Unsichere Verbindung trotz neuem Let's Encrypt Zertifikat, Ports weitergeleitet, auf https umgeleitet

[moni]

Guten Abend! Ich probiere seit Stunden, das gelbe Dreieck (unsichere Verbindung) wegzubekommen. Hier das, was ich gemacht habe:
- Zertifikat von Let's Encrypt hinzugefügt (alternativer Name xxxx.synology.me) für Systemvoreinstellung, Hyper Backup Vault, FTPS
- Umleitung von http auf https angeklickt
- im Router die Weiterleitung der Ports 80 und 443 auf die Diskstation eingerichtet
- Firefox, Edge und Chrome ausprobiert

Ich kann über die "Sicherheitsausnahme" auf die Diskstation zugreifen, aber es bleibt das gelbe Dreieck. Gehe ich auf "Informationen", dann wird das Let's Encrypt Zertifikat angezeigt, ist auch gültig.

Alles, was ich in Foren und Videos zu dem Thema gefunden habe, hab ich ausprobiert, muss aber dazusagen, dass ich leider wenig Kenntnisse habe.

Der Grund, warum ich die sichere Verbindung brauche (glaube ich zumindest): ich möchte Audio Station mit Alexa/Fire Tablet nutzen. Wenn ich aber bei Audio Station "Amazon Alexa Dienst aktivieren" anklicke und "ok" klicke, dann kommt die Meldung "Einstellungen konnten nicht übernommen werden. Überprüfen Sie die Internetverbindung und sorgen Sie für normalen Zugriff auf Ihre DiskStation über das Internet".

Versuche ich, den Skill auf dem Fire Tablet zu aktivieren, dann kommt die Meldung "A valid SSL certificate is required for the authorization".

Hat jemand noch eine Idee, wie ich hier weiterkomme?

Herzlichen Dank für jeglichen Tipp!
moni

 

[Wollfuchs]

• Welcher port von aussenwird auf welchen innen geleitet? Screenshots helfen
• Testest du die erreichbarkeit von aussen (handy) oder innen (wlan)?
• Fuer so nen alexa kram eine luecke aufmachen ... sollte wohlueberlegt sein IMHO
  

 

[the other]

Moinsen,
naja, da scheint eben was mit deinem Zertifikat eben doch nicht zu stimmen....sagen ja sowohl das Tablet als auch der Browser am PC.

Schau dir nochmal an, ob du wirklich alles korrekt konfiguriert hast. Die CA sollten die Browser ja eignelich kennen, da sonst zum Ausschluss nochmal im Browser nachsehen.

Ansonsten hat @Wollfuchs mit seinen Fragen und Anmerkungen mal wieder völlig recht und es ist wieder was von dir hier zu lesen...besonders der Hinweis zu Alexa und PWL...

 

[Kurt-oe1kyw]

Zertifikat von Let's Encrypt hinzugefügt (alternativer Name xxxx.synology.me)

Willkommen im Forum, wo warst du die letzten 6 Jahre ?

Zum Thema:
Schau noch mal in Ruhe nach ob dein Zertifikat wirklich für deine url ausgestellt wurde. Oft ist da ein Buchstabendreher drinnen und obwohl man die Zeile 7x angesehen hat stolpert man trotzdem drüber.
Wichtiger Punkt: dein Zertifikat ist so ausgestellt wie du es beantragt hast!
Was ich damit meine:
LE Zertifikat ausgestellt für name_xxx.synology.me ---> das funktioniert dann exakt genau für diese Adresse, also:
h**ps://name_xxx.synology.me ---> funktioniert
h**ps://www.name_xxx.synology.me ---> funktioniert nicht! Das Zertifikat wurde nicht mit den www. ausgestellt!

Wobei es n.m.W. mittlerweile eine Option gibt dass dein Zertifikat mit und ohne www. funktioniert, aber da müssen dir die Netzwerkspezialisten hier im Forum weiterhelfen ob das tatsächlich geht und wie du das aktivieren kannst.

Hinweis:
Wenn du von intern deine DS aufrufst, dann ist deine DS nur über die url erreichbar mit aktiviertem Zertifikat, wenn du intern deine DS IP verwendest, dann greift das Zertifikat nicht! Siehe Erklärung oben, es greift nur exakt auf den Namen auf welchen es ausgestellt wurde!
Also wenn dein Netzwerk daheim loopback unterstützt und du intern deinen Namen aufrufen kannst, dann greift dein Zertifikat und das Dreieck ist weg.
Wenn dein Netzwerk daheim von intern die Auflösung/Zugriff nicht zulässt auf den Namen dann greift dein Zertifikat nicht und das gelbe Dreieck ist da.

 

[moni]

Guten Morgen! Wow, das ist ja toll, gleich 3 Antworten, vielen Dank!
Ich gebe mein Bestes, alle Fragen zu beantworten.
Eine Frage ist ganz leicht: die letzten 6 Jahre habe ich einfach nur die Diskstation genutzt. Sie dient als Backup (aber nicht sehr konsequent) und ganz überwiegend als Musikspeicher. Und da wünsche ich mir halt mit Fire Tablet, Alexa und Echo.dot ein bisschen mehr Flexibilität, die gespeicherte Musik drinnen und draußen zu hören.

Noch ein Hinweis: ich lebe in Frankreich, hier kommt man nicht an den vom Provider vorgegebenen Routern vorbei (also nix mit Fritbox, die kann man nur dahinterschalten und das ist mir wieder zu kompliziert). Bei mir ist es ein Sagemcom Router.

Also dann:
1) Hier der Screenshot der Portweiterleitung am Router (nur hier habe ich eine Weiterleitung eingerichtet)

2) Von innen oder außen getestet: Ich habe immer nur von intern getestet
3) Alexa & Co - Sicherheit: schon wahr, aber es wäre ingesamt ganz schön, auf die Daten auch von extern zu kommen. Ist also nicht NUR wegen Alexa
4) Irgendetwas ist mit dem Zertifikat nicht in Ordnung: wenn ich auf das gelbe Dreieck klicke und dann auf Informationen steht dort, dass das Zertifikat gültig ist. Ist das nicht ein Hinweis, dass mit dem Zertifikat alles in Ordnung ist? Hier der Screenshot:

5) mit und ohne www: unter Sicherheit - Zertifikat steht der Name xxxx.synology.me, also ohne www. Der "alternative Name" ist identisch. In die Browserzeile gebe ich nicht die IP Adresse, sondern h**ps//xxxx.synology.me

6) Loopback: Hilfe, was ist das? Wie kann ich feststellen, ob mein internes Netzwerk das unterstützt? Es ist ein Windows10-Rechner

Hat das Eure Fragen einigermaßen beantwortet? Noch Ideen?

1000 Danke!
moni

 

[Thonav]

Ja - im Router musst Du die IP Deiner NAS eintragen, bzw. uns einmal schildern, welche IP hat die DS, welche IP hat der Router?

 

[synfor]

2) Von innen oder außen getestet: Ich habe immer nur von intern getestet

Du rufst die Seite von innen mit IP-Adresse auf (siehe Screenshot). Da wundert es nicht, dass der FF meckert. IP-Adresse != Domain-Name (aus dem Zertifikat)

 

[moni]

Danke ThonaV, vielleicht liegt ja hier der Hund begraben (hab mich gestern zum ersten Mal mit Portweiterleitungen befasst):
DS: 192.168.5.61
Router: 192.168.5.1

Hatte ich da vorher den Router auf sich selbst umgeleitet? Hab mal folgendes ergänzt:



Was mir noch aufgefallen ist: über IP 192.168.5.1 kann ich auf den Router zugreifen, aber dort nicht die Portweiterleitung ändern.
Über einen anderen Weg komme ich bei der Sagem Box auf die Portweiterleitung, dort wird aber die IP <externe IP> angezeigt. Und hier was ich in der Übersicht der Routersettings gefunden habe.



Herrje ist das doof, wenn man keine Ahnung hat!!

Grüße
moni

 

[moni]

@synfor: Deine Nachricht hat sich mit meiner überkreuzt. Müsste ich also bei der Portweiterleitung statt der IP-Adresse das xxxx.synology.me eingeben?
Danke!

 

[synfor]

Nein

 

[Thonav]

Moni - habe Dir eine Nachricht gesendet...

 

[Wollfuchs]

also die domain ist erreichbar, das zertifikat gueltig fuer die domain.
ein forward findet statt ...

 

[moni]

Nach der grandiosen Teamviewer Hilfe von Thonav heute Vormittag sollten die wichtigsten Dinge nun korrekt eingestellt sein.
Interessanterweise ist die Diskstation nun von extern ohne gelbes Dreieck zugänglich, aber nicht von intern. Und solange intern das doofe gelbe Dreieck da ist, kann ich in der Audio Station die Alexa nicht aktivieren.
Werde nun noch die weiteren Tipps von Thonav (diverse Resets) angehen ... mal sehen.
Danke nochmal an alle, die sich hier Gedanken gemacht haben!

 

[the other]

Moinsen,
in Ruhe zu Ende machen, testen, freuen oder wieder melden...

 

[Kurt-oe1kyw]

moni bitte dein Bild vom Beitrag #8 entweder durch einen Moderator rausnehmen lassen, oder austauschen wo deine IP Adresse unkenntlich gemacht ist, da deine Weiterleitung auf die DSM Oberfläche einwandfrei eingerichtet ist und du sonst vielleicht "Anrufe" bekommst mit Anmeldeversuchen.
Die interne IP mit 192.168 usw die ist egal, die kann sichtbar bleiben.
Jedenfalls kann ich derzeit deine DSM Anmeldeseite von Wien aus korrekt erreichen.

6) Loopback: Hilfe, was ist das? Wie kann ich feststellen, ob mein internes Netzwerk das unterstützt? Es ist ein Windows10-Rechner

Das ist relativ einfach, wenn du bei dir daheim am PC im eigenen Netzwerk bist und du kannst deine Diskstation mit xxx.synology.me erreichen dann unterstützt dein Provider und Router Loopback.
Bei mir hier in Wien hat das bis vor ca. 1,5 Jahren auch noch funktioniert, dann haben Sie es umgestellt und als ich es danach versucht habe ist jedesmal der Router gecrasht.
Das hat sich aber "reparieren" lassen durch eigenen DNS Server.
Das aber nur nebenbei.

Noch mal mein Hinweis:
Wenn du die IP-Adresse eingibst, dann kommt logischerweise das gelbe Rufzeichen, denn dein Zertifikat ist korrekt ausgestellt auf xxxx.synology.me und läuft auch, aber es ist eben nicht auf IP-Adresse ausgestellt und bevor du fragst, NEIN es gibt kein Zertifikat für IP-Adressen

Anmerkung:
dein Zertifikat ist immer 90 Tage lang gültig, 20 Tage vor Ablauf wird die Datumsanzeige orange, normalerweise aktualisiert sich dein Zertifikat ein paar Tage vor dem Ablauf automatisch. Falls nicht dann VOR DEM ABLAUF manuell aktualisieren:

Also aktuell in deinem jetzigen Fall ist es bis 23.01.2021 gültig, dh wenn es sich bis 22.01.2021 nicht selbstständig aktualisiert hat, dann:
DSM > Hauptmenü > Systemsteuerung > Sicherheit > Register "Zertifikat" auswählen > Zeile mit xxxx.synology.me auswählen und wenn diese Zeile dann blau markiert angezeigt wird mit der rechten Maustaste in diese blaue Zeile klicken und letzte Zeile aus dem Menü auswählen "Zertifikat erneuern", Geduld haben und warten bis es aktualisiert ist.
Da kommt dann das der Webdienst neu gestartet wird usw usw.
NICHT ERSCHRECKEN durch die Aktualisierung kann es dann bei diversen Anwendungen sein, dass du einen Warnhinweis bekommst, dass dein Zertifikat verändert wurde, in diesem Fall ja von dir gewollt du hast es ja geändert um es für weitere 90 Tage zu verwenden.
Nach 90 Tagen wiederholt sich dann das Spiel, wie gesagt, falls es nicht autom passieren sollte.

 

[moni]

Danke für den Hinweis! Hab einen Moderator benachrichtigt.

 

[Kurt-oe1kyw]

Ja passt jetzt, Danke an das Forenteam, Bild ist noch da aber IP geschwärzt.

 

[Anolis3]

Hallo,
auch ich versuche die Audiostation App auf meinem DS218+ von extern zu erreichen und habe die Ports 5000-5001, 443 und 80 im Router weitergeleitet. Funktioniert auch soweit alles
Nun habe ich in meinem Netzwerk ein weiteres Gerät was ebenfalls unbedingt die Ports 433 und 80 benötigt. Dort kann ich keine Alternativen wählen. Kann man für den DS218 alternative Portweiterleitungen verwenden? Welche und was muss ich beachten bzw. einstellen?
Vielen Dank und VG

 

[Fusion]

Welches Gerät?
Braucht dies nur 80/443 lokal? Dann extern 8080 > 80 als Portweiterleitung z.B.

Wenn auch extern die Ports 80/443 fix sind z.B. einen Reverse Proxy auf der DS (Systemsteuerung > Anwendungsportal).

 

[Anolis3]

Wasserenthärter SoftliQ:

Dort steht:
In Ihrem Router müssen folgende Porst freigeschaltet sein:
Port 53 DNS (TCP/UDP)
Port 80 Internetzugang http (TCP)
Port 443 Firmwaredownload https (TCP)
Port 8883 Cloudverbindung MQTT (TCP)
Port 123 NTP Zeitsynchronisation (UDP)