Zertifikatsproblem mit externem Zugriff

[enaef]

Hallo zusammen

Bis vor kurzem (einige Tage, wenige Wochen) konnte ich von extern auf mein DSM zugreifen. Nun wird mir dieser verweigert, obwohl ich meinerseits nichts am System geändert habe.

Ausgangslage:
DS716+ mit DSM 6.2.2
DDNS via x.synology.me
Portweiterleitungen am Router (Sagecom InternetBox des Providers Sunrise) sind erfolgt und korrekt.
Zertifikat auf x.synology.me durch Let's Encrypt ist gültig und als Standardzertifikat für alle Dienste wirksam

Wenn ich nun von extern via x.synology.me auf mein DSM zugreifen will, erhalte ich die Fehlermeldung, dass das Sicherheitszertifikat dieser Webseite für eine andere Webseite ausgestellt wurde und nicht von einer vertrauenswürdigen Zertifizierungsstelle stammt.

Wenn ich 'Laden dieser Webseite fortsetzen (nicht empfohlen)' wähle, lande ich auf einer Seite die exakt gleich aussieht, wie das Login zum Router meines Providers, wenn ich zu Hause bin, also zum Router von Sunrise.
Wenn ich die URL dann anschaue, bleibt der erste Teil der URL gleich, also https://x.synology.me. , dann aber gefolgt von /0.1/gui/#/login/ - was dem zweiten Teil des Logins zum Router zu Hause entspricht. In der URL-Zeile wird Zertifikatsfehler angezeigt.
Wenn ich das Zertifikat dort betrachte, heisst es, dass es ein self-signedKey ist, ausgestellt von Sagemcom, dem Hersteller des Routers von Sunrise.

Ich weiss nicht was das Problem ist, habe aber den Verdacht, dass sich auf Seiten von Sunrise, resp. des Routers etwas geändert hat. Ich versuchte mehrfach mit Sunrise zu sprechen, werde aber abgewimmelt, resp. der first-level-support hat schon gar keine Ahnung worum es geht.

Vielen Dank für Tipps ... !

 

[Fusion]

Die Portweiterleitung kann nicht mehr korrekt sein, wenn du mit Port 443 (https) im GUI deines Routers landest.

Zudem ist das Zertifikat welches für den Dienst "Systemvoreinstellung" gesetzt ist das "Standard" Zertifikat, nicht jenes welches in der Übersicht als Standard gesetzt ist. Aber das nur nebenbei, der Korrektheit halber.

Wie gesagt, Problem ist nach aktuellem Info-Stand der Router.

 

[enaef]

Danke Fusion für die Antwort.

Sorry, ich habe die Einstellungen früher einmal vorgenommen, bin aber in einem ganz anderen Fachgebiet tätig und habe eine eher schwache Ahnung, wie alles genau zusammenhängt/funktioniert.

Ich habe die DSM-Ports geändert gehabt (HTTP und HTTPS).
Die entsprechenden Portnummern sind im Router weiter geleitet und in der Firewall freigeschaltet für die Anwendung 'Verwaltungsprogramm'.

Die Android-App DS file greift ebenfalls über x.synology.meortnummer via https auf das NAS, was funktioniert. Sprich, hier scheint die Portweiterleitung zu funktionieren. Wenn ich die Portweiterleitung im Router ändere, kann ich mit der Android-App nicht mehr zugreifen, wenn ich die Portweiterleitung wieder rückstelle, geht es wieder.

Ich habe ja auch den Verdacht, dass es am Router liegt, aber ... ?

 

[Fusion]

Wenn du https://name eingibst ist das automatisch port 443.
Wenn du einen anderen Port verwendest musst du diesen explizit hinter dem Namen angeben mit Doppelpunkt angehängt.

Also was willst du denn jetzt genau erreichen überhaupt?

 

[enaef]

Ich möchte, dass das wieder klappt, was bisher problemlos lief:

1)
Das DSM vom Arbeitsplatz aus erreichen. Das habe ich bis vor kurzem via htts://x.synology.me gemacht, ohne die geänderte Portnummer angehängt. Bedingung ist aber, dass bei den DSM-Einstellungen/Domain 'Benutzerdefiniertes Domain aktivieren' aktiv war, mit x.synology.me eingetragen. Ohne die aktivierte 'Benutzerdefinierte Domain' liess mich die Firewall meines Arbeitgebers nicht auf das NAS zugreifen, wenn ich https://x.synology.me:Portnummer verwendete.

2)
Mein Sohn, welcher extern wohnt, kann via DSM-Oberfläche als separater Benutzer mit separatem Home-Ordner mit separatem Login auf seinen Speicher zugreifen (er hat nur die Rechte, auf seinen Speicher zugreifen zu können).

3)
Mit der aktivierten Einstellung 'Benutzerdefinierte Domain' können die Android Apps (wie z.B. DS file) x.synology.meortnummer von extern zugreifen. Dazu muss ich 'Benutzerdefinierte Domain' zuerst deaktivieren. Da dies aber primär in den Ferien nötig ist, bin ich diesen Kompromiss bisher eingegangen.

1) bis 3) funktionierten bisher, bis eben das weiter oben geschilderte Problem auftauchte. Ich (und mein Sohn) kommen von extern nicht mehr ins NAS. Weder vom Arbeitgeber-Computer aus, noch von sonst einem Computer.

Was aber - wie früher - noch funktioniert, ist der Zugang zum NAS mit Android-Apps, via x.synology.meortnummer, sofern ich 'Benutzerdefinierte Domain' deaktiviere. Deshalb habe ich auch den Eindruck, dass es nicht die Portweiterleitung des Routers ist.

 

[enaef]

Nachtrag: Ich habe soeben bemerkt, dass in der Systemsteuerung der DSM im DDNS-Dialog auch eine IPv6-Adresse angegeben ist.
Ich habe soeben via https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1 die Portweiterleitung geprüft, und dort auch gemeldet bekommen, dass ich IPv6 nutzen würde und ich eine andere Seite nutzen müsste. Ich glaube, das war früher nicht der Fall.
Könnte dies ein Grund für die Probleme sein?
Die Portweiterleitung wird auch von heise.de als funktionierend gemeldet ...

 

[Fusion]

Zu 1) genau dafür ist benutzerdefinierte Domain gedacht. Dsm via Namen ohne Spezialports zu erreichen.

Zu 3) auch die Android Apps können da zugreifen. Du musst dort allerdings dein-ddns.synology.me:443 angeben als Hostname,da diese sonst probieren port 5001 zu kontaktieren, auch wenn dies nicht klar ersichtlich ist. Je nach App ist der Anhang :443 mal nötig und mal nicht.

Jetzt ist natürlich die Frage wenn ipv4 und ipv6 ins Spiel kommen:
- für ipv6 braucht es eventuell separate Freigaben in der Router Firewall. Ipv4 ist eine Weiterleitung weil sich die Geräte hinter der Router IP verbergen. Bei ipv6 muss nur der Port freigegeben sein, der Client hat eine theoretisch global erreichbare IP.
Je nachdem also welche IPs hinter deine-ddns.synology.me steckt und mit welchem der beiden Protokolle oder mit beiden (ipv6 wird präferiert) der Client unterwegs ist kann es eben 'Kontaktschwierigkeiten' geben.
Die meisten deaktivieren dann ipv6 anstatt sich damit auseinander zu setzen.

 

[enaef]

Ich habe auf einen anderen Port weitergeleitet, nicht 443, aber das sollte ja keine Rolle spielen, da es früher funktionierte?

Ich weiss natürlich nicht, ob ipv6 wirklich die Ursache des Problems ist.
Im Portfreigabedialog des Routers sehe ich keine offensichtliche Möglichkeit, etwas zu ipv6 anzugeben.
Es gibt im Router ein Registser namens IPv6 pinhole, mit folgenden Feldern:
Name / Protokoll (TPC, UDP, BOTH) / Port / Gerät (mit zwei MAC-Adressen zur Auswahl, eine davon jene des NAS) / IP-Adresse mit dem Hinweis "ex.2001:1234:5678:90::"
In den Geräteinformationen des Routers gibt es ein ein Eintrag namens 'Link zur IPv6-Adresse des lokalen Gateways' mit einem Eintrag in folgendem Format: xxxx::xxxx:xxxx :xxxx:xxxx.

Im NAS Steht im DDNS-Dialogfeld eine andere extern IPv6-Adresse mit mehr Zeichen und die letzten Zeichen entsprechen nicht dem in dieser Antwort zwei Zeilen weiter oben genannten Adresse.

Ich habe noch einen alten Snapshot aus den Geräteinformationen des Routers gefunden, zu Zeiten, als noch alles funktionierte. Damals gab es bei ipv6 noch KEINEN Eintrag. Allerdings weiss ich nicht, wann dies gewechselt hat. Bei der Sunrise-Hotline behauptete man, auf ihrer Seite hätte sich nichts geändert und es liege am NAS. Wobei die first-line-Dame sich zuerst weigerte, die second line zu fragen, obwohl sie nicht einmal wusste, was ein NAS ist. Die second line weigerte sich, direkt mit mir zu sprechen ....

 

[Fusion]

Die benutzerdefinierte Domain lauscht auf 443, du meinst du hast extern einen anderen Port auf intern 443 weitergeleitet?
Macht für mich nicht direkt Sinn, aber das ist ja egal.

Man muss bei Ipv6 eben umdenken. Ohne NAT66 gibt es keine Portweiterleitung, weil die Geräte schon eine globale IPv6 besitzen. Im Router bzw dessen Firewall gibt man nur noch Ports frei, dass der Router die Anfragen bis zum Ziel durchlässt. Damit ist interner und Externer Port aber identisch (eben nur offen oder zu). Deshalb ist es auch so ärgerlich, dass synology z.b. Drive Sync oder Hyper Backup fest auf 6690 und 6281 verdrahtet hat, für ipv6 muss man dann genau diese ports öffnen.

Deine spärlichen Angaben zu den Adressen kann ich jetzt nicht auseinander dröseln. Klar ist, ipv6 maximal aus 8 Blöcken a 4 hex Zeichen. Kurzschreibweisen für Nullen per Doppelpunkt etc. möglich. Die ersten vier definieren eine Art Netz ID und die zweiten vier einen Host (ausführlich bei Wikipedia zum nachlesen). Der Router delegiert Adressen nach innen. Teils sind dann aber nur die ersten 2 oder 3 Blöcke übereinstimmend mit anderen Geräten im LAN. Alles ok soweit. Spezialadressen mit fe80 oder fd01 z.b. sind nur lokale Adressen (vergleichbar mit 192.168.1.x z.b.).
Normal steht in der Firewallfreigabe des Router der hintere Teil (Host Teil / Interface ID) des Zielgeräts, aber das ist bei jedem Hersteller anders.

 

[enaef]

In den DSM-Einstellungen habe ich die DSM-Ports HTTP und HTTPS auf zwei vierstellige, relativ zufällig gewählte Nummern gesetzt (vorher im Netz geschaut, dass es nicht solche sind, die typischerweise für andere Anwendungen verwendet werden).
Diese Nummern habe ich im Router zur Weiterleitung freigegeben und in der NAS-Firewall habe ich die beiden Portnummern freigegeben für "Verwaltungsprogrammoberfläche, File Station, Audio Station, Surveillance Station, Download Station, CMS" (steht alles auf einer Linie dort).

Da scheine ich nun am Ende meiner Möglichkeiten angekommen zu sein. Ich habe die ganze Einrichtung damals mehr 'rezepthaft' aus Internetquellen übernommen, oft ohne wirklich voll zu durchblicken, was ich genau tue. Wie geschrieben ist das nicht mein Metier; ich komme aus dem Pflegebereich.
Vielleicht finde ich nach der Pensionierung (dauert aber noch ne gehörige Weile ...) genügend Zeit, mich damit auseinanderzusetzen ...

Herzlichen Dank auf jeden Fall für die Hilfe !