Externer Zugriff DS220+ funktioniert nicht

[plang.pl]

Dann halt dich mal an die Tipps von @EDvonSchleck
Die Mitarbeiter sollen das nicht einfach freischalten, aber sie können es. Sind auch nur Menschen. Ruf da immer wieder an, bis du den richtigen erwischt und/oder die die Schnauze voll haben

 

[EDvonSchleck]

Du musst die IP/URL nicht ändern. Einfach eintragen und schauen, ob dieses in KAS übertragen wurde. DDNS-Updater in Docker wird 100 % laufen. Dort wird die IP des Gerätes extern ermittelt und anschließend übertragen.

Leider hast du bis jetzt immer nur geschrieben was nicht geht, ob du noch andere Baustellen oder Fehler eingebaut hast weißt du nicht!

 

[EDvonSchleck]

Schau einmal hier im Beitrag ein bisschen zurück und vor. Eventuell hilft dir das ja noch weiter. Ansonsten finden wir eine andere Lösung.
Beachte, das es nach der Übermittlung von der IP ein paar Minuten dauern kann (je nach Server) bis die Änderungen vorgenommen wurden!

 

[tschaegged]

@EDvonSchleck
@plang.pl
Bevor ich irgendwas weiter rumdoktere, habe ich nochmal mit 1und1 telefoniert und um Freischaltung einer festen IP gebeten. Passt das aus eurer Sicht jetzt? Das wird nach Neustart in der FritzBox angezeigt:


Die Einstellung habe ich nicht geändert, muss ich hier was tun?



Tut mir leid, wenn ich jetzt einfach ganz dumme Fragen stelle, aber ich will nicht an tausend Ecken schrauben, wenn es vielleicht weiterhin an der Basis scheitert. DDNS habe ich deaktiviert.

Danke für eure Hilfe!!!

 

[plang.pl]

Das schaut gut aus. Die 89.X.X.X ist eine öffentliche IP. Du musst umstellen auf "native IPv4-Anbindung"

 

[Thonav]

Du hast doch jetzt eine IPv4 Adresse...

 

[EDvonSchleck]

Ich glaube nicht das du eine feste IP bekommen hast, eher die Option der IPv4,
Dann sollte ja alles laufen. Wenn du magst, kannst du auch einfach IPv6 unter Internet deaktivieren.
Aufpassen musst du aber beim Providerwechsel. Nicht jeder Provider lässt sich erweichen. Bei 1&1 habe ich aber gut Erfahrung gemacht.

Für den externen Zugriff richte bitte auch deine DS-Firewall ein und nutze das Script von @geimist! Beides wird dich neben einem guten Passwort schützen.

 

[tschaegged]

Update:
Es funktioniert der Zugriff endlich über meine Subdomains, extern wie intern hinter der FritzBox (DNS-Rebind greift).
Konfiguration, falls andere ein ähnliches Problem haben:

1. 1und1 auf den Sack gehen und öffentliche IP verlangen
2. Domain nas.de bei ALL-INKL anlegen
3. DDNS Eintrag bei ALL-INKL eingerichtet mit Host ddns.nas.de
4. DDNS in der FritzBox aktivieren und mit der Update URL aktivieren: dyndns.kasserver.com/
5. Subdomains (dsm.nas.de, photo.nas.de,...) bei ALL-INKL einrichten (bei mir PHP 8.1 und Ziel Webspace)
6. DNS Einträge bei ALL-INKL bearbeiten. Für jede Subdomain einen CNAME Eintrag erstellen und als Ziel ddns.nas.de eingeben
7. in der FritzBox Ports 443 und 80 freigegeben (dafür musste ich MyFritz deaktivieren, da dies den Port 443 beansprucht hatte)
8. Auf der NAS im Anmeldeportal jeweils die Subdomains als benutzerdefinierte Domain eintragen

Soweit so gut, jetzt muss ich eine Lösung für die Zertifikate finden, aber erstmal funktioniert der Zugriff von Extern und Intern Danke für eure Hilfe bis dahin!

 

[Monacum]

in der FritzBox Ports 443 und 80 freigegeben (dafür musste ich MyFritz deaktivieren, da dies den Port 443 beansprucht hatte)

Das kann man ändern: Internet > Freigaben > FRITZ!Box-Dienste und dort den TCP-Port für HTTPS anpassen, siehe auch den Hinweis auf der Seite darüber: „Einstellungen, die Sie hier vornehmen, gelten auch für den Zugang zur FRITZ!Box aus dem Internet über den Dienst MyFRITZ!“

 

[tschaegged]

Das kann man ändern: Internet > Freigaben > FRITZ!Box-Dienste und dort den TCP-Port für HTTPS anpassen, siehe auch den Hinweis auf der Seite darüber: „Einstellungen, die Sie hier vornehmen, gelten auch für den Zugang zur FRITZ!Box aus dem Internet über den Dienst MyFRITZ!“

Guter Hinweis, danke! jetzt kann ich meine Heizkörper auch wieder von unterwegs steuern - meine Frau wird dir danken

 

[EDvonSchleck]

Port 80 würde ich nicht freigeben. Lass alles über 443 (SSL) laufen, was bei vielen Browsern auf default gestellt ist.

Für das Zertifikat würde ich acme.sh empfehlen. Damit kannst du dir neben ein Wildcardzertifikat auch die automatischen Updates/Verlängerung nutzen und musst dich nicht mehr darum kümmern. Acme benötigt auch keine Ports welche geöffnet werden müssen und funktioniert mit All-Inkl ohne Probleme. Wie ich bereits geschrieben habe, wurde das letzte Woche auf einer 220+ eingerichtet.

 

[EDvonSchleck]

Hast du IPv6 deaktiviert? Gerade wenn die Firewall nicht richtig eingestellt ist, könnte das die Sicherheit beeinträchtigen!

 

[tschaegged]

Port 80 würde ich nicht freigeben. Lass alles über 443 (SSL) laufen, was bei vielen Browsern auf default gestellt ist.

Für das Zertifikat würde ich acme.sh empfehlen. Damit kannst du dir neben ein Wildcardzertifikat auch die automatischen Updates/Verlängerung nutzen und musst dich nicht mehr darum kümmern. Acme benötigt auch keine Ports welche geöffnet werden müssen und funktioniert mit All-Inkl ohne Probleme. Wie ich bereits geschrieben habe, wurde das letzte Woche auf einer 220+ eingerichtet.

Gibt es dafür eine Anleitung, die du empfehlen kannst? Ich bin bei der Suche tatsächlich darüber gestolpert, aber habe keinen Eintrag für ALL-INKL gefunden...

 

[tschaegged]

Hast du IPv6 deaktiviert? Gerade wenn die Firewall nicht richtig eingestellt ist, könnte das die Sicherheit beeinträchtigen!

Ist deaktiviert

 

[Monacum]

meine Frau wird dir danken

Schöne Grüße

 

[EDvonSchleck]

Gibt es dafür eine Anleitung, die du empfehlen kannst? Ich bin bei der Suche tatsächlich darüber gestolpert, aber habe keinen Eintrag für ALL-INKL gefunden...

Das kann ich mir nicht vorstellen

1. Docker im Paketzentrum installieren
2. Ordner acme im Ordner /docker auf der DS mit der Filestation erstellen
3, Datei account.conf in /docker/acme erstellen und mit den entsprechenden Einträgen ergänzen (am besten mit dem Synology Texteditor)

account.conf

export KAS_Login="AccountID"
export KAS_Authdata="Passwort"
export KAS_Authtype=plain
export SYNO_Username="AdminUser"
export SYNO_Password="AdminPasswort"

4. Container mit Aufgabenmanager als "root" installieren und ausführen

docker run -d --name acme.sh \
-v /volume1/docker/acme:/acme.sh \
--net=host \
--restart always \
neilpang/acme.sh:latest daemon

Jetzt sollte das Image geladen werden und der Container automatisch gestartet werden.
Mit den folgenden 3 Befehlen richtest du den Rest ein. Diese Befehle gibst du direkt im Container unter: Details > Konsole ein.

a. Acme.sh von ZeroSSL auf Lets Encrypt umstellen:

acme.sh --set-default-ca --server letsencrypt

b. Zertifikat anfordern:

acme.sh --issue --dns dns_kas -d deinedomain.de -d *.deinedomain.de --dnssleep 300

c: Zertifikat zur DiskStation übertragen:

acme.sh --deploy -d deinedomain.de --deploy-hook synology_dsm

5. FERTIG

---

Optional:
manuelle Verlängerung (normal nicht notwendig)
innerhalb der letzten 30 Tage (auch zum Anzeigen der nächsten automatischen Verlängerung)

acme.sh --renew -d deinedomain.de

Verlängerung erzwingen (unabhängig von den ersten 60 Tagen)

acme.sh --renew -d deinedomain.de --force

Weitere Informationen: acme.sh und auf Github oder hier, All-Inkl.com & Synology DSM

 

[tschaegged]

@EDvonSchleck oh Wow, dank! führe ich mir in Ruhe zu Gemüte und werde berichten

 

[EDvonSchleck]

Weil du Dateien mit anderen tauschen willst, würde ich auch eine weitere Subdomain in den Filestation-Einstellungen (z. B. file.deinedomain.de) hinterlegen. Mit dieser Subdomain gelangt der User nur auf der Filestation nicht in der DSM! Das ist zum Austauschen von Files eventuell besser geeignet. Du kannst ja mehrere Subdomain als CNAME anlegen. Als Port bleibt dann nur noch 443 für eine verschlüsselte Verbindung geöffnet. Über das Wildcarczertifikat ist jede Subdomain automatisch abgesichert und es ist nicht notwendig ein neues Zertifikat zu erstellen.

 

[tschaegged]

Mit den folgenden 3 Befehlen richtest du den Rest ein. Diese Befehle gibst du direkt im Container unter: Details > Konsole ein.

Ich schein zu dumm zu sein... ich konnte nur ein mal was in die Zwischenablage nehmen und einkopieren, dann war Schluss. Weder Rechtsklick noch STRG+V führen zum Ergebnis. In der Zwischenablage ist der Befehl definitiv vorhanden. Ich habe 2 Browser getestet. Hast du eine Idee???

 

[EDvonSchleck]

Du solltest dir die 3 Befehle in eine Textdatei kopieren und deine Domain anpassen. Du kannst jedem Befehl direkt starten oder über sh die Befehle in der Konsole eingeben oder einfügen, je nach Browser.