DSM 6.x und darunter Kein Zugriff auf DS nach Versuch auf https umzustellen

[stau]

Hallo C0smo,

Jetzt bin ich genau so wie von Dir beschrieben vorgegangen.
Als Domainnamen habe ich <Name>.synology.me und als Mailadresse meine Hauot-Mailadresse eingegeben. Den Parameter alternativer Name habe ich leer gelassen.
Der Abruf schien perfekt zu laufen. Das Zertifikat ist nun das Standard-Zertifikat.

Ich habe mich, um sicher zu gehen, abgemeldet, die DS heruntergefahren und bin dann neu gestartet.
Leider wird mir als Wensite-Information immer noch unsicher mit https: (durchgestrichen und <Name>.synology.me:5001 angezeigt.
Sowohl in der Fritz!Box als auch im Windows-Defender ist der Port 80 für ein- und ausgehende Verbindungen freigegeben.

An was kann das jezt noch liegen?

 

[c0smo]

Klick das Zertifikat an und gehe auf konfigurieren. Hier müssen alle Dienste mit dem Zertifikat verknüpft sein.
Ausserdem muss der Aufruf von deiner DS genauso erfolgen, wie die Domain registriert worden ist.
h**ps://deine_domain.de:5001 ist nicht das Selbe wie h**ps://www.deine_domain.de:5001


Port 80 wieder schließen! Der wird nicht mehr verwendet und stellt ein Risiko dar.

 

[himitsu]

Jupp, Port 80 ist hier garnicht nötig.

Der wird z.B. für den WebServer verwendet, wenn er installiert ist und nicht auch einen anderen Port verwendet.
Post 80 und 443 sind die Standard-Ports für HTTP und HTTPS, aber das DSM der DS läuft standardmäßig auf den Ports 5000 (HTTP, statt 80) und 5001 (HTTPS, statt 443), was du ebenfalls ändern könntest.
Darum ist bei deinem Aufruf auch der Port in der URL, weil es eben nicht der Standardport 80/443 ist.

 

[Matthieu]

Jupp, Port 80 ist hier garnicht nötig.

Er hatte Port 80 zum Abruf des Zertifikats von Lets Encrypt geöffnet und da ist es notwendig. LE verifiziert den Host über einen HTTP-Aufruf.

MfG Matthieu

 

[stau]

Vielen Dank an alle, die mir geholfen haben. Mein Zugriff unter https erfolgt nun ohne Fehler und Warnungen, nachdem ich noch alle Dienste mit dem Let'sEncrypt-Zertifikat verknüpft habe.

Ich habe nur noch eine Farge zur Nutzung der Ports 80 und 443.
Im DSM sehe ich nirgends, dass diese Ports genutzt werden. Muss das ausschließlich im Router, also meiner Fritz!Box definiert werden?
Benötige ich Port 80 nicht z. B., wenn ich Photo DS nutzen möchte?
Und gibt es nicht weitere externe Programme, für die der Zugriff benötigt wird. Ich habe z. B. eine Website bei Strato?

 

[c0smo]

https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services

Du benötigst nur die Ports für die auch die passenden Dienste/Programme aktiviert sind. Alles andere sollte im Router und in der DSM Firewall zu sein. Im Router eh nur das aufmachen, was für unterwegs erreichbar sein soll. Und http sollte vermieden werden, da unverschlüsselt!

 

[stau]

Vielen Dank für die Aufklärung.
Ich habe wieder hinzugelernt.

 

[stau]

Hallo Matthieu,

Es ist nun zwar schon eine Weile her, dass ich zum Thema "Kein Zugriff auf DS nach Versuch auf https umzustellen" posten musste.
Du warst mir damals eine große Hilfe. Nun ereilt mich wieder das gleiche Problem.

Ich will mich anmelden per "https://<IP-Adresse der DS>:5001" und erhalte wieder die Nachricht "Dies ist keine sichere Verbindung".
Seinerzeit schriebst Du mir, dass man diese Meldung übergehen kann. Leider gelingt mir das nicht (mehr).

Ich vermute mal, dass das Zugangsproblem damit zusammen hängt, dass das LetsEncrypt-Zertifikat abgelaufen ist. Ich erinnere mich daran, dass ich eine derartige Nachricht erhalten hatte, Die habe ich dann aber übergangen im Glauben, dass das Zertifikat nucht ablaufen kann. Da habe ich mich wohl getäuscht.

Ich wage mich noch einmal mit der Frage vor, wie ich mich wieder an der DS anmelden kann.
Das mit dem Zertifikat kriege ich dann wohl wieder hin.

Ich würde mich sehr darüber freuen, wenn Du mir noch einmal behilflich sein könntest.

 

[servilianus]

Ein Let´s Encrypt-Zertifikat hat mit Deiner Konstellation nichts zu tun: Ein Let´s -Encrypt-Zertifikat wird nicht für eine IP-Adresse (192...) ausgestellt, sondern nur für eine Domain. Wenn Du also in Deinem Heimnetz unterwegs bist, und Du möchtest auf deine DS, und erhältst die Sicherheitsmeldung - dann entweder ignorieren (schließlich weisst Du ja, dass Deine Synology eine sichere Adresse ist), oder in Deinem Browser die Heim-IP-Adresse als Ausnahme hinzufügen. Möchtest Du von außerhalb auf Deine Synology, dann eine Domain besorgen, und darauf in der Synology ein Let´s encrypt Zertifikat ausstellen. (als Alias kann man dort auch die www.Domain-Adresse hinzufügen).

 

[stau]

Bevor Deine Antworteinging, hatte ich es schon zunächst geschafft, die Fehlermeldung "Diesist keine sichere Verbindung" zu übergehen und mich anzumelden.
Dann habe ich das abgelaufeneLetsEncrypt-Zertifikat erneuert und die Verbindung zu allen Diensten wiederhergestellt.
Bei der nächsten Anmeldung per https://<Domainname> (die imLetsEncrypt-Zertifikat erscheinende Domain xxx..synology.me:5001 ) erhieltich dann wieder die gleiche Fehlermeldung.

Aber bei der nächsten Anmeldung war dann alleswieder ok wie früher. Ich melde mich jetzt also wieder im sicheren https-Modusan.
Du schriebst, dass man sich eine Domain besorgenmüsse. Ich gehe mal davon aus, dass das im Regelfall kostenpflichtig ist.
Ich habe keine Ahnung mehr wie ich zu dieserDomain gekommen bin, bin aber sicher, dass das nicht kostenpflichtig war.

Also ist mein Zugangsproblem gelöst, aber ichmöchte trotzdem gern wissen wie das mit dem Zertifikat und dem Domainnamenzusammenhängt.
Dann habe ich nämlich wieder hinzugelernt.

Zunächst mal herzlichen Dank für Deine Antwort.

 

[Fusion]

Ein dynDNS wie xxx.synology.me ist auch eine " Domain". Eine Domain ist nichts als ein Name der einer IP zugeordnet wird. Vergleichbar einem Telefonbuch welches einen Menschen/Person einer Telefonnummer zuordnet unter die dieser erreichbar ist.
Ein Zertifikat wird eben auf einen Domainnamen ausgestellt und wenn der Browser xxx.synology.me aufruft prüft er ob dieser Name mit dem Namen der im Zertifikat genannt ist, welches ihm sein Gegenüber aushändigt, identisch ist.
Ist es dies nicht, dann gibt der Browser eine Warnmeldung aus, oder verhindert den Kontakt eventuell komplett.
Das ist z.B. dann der Fall, wenn das Zertifikat auf xxx.synology.me lautet, ich aber die lokale NAS-IP, z.B. 192.168.178.11, besuche.
Oder wenn ich xxx.synology.me besuche und das zertifikat aber auf abc.synology.me lautet.

 

[stau]

Ich verstehe jetzt ein bisschen besser den Zusammenhang zwischen Domain und dem Namen im Zertifikat.
Was ich aber immer noch nicht kapiere ist, wie zur Ehre einer kostenlosen Domain gekommen bin.
Stellt LetsEncrypt diese kostenlos zur Verfügung?

 

[BigBugHmb]

Die "Synology" Domain stellt logischer Weise Synology kostenlos zu Verfügung, da ihnen die Domains gehören. Das Zertifikat stellt entsprechend LetsEncrypt kostenlos zur Verfügung.
Du musstest es einfach nur in deinen NAS Einstellungen entsprechend auswählen/einstellen.

 

[stau]

Vielen Dank für Dein Aufklärung.
Genau das hatte ich noch wissen wollen.