Zugriff mit iPhone auf Calendar per CalDAV schlägt fehl

NAS-Greenhorn

Benutzer
Mitglied seit
26. Aug 2012
Beiträge
80
Punkte für Reaktionen
2
Punkte
8
Hallo zusammen,

ich möchte gerne zukünftig die Calendar-Funktion der Synology nutzen.

Das Paket ist installiert und läuft, der Benutzer hat Zugriff darauf und über den Browser kann ich den Kalender auch aufrufen und Einträge erstellen.

Über das iPhone (iOS 14.3) habe ich dann versucht, einen CalDAV-Account hinzuzufügen, wie hier beschrieben:

https://www.synology.com/de-de/know...Sync_Synology_Calendar_with_CalDAV_Clients#t4
Als Server habe ich "http://192.168.xxx.x:5000/caldav/Benutzername" eingegeben, also mit der internen IP der Synology, sowie Benutzername und Passwort vom DNS-Benutzer.

Da die Synchronisierung ausschließlich im eigenen WLAN erfolgen soll, dürften Portfreigaben etc. keine Rolle spielen.

Es kommt immer die Fehlermeldung "Kalender-Account: CalDAV-Accountüberprüfung fehlgeschlagen". Wenn ich das http weglasse, meckert er noch wegen fehlendem Zertifikat und fragt ob ich wirklich ohne SSL machen möchte und gibt dann wieder die oben genannte Fehlermeldung.

Eigentlich habe ich alles gemacht, wie in der Synology-Anleitung und da gibt es ja auch nicht viel falsch zu machen, aber ohne Erfolg und ich weiß nicht mehr, wo ich noch schauen könnte.

Hat irgendwer von Euch noch eine Idee, welchen DAU-Fehler ich begangen habe?

VG Euer NAS-Greenhorn
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Mal mit https und 5001 probiert?
Vermute mal er will es halt sicher unter ios und am besten mit Zertifikat und passenden Domainnamen.
Aber vielleicht lässt er sich mit https und richtigem port ja überreden.
 

NAS-Greenhorn

Benutzer
Mitglied seit
26. Aug 2012
Beiträge
80
Punkte für Reaktionen
2
Punkte
8
Danke für die schnelle Antwort :)

Ja, habe ich, aber dann meckert er, dass SSL nicht überprüft werden kann, fragt ob ich ohne will und bringt dann wieder die Fehlermeldung. Also quasi derselbe Ablauf, wie wenn ich ohne http den Serverpfad eingebe.

Da ich kein SSL-Zertifikat habe und auch keines benötige, da die NAS ausschließlich im internen Netz angesprochen wird, hoffe ich mal auf eine andere Lösung. Und da er es bei vorangestelltem http auch gar nicht mit ssl versucht bzw. es selber ohne anbietet, müsste es ja eigentlich auch so gehen.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
LAN ist jetzt nicht unbedingt ein Argument gegen Transportverschlüsselung. :) aber anderes Thema.

Welche Adresse benutzt du, wenn du via Browser zugreifst?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Sicherlich hat der eingetragene Benutzer auch die nötigen Rechte?
 

NAS-Greenhorn

Benutzer
Mitglied seit
26. Aug 2012
Beiträge
80
Punkte für Reaktionen
2
Punkte
8
Ja, ansonsten könnte ich mich doch mit den Benutzerdaten ja auch nicht über den Browser auf Calender einwählen. Oder habe ich das falsch verstanden?
 

NAS-Greenhorn

Benutzer
Mitglied seit
26. Aug 2012
Beiträge
80
Punkte für Reaktionen
2
Punkte
8
Wenn ich den Calendar von der DSM-Oberfläche aufrufe nimmt er diese URL:

http://192.168.xxx.x:5000/?launchAp...aIdt2eU7dM#month/2021-01-14@nav_panel@by_list
Für den Direktaufruf habe ich als benutzerdefinierte Domain "kalender" vergeben, so dass ich ihn auch über "http://kalender" aufrufen kann.

Wenn ich den CalDAV-Link im Browser aufrufe, fragt er meine Benutzeranmeldung ab und dann kommt als Meldung "GET requests on collections are only supported for calendars."

Das hört sich für mich grundsätzlich so an, als wäre alles ok, nur das die Anfrage halt nicht von einem Browser sondern nur von den entsprechenden Kalender-Anwendungen akzeptiert wird.
 

NAS-Greenhorn

Benutzer
Mitglied seit
26. Aug 2012
Beiträge
80
Punkte für Reaktionen
2
Punkte
8
Hab mir jetzt auch mal ein Zertifikat von LE geholt und den Port 5001 in der Fritzbox freigegeben und jetzt funktioniert es, wenn ich als Server meine Synology.me-DDNS angebe. Am Benutzer kann es also definitiv nicht liegen.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Nein, du hast völlig Recht. Hatte ich übersehen... Sorry.
Ich selber nutze Android und mit dem angegebene Pfad von Synology ging es erst auch nicht. Mittlerweile alles gut, aber ich kann dir da sonst leider nicht helfen.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Nein, eher an iOS.
Jedenfalls ist gefühlt bei jedem zweiten ios oder osx Update was mit *dav.
Mal geht eine neue Kontoanlegung nicht, mal geht auch der schon verbundene Client nicht mehr.
Mit ssl und Domain geht es aber fast immer.

Seit lokaler DNS Server vorhanden mit pihole oder syno geht auch mit Domains alles lokal.

Die URLs hast du ja schon vorbildlich geprüft.

'kalender' hast du als benutzerdefinierte Domain unter Systemsteuerung > Anwendungsportal > Anwendungen > Kalender vergeben?
Geht es vielleicht per http(s)://kalender/caldav/benutzer(/)
Also 80/443 Ports.
Bzw. Je nachdem was dein lokales Netz ist auch Kalender.local oder Kalender.lan oder Kalender.fritz.box etc.
 

NAS-Greenhorn

Benutzer
Mitglied seit
26. Aug 2012
Beiträge
80
Punkte für Reaktionen
2
Punkte
8
Nein, hat leider auch nicht geklappt. Dann muss es wohl bei SSL bleiben.

Habe jetzt für den Kalender Port 5001 an die Synology weitergeleitet und https aktiviert. Kannst Du irgendeine Anleitung empfehlen, auf was ich achten muss, damit ich bestmöglich gegen Angriffe von außen geschützt bin?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Da du ja gar nicht von außen erreichbar sein willst kann die Empfehlung eigentlich nur lauten eine andere Lösung zu suchen.
Weil nur dafür Ports zu öffnen und dann auch noch 5001, was direkt schreit "huhu, ich bin eine Synology, greif mich an...", ist wohl die schlechteste Lösung, auch wenn sie funktioniert.
Vielleicht gibt es ja noch Apple-kundige die da Erfahrung beisteuern können.
Irgendwie muss man auch iOS beibiegen können, dass er mit selbst-signierten Zerts, oder IPs, etc nur lokal funktioniert.
Kann mir nicht vorstellen, dass das nicht irgendwie geht.
Aber wie gesagt, bin ich nicht der richtige dafür, da hab ich keine hunderte Stunden in Recherche gesteckt wie in anderen Bereichen.

Ich muss die Apfel nur bei meinen Eltern betreuen und die gehen von extern auf meine NAS hier.
Und dabei verwende ich nur Port 443 und eine benutzerdefinierte Domain ala termin.example.com (öffentlich, also nicht nur einen lokalen Hostnamen).
 

abrocksi

Benutzer
Mitglied seit
27. Dez 2013
Beiträge
250
Punkte für Reaktionen
81
Punkte
28
Hi zusammen,

Ich habe wirklich alle Konstellationen auf einem iphone und ipad durchgespielt: es geht nur mit https und gültigem Zertifikat!!! Und das gilt für Kalender und Kontakte.

Anders sieht es bei Clients wie Thunderbird & Co aus. Die akzeptieren noch http.

cheers,
abrocksi
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Nimmt er auch selbst signierte, wie das Standard synology.com, wenn du das entsprechend zuweist unter Systemsteuerung > Sicherheit > Zeritfikate > Konfigurieren?

Dann würde ich eher probieren mir mit einem lokalen DNS Server auf der DS oder ala Pihole zu helfen,
oder mir eines für den Hostnamen "kontakte" zu erstellen bevor ich nur dafür Ports für den Zugriff von außen öffne.

Oder falls du doch auf den Geschmack kommst die Lösung via 443 und benutzerdefinierter Domain und Lets Encrypt Zertifikat.
 

Jimmy the Cat

Benutzer
Mitglied seit
23. Jan 2021
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
Moin Ich hatte das gleich Problem. Ich nutze intern aber kein SSL und musste nur die ip ohne http oder Portnummer angeben. Hat geklappt.
 

heizungsflo

Benutzer
Mitglied seit
28. Jan 2021
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
Hallo,
ich bin neu hier, habe eine Frage zu Caldav und Cardav. Auf meiner DS2016 war bis vor 1 Woche die Synchronisierung der Kontakte und Kalender vom iphone, ipad und mac problemlos möglich. Ohne Änderung und Vorwarnung wurde ich auf allen 3 Geräten kürzlich aufgefordert die Passwörter neu einzugeben, obwohl ich keine Passwörter in der DS verändert habe. Nun kann ich das korrekte Passwort so oft eingeben wie ich will, auf keinen der Geräte wird das Passwort als korrekt erkannt und die Synchronisierung erfolgt. Ich habe nie das Passwort geändert... Hilfe.
 

NAS-Greenhorn

Benutzer
Mitglied seit
26. Aug 2012
Beiträge
80
Punkte für Reaktionen
2
Punkte
8
Vielleicht gibt es ja noch Apple-kundige die da Erfahrung beisteuern können.
Irgendwie muss man auch iOS beibiegen können, dass er mit selbst-signierten Zerts, oder IPs, etc nur lokal funktioniert.

Tja, sieht nicht so aus :-( Aber vielen Dank für Deine Hilfe bis hierhin :)

Ich muss die Apfel nur bei meinen Eltern betreuen und die gehen von extern auf meine NAS hier.
Und dabei verwende ich nur Port 443 und eine benutzerdefinierte Domain ala termin.example.com (öffentlich, also nicht nur einen lokalen Hostnamen).

Kannst Du irgendeine Anleitung im Netz empfehlen, worauf man bei der Freigabe alles achten muss?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Als erstes würde ich noch weiter Richtung Jimmy schauen, irgendwo muss ja ein Unterschied sein. Die Software schaut ja nicht wo sie gerade läuft und dass sie bei dir nicht will.

Aus dem Stand nicht. Hier im Forum läuft gerade eine Diskussion mit Matthieu wo am Ende sowas wie eine Handreichung raus kommt. Eine 'ich weiß nicht was ich tue, aber klicke trotzdem mal' Anleitung eher weniger.

Ansonsten paar Grundpunkte :
- nur https, port 443, tcp (let's encrypt braucht zeitweise port 80 zur Erneuerung, wenn man nicht synology.me verwendet)
- caldav über benutzerdefinierte Domain / reverse proxy (reverse proxy auch gern auf vorgelagertem Gerät (raspi/router...)
- Keine automatische Portfreigabe via upnp für kein Gerät
- mind. Firewall der DS von extern nur 443 für IP aus DE, möglichst restriktiv (oder auf dem Router, wenn es ein besserer ist als eine Fritzbox)
- 2-3 fehlerhafte Anmeldungen > IP blockieren
- mindestens admin Benutzer mit starken Passwörtern und 2-Faktor-Auth

Falls ich was vergessen habe ergänzt es hoffentlich jemand anderes.
 

NAS-Greenhorn

Benutzer
Mitglied seit
26. Aug 2012
Beiträge
80
Punkte für Reaktionen
2
Punkte
8
Habe die Antwort hier von Dir aus einem Thread ausgegraben:
Solltest du die aktuelle Firmware 6.51 installiert haben gehst du einfach unter Heimnetz > Heimnetzübersicht > Netzwerkeinstellungen.
Auf der Seite ganz nach unten und bei DNS-Rebind-Schutz trägst du deine dynDNS Adresse in der FQDN Form ein: dyndns.domain.tld
Damit wird eine Ausnahme definiert, dass Anfragen die aus dem lokalen Netz an den Router kommen und auf dessen öffentlich IP zurück verweisen nicht verworfen werden, sondern wieder ins LAN an das entsprechende Ziel geleitet werden.

Nach Eintrag meiner DynDNS als Ausnahme klappt jetzt die Synchronisation mit dem LetsCryptIt-Zertifikat für die DynDNS-Adresse innerhalb des Netzwerks ohne Portfreigabe. Die habe ich jetzt erstmal bei der Fritzbox wiede rgelöscht. Ich musste dann lediglich noch beim iPhone alles mit DynDNS einrichten, aber ohne Portangabe.

Also quasi von hinten durch die Brust ins Auge, aber solange es klappt, will ich mich nicht beschweren.

Als erstes würde ich noch weiter Richtung Jimmy schauen, irgendwo muss ja ein Unterschied sein. Die Software schaut ja nicht wo sie gerade läuft und dass sie bei dir nicht will.

Ja, da warte ich mal ab, was er schreibt.

Ansonsten paar Grundpunkte: ...

Danke dafür :)
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat