Photo Station Photo Station wird falsches Zertifikat zugewiesen

[Hunter666]

Hallo zusammen,

ich habe Probleme mit der Photo Station (PS) und zwar mit der Portweiterleitung und dem Zertifikat von Let`s Encrypt.

Ausgangslage:

1. DS-716+II mit DDNS 123.meinedomain.ab / Port 80 auf 80 / Port 443 auf 443 / Let´s Encrypt Zertifikat für DS-716

2. DS-718+ mit DDNS 456.meinedomain.cd / Port 8080 auf 80 / Port 12345[SUP]1)[/SUP] auf 443 / Let´s Encrypt Zertifikat für DS-718

Fall A: Auf beiden DS ist die PS installiert, aber wenn ich auf der DS-718 die PS aufrufe, erscheint bei Firefox (FF) das gelbe Dreieck (keine sichere Verbindung), weil auf das Zertifikat der DS-716 zugegriffen wird. Wenn ich eine Sicherheitsausnahme hinzufüge, lande ich auf der PS, aber ich sehe die Fotos, die ich auf der DS-716 habe.

Fall B: Nur auf der DS-718 ist die PS installiert, ein aufrufen der PS ist nicht möglich. Folgende Fehlermeldung erscheint im FF: „Die Seite, nach der Sie suchen, kann nicht gefunden werden.“

Fall C: Nur auf der DS-718 ist die PS installiert und ich rufe die PS über Quick Connect auf, dann sehe ich zwar meine Fotos von der DS-718, aber das gelbe Dreieck im FF leuchtet auf, obwohl das Zertifikat der DS-718 angezeigt wird.

Zielsetzung: Auf beiden DS soll PS über https mit dem richtigen Zertifikat erreichbar sein.

Kann mir jemand aus diesem Chaos helfen.

Vielen Dank im Voraus.

Gruß Hunter666

1) frei erfunden

 

[ottosykora]

also wenn du in deinem eigenen Netz eine Anfrage an Port 80 sendest, dann musst du auch dafür sorgen dass nur ein Gerät respektive eine Anwendung dies beantwortet.
Das ist bei deinem Netz nicht der Fall.

 

[Andy14]

Gibts du denn bei Fall A und B den Port 8080 bzw 12345 mit an? DDNS löst nur die Domain auf deine WAN IP auf.
In Fall C stimmt das Zertifikat mit der Domain "456.meinedomain.cd" wohl nicht mit der Quick connect Adresse überein.

 

[ottosykora]

@Andy14
ich denke es geht hier um Ansteuerung der PS via Icon auf DSM.

, aber wenn ich auf der DS-718 die PS aufrufe,

das wird wohl nicht so einfach sein, weil dann halt irgendetwas auf 80 antworten kann.
Da müsste man erst mal unterschiedliche Ports den beiden PS zuweisen.

 

[Hunter666]

Erstmal vielen Dank für eure Antworten.
Ich rufe in Fall A und B die PS über das Icon im DSM auf.

@Andy: zu Fall C hast Du natürlich Recht, die Domains sind unterschiedlich.

Da müsste man erst mal unterschiedliche Ports den beiden PS zuweisen.

Genau das ist das Problem, anscheinend kann man der PS nur Port 80 und 443 zuweisen.
Das gleiche Problem gibt es bei der Erneuerung von Let´s Encrypt Zertifikaten. Da muss ich für die DS-718 jedes Mal die Portweiterleitung in der FritzBox auf Port 80/443 umstellen

 

[ottosykora]

aber wenn du es von aussen anrufst, also mit der Portangabe, dann funktioniert es normal nehme ich an?

 

[Hunter666]

Ja das funktioniert. Ich habe es gerade am Handy, mit der Synology DS Photo App (ohne WLAN) ausprobiert. Es erscheint nur der Zertifikatsfehler.

 

[ottosykora]

hmm, das ist jetzt wirklich verwirrend. Also es wird die richtige DS angesprochen und damit auch die richtige PS.
Trotzdem der falsche Cert?

Bei beiden DS?

 

[Kurt-oe1kyw]

Genau das ist das Problem, anscheinend kann man der PS nur Port 80 und 443 zuweisen.
D

Alles wird gut

Photostation 1 = Diskstation 1 = standard 80/443 > eigenes Zertifkat erstellen - grünes Schloss wenn du die PS 1 mit https aufrufst.
Photostation 2 = Diskstation 2 = 12345/12355 * > eigenes Zertifiakt erstellen - grünes Schloss wenn du die PS 2 mit https aufrufst.


* Der springende Punkt befindet sich in Photostaiton 2!
PS 2 > Einstellungen > Allgemein > ca. in der Mitte bei ROUTER-PORT > Hostname oder fixe IP von PS 2 eintragen!
HTTP: 12345
HTTPS: 12355



In deinem Router musst du jetzt die Portweiterleitung korrekt einstellen für PS 2!
Externer Port 12345 routet auf Diskstation 2 (entweder hostname oder deren fixe IP) Port 80
Externer Port 12355 routet auf Diskstation 2 (entweder hostname oder deren fixe IP) Port 443.

Du kannst das leicht kontrollieren in der PS 2!
Nimm ein Foto und klick auf "Link freigeben" oder "Link versenden" da steht jetz automatisch im generierten Link https://hostname(oder fixe IP):12355/photo/AlkKIR usw usw
Die Einträge in den Einstellungen der PS 2 unter Routerport für http und https werden von dort "geholt" und in die automatisch generierten Links integriert:



Wenn die Portweiterleitung korrekt eingestellt ist, dann funktioniert auch die tägliche DDNS Abfrage und das Zertifikaterstellen für jede PS automatisch.

 

[Hunter666]

So, jetzt ist der Cert Fehler auch weg (hatte in der Handy App vergessen auf https zu klicken ). Beide PS sind vom Handy extern und intern über die App erreichbar.
Nur über DSM funktioniert das nicht.
Vielleicht ist es ja auch von Synology so gewollt, weil normal hat man ja nur eine PS und teilt von dort aus die Fotos oder richtet Benutzerrechte ein.
Bei mir sollen zwei DS laufen, weil ich eine Privat nutze und die andere ist für mein Forum.

 

[Fusion]

Wie rufst du denn den DSM intern auf?

 

[Kurt-oe1kyw]

Ja siehe Fusion oben, du rufst aber schon die jeweilige PS vom jeweils "richtigen" DSM auf?

 

[Fusion]

Falsch aufrufen geht ja denke ich schlecht, wenn man schon im DSM angemeldet ist.
Die Frage ist eher über welche Adresse der Aufruf des DSM erfolgt, da kommt dann denke ich die Zertifikats-Warnung her, wenn dies z.b. die interne / LAN IP der DS ist.

 

[Kurt-oe1kyw]

Ja genau das habe ich auch gemeint.
Weicht die Adresse für das Zertifikat ab, dann kommt das grüne Schloss nicht mehr!
Wurde das zertifkat für https://irgendeinname.com erstellt, dann ist das grüne Schloss da, ruft man dann
https://ip_der_diskstation. auf, dann ist man zwar auch in der Photostation, aber die Zertifikatsprüfung quietscht sofort und das gelbe Rufzeichen ist im Schloss.

Eine dritte Möglichkeit wäre wenn er sich direkt in die Photostation einwählen möchte dann erscheint zwar das DSM Anmeldefenster, ABER mit eingeblendeten "Paketsymbol"! HIER funktioniert aber auch das Zertifikat!
Dadurch erfolgt die Anmeldung auf das Paket (zB Photostation) über die DSM Anmeldemaske OHNE direkt in das DSM zu gelangen!
Erfordert aber die Einstellung der alias und Ports für das jeweilige Paket!

Hier am Beispiel vom Paket "Videostation", damit geht es direkt auf die Videostation nach der Anmeldung und NICHT ins DSM:



Aber noch mal, das erfordert das Aktivieren für diese Anmeldeart unter DSM > Systemsteuerung > Anwendungsportal > gewünschtes Paket auswählen > Register "Anwendung" > Bearbeiten > neues Fenster > Benutzerdefinierte Ports und/oder Aliasname: eintippen.

ACHTUNG, NICHT bei "Benutzerdefinierte Domain aktivieren" eintippen, das muss frei bleiben! Sonst gehen zB die Links in der PS zu den Photoalben nicht mehr und es erscheint "Es tut uns leid die gewünschte Seite wurde nicht gefunden"

 

[Hunter666]

Danke Kurt für Deine super Anleitung.

Es klappt jetzt.

Erst hat es nicht geklappt. Den Fehler habe ich auch gefunden: meine FritzBox 6490. Portweiterleitungen werden bei mir nur übernommen, wenn ich die Fritze stromlos mache.

 

[Kurt-oe1kyw]

Der Dank gebührt Fusion und den anderen Spezialisten hier, ich habe auch nur deren Tipps und Forenbeiträge umgesetzt Aber mittlerweile verstehe ich 10% der Arbeitsweise meiner DS, vorher waren es 1 %, für die restlichen 90% quäl ich weiterhin fusion, dil88, goetz, Puppetmaster und noch viele mehr der Spezialisten hier im Forum

Aber fein, dass es jetzt läuft, bitte vergiss nicht das Zertifikat zu verlängern, es läuft nur 3 oder 4 Monate dann auf "CSR" klicken und erneuern.

 

[ottosykora]

also nur damit ich es verstehe:
das Problem war hier weil der Cert auf eine andere 'Adresse' ausgestellt ist als bei dem Aufruf via Icon verwendet wurde?

 

[rednag]

Der Aufruf von DSM leitet m. W. nach auf die interne IP weiter. Da aber Zertifikate nicht auf eine IP ausgestellt werden, bekommt man im Browser eine Warnung.

 

[ottosykora]

OK das macht Sinn.

Mich hat nur die Aussage irritiert:
'Fall A: Auf beiden DS ist die PS installiert, aber wenn ich auf der DS-718 die PS aufrufe, erscheint bei Firefox (FF) das gelbe Dreieck (keine sichere Verbindung), weil auf das Zertifikat der DS-716 zugegriffen wird. Wenn ich eine Sicherheitsausnahme hinzufüge, lande ich auf der PS, aber ich sehe die Fotos, die ich auf der DS-716 habe.'

wie geht es dass man auf der anderen PS landet? Ist das wirklich so möglich?

 

[Hunter666]

wie geht es dass man auf der anderen PS landet? Ist das wirklich so möglich?

Das ist passiert, weil ich in der PS auf der DS718 in den Einstellungen keine Portweiterleitung eingestellt hatte. Beide PS wurden auf Port 80 der DS716 weitergeleitet.

Siehe #9