Photo Station Zugriff von außerhalb auf die Photo Station

greydutch

Benutzer
Mitglied seit
07. Feb 2009
Beiträge
65
Punkte für Reaktionen
1
Punkte
8
Guten Tag,

ich bin neulich von einer Synology 213+ auf eine Synology 220+ umgestiegen. Die Umstellung hat gut geklappt, bis auf eine Sache: es gelingt mir partout nicht von außerhalb auf die Photo Station zuzugreifen.

Ich habe eine Fritzbox 7490 und habe dort eine eigene DDNS Adresse (ddns.xxxxx.xx) hinterlegt. Mit Filezilla (SFTP) und z.B. auch mit der DS Audio App und der DS File App (für Android) funktioniert der Zugriff von außerhalb auf die 220+ damit problemlos.

Für die Portweiterleitung in der Fritzbox habe ich für die Photo Station "Port an Gerät 443 bis Port 443" eingetragen, und bei "Port extern gewünscht (IPv4)" eine fünfstellige Zahl, sagen wir: 51958.

Bei den Einstellungen der Photo Station 6 habe ich bei Hostname "ddns.xxxxx.xx" (meine Domain) eingetragen und bei HTTP die fünfstellige Zahl 51958 (und versuchsweise auch mal die 443).

Ich bekomme aber immer eine Fehlermeldung: die IP Adresse sei falsch.

Garantiert mache ich einen Denkfehler (das Thema Portweiterleitung finde ich recht kompliziert), aber ich komme nicht drauf.

Hat jemand eine Idee?

Vielen herzlichen Dank!
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.842
Punkte für Reaktionen
3.775
Punkte
468

greydutch

Benutzer
Mitglied seit
07. Feb 2009
Beiträge
65
Punkte für Reaktionen
1
Punkte
8
Guten Tag Benares,

vielen Dank für die schnelle Rückmeldung! Ja, ich habe die Einstellung mit /photo auch versucht, da kam aber die gleiche Fehlermeldung. Ich kann ergänzend noch sagen, dass ich bei den Photo Station Einstellungen unter Kontosystem sowohl DSM-Konten als auch Photo Station-Konten ausprobiert habe und dass ich HTTP-Verbindungen automatisch zu HTTPS umleiten aktiviert habe. Das hat aber alles leider nichts gebracht. Hast du vielleicht noch eine Idee? Besten Dank.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.842
Punkte für Reaktionen
3.775
Punkte
468
Also bei mir klappt es mit Weiterleitung von Port 443 auf die DS und Zugriff über https://ddns.xxxxx.xx/photo einwandfrei.
In der Photo Station habe ich nichts spezielles eingestellt. M. E. betreffen die Einstellung von Domain/Ports auch nur die Links, die die Photo Station für Freigaben erstellt.
 
  • Like
Reaktionen: ottosykora

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.882
Punkte für Reaktionen
1.156
Punkte
288
lass diese ganzen Port Einstellungen in der Photo Station weg. Dort brauchst du nichts einzutragen.

Wenn du einen anderen Port als 443 von aussen haben willst, dann musst du in deinem Router den Port 51958 auf Port 443 weiterleiten.
Dann wird es gehen so wie Benares vorgeschlagen hat mit https://ddns.xxxxx.xx:51958/photo

Die Einstellungen in der Phtoto Station haben auf die normale Erreichbarkeit von aussen keinen direkten Einfluss.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Genau, die Einstellungen in der Photo Station sind nur dafür da, dass generierte Links zu freigegebenen Bildern und Alben so gestaltet sind, dass sie auch von extern erreichbar sind.
Es ist praktisch die Mitteilung vom Benutzer an die DS welche externen Ports und Domainnamen zur Link Generierung zu verwenden sind.
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.951
Punkte für Reaktionen
1.269
Punkte
194
Da Du ja schon vorher eine DS hattest: daß die PhotoStation ihr eigenes Benutzermanagement hat, hast Du natürlich berücksichtigt, und dort in den Einstellungen den Benutzer auch freigegeben? Ist mir nämlich beim letzten Umstieg passiert, daß ich nicht alle externen Nutzer in der Photostation freigeschaltet hatte, sondern nur im allgemeinen DSM Zugang.
 

greydutch

Benutzer
Mitglied seit
07. Feb 2009
Beiträge
65
Punkte für Reaktionen
1
Punkte
8
ok, ich habe die Einstellungen zur Portfreigabe wieder herausgenommen. Und ja, Stationary, ich hatte die Photo Station Benutzern tatsächlich schon freigegeben.

Ich habe dann mal versucht, die Adresse "http:s//ddns.xxxxx.xx:5198/photo in meinem Browser am Rechner einzugeben (statt in der Android App) und da kam dann die Meldung, dass die Site gefährlich sei ("potential security risk"). Das betrifft wohl ein Gebiet, wo ich mich noch weniger auskenne: Zertifikate! Firefox beanstandet, dass es für die Website ddns.xxxxx.xx kein Zertifikat gibt. Ich habe zwar unter synology.me ein Zertifikat angelegt (greydutch.synology,me), das aber nicht für die Photo Station gültig ist. Meine ddns-Adresse habe ich bei einem Fremdanbieter (da, wo ich mein Blog untergebracht habe) und es ist offenbar nicht möglich, ein Let's Encrypt Zertifikat von dort für die Synology aubzurufen. Ich müsste DSM also dazu bringen, das Synology Zertifikat auch für die Photo Station zu akzeptieren. Aber bei Sicherheit > Zertifikat > Konfigurieren kann ich das nicht einstellen.
Vielleicht bin ich aber auch völlig auf dem Holzweg??!!

Ich hoffe dennoch, ich konnte das veränderte Problem einigermaßen verständlich erklären. Vielleicht hat jemand eine Lösung? Vielen Dank.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.882
Punkte für Reaktionen
1.156
Punkte
288
also versuch es zuerst mal ohne ssl, also nur http. Damit kannst du zuerst testen ob die Verbindung wirklich klappt und deine PS erscheint.

Zertifikat: ist das ein Lets Encrypt Zertikat?

Oder hast du einen selbstsignierten erstellt?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.842
Punkte für Reaktionen
3.775
Punkte
468
Wenn einen Zertifikats-Warnung kommt, dann klick mal im Browser auf das Schloss links neben der URL und lasse dir die Eigenschaften des Zertifikats anzeigen.
Wichtig ist, dass der in der URL verwendete Host-Name in der Liste der der "Alternative Antragstellername" enthalten ist. Nur für diesen Namen ist das Zertifikat gültig.

Hier als Beispiel mal die Info des Zertifikats hier vom Forum:

1610485875519.png
 

greydutch

Benutzer
Mitglied seit
07. Feb 2009
Beiträge
65
Punkte für Reaktionen
1
Punkte
8
Hallo Ottosykora,

danke für die Antwort. Wenn ich http://ddns.xxxxx.xx:51958/photo eingebe, kommt eine Meldung, dass die Seite nicht gefunden wurde ("Sorry, the page you are looking for is not found").

Das Zertifikat, das es auf meiner Synology gibt (greydutch.synology.me) ist wohl ein Let's Encrypt Zertifikat, ich hatte es im Menüpunkt Systemsteuerung > Sicherheit > Zertifikat > Abrufen von Let's Encrypt erstellt. Dieses Zertifikat gilt nicht für die Photo Station (warum auch immer). Wenn ich nun versuche ein neues Let's Encryp Zertifikat zu erstellen, und dabei meinen Domainnamen xxxxx.xx eingebe kommt immer eine Fehlermeldung ("Zertifikat konnte nicht abgerufen werden"). Ich habe bei meinem Provider nachgefragt, der mir erklärt hat, dass ich ein Zertifikat für Synology dort auch anlegen muss. Aber wie soll ich das anstellen? Man kann dort keinen eigenen Domainnamen eintragen.

Ich habe nun einmal ddns.xxxx.xx in meiner Fritzbox hinterlegt, und das funktioniert bei den anderen Android Apps (DS File, DS Notes, und auch Filezilla für SFTP ja auch. Ich habe bei: Externer Zugriff > DDNS nichts hinterlegt, da das ja bereits über meinen Router (Fritzbox 7490 läuft). Mache ich hier einen Denkfehler? Ich blicke gerade nicht wirklich mehr durch.

Vielen Dank.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.882
Punkte für Reaktionen
1.156
Punkte
288
Wenn ich http://ddns.xxxxx.xx:51958/photo eingebe, kommt eine Meldung, dass die Seite nicht gefunden wurde ("Sorry, the page you are looking for is not found").

ach ja, mit dem http alleine wird es nicht gehen, du hast alle nur zu 443 geleitet, da müsste noch 80 her.
sorry, mein Fehler

Das Zertifikat, das es auf meiner Synology gibt (greydutch.synology.me) ist wohl ein Let's Encrypt Zertifikat, ich hatte es im Menüpunkt Systemsteuerung > Sicherheit > Zertifikat > Abrufen von Let's Encrypt erstellt. Dieses Zertifikat gilt nicht für die Photo Station (warum auch immer).

wie von Benares erklärt, musst du die DS so aufrufen was in dem Zertifikat steht.
Du hast einen LE erstellt, weiter sollte nichts fehlen.
Dieser ist nun 3 Monate gültig, dann musst du schauen dass es erneuert wird vor Ablauf. Dazu müsstest du aber dann Port 80 zu deiner DS durchleiten, sonst findet dich LE nicht.
Ein Zertifikat welches als default markiert ist, wird auch Photo Station bedienen, die braucht nichts besonderes, es ist ein Aufruf eines Webservers und /photo nur der Unterordner


Ich habe nun einmal ddns.xxxx.xx in meiner Fritzbox hinterlegt, und das funktioniert bei den anderen Android Apps (DS File, DS Notes, und auch Filezilla für SFTP ja auch. Ich habe bei: Externer Zugriff > DDNS nichts hinterlegt, da das ja bereits über meinen Router (Fritzbox 7490 läuft). Mache ich hier einen Denkfehler? Ich blicke gerade nicht wirklich mehr durch.
nein, kein Denkfehler.
Viele der Profis hier würden sogar sagen das soll so sein, auch wenn es grundsätzlich egal ist wer den DDNS Updater spielt.
Zeitweise hatte ich sogar ein altes Android und einen DDNS Client drauf und das hat auch finktioniert.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.842
Punkte für Reaktionen
3.775
Punkte
468
Hallo graydutch,

für den Remote-Zugriff brauchst du im Prinzip 3 Dinge, die zunächst mal völlig unabhängig voneinander sind, aber aufeinander aufbauen:
  1. Eine DynDNS-Domain (ddns.xxxx.xx), die der täglichen wechselnden externen IP deines Heimnetzes wenigstens einen festen Namen verpasst. Es ist völlig egal, ob der Router oder die DS bei einem Wechsel der IP das Update der Zuordnung übernimmt, Hauptsache ein "nslookup ddns.xxxx.xx" löst möglichst zeitnah die geänderte IP wieder richtig auf. Der Router ist daher i.d.R. besser geeignet, da er als erstes etwas von dem IP-Wechsel mitbekommt.

  2. Um eingehende Verbindungsversuche von extern an die richtigen Geräte/Dienste weiterzuleiten braucht man Portweiterleitungen im Router. Die Standardports für Web-Dienste sind 80 für http und 443 für https (verschlüsselt). Werden diese Standardports nicht verwendet, muss man dies in der URL explizit mit angeben. http://ddns.xxxxx.xx entspricht daher http://ddns.xxxxx.xx:80 und https://ddns.xxxxx.xx entspricht https://ddns.xxxxx.xx:443. Protokoll und Port müssen aber zusammenpassen, d.h., du kannst nicht http zu einem https-Server senden und umgekehrt.

  3. Als letztes brauchst du für https-Zugriffe auch noch ein Zertifikat. Dieses muss auf einen (oder mehrere) Namen (z.B. ddns.xxxx.xx) ausgestellt sein (s. #10) und von einer "vertrauenswürdigen" Zertifizierungsstelle (z.B. Let's Encrypt) zertifiziert sein. Einen Sonderfall bilden die Self-Signed-Zertifikate. Hierfür muss dem Browser aber extra sagen, dass die enthaltene Zertifizierungsstelle (man selbst) vertrauenswürdig ist. Die öffentlichen Zertifizierungsstellen kennen die Browser bereits (s. certmgr.msc).
Erst wenn all das zusammenpasst klappt auch der Zugriff über z.B. https://ddns.xxxxx.xx/photo.

Du solltest daher zunächst erstmal Port 80 und 443 1:1 an die DS weiterleiten und erstmal schauen, dass http://ddns.xxxxx.xx/photo richtig funktioniert. Dann kannst du dich um das Zertifikat kümmern bis auch https://ddns.xxxxx.xx/photo funktioniert. Am Ende solltest du aber Port 80 aber wieder sperren.

Erst wenn das alles funktioniert, kannst du dir dann überlegen, ob du auch noch auf Nicht-Standard-Ports ausweichen möchtest und z.B. statt 443 den Port 51958 auf Port 443 der DS weiterzuleiten. Dann musst du aber mit https://ddns.xxxxx.xx:51958/photo zugreifen.
 
  • Like
Reaktionen: ottosykora

greydutch

Benutzer
Mitglied seit
07. Feb 2009
Beiträge
65
Punkte für Reaktionen
1
Punkte
8
Hallo Benares,

vielen herzlichen Dank für deie ausführliche Antwort, die ich sehr genau gelesen habe.

Dazu folgende Bemerkungen meinerseits:

1. Ich hatte bereits eine DDNS-Domain (nach dem Schema: ddns.xxxxx.xx), und den Domainnamen habe ich in meinem Router (Fritzbox 7490) auch so eingetragen. Im Prinzip funktioniert das ja auch, denn ich kann z.B. mit der Android App "DS File" unterwegs problemlos auf die File Station zugreifen. Und mein Bruder im Ausland hat mit dem File Client Filezilla Zugriff auf von mir freigegebene Ordner (über SFTP).

2. Ich habe gemäß deiner Empfehlung die Standardportnummer im Router vorübergehend wieder aktiviert (also 80 für unverschlüsselt und 443 für verschlüsselt). Wenn ich daan im Browser folgendes eingebe: ddns.xxxx.xx/photo kommt erneut die Fehlermeldung "Sorry, the page you are looking for is not found".

3. Wenn ich vom Rechner zuhause z.B. Port 51965 ansteuere (hatte ich für WebDav eingestellt) kommt zwar keine Fehlermeldung, aber eine Warnung: "Potential Security Risk Ahead". Der Grund dafür ist wohl (wenn ich es richtig verstanden habe), dass das Zertifikat nicht übereinstimmt mit dem Domainnamen. Das leuchtet mir ein, denn das Zertifikat habe ich über Synology DSM erstellt (wurde für SFTP benötigt) und meine Domain ist bei einem Fremdprovider registriert. Dieses Zertifikat ist offenbar gültig für mehrere Freigaben (z.B. WebDav Server, Note Station), aber eben nicht für die Photo Station. Ändern kann ich hier nichts.

Es steht ja deutlich oben im Zertifikat:
"Unable to communicate securely with peer: requested domain name does not match the server's certificate".

Das Problem ist, dass mein Provider mir erklärt hat, dass ich ein Zertifikat für eine Synology Freigabe dort beantragen muss, was ich ja auch getan habe (über Sicherheit > Zertifikat > hinzufügen). Andererseits habe ich nunmal meine Domain als DDNS im Router eingerichtet. Und beim Erstellen eines neuen Let's Encrypts Zertifikats wird man aufgefordert einen Domainnamen einzugeben: wenn ich dann meinen eingebe (ddns.xxxxx.xx) kommt immer eine Fehlermeldung.

Das ist jetzt leider etwas langatmig geworden, Entschuldigung dafür. Aber ich habe keine Ahnung, wie ich diese Problem lösen kann. Mir fehlt dafür einfach das nötige Wissen.

Vielen Dank!
 

Anhänge

  • syno1.pdf
    73,1 KB · Aufrufe: 3
  • syno2.pdf
    65,5 KB · Aufrufe: 3

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.842
Punkte für Reaktionen
3.775
Punkte
468
"Unable to communicate securely with peer: requested domain name does not match the server's certificate"

Wenn du mit IP-Adressen in der URL arbeitest ist das normal. Das Zertifikat ist nun mal für ddns.xxxxx.xx ausgestellt und nicht für die IP (s. #10).
Warum du mit http://ddns.xxxx.xx/photo nicht draufkommst, wenn Port 80 extern an Port 80 der DS weitergeleitet ist, verstehe ich allerdings nicht.
http://192.168.178.36/photo lokal funktioniert aber?
Lösche auch mal die Cookies im Browser. Wenn da irgendwo HSTS aktiviert war, merkt sich der Browser das und verbindet mit https obwohl du http sagst. Auch "HTTP-Verbindungen automatisch zu HTTPS umleiten" (s. #3) kann eine Falle sein, solange mit den Zertifikat noch etwas nicht stimmt.
 

greydutch

Benutzer
Mitglied seit
07. Feb 2009
Beiträge
65
Punkte für Reaktionen
1
Punkte
8
Hallo Benares,
ja, einloggen mit der Adresse http://192.168.178.36/photo geht.

Ich habe dann mal einen anderen Browser genommen und versucht, mich dort mit der ddns Adresse anzumelden. Da kam prompt wieder die Warnmeldung.

Die Tatsache, dass ich mit der Android App "DS File" von außerhalb die File Station erreiche, bedeutet doch an sich, dass meine ddns Domaine funktioniert. Nur nicht bei der Photo Station. Und das liegt offenbar daran, dass das Zertifikat, das für "greydutch.synology.me" ausgestellt sich für den Zugriff auf die Photo Station sich nicht mit dieser Domaine verträgt. Wie gesagt, die Photo Station taucht nicht auf, wenn ich unter Sicherheit > Zertifikat > Konfigurieren bei den Diensten nachschaue. Ich denke, ich muss die Geschichte wohl aufgeben. Vielen Dank für die Hilfe!
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.842
Punkte für Reaktionen
3.775
Punkte
468
Wenn du über http://ddns.xxxx.xx/photo zugreifst sind gar keine Zertifikate mit im Spiel. Deshalb auch mein Vorschlag, das Ganze systematisch anzugehen. Schick mir mal die realen Daten per Unterhaltung. Dann kann ich dir sagen was ich von außen real "sehe".
greydutch.synology.me löst momentan auf 93.202.231.81 auf, aber http://greydutch.synology.me (also Port 80) ist nicht erreichbar.
https://greydutch.synology.me (also Port 443) führt mich momentan zum DSM-Login https://greydutch.synology.me:51979/, also ist da irgendwo noch eine Umleitung aktiv. Das Zertifikat (LE) ist gültig und wurde heute ausgestellt für greydutch.synology.me.

Und (tatah (y) ) https://greydutch.synology.me/photo führt mich zum Login deiner PhotoStation mit gültigem Zertifikat.
 
Zuletzt bearbeitet:

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.951
Punkte für Reaktionen
1.269
Punkte
194

greydutch

Benutzer
Mitglied seit
07. Feb 2009
Beiträge
65
Punkte für Reaktionen
1
Punkte
8
Hallo Benares,

danke, dass du dir so viel Mühe machst! Mir war gar nicht bewußt, dass man jetzt über "greydutch.synology.me"zugriff auf meine Photo Station hat. Ich habe diese Adresse nur eingerichtet, um ein Zertifikat erstellen zu können. Ich dachte, der Zugang läuft ausschließlich über den Router! Jetzt habe ich also offensichtlich 2 x einen DDNS Eingang: im Router und auf der NAS. Das zeigt nur, dass ich zu wenig Ahnung von dieser Materie habe. ICh schicke dir gleich eine Nachricht, und gib dir meine Router-DDNS bekannt. Danke.
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.951
Punkte für Reaktionen
1.269
Punkte
194
greydutch.synology.me"zugriff auf meine Photo Station hat
Nicht nur auf die Photostation. Laß’ das /photo weg Und Du bist direkt auf dem Login-Fenster Deiner DS220. Ich würde Dir empfehlen, falls möglich einen neuen Namen zu generieren.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat