DSM 6.x und darunter Webinterface nicht mehr erreichbar; Rest läuft

[questo]

Hallo zusammen,

ich habe ein spezielles Problem, das ich hier mal chronologisch ausführen möchte:

Ich erhielt letztens die Meldung, dass das NAS in letzter Zeit langsamer reagieren würde. Daraufhin habe ich mich gestern Nachmittag via Webinterface ins NAS eingeloggt und sah, dass seit einer Woche keine Backups mehr durchgeführt wurden. Sowohl das Backup auf die lokale HDD sowie auf die Synology C2-Cloud sind seit dem 21. Mai immer fehlgeschlagen, ohne dass im detaillierten Bericht nützliche Infos ersichtlich wären. Die Aktualisierung von der Anwendung "Hyper Backup" als auch die versuchte Installation des "Protokoll-Center" ist ebenfalls mit einer Fehlermeldung fehlgeschlagen (siehe Anhang).
Seit dem anschliessenden Neustart ist das NAS nun nicht mehr über das Web-Interface erreichbar. Intern erscheint die Meldung "Die Website ist nicht erreichbar. 192.168.xxxx hat die Verbindung abgelehnt.", extern wird ein HTTP-Error 502 angezeigt. Der Zugriff auf die Dateien via SMB funktioniert derweil problemlos, auch die VPN-Verbindung lässt sich herstellen.

Den Reset-Knopf hinten 1x bis zum Ton zu drücken habe ich soeben auch versucht, hat leider nichts gebracht. Hat jemand eine Idee, woran das liegt oder wie man das ganze wieder zum laufen bekommt?

Vor ca. 4 Wochen haben wir übrigens das aktuellste Update aufgespielt und die VPN-Verbindung gehärtet, das sollte aber wohl keinen Einfluss auf die Problematik haben.

Danke euch & schönen Abend

 

[blurrrr]

Ruf mal beim VPN-Härtungscenter an, vllt weiss da jemand um die Problematik! ?

Da "ihr" (na wenigstens nicht allein, sondern direkt "kollektiv" versagt) schon hier im Forum nachfragt, weil die eigenen Ideen ausgegangen sind: Schon mal in die Logs geschaut (via SSH)? Sieht ja wohl erstmal so aus, als wäre es nur der Webserver mit einem entsprechenden Problem... einfach mal in die Logs gucken und Problem ggf. temporär via Shell glatt ziehen, ggf. danach nochmal im DSM.

Im übrigen... "einfach so" passiert sowas übrigens "nicht".

 

[questo]

Ist halt das NAS meines selbständig erwerbenden Vaters und bevor ich das NAS aus dem produktiven Betrieb heraus nehme und zum Systemtechniker gebe, dachte ich, hier mal nach zu fragen könne nicht schaden; so wie hier schon manche Male jemand mit einer simplen Lösung hervor kam. Ich gebe "für die Nachwelt" Bescheid, wenn da was herauskommt. Danke & schönen Abend wünsche ich!

 

[blurrrr]

Ist halt das NAS meines selbständig erwerbenden Vaters und bevor ich das NAS aus dem produktiven Betrieb heraus nehme und zum Systemtechniker gebe

Ich frag mal ganz bescheiden: Warum fummelst Du dann dran rum? Bist Du gelernter Admin, oder einfach nur Spielkind? So Klamotten wie "VPN härten" raushauen, aber so ein gummeliges Linux-basiertes NAS zu einem "Systemtechniker" geben?... Also entweder WEISST Du was Du tust (und klopfst nicht nur große Sprüche) und machst es SELBST, oder - die ganz einfache Lösung - Du machst bei Synlogy ein Ticket auf. Die werden Dir noch eher als der Systemtechniker helfen können (davon sind "Techniker" eher die Jungens für die "physikalischen" Dinge, da ist Software-Probleme dann eher aussen vor... Gut gemeinter Rat: Sucht euch da mal lieber - generell - einen vernünftigen "Administrator").

Da ich Dich auch so "garnicht" einschätzen kann (VPN gehärtet, aber auf Dinge wie SSH oder Logs mal so GARNICHT eingegangen), weiss ich halt auch nicht, ob Du einfach keine Ahnung hast und nur große Sprüche klopfst, oder ob Du halbwegs weisst, was Du tust (was auch wieder blöde formuliert ist, weil jeder irgendwie meint, dass er halbwegs wüsste, was er tut ? ). Ich würde ja gern helfen, aber... so ist dat alles n bissken mau (wenne weisst, wat ich mein)... Läuft denn der SSH-Dienst überhaupt? Eine Ahnung was das überhaupt ist? Oder einfach nur lustig ignoriert?

Für den Fall der Fälle - da brauchste auch echt keinen Systemtechniker für...: Backup haste ja (alter Stand halt)... Such die Files raus, die sich seitdem noch verändert haben (falls es nicht zuviele sind, ansonsten kopierste Dir nochmal alles weg) und dann spielste das alte Backup wieder ein und packst die neueren Files wieder drüber... (jo, ist schäbig, aber zur Not das letzte Mittel der Wahl) ... btw:

Daraufhin habe ich mich gestern Nachmittag via Webinterface ins NAS eingeloggt und sah, dass seit einer Woche keine Backups mehr durchgeführt wurden.

Für sowas lässt man sich z.B. "Mails" (-> Benachrichtungen) schicken! Jo, mag Dir sch....egal sein, Deinem Dad sicherlich nicht. Also richte ihn als Empfänger für die Mails ein und zwar für SÄMTLICHE Backup-Mails (nicht nur fehlgeschlagene, auch erfolgreiche, so schläft es sich besser als Selbstständiger ).

 

[Jim_OS]

Seit dem anschliessenden Neustart ist das NAS nun nicht mehr über das Web-Interface erreichbar. Intern erscheint die Meldung "Die Website ist nicht erreichbar. 192.168.xxxx hat die Verbindung abgelehnt.", extern wird ein HTTP-Error 502 angezeigt.

Mal ein Schuss ins Blaue: Wurde ggf. der Port in der Konfig. geändert, über den DSM aufgerufen wird


und bist Du Dir sicher das Du versuchst über den richtigen Port zuzugreifen?

VG Jim

 

[blurrrr]

Wer ein "VPN härtet" weiss doch was er tut... (ausserdem ist nicht jeder so crazy wie Du und biegt die Ports auf irgendwas mit 26... um ?).

Aber mal ernsthaft: Das kann es nicht sein, weil ansonsten die Fehlermeldung eine "ganz" andere wäre, z.B.: "Fehler: Verbindung fehlgeschlagen - Firefox kann keine Verbindung zu dem Server unter xxxxxxxxxxxxx aufbauen." Dat Ding is nämlich: Der Webserver "antwortet" und sagt "nein". Bei einem falschen Port wäre der Webserver garnicht ansprechbar bzw. würde garnicht reagieren, weil er auf diesem Port nicht lauscht

EDIT: Die Frage nach dem SSH steht übrigens noch immer... Dann könnten wir mal ein paar CLI-Geschichten testen, wie z.B. "synoservice --list web", "synoservice --detail web", etc.

 

[Jim_OS]

Hm stimmt 502 wäre eigentlich "bad gateway", wobei ich nicht weiß der TE überhaupt auf das NAS zugreift. Aber Du hast Recht, im LAN sollte eine andere Meldung kommen. Somit ging mein Schuss ins Blaue in die Hose.

VG Jim

 

[questo]

Ich frag mal ganz bescheiden: Warum fummelst Du dann dran rum? Bist Du gelernter Admin, oder einfach nur Spielkind? So Klamotten wie "VPN härten" raushauen, aber so ein gummeliges Linux-basiertes NAS zu einem "Systemtechniker" geben?... Also entweder WEISST Du was Du tust (und klopfst nicht nur große Sprüche) und machst es SELBST, oder - die ganz einfache Lösung - Du machst bei Synlogy ein Ticket auf. Die werden Dir noch eher als der Systemtechniker helfen können (davon sind "Techniker" eher die Jungens für die "physikalischen" Dinge, da ist Software-Probleme dann eher aussen vor... Gut gemeinter Rat: Sucht euch da mal lieber - generell - einen vernünftigen "Administrator").

Da ich Dich auch so "garnicht" einschätzen kann (VPN gehärtet, aber auf Dinge wie SSH oder Logs mal so GARNICHT eingegangen), weiss ich halt auch nicht, ob Du einfach keine Ahnung hast und nur große Sprüche klopfst, oder ob Du halbwegs weisst, was Du tust (was auch wieder blöde formuliert ist, weil jeder irgendwie meint, dass er halbwegs wüsste, was er tut ? ). Ich würde ja gern helfen, aber... so ist dat alles n bissken mau (wenne weisst, wat ich mein)... Läuft denn der SSH-Dienst überhaupt? Eine Ahnung was das überhaupt ist? Oder einfach nur lustig ignoriert?

Für den Fall der Fälle - da brauchste auch echt keinen Systemtechniker für...: Backup haste ja (alter Stand halt)... Such die Files raus, die sich seitdem noch verändert haben (falls es nicht zuviele sind, ansonsten kopierste Dir nochmal alles weg) und dann spielste das alte Backup wieder ein und packst die neueren Files wieder drüber... (jo, ist schäbig, aber zur Not das letzte Mittel der Wahl) ... btw:

Für sowas lässt man sich z.B. "Mails" (-> Benachrichtungen) schicken! Jo, mag Dir sch....egal sein, Deinem Dad sicherlich nicht. Also richte ihn als Empfänger für die Mails ein und zwar für SÄMTLICHE Backup-Mails (nicht nur fehlgeschlagene, auch erfolgreiche, so schläft es sich besser als Selbstständiger ).

Nein, da bin ich auch ehrlich mit euch, ich hatte keine Ausbildung in diesem Bereich; ich verwalte was Informatik angeht und bin da quasi erste Anlaufstelle, kümmere mich nebenbei um diese kleinen Alltags-IT-Probleme, erstelle neue Benutzer etc. Ich weiss wie man so ein Ding bedient und damit hat es sich. Ja, ich weiss ungefähr was SSH ist, habe es aber nie benutzt und keine Erfahrung damit. Kann auch nicht sagen, ob der entsprechende Dienst aktiviert ist oder nicht, habe das NAS auch nicht selber eingerichtet. Ticket bei Synology - nehme ich mit, danke. Variante Tabula Rasa und Backup-Daten aufspielen habe ich bereits im Hinterkopf.

Eine Mail ist eingerichtet, ebenso sollte solch eine Mail bei fehlgeschlagenen Backups auch raus gehen. Dem gehe ich ebenfalls noch nach.

Der Begriff "härten" scheint dich zu stören, da ging es darum, dass OpenVPN immer gemotzt hat die cipher zu ändern, weshalb ich da vor einem Monat von BF-CBC auf AES-256-CBC wechseln liess. Das geht auch recht simpel über besagtes Webinterface.

Eine halbe Stunde nach meinem Beitrag kam übrigens von meinem Vater der Einwand, das NAS doch lieber direkt an den Supporter zu übergeben, weshalb ich jetzt aus dieser Sache sozusagen draussen bin und weshalb auch mein letzter Beitrag dann so schnell kam ohne auf deinen Input eingegangen zu sein. Es tut mir Leid, wenn ich dir damit vor den Kopf gestossen bin, das war nicht mein Ziel, auch nicht mit diesem Thread, auch wenn dieser jetzt ein wenig "für die Katz" war.

@Jim_OS: Der Port war immer auf :5000 eingestellt, Danke dir dennoch!

 

[blurrrr]

An den "Supporter"? Naja, kennt der sich mit solchen Dingen überhaupt aus? Der Hersteller wird es wohl am besten wissen, aber was soll's... kommt der Support-Typ nicht weiter, wird er sich (hoffentlich!) schlauerweise auch direkt an den Syno-Support wenden (und euch halt die Zeit in Rechnung stellen) ? Nichts desto trotz: Viel Erfolg!

 

[questo]

So, hier bin ich wieder. In der Zwischenzeit wurde sowohl ein Mode 1 als auch ein Mode 2 reset wie hier beschrieben (https://www.synology.com/en-us/knowledgebase/DSM/tutorial/General_Setup/How_to_reset_my_Synology_NAS) durchgeführt, leider erfolglos.
Weiterhin wurden die HDDs in eine neue DS920+ umgezogen und migriert - doch selbst auf dem neuen NAS ist das Webinterface nicht erreichbar. Auch hier wurde erfolglos ein Mode 2 reset durchgeführt.

Wir haben das ganze nun in zwei verschiedenen Netzwerken / Standorten und mit mehreren Computern getestet. Von Seiten Synology-Support kommen nur banale Dinge wie Firewall & Antivirus deaktivieren und DS-Finder ausprobieren. Via SSH aufs NAS zu kommen habe ich ebenfalls angesprochen, das sei jedoch standardmässig deaktiviert.

Gibt es eine Möglichkeit, doch irgendwie aufs NAS zu kommen? Hat noch jemand eine Idee? Danke euch.

 

[blurrrr]

Wir haben das ganze nun in zwei verschiedenen Netzwerken / Standorten und mit mehreren Computern getestet

Mit "wir" sind Du und der Supporter gemeint?

Via SSH aufs NAS zu kommen habe ich ebenfalls angesprochen, das sei jedoch standardmässig deaktiviert.

Dem ist so.

DS-Finder ausprobieren

Das hat auch einen Hintergrund - sofern die Geräte im gleichen Netz sind (physikalisch) sollte die DS auf jeden Fall angezeigt werden (MAC-Erkennung auf die 00:11:32:x:x:x). Mal einfach eine "direkte" Verbindung zwischen PC und DS versucht (ohne Switch o.ä. dazwischen)?

 

[questo]

Mit "wir" sind Du und der Supporter gemeint?

korrekt.

Mal einfach eine "direkte" Verbindung zwischen PC und DS versucht (ohne Switch o.ä. dazwischen)?

Ja, weiterhin die selbe Fehlermeldung.
Im Live-Chat mit Synology kam leider auch nichts raus - der Herr konnte lediglich unser Problem verifizieren, musste passen und hat uns nochmals aufs Ticket-System verwiesen.
Heute haben wir eine andere 3.5" HDD, die nicht aus dem NAS war, eingelegt und das NAS aufgesetzt, was ohne Probleme geklappt hat, auch das Webinterface ist so erreichbar. Das würde für mich bedeuten, dass die System-Partition auf der HDD irgendwas abbekommen haben muss - der Mode 2 reset sollte diese ja aber eigentlich komplett zurücksetzen? Wenn die Festplatten selbst einen Defekt hätten, dann wäre meiner Meinung nach doch gar nichts mehr gelaufen, oder?

 

[blurrrr]

Nicht zwingend, je nachdem, wie das System so tickt... Wenn "nix" drin ist, haste ja trotzdem ein kleines System was gestartet wird (hätte also auch ohne HDD erreichbar sein sollen). Mal ganz grob formuliert: Wenn eine HDD drin ist und das System erkennt, dass eine entsprechende Partition zum starten drin ist, wird es auch versuchen von dieser zu starten. Hat dann den Effekt, dass das System von der Platte geladen wird. Hat das jetzt aber eine Macke und das Ding kommt nicht hoch, geht logischerweise auch nix. Kannste ein "kleines" bisschen mit BIOS/UEFI und dem Windows vergleichen. So ein UEFI kommt ja auch schon recht bunt daher und mit Maus-Unterstützung, teils Linux-Live-Systemen, etc., heisst aber noch lange nicht, dass das installierte Windows auch startfähig ist. Wenn Du so einen Rechner einfach nur "an" machst und ihm keiner sagt, dass er ins UEFI startren soll, wird er versuchen von einer Festplatte zu booten. Ist nur eine da, wird er wohl versuchen von dieser zu starten und wenn die Platte halt eine Macke hat, ist eben auch nix mit Windows booten.

 

[questo]

Haben nun die Reissleine gezogen, die Festplatten alle formatiert und das Backup aufgespielt - soweit funktioniert alles tadellos. Woran das ganze nun gelegen hat - keine Ahnung. Würde es Sinn machen, SSH nun prophylaktisch zu aktivieren?

 

[Ulfhednir]

Würde es Sinn machen, SSH nun prophylaktisch zu aktivieren?

Da da scheiden sich die Geister. Der eine sagt: Bloß nicht - ist ein Sicherheitsrisiko. Der andere, wie ich, sagt: Im Havariefall wäre das schon vorteilhaft.

 

[the other]

Moinsen,
also ich würde ssh IMMER aktivieren (wenn ich denn damit arbeiten kann aka weiß was und wofür das da ist), solange ich IM EIGENE NETZWERK BLEIBE UND NIX NACH DRAUßEN ÖFFNE.
Den Zugriff von extern mach ich zumindest eh nur via VPN. Und im eigenen Netzwerk hat mir ssh schon das ein oder andere Mal den Arsc..erwertesten gerettet...

Nur eben nicht nach draußen aufmachen, auch nicht mit ner (hui, voll geheim) anderen Portbelegung: Obscurity ain't Security!

jm2c

 

[blurrrr]

Der eine sagt so, der andere sagt so, der nächste sagt einfach nur vielleicht... Ich hab bei mir SSH jedenfalls "immer" an, vorher würde ich eher so einen Unrat wie DSM/Web abschalten. Im Falle einer 0815-Syno und der Nutzung als reinen Dateispeicher (SMB/NFS) hat so ein gummeliges Webding eh nix auf der Kiste verloren. SSH + SMB/NFS reicht dafür ja schon dicke aus. Aber... et is halt wie et is.... also nehmen wir das DSM-Interface halt mit, was jetzt aber noch lange nicht heisst, dass es ein guter Grund wäre, SSH abzuschalten. Kommt aber natürlich auch immer auf die Positionierung des NAS innerhalb des Netzwerkes an.

 

[mamema]

SSH mit Zertifikatszugang ist die sicherste Lösung. Dann spielt es keine Rolle wenn der Port bekannt ist. Und der weiss wie es geht setzt noch eine 2FA davor.

 

[blurrrr]

So ganz generell ist Portknocking ("knockd") auch noch eine Möglichkeit, zwar schon etwas in die Jahre gekommen, aber najo...