NAS als Client: Keine SFTP Verbindung zu Hetzner Webhosting

[Lichtograf]

Hallo,

ich hatte früher eine Remote-Verbindung per SFTP auf den Dateibereich meines Webhosting bei Hetzner. Somit konnte ich bequem größere Datenmengen über Nacht per "drag&drop" in das angehängte SFTP-Verzeichnis in der File Station hochladen.

Am 17.09.2024 hat Hetzner aber seine alten Verschlüsselungsverfahren auf ein neues und sichereres Protokoll umgestellt. Per Filezilla kann ich über SFTP - SSH ohne Probleme die Verbindung zu Hetzner herstellen, nur mit der NAS klappt das nicht mehr.


DSM-Version 7.1.1-42962 Update 6
SFTP Dienste (und Port 22) aktiviert, keine Firewall.


Hat jemand von euch eine erfolgreiche SFTP-Verbindung zu Hetzner oder hilfreiche Lösungsvorschläge für mich?

Viele Grüße
Markus

 

[maxblank]

Rsync oder WebDav, falls Hetzner dort die Option anbietet

 

[blaeo]

Hi,

nein rsync scheitert seit dem 20.10.2024 auch bei mir. Das Anlegen eines neuen Jobs scheitert ebenso.

Betrifft Port 22 als auch 23.

ich nehme alles zurück und behaupte das Gegenteil.

Ich hatte ein Problem mit dem hinterlegten DNS -Server in den Netzwerkeinstellungen. Mein DSM konnte demzufolge keine Verbindungen nach außen aufbauen. Jetzt klappt alles wieder.

Das hätte mir gern auch 1 1/2 Stunden früher auffallen dürfen.

Grüße
blaeo

PS. Das Backup-Ziel wird als OFFLINE angezeigt.

 

[Lichtograf]

[...] Jetzt klappt alles wieder. [...]

Heißt, du bekommst eine valide SFTP-Verbindung zu Hetzner? Auf welches Speichermodell dort? Bei manchen Produkten kann Hetzner noch die alten, unsicherreren Verbindungsarten einstellen.

Viele Grüße
Markus

 

[blaeo]

Ach du nutzt Webhosting. Dabei hatte so gut zu meinem Problem gepasst.

Nein ich nutze die Storage-Box für Backups mit Hyper-Backup via rsync.

Die Docs weisen aber auch bei Webhosting auf keine Einschränkungen hin. Hast du den Port richtig angegeben? Soweit ich gelesen habe verbindest du dich dort auf Port "222" und nicht "22".

Mehr fällt mir gerade, aber auch nicht dazu ein.

Grüße
blaeo

 

[Lichtograf]

[...] Nein ich nutze die Storage-Box für Backups mit Hyper-Backup via rsync. [...]

Ok, da hat mir der Support nur mitgeteilt, dass nur noch bei Managed Servern das alte Verschlüsselungsverfahren wieder aktiviert werde könnte.

Hast du den Port richtig angegeben? Soweit ich gelesen habe verbindest du dich dort auf Port "222" und nicht "22".

Jupp, ich denke schon, dass Port 22 bei SFTP der richtige ist:





Portfreigabe ist auch in der NAS als auch "zur Sicherheit" zusätzlich in der FritzBox dediziert freigegeben:





Und wie gesagt - mittels SFTP-Client unter Windows komme ich ohne Problem zu Hetzner:




Wie kann ich mich mit rsync mit Hetzner verbinden?


Viele Grüße
Markus

 

[blaeo]

Ok. Also nur noch einmal zum Verständnis.

Du möchtest von wo nach wo verbinden?
In welche Richtung sollen die Dateien kopiert werden?

 

[Lichtograf]

[...] In welche Richtung sollen die Dateien kopiert werden?

Ich hatte es in der Vergangenheit mal so verbunden, dass ich den Webspace von Hetzner (also das, was nach dem "/public_html/..." kommt als eine Remote-Verbindung auf meiner NAS hatte. Somit konnte ich über die File Station direkt auf den Webspace zugreifen und Dateien direkt hoch.- bzw. herunterladen. So im Prinzip wie ein freigegebener Netzwerkordner unter Windows. In der File-Station war dann dauerhaft diese SFTP-Verbindung als Remote-Ordner verbunden.

 

[Hagen2000]

Sorry, wenn ich hier dazwischen funke, aber Du machst eine abgehende Verbindung.
Dazu brauchst Du keine Freigabe in der FRITZ!Box. Den Standard-Port freizugeben ist sehr unsicher. Lösche die Freigabe!
Außerdem brauchst Du auch auf dem NAS keinen SFTP-Dienst starten, geschweige denn FTP und FTPS - außer Du benutzt die Dienste netzintern beispielsweise von deinem PC aus.

 

[Lichtograf]

Sorry, wenn ich hier dazwischen funke, aber Du machst eine abgehende Verbindung.

Kein Thema, ich bin für jeden Hinweis dankbar

Die Freigabe in der FritzBox hatte ich nur versuchsweise eingerichtet, um mögliche Fehlermöglichkeiten auszuschließen.
Die SFTP-Freigabe habe ich hin und wieder, um mittels FTP-Client im Heimnetzwerk darauf zugreifen zu können.

Nur komme ich leider nicht mehr auf den Hetzner-Webspace, egal was ich ein- oder ausschalte

 

[Hagen2000]

Was hat Hetzner denn konkret geändert? Gibt es dazu ein Dokument / Link?

 

[maxblank]

Einfach mal an den Hetzner Support wenden, die sind richtig gut.

 

[Lichtograf]

@Hagen2000 @maxblank :

Ja, Hetzner hat einen sehr guten Support und nach der Schilderung meiner Config und meines Wunsches wurde mir folgendes mitgeteilt:


[...]
vielen Dank für die zugesendeten Informationen.

Das Problem hängt hierbei mit dem Softwareupdate 2024 zusammen, wobei wir alten unsichere Verschlüsselungsverfahren deaktiviert haben. Der Termin für Ihren Server, war am 17.09.2024.

Ihre NAS möchte beim Verbindungsaufbau ein Verschlüsselungsverfahren nutzen, was auf unserer Seite nicht mehr aktiviert ist. In diesem Fall würde ich Ihnen empfehlen Ihre Software upzudaten und aktuelle sichere SSL cipher zu aktivieren.

Bei Webhosting Paketen können wir leider keine alten Verschlüsselungsverfahren mehr reaktivieren, dass dies sonst auch andere Kunden auf dem Server beeinflussen würde. Bei Managed Servern könnten wir alte Verschlüsselungsverfahren wieder deaktivieren, was wir aber ausdrücklich nicht empfehlen.
[...]

 

[Hagen2000]

Ist leider nicht sehr konkret. Möglicherweise hilft ja ein Update auf DSM 7.2.2 - das sollte auf deiner DS216+II ja laufen.

 

[Hagen2000]

# ssh -Q cipher 3des-cbc aes128-cbc aes192-cbc aes256-cbc rijndael-cbc@lysator.liu.se aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com chacha20-poly1305@openssh.com
Das sind die unterstützten Cipher bei DSM 7.1.1. - vielleicht mag das mal jemand ergänzen, der DSM 7.2.2 am Laufen hat.

 

[maxblank]

Bedeutet dann im Umkehrschluss, dass es entweder Einstellungen bei Synology gibt, die nicht gesetzt sind oder Synology setzt lt. dem Support von Hetzner auf veraltete Verschlüsselungen. Hast du bei den SSH-Settings mal die strengste Stufe am NAS ausgewählt?

DSM 7.2.2

ssh -Q cipher

3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
rijndael-cbc@lysator.liu.se
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com

 

[Hagen2000]

Ich glaube, das nutzt nichts, da das ausgehandelt wird. Wenn der Client den Algorithmus nicht kennt, dann ist Schluss.
Aber einen Versuch ist es vielleicht wert.

 

[maxblank]

Cipher sind scheinbar identisch.

 

[Hagen2000]

Auf ihrer Website schreibt Hetzner, dass die OpenSSL-Bibliothek von 1.1 auf 3.0 angehoben worden ist: https://docs.hetzner.com/konsoleh/general/faq/softwareupdate2024/
Auf Details wird dort nicht weiter eingegangen.

Andererseits: Das ssh-Utility unter macOS 14.7.1 (zwar mit LibreSSL 3.3.6 statt OpenSSL) liefert die gleichen Cipher-Verfahren wie das NAS. Vielleicht liegt es doch noch an etwas Anderem.

Man könnte jetzt vom NAS aus einen ssh mit Option -v probieren und versuchen, anhand der Debug-Ausgaben den Fehler zu finden (SSH wird als Basisprotokoll von SFTP verwendet). Aber da müsste sich @Lichtograf schon selber einarbeiten.

 

[Lichtograf]

Man könnte jetzt vom NAS aus einen ssh mit Option -v probieren {…}

Jupp, auch das habe ich gestern versucht, über PuTTY mit der NAS eine Verbindung mit den SFTP-Verbindungsdaten zu bekommen. Das lief bis zu der Rückmeldung von Fehlercodes (/Meldungen) auch fast gut, jedoch kenne ich mich mit der Materie nicht wirklich aus und möchte mich aktuell da auch nicht tiefer mit befassen.

Ich vertraue da dem kompetenten Hetzner-Support, das mein DSM das _momentan_ noch nicht unterstützt.

Zum anderen ist eine FTP-Verbindung auch nicht wirklich wichtig, es war in der Vergangenheit nur ein nettes Gimmick, um größere Dateimengen „unbemannt“ über die NAS zu übertragen.

Ich danke euch allen für die Vorschläge und Ideen zu Lösungsfindung

Ein schönes Wochenende,
Viele Grüße
Markus