DSM 6.x und darunter Kein Zugriff auf DS nach Versuch auf https umzustellen

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

stau

Benutzer
Mitglied seit
24. Aug 2014
Beiträge
117
Punkte für Reaktionen
7
Punkte
18
Hallo,

Vorab: Ich bin recht unerfahren im Umgang mit der dem DSM. Bitte seht es mir nach.

Ich hatte bisher Zugriff auf meine DS mit dem unsichereren http-Protokoll.
Deshalb habe ich versucht im DSM auf https umzustellen. Leider weiß ich nicht mehr wo ich einen Eintrag vorgenommen hatte.
Anschließend hat sich DSM aufgehängt und ich habe abgebrochen. Danach kann ich nun nicht mehr auf die DS zugreifen.

Ich habe erfolglos versucht mich auf folgende Arten anzumelden:
<Name>.synology.me:5000
<Name>.synology.me:5001
http:// <IP-Adresse> :5000
quickconnect

Rechner und NAS befinden sich im selben LAN.
In der Fritz!Box habe ich unter Internet, Freigaben für die DS sowohl die Ports 5000 als auch 5001 eingetragen.

Ich hoffe, dass mir jemand Tipps geben kann, wie ich den Zugriff auf welche Art auch immer wieder herstellen und wie man anschließend den sicheren Zugriff per https ermöglichen kann.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Probiere mal aus dem LAN: https:// <IP-Adresse> :5001
Wichtig ist dabei, die interne IP (meist 192.168...) zu verwenden, nicht die externe!

MfG Matthieu
 

stau

Benutzer
Mitglied seit
24. Aug 2014
Beiträge
117
Punkte für Reaktionen
7
Punkte
18
Auch hier erhalte ich die gleiche Fehlermeldung.
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
Wenn nix mehr geht, hinten den Resetknopf drücken, bis es einmal piept. (LAN und Passwort/Rechte des Standard-Admin-Account werden dann zurückgesetzt)
 

stau

Benutzer
Mitglied seit
24. Aug 2014
Beiträge
117
Punkte für Reaktionen
7
Punkte
18
Hallo Matthieu,

Den zu erwähnen hatte ich in meiner Fragestellung vergessen:
"Dies ist keine sichere Verbindung"
 

stau

Benutzer
Mitglied seit
24. Aug 2014
Beiträge
117
Punkte für Reaktionen
7
Punkte
18
Wird durch Drücken des Reset-Buttons nicht noch mehr zurück gesetzt?
Ich möchte vermeiden, dass ich evtl. alle Einstellungen noch einmal vornehmen muss.
Deshalb würde ich diesen Versuch zunächst mal ganz hintenan stellen, wenn alle anderen Stricke reißen.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Diese Meldung kann man übergehen. Je nach Browser etwas anders.
Da musst du nix zurücksetzen. Der würde auch bei einem neuen Versuch jedes Mal wieder kommen. Du kannst dich anschließend um ein Zertifikat bemühen, dann geht die Meldung auch weg. Aber erst mal ein Schritt nach dem anderen.

MfG Matthieu
 

stau

Benutzer
Mitglied seit
24. Aug 2014
Beiträge
117
Punkte für Reaktionen
7
Punkte
18
Tatsächlich. Nach einigem Hin und Her konnte ich mich wieder einloggen.
In der Anmeldungszeile steht nun "nicht sicher - https:// <Name> .synology.me:5001" (https durchgestrichen).
Du schriebst ja, dass ich noch ein Zertifikat benötige. Ich hatte gelesen, dass Let’s Encrypt eine Empfehlung sei.

Ich habe dieses Zertifikat importiert. Dann scheitere ich aber bei CSR Signierung, wenn ich nach einer Zertifikatsanforderung suchen soll.
Kannst Du mir hier nochmals behilflich sein?
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
Achso ... wenn man absolut garnicht mehr drauf kommt, dann den Reset. Gibt wohl zwei Resets (kurz drücken und lang drücken, bei "kurz" werden nur paar wenige Dinge wie AdminLogin, LAN und was weiß ich noch zurückgesetzt)

Ja, den Zertifikatsfehler kann man umgehen oder beheben.
* im Browser als Ausnahme hinzufügen, dass du den Fehler ignorieren willst, dass der Name des vorinstallierten Zertifikats nicht zum Namen/Domain deiner DS passt
* oder sich ein passendes SSL-Zertifikat besorgen, wo die Namen richtig sind und somit der Browser nicht meckert
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Hier eine komplette Beschreibung, wie man ein Let´s Encrypt-Zertifikat auf der Syno hinzufügt:

https://www.antary.de/2016/03/25/lets-encrypt-zertifikate-auf-synology-nas-einrichten/

als Alias am besten WWW.meinedomain.de hinzufügen. Dann wird auch nicht gemeckert, wenn jemand die Syno mit www aufruft.

Aus Sicherheitsgründen würde ich in den Systemeinstellungen auch unter Netzwerk - DSM-Einstellungen auch den Haken bei: http-Verbindungen automatisch auf https umleiten setzen.

Jedoch: Das Ganze ist eigentlich nur nötig, wenn man von ausserhalb seines Heimnetzes auf die Syno zugreifen will. Im eigenen Netzwerk kann man den Zertifikatsfehler auch geflisstentlich ignorieren (oder die Seite im Browser als Ausnahme hinzufügen) - denn Du weisst ja selbst, dass Du auf eine sichere Seite - nämlich die Deiner eigenen Syno - zugreifst.
 
Zuletzt bearbeitet:

BigBugHmb

Benutzer
Mitglied seit
13. Sep 2017
Beiträge
28
Punkte für Reaktionen
0
Punkte
7
Tatsächlich. Nach einigem Hin und Her konnte ich mich wieder einloggen.
In der Anmeldungszeile steht nun "nicht sicher - https:// <Name> .synology.me:5001" (https durchgestrichen).
Du schriebst ja, dass ich noch ein Zertifikat benötige. Ich hatte gelesen, dass Let’s Encrypt eine Empfehlung sei.

Ich habe dieses Zertifikat importiert. Dann scheitere ich aber bei CSR Signierung, wenn ich nach einer Zertifikatsanforderung suchen soll.
Kannst Du mir hier nochmals behilflich sein?

Schaue dir dein Let’s Encrypt Zertifikat in DSM doch mal genauer an! Dort ist genau zu ersehen für welche URL(s) dieses Zertifikat gilt (e.g. "Beispiel.FamilyDS.net") und nur wenn du dich unter Verwendung dieser dort Zertifizierten URL(s)
mit der NAS Verbindest und Dir die URL auch gehört, also auf deine EXTERNE IP zeigt (Stichwort: -> DDNS registriert), wird das Zertifikat die HTTPS Verbindung dann auch dem Browser als gültig zertifizieren.
Außerdem können (IMHO?) nur reale/fixe URLs zertifiziert werden, keine Aliase ala Synology.me oder INTRAnet-IP-Adressen.

Nutzt du also einen der vielen anderen Wege, um dich mit der NAS zu verbinden (z.B.: per direkter IP-Eingabe, Synology.me oder Quickconnect), dann kann dieses Zertifikat dem Browser die Verbindung logischer Weise auch nicht beglaubigen.

Also bleiben Dir folgende Möglichkeiten:

1) Du verbindest Dich mit einer im Let’s Encrypt Zertifikat zertifizierten URL mit der NAS, Dann hast Du eine gültige HTTPS-Verbindung, die dein Browser auch anerkennt.
2) Du nutzt eine andere, nicht im Zertifikat enthaltene beglaubigte URL, dann meckert der Browser. Dies kannst du dann ignorieren und in der Fehlermeldung auf sowas wie "Trotzdem öffnen/verbinden" klicken (ggf. muss vorher unter der Fehlermeldung auf "Erweitert/n" geklickt werden) [z.B. in Chrome], damit diese Möglichkeit sichtbar wird. Auch kannst Du es in der Browser Zertifikatsverwaltung so einstellen, dass er diese Verbindung zukünftig automatisch akzeptiert. Die rote und durchgestrichene HTTPS-Anzeige bleibt in diesem Fall aber, weil ja diese Verbindung nicht zertifiziert, sondern nur die falsche HTTPS-Verbindung ignoriert ist.
 
Zuletzt bearbeitet:

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
synology.me lässt sich durchaus mit Lets Encrypt verwenden. Synology hat sogar extra eine Ausnahme was die Subdomains pro Tag betrifft.

Der Fehler ist glaube ich etwas anders gelagert. Importieren funktioniert bei Lets Encrypt nicht, weil man das Zertifikat nirgends einfach zum "Download" bekommt. Ein Zertifikat muss man sich konkret für seine Domain besorgen und das kostet abgesehen von Lets Encrypt sogar fast immer Geld! Der DSM hat einen Assistenten integriert um ein Lets Encrypt Zertifikat zu bekommen. Dafür musst du Port 80 kurz freischalten.
Schau dir den Assistenten mal an.

MfG Matthieu
 

BigBugHmb

Benutzer
Mitglied seit
13. Sep 2017
Beiträge
28
Punkte für Reaktionen
0
Punkte
7
synology.me lässt sich durchaus mit Lets Encrypt verwenden. Synology hat sogar extra eine Ausnahme was die Subdomains pro Tag betrifft.

Genau deswegen schrieb ich "(IMHO?)" dazu, in diesem Punkt war ich mir nicht sicher, ob es da Ausnahmeregelungen gibt, hatte es deswegen auch so gekennzeichnet.

Das er in seinem ersten Post tatsächlich nur davon spricht die, Ports 5000/5001 "freigegeben" zu haben, hatte ich tatsächlich überlesen. Vielen Dank für die Ergänzung.
Hoffen wir mal, dass er nicht nur diese "freigegeben" hat, sondern diese auch an die richtige IP seiner NAS weiterleitet... (Was ja auch gerne mal in die Hose geht, falls man die NAS per DHCP ins Netzwerk einbindet. Konnte dazu keine Aussage von ihm auf die Schnelle finden..)
 
Zuletzt bearbeitet:

stau

Benutzer
Mitglied seit
24. Aug 2014
Beiträge
117
Punkte für Reaktionen
7
Punkte
18
Vielen Dank für Eure Hinweise.

@BigBugHumb
Schaue dir dein Let’sEncrypt Zertifikat in DSM doch mal genauer an! Dort ist genau zu ersehen für welche URL(s) dieses Zertifikat gilt (e.g. "Beispiel.FamilyDS.net") und nur wenn du dich unter Verwendung dieser dort Zertifizierten URL(s)
mit der NAS Verbindest und Dir die URL auch gehört, also auf deine EXTERNE IP zeigt (Stichwort: -> DDNS registriert), wird das Zertifikat die HTTPS Verbindung dann auch dem Browser als gültig zertifizieren.
Außerdem können (IMHO?) nur reale/fixe URLs zertifiziert werden, keine Aliase ala Synology.me oder INTRAnet-IP-Adressen.
Nutzt du also einen der vielen anderen Wege, um dich mit der NAS zu verbinden (z.B.: per direkter IP-Eingabe, Synology.me oder Quickconnect), dann kann dieses Zertifikat dem Browser die Verbindung logischer Weise auch nicht beglaubigen.
Ist das nicht ein Widerspruch. Zum einen sehe ich im Let'sEncrypt Zertifikat unter Sicherheit meinen Zugangsnamen <Name>.synology.me, andererseits schriebst Du "Aliase ala Synology.me können nicht zertifiziert werden".
Ich vermute mal, dass ich hier etwas nicht richtig verstehe.

@servilianus
Die Anleitung hört leider dort auf wo meine Probleme beginnen, nämlich bei der Signierung.

Jetziger Stand:
Ich habe eine Zertifikatsanforderung bei Let's Encrypt erstellt und dabei folgende Parameter verwendet:
SL 2018, Common Name <Name>synology.me und für Ort/Abt. xyz.
Die ZIP-Datei habe ich in einem beliebigen Ordner, bei mir D:\Zertifikate gespeichert und die Dateien server.csr und server.key dort extrahiert.
Dann habe ich wie folgt signiert:
Das Root-Zertifikat synology.com ist nicht änderbar. Deshalb weiter. Dann bei Durchsuchen die Datei server.csr gewählt und als alternativen Namen <Name>synology.me eingegeben.
Danach habe/musste ich zu meiner Verwunderung das ZIP-File archive.zip nochmlas speichern. Ich weiß nicht, was ich jetzt nochmals damit anfangen soll.
Mich verwundert außerdem, dass nirgends nach der Datei server.key gefragt wurde.

Als Ergebnis erhalte ich nach wie vor in der Headerzeile des DSM die Anzeige nicht sicher und https (durchgestrichen), gefolgt von <Name>synology.me:5001.
Ich habe zur Kenntnis genommen, dass man sich dadurch nicht stören muss mit Ausnahme eines externen Zugriffs. Den möchte ich jedoch gewährleisten.

Es ist möglich, dass ich irgendwelche Empfehlungen überlesen oder nicht verstanden habe.
Dennoch meine Frage, was ich falsch gemacht bzw. eingegeben habe.
 

BigBugHmb

Benutzer
Mitglied seit
13. Sep 2017
Beiträge
28
Punkte für Reaktionen
0
Punkte
7
Also ich kann mich nicht erinnern etwas abgespeichert oder exportiert/importiert zu haben für ein gültiges HTTPS Zertifikat... Richtig zertifiziert, akzeptiert der Browser das Zertifikat auch so... Das ist ja der Sinn der Sache.
Hast Du das Let'sencrypt Zertifikat auch als Standardzertifikat gesetzt? (Ist bei mir so, weiß aber nicht ob das notwendig war.) Ist aber auch schon zu lange her, er verlängert das immer 3 monatige Zertifikat ja allein und selbstständig, wenn die NAS richtig konfiguriert ist, so das man damit in der Regel danach ja nichts mehr zu tun hat... :)

Es kommt mir allerdings immer noch komisch vor, das eine Jedermann URL wie "sonology.me", auf das eigene Gerät registrierungsfähig sein soll, da das den eigentlichen Sinn eines HTTPS Zertifikates damit komplett unterläuft. Denn synology.me kann ja JEDER mit seiner NAS benutzen und kann daher eigentlich nicht öffentlich die Verbindung zu deiner EIGENEN NAS bestätigen... klingt für mich halt absurd, will meinem Vorredner da aber auch nicht gegenreden, wenn der dies genau wissen sollte.
Aber gut, eine NAS zu betreiben und dabei auf alle mobile Dienste und deren mobile Möglichkeiten zu verzichten, indem man sie nur im INTRANET betreibt, klingt "für mich"(!) genauso absurd, das soll also erstmal rein GAR NICHTS heißen... ;) Gibt ja auch Menschen, die sich mit Euroscheinen die Zigarren anstecken. :cool: Jeder so wie er mag...

Das mit dem Port 80, während der Zertifizierungsvorganges, wie mein Vorredner anmerkte, haste gelesen und gemacht? Die Ports verweisen auch auf die richtige IP deiner NAS?
 
Zuletzt bearbeitet:

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.462
Punkte für Reaktionen
1.647
Punkte
274
Ich habe eine Zertifikatsanforderung bei Let's Encrypt erstellt und dabei folgende Parameter verwendet:
SL 2018, Common Name <Name>synology.me und für Ort/Abt. xyz.
Die ZIP-Datei habe ich in einem beliebigen Ordner, bei mir D:\Zertifikate gespeichert und die Dateien server.csr und server.key dort extrahiert.

Du bist im falschen Menü, so wie ich das hier lese! Du musst nur auf "Hinzufügen" gehen, nicht auf CSR! Dann auf "Zertifikat hinzufügen". Dann "Zertifikat von LE abrufen". Dann Domain eingeben und die email und absenden - FERTIG!
Es gibt keine Zip Datei zum download oder andere Schlüssel die irgendwo importiert werden müssen!

Du musst nur Port 80 im Router auf deine DS leiten und in der Firewall den 80er aufmachen. Und das ganze auch nur für diesen einen Zweck, nämlich dem Abruf des Zertifikats. Danach kannst du den Port wieder schliessen.
 

stau

Benutzer
Mitglied seit
24. Aug 2014
Beiträge
117
Punkte für Reaktionen
7
Punkte
18
Ich dachte schon geantwortet zu haben, sezhe nun aber meine Antwort nicht. Deshalb noch ein Versuch:

Dein Tipp scheint wirklich direkt zum Ziel zu führen.
Das Zertifikat hatte ich ja wie geschrieben schon abgerufen.
Nach Hinzufügen und neues Zertifikat hinzufügen habe ich Zertifikat importieren gewählt und dort die vorher von Let'sEncrypt abgeholten Dateien unter Privater Schlüssel server.key und unter Zertifikat server.csr aus meinem Sppeicherort eingestellt. Den Parameter Zwiswchenzertifikat habe ich leer gelassen.
Als Ergebnis erhalte ich jedoch "ungültiges Zertifikat".

@BigBugHumb
Verbaue ich mir iregndetwas, wenn ich ein neues Zertifikat unter einem anderen Domainnamen, wie von Dir empfohlen, herunterlade und dann wahlweise dieses neu oder das jetzt schon importierte testhalber nutze? Wie kann ich dabei wählen? Ich vermute, indem ich das eine oder das andere als Standardzertifikat wähle.
 

stau

Benutzer
Mitglied seit
24. Aug 2014
Beiträge
117
Punkte für Reaktionen
7
Punkte
18
Nachtrag:
Port 80 ist in der Fritz!Box der DS zugewiesen.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.462
Punkte für Reaktionen
1.647
Punkte
274
Nach Hinzufügen und neues Zertifikat hinzufügen habe ich Zertifikat importieren gewählt

Und wieso das? Ich hatte doch geschrieben, dass du die Option "Zertifikat von Let's encrypt abrufen" verwenden sollst.
Es muss rein gar nichts importiert, exportiert oder heruntergeladen werden und Private Schlüssel oder csr Dateien sind auch nicht notwendig. Halte dich an die Beschreibung, dann klappt es auch! ;)
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat