste IP habe?
DDNS lässt sich nicht konfigurieren.Uff!
By the way. Ich wusste nicht, dass man auf https verzichten kann, wenn man lokal bleibt!
Danke mal schon!
Ich will ja mal von aussen erreichbar sein. Deswegen das Zertifikat. Aber klappt immer noch nicht. Quickconnect lässt sich nicht einrichten, weil ich schon von vornherein eine feste IP habe?
DDNS lässt sich nicht konfigurieren.Uff!
By the way. Ich wusste nicht, dass man auf https verzichten kann, wenn man lokal bleibt!
Danke mal schon!
Genauer gefragt: Wie richte ich nachträglich Zugriff von aussen ein, wenn ich schon eine feste IP habe?
- Mitglied seit
- 10. Mai 2015
- Beiträge
- 9.139
- Punkte für Reaktionen
- 1.802
- Punkte
- 314
hmmmmmmmmmmm, du schreibst irgendwo "....konnte mir das fehlende Zertifikat erstellen.... und dann "....DDNS lässt sich nicht konfigurieren...." - da stellt sich dann die Frage wofür ganz genau du ein Zertifikat erstellt hast?
Zur Erklärung:
Ein Zertifikat für https MUSS zwingend für einen "Namen" erstellt werden und nur exakt dieser Name funktioniert dann fehlerfrei, als Beispiel:
Du erstellst ein Zertifikat für https://meine_domain.com > du tippst in den Browser ein https://meine_domain.com > alles gut, das grüne Schloss wird erscheinen. ABER tippst du in den browser ein
https://www.meine_domain.com > erhältst du eine Fehlermeldung in Bezug auf dein Zertifikat, da die www. NICHT für dieses Zertifikat sind.
Du schreibst weiter "....ich will ja mal von aussen erreichbar sein...." - ok, aber ganz genau für welchen Dienst? Für eine Webseite, oder DSM von Aussen erreichen, oder Audiostation, oder (s)ftp Zugang?
Es ist egal ob du eine feste IP hast oder nicht, DDNS sollte mindestens einmal am Tag die öffentliche IP Abfragen und leitet dann den Namen auf diese öffentliche IP um, sollte sie gleich bleiben gut, falls nicht, auch kein Problem dafür ist der Dienst ja da.
Falls du dich für den Synology eigenen Dienst entscheidest, denn kannst du direkt im DSM einrichten:
DSM > Hauptmenü > Systemsteuerung > Externer Zugriff > Register "DDNS" > Hinzufügen > den Anweisungen vom Assistenten folgen. Du kannst dann später in deinem Synology Konto (https://account.synology.com/de-de) dich einloggen und dort siehst du dann deine Diskstation mit dem verbundenen Namen zur Kontrolle.
Wenn du es über Quickconnect (QC) versuchen möchtest, wieder im DSM:
DSM > Hauptmenü > Systemsteuerung > Quickconnect > Register "Allgemein" > QuickConnect aktivieren > Synology-Konto angeben > Quickconnect-ID aussuchen (VORSICHT, sie MUSS ZWINGEND mit einem Buchstaben beginnen und darf nur Zahlen, Buchstaben undd Bindestriche enthalten!)
Im Register "Erweitert" kannst du den QC-Relay-Dienst aktivieren, dann wird die Verbindung über den Relay Server übertragen von Synology, ebenso musst du unter "Erlaubnis" die Zeilen aktivieren für welche Anwendungen und Dienste QC benützt werden soll/darf >, also zB DSM usw. so lange du dort nichts definiert hast kann QC nicht arbeiten.
Kontrollieren kannst du es wiederum in deinem Synologykonto in der Spalte QuickConnect ID MUSS in der Zeile deiner DS mit deiner Seriennummer die von dir ausgewählte ID stehen, klickst du darauf sollte sich eine Verbindung zur deiner DS aufbauen, gilt auch für DDNS, da MUSS davor die grüne Ampel leuchten, klickst du den Namen an solltest du auf deine DS geleitet werden, vorausgesetzt du hast die dafür notwendigen Portweiterleitungen im Router eingerichtet, bei QC sollte das automatisch durchgeführt werden.
Wenn du also zB von Aussen auf DSM deiner DS möchtest dann "erwartet" deine DS die Anfrage für https auf :5001
dh, du musst bei DDNS also deinem Router "erklären" WOHIN er leiten soll, zB
deine DS hat die interne IP 192.168.1.100 dann erreichst du DSM über 192.168.1.100:5001 (mit dem Hinweis "nicht sichere Verbindung" da es für IP-Adressen kein Zertifikat gibt),
bedeutet du musst dem Router "mitteilen (=Portweiterleitung)" dass zB extern :5001 auf intern 192.168.1.100 Port 5001 gehen soll
möchtest du jetzt von Aussen zugreifen so gibst du ein:
https://deine_domain.com:5001 ---> die Anfrage kommt auf deinem Router an, die Portweiterleitung geht von 5001 auf die IP deiner DS 5001 und das ist der Einstieg in die DSM Oberfläche.
Du solltest aber zwingend die Ports ändern, also zB DSM auf 55001 und eventuell auch den Port für extern auf 55001, du leitest dann also von extern :55001 auf interne_IP deiner DS Port 55001 um.
Die Eingabe muss dann lauten: https://deine_domain.com:55001 ---> du solltest dann deine DSM Oberfläche angezeigt bekommen.
Am Anfang ist das verwirrend, aber im Laufe der Zeit wird es klarer und wenn man das Prinzip mal verstanden hat, geht es relativ einfach.
Bitte Aufpassen dass du nicht einen Port erwischt welcher für andere Dienste reserviert/vorgesehen ist, den Port für DSM hast du schon kennengelernt für DSM via https = 5001, hier findest du eine Tabelle welche Port Synology normalerweise verwendet:
Portnummern von Synology <klick>
Zur Erklärung:
Ein Zertifikat für https MUSS zwingend für einen "Namen" erstellt werden und nur exakt dieser Name funktioniert dann fehlerfrei, als Beispiel:
Du erstellst ein Zertifikat für https://meine_domain.com > du tippst in den Browser ein https://meine_domain.com > alles gut, das grüne Schloss wird erscheinen. ABER tippst du in den browser ein
https://www.meine_domain.com > erhältst du eine Fehlermeldung in Bezug auf dein Zertifikat, da die www. NICHT für dieses Zertifikat sind.
Du schreibst weiter "....ich will ja mal von aussen erreichbar sein...." - ok, aber ganz genau für welchen Dienst? Für eine Webseite, oder DSM von Aussen erreichen, oder Audiostation, oder (s)ftp Zugang?
Es ist egal ob du eine feste IP hast oder nicht, DDNS sollte mindestens einmal am Tag die öffentliche IP Abfragen und leitet dann den Namen auf diese öffentliche IP um, sollte sie gleich bleiben gut, falls nicht, auch kein Problem dafür ist der Dienst ja da.
Falls du dich für den Synology eigenen Dienst entscheidest, denn kannst du direkt im DSM einrichten:
DSM > Hauptmenü > Systemsteuerung > Externer Zugriff > Register "DDNS" > Hinzufügen > den Anweisungen vom Assistenten folgen. Du kannst dann später in deinem Synology Konto (https://account.synology.com/de-de) dich einloggen und dort siehst du dann deine Diskstation mit dem verbundenen Namen zur Kontrolle.
Wenn du es über Quickconnect (QC) versuchen möchtest, wieder im DSM:
DSM > Hauptmenü > Systemsteuerung > Quickconnect > Register "Allgemein" > QuickConnect aktivieren > Synology-Konto angeben > Quickconnect-ID aussuchen (VORSICHT, sie MUSS ZWINGEND mit einem Buchstaben beginnen und darf nur Zahlen, Buchstaben undd Bindestriche enthalten!)
Im Register "Erweitert" kannst du den QC-Relay-Dienst aktivieren, dann wird die Verbindung über den Relay Server übertragen von Synology, ebenso musst du unter "Erlaubnis" die Zeilen aktivieren für welche Anwendungen und Dienste QC benützt werden soll/darf >, also zB DSM usw. so lange du dort nichts definiert hast kann QC nicht arbeiten.
Kontrollieren kannst du es wiederum in deinem Synologykonto in der Spalte QuickConnect ID MUSS in der Zeile deiner DS mit deiner Seriennummer die von dir ausgewählte ID stehen, klickst du darauf sollte sich eine Verbindung zur deiner DS aufbauen, gilt auch für DDNS, da MUSS davor die grüne Ampel leuchten, klickst du den Namen an solltest du auf deine DS geleitet werden, vorausgesetzt du hast die dafür notwendigen Portweiterleitungen im Router eingerichtet, bei QC sollte das automatisch durchgeführt werden.
Wenn du also zB von Aussen auf DSM deiner DS möchtest dann "erwartet" deine DS die Anfrage für https auf :5001
dh, du musst bei DDNS also deinem Router "erklären" WOHIN er leiten soll, zB
deine DS hat die interne IP 192.168.1.100 dann erreichst du DSM über 192.168.1.100:5001 (mit dem Hinweis "nicht sichere Verbindung" da es für IP-Adressen kein Zertifikat gibt),
bedeutet du musst dem Router "mitteilen (=Portweiterleitung)" dass zB extern :5001 auf intern 192.168.1.100 Port 5001 gehen soll
möchtest du jetzt von Aussen zugreifen so gibst du ein:
https://deine_domain.com:5001 ---> die Anfrage kommt auf deinem Router an, die Portweiterleitung geht von 5001 auf die IP deiner DS 5001 und das ist der Einstieg in die DSM Oberfläche.
Du solltest aber zwingend die Ports ändern, also zB DSM auf 55001 und eventuell auch den Port für extern auf 55001, du leitest dann also von extern :55001 auf interne_IP deiner DS Port 55001 um.
Die Eingabe muss dann lauten: https://deine_domain.com:55001 ---> du solltest dann deine DSM Oberfläche angezeigt bekommen.
Am Anfang ist das verwirrend, aber im Laufe der Zeit wird es klarer und wenn man das Prinzip mal verstanden hat, geht es relativ einfach.
Bitte Aufpassen dass du nicht einen Port erwischt welcher für andere Dienste reserviert/vorgesehen ist, den Port für DSM hast du schon kennengelernt für DSM via https = 5001, hier findest du eine Tabelle welche Port Synology normalerweise verwendet:
Portnummern von Synology <klick>
Zuletzt bearbeitet:
Hoi Kurt
Ich möchte von z. B. Russland meine Daten einsehen und verwenden können, deshalb diese Klimmzüge.
Leider muss ich sofort für 2 Tage nach Deutschland verreisen.
Aber ich denke, damit werde ich beginnen können das Problem aufzudröseln.
Vorerst danke für die mich völlig erschöpfende Auskunft. Erschöpfend im Wortsinn!
)). (Newbie!)
Ich möchte von z. B. Russland meine Daten einsehen und verwenden können, deshalb diese Klimmzüge.
Leider muss ich sofort für 2 Tage nach Deutschland verreisen.
Aber ich denke, damit werde ich beginnen können das Problem aufzudröseln.
Vorerst danke für die mich völlig erschöpfende Auskunft. Erschöpfend im Wortsinn!
)). (Newbie!)Hoi Kurt
Ich glaubte dir schon geantwortet zu haben, aber offensichtlich hatte ich nicht auf "antworten" geklickt.
Sorry, aber danke für die ausführliche Antwort. Es hat mir zumindest theoretisch weiter geholfen. Ich erwähnte in meiner Antwort einen plötzlichen Auslandsaufenthalt. Dieser verlängert sich unvorhergesehen.
Ich werde es in Angriff nehmen, sobald ich wieder zurück bin.So lange, - nochmals danke!
mfg
Peter
Ich glaubte dir schon geantwortet zu haben, aber offensichtlich hatte ich nicht auf "antworten" geklickt.
Sorry, aber danke für die ausführliche Antwort. Es hat mir zumindest theoretisch weiter geholfen. Ich erwähnte in meiner Antwort einen plötzlichen Auslandsaufenthalt. Dieser verlängert sich unvorhergesehen.
Ich werde es in Angriff nehmen, sobald ich wieder zurück bin.So lange, - nochmals danke!
mfg
Peter
Bin wieder zurück und habe es dank deiner Unterstützung, Kurt, geschafft unter DDNS eine Domain anzulegen mit meiner sowieso schon festen IP und das Zertifikat von Let’s Encrypt zu bekommen.
Auch kann ich von aussen auf alle Daten zugreifen! Hurra!
Was mich aber extrem irritiert ist,
1. dass das Zertifikat bei der Fertigstellung sagte, dass es ungültig sei. Wenn ich aber das Zertifikat anklicke, heisst es unter Menupunkt …. Es sei gültig! Wat denn nu?
2. Wenn ich DSM mit dem Aufruf xxxxxx.myds.me starte, erscheint ganz regulär die Site mit https und grünem Schloss, aber beim Start mit https://192.168.1.242:5001 kommt die Meldung: Ihre Verbindung ist nicht geschützt. Dann klicke ich auf dieser Meldung das Zertifikat an und es weist sich als gültig aus.
3. Im Widget unter „Verbundene Benutzer“ sehe ich mich (Admin) 2x. Einmal, hier jetzt mal den Admin Fake genannt
Fake - HTTP/HHTPS und Uhrzeit und auch in der 2. Linie später als
Fake – CIFS und Uhrzeit
Der „Sicherheitsberater“ sagt: Die Sicherheit Ihrer DSM ist gut. Aber wenn ich mir per Mail auf einen freigegebenen File zuschicke, heisst es. : Ihre Verbindung ist nicht geschützt.
Das entspringt wohl alles der gleichen Fehlerquelle, irgendetwas habe ich falsch konfiguriert.
Beinahe hätte ich es vergessen. Bei der Installation von DSM kam die Meldung, dass 2 Router vorhanden seien. Ich solle eine Bridge einrichten. Es gibt aber nur einen Router!
Ein bisschen viel, ich weiss, aber …. Hiiiiilfe! : )))
Auch kann ich von aussen auf alle Daten zugreifen! Hurra!
Was mich aber extrem irritiert ist,
1. dass das Zertifikat bei der Fertigstellung sagte, dass es ungültig sei. Wenn ich aber das Zertifikat anklicke, heisst es unter Menupunkt …. Es sei gültig! Wat denn nu?
2. Wenn ich DSM mit dem Aufruf xxxxxx.myds.me starte, erscheint ganz regulär die Site mit https und grünem Schloss, aber beim Start mit https://192.168.1.242:5001 kommt die Meldung: Ihre Verbindung ist nicht geschützt. Dann klicke ich auf dieser Meldung das Zertifikat an und es weist sich als gültig aus.
3. Im Widget unter „Verbundene Benutzer“ sehe ich mich (Admin) 2x. Einmal, hier jetzt mal den Admin Fake genannt
Fake - HTTP/HHTPS und Uhrzeit und auch in der 2. Linie später als
Fake – CIFS und Uhrzeit
Der „Sicherheitsberater“ sagt: Die Sicherheit Ihrer DSM ist gut. Aber wenn ich mir per Mail auf einen freigegebenen File zuschicke, heisst es. : Ihre Verbindung ist nicht geschützt.
Das entspringt wohl alles der gleichen Fehlerquelle, irgendetwas habe ich falsch konfiguriert.
Beinahe hätte ich es vergessen. Bei der Installation von DSM kam die Meldung, dass 2 Router vorhanden seien. Ich solle eine Bridge einrichten. Es gibt aber nur einen Router!
Ein bisschen viel, ich weiss, aber …. Hiiiiilfe! : )))
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.178
- Punkte für Reaktionen
- 925
- Punkte
- 424
zu 1) Wer Wie Wo sagt es ist ungültig?
zu 2) Das Zertifikat lautet auf xxx.myds.me, damit muss der Aufruf mit 192.168.1.242 eine Warnung bringen, weil der "Name" nicht übereinstimmt.
Das Zertifikat an sich ist gültig und auch eine abgenickte https Verbindung ist damit verschlüsselt, die Warnung wegen abweichenden Namens bleibt aber.
zu 3) Bild? Jeder Nutzer wird pro Protokoll mit dem er verbunden ist aufgeführt. Zudem kann es bei http/https Verbindungen sein, dass alte Sitzungen (wenn man sich nicht sauber ausloggt, sondern z.B einfach den Browser neustartet) weiterhin angzeigt werden. Ein beherzter Klick auf "Minus" terminiert diese Sitzungen von der DS aus.
zu 4) zu wenig und vermischte Informationen. Was hat der Sicherheitsberater damit zu tun? URL zu einer freigegebenen Datei in einer email? Welche URL? Auf welchen Namen lautet das Zertifikat? etc.
zu 2) Das Zertifikat lautet auf xxx.myds.me, damit muss der Aufruf mit 192.168.1.242 eine Warnung bringen, weil der "Name" nicht übereinstimmt.
Das Zertifikat an sich ist gültig und auch eine abgenickte https Verbindung ist damit verschlüsselt, die Warnung wegen abweichenden Namens bleibt aber.
zu 3) Bild? Jeder Nutzer wird pro Protokoll mit dem er verbunden ist aufgeführt. Zudem kann es bei http/https Verbindungen sein, dass alte Sitzungen (wenn man sich nicht sauber ausloggt, sondern z.B einfach den Browser neustartet) weiterhin angzeigt werden. Ein beherzter Klick auf "Minus" terminiert diese Sitzungen von der DS aus.
zu 4) zu wenig und vermischte Informationen. Was hat der Sicherheitsberater damit zu tun? URL zu einer freigegebenen Datei in einer email? Welche URL? Auf welchen Namen lautet das Zertifikat? etc.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
