DSM 6.x und darunter Plötzlich kein Zugriff auf DSM mehr vom PC aus

[sushiko]

Klar weiter gehts

 

[ergo-hh]

Auf deinem Screenshot ist zu erkennen, dass du manuell die feste IP-Adresse 192.168.178.25 vergeben hast. Das ist nicht gut, da die 25 im Bereich des DHCP Adreesbereiches liegt, der bei den Fritzboxen standardmäßig von 192.168.178.20 bis 192.168.178.200 reicht. Wenn du in der Fritzbox den DHCP Adressbereich nicht selbst manuell verändert hast, solltest du die 25 nicht verwenden. Die letzte Zifferngruppe darf nur eine Zahl von 2 bis 19 oder von 201 bis 254 beinhalten.

Das musst du auf jeden Fall ändern, da die Gefahr besteht, dass die ...25 über DHCP auch einem anderen Gerät zugewiesen wird.

Gruß ergo-hh

 

[Puppetmaster]

Die Firewall auf der DS würde ich generell auf Durchzug stellen im Heimnetz (Default Einstellung) es sei denn, du weißt ganz genau, weswegen du sie nutzt.

Du kannst im übrigen von innerhalb durchaus per http (5000) auf die DS gehen, und nutzt https (5001) nur von außerhalb.
Damit geht dir zumindest an dieser Stelle schonmal keine Sicherheit "flöten", ausser, du hast die bad guys bereits in deiner Wohnung.

 

[catweazle71]

Ok, ich meld mich so inner halben Stunde noch mal, muss noch was arbeiten eben.

Der Kommentar von ergo-hh ist wohl auch noch zu berücksichtigen. ABer da Du nun Zugriff hast, könnte es primär an den Zertifikatseinstellungen liegen.

@ergo-hh: Bitte nicht falsch verstehen, aber es geht ja jetzt offensichtlich, daher denke ich, dass als erstes das Root-Zertifikat der DS im Browser importiert werden muss.

 

[sushiko]

Ok und wie mach ich das jetzt genau?

Würde aber trotzdem gerne noch von außen drauf kommen, kann man das nicht iwie einstellen sodass ich von meinem PC auf den DSM komme aber trotzdem https aktivieren kann?

 

[ergo-hh]

Er sollte als erstes dringend die IP-Adresse der Synology ändern. Da der TE mehrere Geräte hat ist die Gefahr bei aktiviertem DHCP groß, dass die ...25 auch einem anderen Gerät zugewiesen wurde. Gerade die Aussage, dass es hin und wieder funktioniert hat ist ein Indiz für doppelte IP-Adressen in seinem Netzwerk.

Gruß ergo-hh

 

[catweazle71]

Ok, kümmern wir uns erst mal um Deine IP. Da Du auf die DS kommst, können wir das mit dem Zertifikat später erledigen. Außerdem schließen wir das von ergo beschriebene Problem schon mal aus.

Hierzu müssen wir erst mal wissen, welchen Adressen Deine Fritz so vergibt. Also an der Fritz anmelden.



IPv4-Adressen aufrufen:



Schicken ...

 

[catweazle71]

Solange Du Screenshots machst, schon mal was zu dem Zertifikat.

Synology liefert die DS per Default mit einem selbst-signierten Zertifikat aus (selbst-unterzeichnetes Zertifikat). Außerdem erstellt die DS automatisch (bzw. wird ebenfalls mitgeliefert) ein SSL-Server-Zertifikat. Letzteres wird benutzt, wenn Du mit dem Browser eine https Verbindung zur DS aufbaust. Jetzt ist es aber blöderweise so, dass Dein Browser dieses selbst-signierte Zertifikat benötigt. Also musst Du das in den Browser importieren.

Dazu brauchst Dui leider einen Konsolenzugriff auf Deine DS, entweder telnet oder ssh (besser ssh). Dafür wieder brauchst Du einen Telnet-Client. Ich selber nutze "XShell 4", Freeware für Homeanwender. Einfach mal googlen.

Wenn Du auf der DS per Shell angemeldet bist, dann findest Du im Ordner /usr/syno/etc/ssl alle Zertifikatsdateien und darin im Ordner ssl-crt gibt es eine Datei ca.crt.

Die Datei musst Du auf Deinen Windows-Rechner kopieren.

Erst mal bis hier hin ....

 

[Puppetmaster]

Man kann auch im Browser eine Ausnahme zufügen, dann mußt du gar nicht erst auf die Konsole und kannst dir die ganze Arbeit sparen.
Warum so kompliziert?

 

[catweazle71]

Ja richtig. Ich arbeite nur noch mit eigenen Zertifikaten und kenne das genaue Verhalten der DS nicht mehr genau ;-)

 

[Puppetmaster]

Die DS ist da maximal einfach: https aktivieren, mit Browser zugreifen, "Ausnahme zufügen" bestätigen, fertig.

 

[sushiko]

Die Netzwerkeinstellung auf meiner FritzBox sieht bissi anders aus:



Genau nachdem ich den PC formatiert habe und den ersten Versuch gestartet habe auf die DS zuzugreifen vom Browser (Firefox) bzw den DSM aufrufen wollte kam da diese Risiko bla tra Meldung. Ich bin auf Ausnahme hinzufügen und fertig. Dann hatte ich zwischenzeitlich ein paar Programme aufm PC installiert und als ich im nächsten Moment auf den DSM wollte gings auf einmal wieder nicht.

 

[Puppetmaster]

Dann solltest du aber immer noch mit http und Port 5000 auf deine DS kommen.

Wie bereits oben gesagt: es ist nicht erforderlich im heimischen Netz https zu nutzen.

 

[sushiko]

meinst du dass ich im browser einfach http://192.168.178.25:5000 eingebe?

das klappt nicht.

 

[Puppetmaster]

Warum nicht? Was kommt dann?

 

[sushiko]

Wenn ich http://192.168.178.25:5000 im Browser eingebe und enter drücke springt es automatisch auf https://192.168.178.25:5001 und die tolle Fehlermeldung kommt

 

[Frogman]

Dann hast Du in den DSM-Einstellungen (unter Netzwerk in der Systemsteuerung) festgelegt, dass http-Zugriffe automatisch auf https umgeleitet werden. Das sollte man tunlichst nur dann aktivieren, wenn man sich sehr sicher ist, dass man ein sauberes Zertifikat und die entsprechende Konfig hat.

 

[Puppetmaster]

Dann hast du im DSM die automatische Umleitung von http auf https aktiviert. Das kann man auch abschalten, ich glaube dort, wo man auch https grundsätzlich aktiviert.

 

[ergo-hh]

Poste doch mal einen Screenshot gemäß dem 2. Bild in Beitrag #47. Vorher ggfs. unten im Fritzbox Menü auf 'Ansicht: Standard' klicken. Dort sollte dann 'Ansicht: erweitert' stehen.

Ich verstehe nicht, wieso der Hinweis auf die evtl. unzulässige IP-Adresse beharrlich ignoriert wird. Oder habe ich etwas überlesen?

Gruß ergo-hh

 

[sushiko]

Guck mal meinen Beitrag Nr. 52 an... da habe ich einen Screenshot der Netzwerkeinstellungen meiner Fritzbox gemacht... Bei mir erscheinen die unteren Punkte wie im beitrag Nr. 47 nicht.
Weisst du vielleicht wie ich bei meiner Fritz Box da drauf komme?