Subdomains mit DynDNS
- Ersteller Hullabaloo
- Erstellt am
- Status
Vorgang fehlgeschlagen.
Bitte erneut im dsm anmelden und nochmal versuchen.
Geht trotzdem nicht.
Ich probiere es morgen nochmal...
Bitte erneut im dsm anmelden und nochmal versuchen.
Geht trotzdem nicht.
Ich probiere es morgen nochmal...
Das mit dem Tisch verstehe ich gut
Ich denke, das geht gerade eben nicht, weil der Server ja nicht erreichbar ist. Damit schlägt beim Zertifikat-Prozess die Überprüfung fehl.
Meine momentanen Tests der hier geschilderten Konfiguration laufen derzeit ganz eigenartig und haben unterschiedliche Ergebnisse, je nachdem, mit welchem der diversen Browser ich es versuche.
Für den Aufruf des DSM-Logins gebe ich ein…:
- „Domäne.de“ in der Adresszeile
…bei Firefox und Chrome passiert folgendes:
- der Browser sucht ewig lange und bringt dann einen Ladefehler wegen Zeitüberschreitung oder Nichterreichbarkeit
- die Adresszeile wird dabei nicht geändert, aber eben auch kein „http://“ oder sogar „https://“ automatisch davor gesetzt
- da passiert also offenbar schon bei der Strato-Umleitung nichts
…bei IE11 passiert folgendes:
- Der Browser reagiert nach „normaler“ Zeit
- der Eintrag wird dann automatisch auf „http://Domäne.de“ umgewandelt
- unmittelbar darauf wird der Eintrag auf „https://Domäne.de:5001“ umgewandelt
- Aufruf des DSM-Logins
- Verwendung meines LE-Zertifikats auf „Domäne.de“
- Prima, alles o.k!
Probiere ich das Gleiche mit dem Aufruf der Photo Station aus, passiert es leicht anders…:
…bei IE11:
- „fotos.Domäne.de“ eingeben (bei Strato http-Umleitung auf „Domäne.de/photo“ eingestellt)
- der Browser setzt es eigentlich sofort um auf „https://fotos.Domäne.de“ (aber eben nicht auf „https://Domäne.de/photo“)
- Fehler „Die Seite kann nicht angezeigt werden.“
- irgendwie greift dieser Aufruf also überhaupt nicht auf die Strato-Umleitung zu
…bei Firefox und Chrome geschieht das Gleiche, wie beim DSM-Aufruf
- der Browser sucht ewig lange und bringt dann schlicht die Fehlermeldung zur Zeitüberschreitung oder Nichterreichbarkeit
- in der Adresszeile hat er zumindest auf „Domäne.de/photo“ geändert, aber eben ohne „http://“ oder sogar „https://“ davor
- hier läuft der Weg offenbar also zumindest über die Umleitung bei Strato, dafür greifen dann aber die „https-Settings“ auf der DS nicht
Wer versteht das und kann erklären, warum die Ergebnisse so unterschiedlich sind?
Es hat lange gedauert....aber ich hab's hinbekommen 
Die Zugriffe auf alle Stations inklusive Photo Station scheinen jetzt so zu funktionieren, wie ich mir das vorgestellt hatte.
Ihr habt mir sehr viel geholfen und ich hierfür nochmal ein herzliches DANKESCHÖN!
Für alle, die noch am Rumrätseln sind, habe ich mal eine "Kurzanleitung" erstellt, die meine Konfigurationen beinhaltet - siehe Anhang.
Das ist mit Sicherheit nicht der allein seeligmachende Weg, aber bei mir funktioniert es nun so. Und vielleicht hilft es manchem Leser hier...
(Ich übernehme keine Garantie!)
Anhang anzeigen 170118 DS-Zugriff mit Strato DynDNS.pdf
Die Zugriffe auf alle Stations inklusive Photo Station scheinen jetzt so zu funktionieren, wie ich mir das vorgestellt hatte.
Ihr habt mir sehr viel geholfen und ich hierfür nochmal ein herzliches DANKESCHÖN!
Für alle, die noch am Rumrätseln sind, habe ich mal eine "Kurzanleitung" erstellt, die meine Konfigurationen beinhaltet - siehe Anhang.
Das ist mit Sicherheit nicht der allein seeligmachende Weg, aber bei mir funktioniert es nun so. Und vielleicht hilft es manchem Leser hier...
(Ich übernehme keine Garantie!)
Anhang anzeigen 170118 DS-Zugriff mit Strato DynDNS.pdf
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.159
- Punkte für Reaktionen
- 912
- Punkte
- 424
Die verschiedenen Foto Varianten hast du wegen Schreibweisen-Redundanz gemacht?
audio/musik kannst du beides als CNAME anlegen, brauchst da keine Weiterleitung einrichten.
Der Hostname in der PS selbst dient für die richtige Adresse z.B. für die Link-Generierung für den Zugriff auf geteilte Alben nach extern und unter welcher URL die PS in einem neuen Tab geöffnet wird vom Menü des DSM aus.
Frische Browser-Profile und/oder leere Caches haben schon so manches Problem gelöst.
audio/musik kannst du beides als CNAME anlegen, brauchst da keine Weiterleitung einrichten.
Der Hostname in der PS selbst dient für die richtige Adresse z.B. für die Link-Generierung für den Zugriff auf geteilte Alben nach extern und unter welcher URL die PS in einem neuen Tab geöffnet wird vom Menü des DSM aus.
Frische Browser-Profile und/oder leere Caches haben schon so manches Problem gelöst.
Also scheinbar hat Lets Encrypt ein Problem.
Oder ich, egal.
Nachdem ich den Browser mal augeräumt habe, geht alles wieder wie es soll.
Eigentlich find ich das schon gut so, aber es nervt mich, dass man erst alles in Frage stellt und es dann so ein einfach Problem ist.
Woher auch immer das jetzt kam!
Im übrigen: Schöne Anleitung, wird sicher dem ein oder anderen eine Menge Sucherei ersparen!
Grüße
Oder ich, egal.
Nachdem ich den Browser mal augeräumt habe, geht alles wieder wie es soll.
Eigentlich find ich das schon gut so, aber es nervt mich, dass man erst alles in Frage stellt und es dann so ein einfach Problem ist.
Woher auch immer das jetzt kam!
Im übrigen: Schöne Anleitung, wird sicher dem ein oder anderen eine Menge Sucherei ersparen!
Grüße
Mich interessiert jetzt doch noch ein Thema in diesem Zusammenhang: Die DS Firewall.
Für die Einrichtung und die damit verbundenen Tests hatte ich die Firewall auf meiner DS immer ausgeschaltet, um für mich erst einmal keine zusätzliche Verwirrung zu erzeugen.
Ich habe während der (mittlerweile funktionierenden) Konfiguration gemerkt, dass ein entscheidendes Kriterium darin besteht, in meinem Router u.a. eine Portweiterleitung für Port 80 auf die DS zu hinterlegen. Das wird ja offenbar dafür benötigt, die bei Strato lediglich als "http" möglichen Umleitungen zu meiner DS weiterzuleiten. Gebe ich also nur ein "fotos.Domäne.de", dann ist das ja eigentlich erst einmal gleichbedeutend mit "http://fotos.Domäne.de". Bei Strato wird dann erkannt, dass die Anfrage umgeleitet werden muss auf "http://Domäne.de/photo" (aber eben nur http, nicht https) und erst durch die Regeln in der DS wird diese Anfrage dann in eine https-Anfrage umgesetzt und die Photo Station geöffnet. Der verschlüsselte Aufruf der Photo Station findet also erst am Ende der "Anfrage-Kette" statt und bis dahin läuft alles als unverschlüsselter http-Aufruf ab und damit auch durch meinen Router und dessen weitergeleiteten Port 80.
Nun ist ja der Port 80, wie auch an vielen Stellen hier geschrieben, ein eher kritischer Port, da unverschlüsselte Kommunikation. Sobald ich ihn aber im Router deaktiviere, funktioniert meine ganze weiter oben beschriebene Konfiguration und damit natürlich auch die Aufrufe der diversen Stations mit "fotos....", "video...", "musik...." nicht mehr.
Ist meine Denke richtig, dass ich das Problem des offenen (weitergeleiteten) Ports 80 auf dem Router dadurch heilen kann, dass ich in der DS Firewall diesen Port einfach nicht freigebe? Dadurch erlaube ich zwar die gesamte unverschlüsselte Kommunikation "vorher" (Aufruf über Strato und Umleitungen), unterbinde aber den unverschlüsselten Aufruf direkt an der DS, weil dort ja die Umsetzung von http zu https-Aufrufen eingestellt ist.
Ich habe es momentan erst einmal so eingestellt und die Aufrufe funktionieren.
Die Frage ist jedoch: Fange ich mir dadurch irgendwelche anderen, unvertretbaren Sicherheitsrisiken ein, die ich derzeit noch nicht richtig eingeschätzt habe?
Für die Einrichtung und die damit verbundenen Tests hatte ich die Firewall auf meiner DS immer ausgeschaltet, um für mich erst einmal keine zusätzliche Verwirrung zu erzeugen.
Ich habe während der (mittlerweile funktionierenden) Konfiguration gemerkt, dass ein entscheidendes Kriterium darin besteht, in meinem Router u.a. eine Portweiterleitung für Port 80 auf die DS zu hinterlegen. Das wird ja offenbar dafür benötigt, die bei Strato lediglich als "http" möglichen Umleitungen zu meiner DS weiterzuleiten. Gebe ich also nur ein "fotos.Domäne.de", dann ist das ja eigentlich erst einmal gleichbedeutend mit "http://fotos.Domäne.de". Bei Strato wird dann erkannt, dass die Anfrage umgeleitet werden muss auf "http://Domäne.de/photo" (aber eben nur http, nicht https) und erst durch die Regeln in der DS wird diese Anfrage dann in eine https-Anfrage umgesetzt und die Photo Station geöffnet. Der verschlüsselte Aufruf der Photo Station findet also erst am Ende der "Anfrage-Kette" statt und bis dahin läuft alles als unverschlüsselter http-Aufruf ab und damit auch durch meinen Router und dessen weitergeleiteten Port 80.
Nun ist ja der Port 80, wie auch an vielen Stellen hier geschrieben, ein eher kritischer Port, da unverschlüsselte Kommunikation. Sobald ich ihn aber im Router deaktiviere, funktioniert meine ganze weiter oben beschriebene Konfiguration und damit natürlich auch die Aufrufe der diversen Stations mit "fotos....", "video...", "musik...." nicht mehr.
Ist meine Denke richtig, dass ich das Problem des offenen (weitergeleiteten) Ports 80 auf dem Router dadurch heilen kann, dass ich in der DS Firewall diesen Port einfach nicht freigebe? Dadurch erlaube ich zwar die gesamte unverschlüsselte Kommunikation "vorher" (Aufruf über Strato und Umleitungen), unterbinde aber den unverschlüsselten Aufruf direkt an der DS, weil dort ja die Umsetzung von http zu https-Aufrufen eingestellt ist.
Ich habe es momentan erst einmal so eingestellt und die Aufrufe funktionieren.
Die Frage ist jedoch: Fange ich mir dadurch irgendwelche anderen, unvertretbaren Sicherheitsrisiken ein, die ich derzeit noch nicht richtig eingeschätzt habe?
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.159
- Punkte für Reaktionen
- 912
- Punkte
- 424
Dass die Anfrage erstmal unverschlüsselt daherkommt ist ja nicht so kritisch. Wenn die Verbindung steht ist sie ja dann verschlüsselt und Anmeldedaten etc laufen nur verschlüsselt über die Leitung.
Auch Lets Encrypt setzt glaube ich bei Zertifikatserstellung/erneuerung noch einen offenen Port 80 voraus.
Wenn du den Port 80 wirklich effektiv geblockt hättest, dann dürfte der Aufruf auch nicht mehr funktionieren, weil für die Umsetzung von http nach https muss der Kontakt zumindest kurzzeitig vorhanden sein.
Auch Lets Encrypt setzt glaube ich bei Zertifikatserstellung/erneuerung noch einen offenen Port 80 voraus.
Wenn du den Port 80 wirklich effektiv geblockt hättest, dann dürfte der Aufruf auch nicht mehr funktionieren, weil für die Umsetzung von http nach https muss der Kontakt zumindest kurzzeitig vorhanden sein.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
