Photo Station Problem mit Photostation von extern erreichen

[datastreamer]

Hallo zusammen,
Ich habe da ein Problem mit der externen Erreichbarkeit meiner Photostation.
Ich hoffe das ich hier richtig bin und ihr mir weiterhelfen könnt.

Kurz zum Aufbau:
Meine Photostation ist von aussen per http zu erreichen.
Ich habe eine Domain von 1und1, welche ich auf die myFritzDNS weiterleite. Port Weiterleitung auf Port 80 zur Photostation.
Soweit, so gut. Photostation erreichbar.

Jetzt kommt es aber immer wieder vor das durch die http Umleitung einige Browser sagen das die Verbindung unsicher ist, also wollte ich es auf https umstellen. Hier beginnen dann die Probleme.

Die Domain bei 1und1 habe ich auf https weitergeleitet, ein ssl zertifikat bei 1und1 habe ich auch, fritzbox Port Weiterleitung auf Photostation mit 443 eingerichtet. Photostation ssl Zertifikat von Letscrypt erstellt. Photostation http auf https umleiten eingestellt.

Folgendes Probleme was ich überhaut nicht verstehen kann habe ich. Wenn ich jetzt vom handy aus aus dem mobilen datennetz auf meine 1und1 domain zugreife, werde ich wie erwartet auf die myFritzDNS weitergeleitet und komme auch auf die photostation. Dann habe ich das am nächsten Tag noch einmal versucht, jedoch komme ich dann nicht mehr drauf. Safari auf dem handy zeigt nichts mehr an.

Also erster Lösungsansatz: laptop mit handy hotspot verbunden damit ich über das mobile netz über den Laptop auf meine domain zugreifen kann. Hat funktioniert.
Gleicher bersuch vom handy aus, fehlgeschlagen.

Zweiter Lösungsansatz:
Handy neu gestartet. Seite geht. Ein paar stunden später, seite geht Wieder nicht.

Dritter lösungsansatz:
Beim iphone meiner frau ausprobiert. Da funktioniert die seite. (Immer)

Kennt jemand von euch das problem?

Ich checke es einfach nicht wo das Problem liegt.

Gruß
Datastreamer

P.s. Wo brauche ich überall ein ssl zertifikat? Doch nur autf der DS oder?
Hab auch schon vermutet dass die IP Adresse gesperrt wurde, jedoch steht in der gesperrten Liste keine drin

 

[Fusion]

Die saubere Lösung ist ein CNAME Eintrag in den DNS Einstellungen deiner Domain der auf deine dynDNS zeigt. KEINE http Weiterleitung.
Zertifikat brauchst du dann nur für deine Domain, ABER auf der DS (Systemsteuerung > Sicherheit > Zertifikate > Lets Encrypt Zertifikat)

Dann werden Anfragen an deine Domain, egal ob http(s) oder anderes Protokoll an die IP hinter deiner dynDNS geleitet.

 

[datastreamer]

Hallo, danke für den Hinweis. Ich habe jetzt bei 1und1 in CNAME meine *.myFritz.net Adresse eingetragen. Jetzt komme ich irgendwo auf der DS an, jedoch weiss ich nicht genau wo. ich bekomme eine Seite mit:
Bei der Verarbeitung der Anfrage ist ein Fehler aufgetreten

Um auf die Photostation zu kommen müsste ich ja eingeben blablabla.myfritz.net/photo/
Mir scheint es so als ob es an dem /photo/ scheitert. wie bekomme ich den CNAME Eintrag auf das Verzeichnis /photo/ ?

 

[Fusion]

Überhaupt nicht.
Der CNAME dient nur dazu, dass alle Anfragen an sub.example.com auf der öffentlichen IP deiner Fritzbox landet. Egal welches Protokoll oder Port.
Das ist vergleichbar damit, dass du im DNS ("Telefonbuch Internet") eine andere IP (Zielnummer) hinterlegst.
Ports musst du natürlich im Router öffnen (IPv6) bzw an die DS weiterleiten (IPv4).
Welche Hostnamen host.example.com dann auf der DS wo anlanden bzw wie verarbeitet werden hängt von den Einstellungen auf der DS (Systemsteuerung und Web Station) ab.

Dann kommst du per sub.example.com/photo theoretisch auf die Photo Station.

 

[datastreamer]

Ok. Aber den Zusammenhang mit der Web Station habe ich noch nicht so ganz verstanden. Meine Web Station ist momentan ausgeschaltet.
Wenn ich sie einschalte erstelle ich einen virtuellen host der dann wie heisst? Wie meine Domain bei 1und1? Das habe ich auch schon ausprobiert, dann komme ich direkt auf den Ordner den ich in der Webstation erstellt habe. Aber eben nicht auf die photostation

 

[Fusion]

Die Web Station ist nur ein zusätzlicher Einflussfaktor wer/wie ankommende Anfragen behandelt.
Sie ist KEINE Voraussetzung, dass die Photo Station funktioniert. Sie kann also auch ausgeschaltet oder deinstalliert sein.
Für die Photo Station kannst du in der Web Station NICHTS einstellen.

Im Werkszustand ist die Photo Station erreichbar unter
http(s)://nas-ip/photo
sobald die Photo Station installiert ist.
Ohne Photo Station wird diese Anfrage an 80/443 (eventuell nur OHNE /photo) automatisch auf 5000/5001 umgebogen.

http(s)://abc.myfritz.net/photo
sobald Port 80/443 in der Fritzbox an die DS weitergeleitet (IPv4) bzw. freigegeben (IPv6) sind und hinter der myfritz Adresse die aktuelle öffentliche IP der Fritzbox hinterlegt ist.

http(s)://host.example.com/photo
sobald ein CNAME Eintrag für host.example.com existiert der auf abc.myfritz.net verweist und dieser Eintrag im DNS allen Nameservern bekannt gemacht wurde die bei der Anfrage involviert sind.
Das passiert automatisch und ist oft nur eine Frage von Sekunden bis Minuten. Garantiert jeder Nameserver weltweit kann aber auch bis 48h dauern.
Das lässt sich aber auf dem Client von dem man zugreift verifizieren über die Kommandozeile mit einem "nslookup host.example.com" und Vergleich der IP mit der aktuellen vom Provider zugeteilten in der Fritzbox.

Nur wenn man jetzt eben irgendwo unter Systemsteuerung > DSM in den Bereichen
Externer Zugriff, Netzwerk, Sicherheit und Anwendungsportal oder eben in der Web Station Einstellungen vornimmt kann es zu anderem Verhalten kommen.
z.B. eine aktivierte Firewall bedingt dann, dass man dort auch Ports öffnet, damit die Dienste wieder wie ohne Firewall erreichbar sind. etc.

 

[datastreamer]

Hallo nochmal, sorry aber ich kapiere es nicht.

In der DS Firewall ist der integrierte Dienst für die Photostation für Port 80 und 443 freigegeben. Für alle Quell IP’s. In der FritzBox ist eine Portfreigabe für Port 80 und Port 443 zur DS eingerichtet.
Auf der DS ist ein Zertifikat für die MyFritzDNS ausgestellt

Das sollte soweit alles passen.

Wenn ich jetzt http://photoserver.domain.de eingebe, kommt nichts mehr. Im Browser wird jetzt automatisch der Port 5000 hinzugefügt aber Safari lädt keine Seite.
Bei https://photoserver.domain.de zeigt er jetzt auch nichts an.
Auch mit dem Zusatz /photo kommt nichts

Sorry, ich stehe völlig auf der Leitung. Wie bekomme ich es hin das ich die
MyfritzDNS.net/photo aufrufen kann?

 

[Fusion]

Bitte offizielle Beispiel Domains ala example.com verwenden. "domain.de" gehört jemand anderem.

Wenn host.example.com bei dir ankommt, dann ist schon mal der CNAME richtig. Ebenso mindestens port 80 offen.
Da jetzt auf der DS aber unter diesem Hostnamen niemand auf Anfragen lauscht wird diese vom Standard-Alles-Fresser Webserver beantwortet. Da die Web Station nicht läuft geht er dann automatisch davon aus, dass du den DSM erreichen willst und leitet dich auf Port 5000 um. Der ist natürlich nicht erreichbar (gut so), weil du Port 5000 nicht weitergeleitet hast.

Zum Aufruf mit https und mit /photo solltest du "nichts" eindeutiger benennen. Gleiches Verhalten mit Umleitung auf Port 5001? Oder eine 404/500 Fehlerseite? Oder....

Edit: Nachfrage.
Was ist wenn du per nas-ip/photo dich per admin in die Photo Station einloggst, was steht dort unter "Einstellungen > Router-Port > Hostname"?
Ist nicht direkt relevant für die Erreichbarkeit, nur für geteilte Links und Freigaben von Alben. Also weniger wichtig jetzt gerade.

 

[datastreamer]

Ah ok jetzt bin ich mit dabei. Es liegt am Macbook an Safari. wenn ich ein privates Fenster öffne, komme ich mit der host.example.de mit dem Zusatz /photo auf die Photostation. So wie es sein sollte.
Allerdings wenn ich es ohne den Zusatz /Photo mache, kommt die Meldung:

Fehler: Gesicherte Verbindung fehlgeschlagen

Beim Verbinden mit host.example.com:5001 trat ein Fehler auf. PR_END_OF_FILE_ERROR

Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.

 

[Fusion]

Ja, an Safari hab ich nicht gedacht. Ist in dem Trio Infernale (Chrome, Firefox, Safari) gefühlt der zickigste, was z.B. fehlende GUI Elemente im DSM bei falscher Zoom-Stufe angeht.

Ja, ist alles wie es sein soll.
Für host.example.com ist auf der DS kein Host explizit definiert. Ohne Web Station (dann würde er dort die Default Seite aus /web anzeigen) greift auch hier wieder der Automatismus: Anfragen an 443/https die nicht spezifiziert sind werden angenommen für eine DSM Anfrage und deshalb auf 5001 umgebogen. Der Port ist (gut so) nicht offen. Deshalb der Fehler.
Aber du willst ja eigentlich eh nur auf die Photo Station, oder?

 

[datastreamer]

Ja, ich möchte nur auf die Photostation
Aber ich weiss immer noch nicht wie. Entweder verstehe ich es nicht oder ich bin heute ziemlich schwer von begriff.
ich hab auf deine PN geantwortet, jedoch erscheint meine Nachricht nicht in meinem Postausgang. von dem her hoffe ich das du sie erhalten hast