nach Wechsel Dyndns auf eigene Domain: kein HTTPS aus DS Apps

[bribbon]

Hallo community

Ich habe mich schon mehrmals hier in diesem Forum eingelesen um kleinere Probleme zu ergründen. Doch mein jetztiges ist sonderbar und ich weiss nicht weiter. Ich hoffe das Ihr mir hier ein paar Tips geben könnt.

Thema:
HTTPS Verbindung aller Apps aufs NAS scheitert.
Früher über DDNS und mit einem gültigen Zertifikat von Let's Encrypt funktionierte es wunderbar.

Umgebung:
Ich habe mir nun eine eigene Domain gekauft und diese, inklusive Zertifikat soweit auch erfolgreich in Betrieb genommen. Der externe Zugriff auf den DSM (https: 5001), Wordpressblog (https: 443) oder WebDAV (https: 5006) funktioniert. Auch die Alisdomains: note, sheet, audio und video werden im Synology eigenen Reverse Proxy erfolgreich umgesetzt (audio.meinedomain.ch) und weitergeleitet.

Das einzige das seit dem Wechsel auf die eigene Domain nicht mehr geht sind die DS Apps (DS Audio und DS Video, aber auch DS File). Mit dennen kann ich zwar unverschlüsselt über den Port 5000 eine Verbindung herstellen was aber nicht in meinem Sinne ist. Sobald ich HTTPS in den Apps einschalte bekommen ich eine Fehlermeldung das ich die IP & das Zertifikat prüfen soll. Auch wenn ich den Port direkt in den Apps eingebe (meinedomain.ch:5001) krieg ich auch keine Verbindung hin...

Allerdings funktioniert der verschlüsselte Zugriff mit der alten DDNS Adresse!! Obschon die Dienste der neuen Domain zugeordnet sind (Reverse Proxy: Umsetzung von lokaler IP auf zb.: video.meinedomain.ch).

Ich kann mir dieses Verhalten nicht erklären. Was muss ich tun damit ich über die neue Domain eine verschlüsselte Verbindung schaffe?
Kann mir jemand Hilfe bieten?



Weitere Verständniss-Frage:
Falls ich die DSM-Ports 5000 und 5001 ändere, muss ich in den Apps die Ports von Hand mit eingeben oder merkt es das App und nutzt die neuen Ports?
DS Photo mit dem Port 80, bzw. 443 habe ich nicht getestet.

 

[Fusion]

Wenn du die Ports änderst müßt du sie immer angeben, sonst probieren die Apps immer 5000/5001.
Ein Zertifikat hattest du auf dem Mobile aber nicht importiert, oder?
Und wenn du die Domain per https vom Mobile aufrufst im Browser bekommst du keinerlei Zertifikat bezogene Meldungen?

 

[bribbon]

Nein ein Zertifikat musste ich auf dem handy nicht installeren. hab ich trotzdem noch kontrolliert, keines drauf. Mir war auch dass da eine andere Fehlermeldung bekam, als ich anfangs ohne Zertifikat eine https verbinden wollte.
Das problem hab ich ja auch nicht nur auf dem handy. ds video auf Windows 10 hat das gleiche Phänomen. Die alten DDNS Zertifikate habe ich im IE und firefox gelöscht.

Im Browser des Handys oder auf dem PC klappt das Zertifikat meiner neuen Domian. Schon schräg..

 

[Fusion]

Gibt es eine separate DS Video App auf Windows 10? Dachte das ist da auch nur im Browser...

Schreib mal bitte genau, was du alles in die Maske in den Apps eingibst.

 

[bribbon]

Jo fängs ein DS Video und Photo ;-)

adresse: meinedomain.ch
benutzername
passwort
https ein

www.meinedomain.yxz
https://wwwmeinedomain.yxz
https//meinedomain.yxz

alle mit oder ohne Port hinten dran
:5001

ich bin mit sicher das der https Hägchen ein https:// und wechsel auf 5001 macht..

 

[Fusion]

Ja, Häkchen sollte für das Protokoll und Port 5001 sorgen.
Und wie rufst du die Video Station im Browser auf?

 

[bribbon]

Mit video.meinedomain.yx

Könnte das etwas mit den CName zu tun haben?

 

[Fusion]

Und video.meinedomain.yx hast du noch nicht in der App probiert?
Das wäre mein erster Versuch gewesen.

 

[bribbon]

Das geht auch nicht. Denke nicht das sich die App auf video.meinedomain.ch verbinden kann. Da dieser Alias nicht standart ist.

https://meinedomian.ch:5001 bekomme ich eine Meldung, Zertifikat ungültig. Das wird mein Problem sein. Das ist ja die Adresse auf welcges die App zugreifen sollte. Wieso diese mit dem Port nicht im Let's Encrypt aufgeschaltet ist, ist mir noch ein Rätsel..

 

[Fusion]

Also via https://meinedomain.ch bekomme ich keinerlei Fehler. Das Zertifikat ist sauber.
Was mich wundert ist, dass ich also per Port 443 auf deine DSM Anmeldemaske komme.
https://meinedomain.ch:5001 komme ich ebenfalls auf die DSM Login Maske. Allerdings ist das Zertifikat dort auf (Allgemeiner Name (CN)) name.myds.me ausgestellt. Deshalb bekommst du da einen Zertifikatsfehler.
Ich würde nochmal kontrollieren welches Zertifikat du welchem Verwendungszweck zugeordnet hast. Vermutlich steht das "falsche" auf Standard.
Deshalb funktioniert DDNS auch, weil dort die aufgerufene URL und der CN des Zertifikats übereinstimmt.
Also entweder versuchen zu korrigieren, oder in den Apps die Zertifikatsprüfung aussschalten.

 

[bribbon]

Was mich wundert ist, dass ich also per Port 443 auf deine DSM Anmeldemaske komme.

Das ist wegen dem Reverse Proxy. Der leitet die Anfrage von https://meinedomain.ch:443 aud die https://meinedomain.ch:5001 um. Allerdings wird dann der Port 5001 nicht angezeigt. Das ist ja die eigentliche Idee des Reverse Proxy's, Port gegen aussen zu verschleiern..

 

[bribbon]

https://meinedomain.ch:5001 komme ich ebenfalls auf die DSM Login Maske. Allerdings ist das Zertifikat dort auf (Allgemeiner Name (CN)) name.myds.me ausgestellt. Deshalb bekommst du da einen Zertifikatsfehler.
Ich würde nochmal kontrollieren welches Zertifikat du welchem Verwendungszweck zugeordnet hast. Vermutlich steht das "falsche" auf Standard.
Deshalb funktioniert DDNS auch, weil dort die aufgerufene URL und der CN des Zertifikats übereinstimmt.
Also entweder versuchen zu korrigieren, oder in den Apps die Zertifikatsprüfung aussschalten.

Hm.. bei der Zertifikat-Konfiguration sind alle Adressen der neuen Domain dem entsprechenden Zertifikat zugeordnet.

Einzig die alte DDNS hat ihr eigenes "altes" Zertifikat noch. Allerdings ohne Aliase oder www vordran.

Das Problem haben wir ja nun erkannt.
Wieso wird die https://meinedomain.ch:5001 nicht im Zertifikat eingeschlossen? Da muss ich nun ein bisschen grübeln ;-)

 

[Fusion]

Ich meinte du kannst doch im DSM sagen für welchen Dienst du welches Zertifikat benutzen willst, dass z.B. der DSM und die Video Station zwei verschiedene Zertifikate nutzen etc.
Für alle Dienste die nicht explizit auswählbar sind gilt das als Standard definierte Zertifikat

 

[bribbon]

Ja genau. Das stimmt so in meiner Konfiguration.

Die neue Domain nutzt das neue Zertifikat (als standart markiert).
Aliase wie: video, etc. sind auch im neuen.

Einzig für die DDNS Adresse gibts ein separates und dieses ist korrekt in der Konfiguration zugeordnet...

 

[Fusion]

Irgendwas stimmt da halt noch nicht, solange https://meinedomain.ch:5001 noch das dynDNS Zertifikat ausliefert.
Aber ohne syno oder Bilder vor mir ist leider grad schwierig da noch genaue Punkte zu liefern, die du prüfen könntest.

 

[bribbon]

Jo das verstehe ich. Trotzdem ein grosses Merci für deine Hilfbietung!
Vielleicht komme ich etwas später noch dazu, ein paar Bilder hochzuladen.

Ich kann mir auch vorstellen das ich die ganze Sache falsch angegangen bin, als Startseite die DSM-Oberfläche aufzuschalten. Es hat auch zwei Punkte im GUI wo ich meine neue Domain inklusive den Ports 5000 + 5001 erfasst haben.



.

 

[Fusion]

Es gibt ja zwei Stellen.
Systemsteuerung > Netzwerk > DSM Einstellungen. Dort steht wie die DS erreichbar ist.
Nur wenn du von extern andere Ports verwendest muss man unter Externer Zugriff etwas angeben. Wenn du Port 5001 im Router auf 5001 an die DS weiterleitest, brauchst du hier kein Port angeben. Wenn die Weiterleitung jetzt 51234 > 5001 wäre, dann muss der Port bei externer Zugriff eingetragen werden, damit die DS das mitbekommt. Sonst würden Freigabe-Links und anderes mit dem Port 5001 erstellt, der aber ja am Router von außen blockiert wäre.

 

[bribbon]

Ok danke für die klärenden Worte. In dem Fall lösche ich einmal als Test die unter externer Zugriff erfassen Ports.

Ich habe das mit den externen Freigabe-Links verstanden.
In dem Fall wäre obengenannter Eintrag auch der Ort, wo die DS dem App mitteilt, dass der Standart-Port anstatt 5001 zb neu 3001 ist? Sprich, man trotzdem nicht den Standart-Port 3001 im App angeben muss?
Oder gehts hier wirklich nur um Freigabe-Links?

 

[Fusion]

Neben den Freigabe-Links geht es natürlich primär darum hinter welchem Port sich der DSM befindet, wenn ich am Router anklopfe.
In der App mußt du immer den Port mit angeben, von den Einstellungen auf der DS weiß diese ja erstmal nichts und würde anderweitig am Router hängen bleiben.
Wenn du z.B. im Anwendungsportal einen Custom Port gewählt hast musst du diesen auch in der App angeben. Andernfalls probiert diese immer auf den ihr bekannten DSM Standard-Ports eine Verbindung.. Deshalb muss man z.B. auch teilweise Port 443 explizit angeben, wenn man https gewählt hat.

 

[bribbon]

Ok das wird so sein. Es hätte ja auch sein können das die Apps erst über die 80 anklopfen um den Port zu erfahren..
Hättest du vielleicht mal das Interesse und die Zeit via TeamViewer reinzuschauen?

Mir ist überhaupt nicht klar wieso die Adresse am Schluss den Port mitbekommt und somit die Verbindung als nicht sicher eingestuft wird. Vielleicht ist da auch was im Set up des Domainanbieters fehlerhaft.

Ich hab als Test mal die DDNS ausgeschaltet und alle Reverse Proxy einträge der DDNS gelöscht. NAS neugestartet und trotzdem gehts nicht. Ich dachte mir das da vielleicht irgendwo noch eine temporäre Datei existiert mit den Einträgen.. War aber leider auch nichts.