DS File geht - Webdav nicht. Wer kann mir helfen?

[pagru]

Hallo

"Unerwarteter Netzwerkfehler"
Meine NAS ist wunderbar extern erreichbar, über die App DS File, über die DSM im Netz nur nicht über Webdav mit einem Netzlaufwerk im Windows Explorer.

. Der verschlüsselte Port 5006 ist offen für Webdav.
. Die Firewall ist offen, Zugang überall erlaubt.
. Berechtigung zum Webdav haben alle Benutzer
. Webdav ist aktiviert unter den Einstellungen

Jedesmal wenn ich im Windows Explorer ein Netzlaufwerk von extern hinzufügen will, mit meinem Namen https://xxxx.synology.me:5006 muss ich Benutzer und Passwort eingeben, nachher erscheint eine Fehlermeldung: Unerwarteter Netzwerkfehler. Warum? In welchem Schritt liegt das Problem? Über Netdrive hab ich auch keinen Zugriff.

Wer hilft? Wer kann es mir einrichten?
Danke!

 

[pagru]

weiss jemand was?

 

[luddi]

Hallo,

welche Version von Windows verwendest du?
Meine Vermutung ist, dass es an der Zertifikatsprüfung liegt die Windows durchführt. Ich hatte auch die gleiche Erkenntnis unter Windows 7 gemacht. Nach dem import des Zertifikats im Zertifikatmanager "certmgr.msc" hat es nach der user-password Abfrage auch sofort funktioniert.

Gruß
luddi

 

[pagru]

Hi luddi

Danke für deine Antwort. Ich besitze Windows 7 und habe genau auch das Gefühl, dass es mit dem Zertifikat nicht richtig funktioniert. Wobei ich dieses exportiert habe bei Synology (welches die DS generiert) und dann installiert habe - ich bin da Anfänger, vielleicht hab ich was falsch gemacht. Was sollte ich tun?

 

[luddi]

Hi,

nach dem export des Zertifikats aus dem Diskstation Manager bekommst du folgende Dateien:
a.) ca.crt; b.) ca.key; c.) server-ca.crt; d.) server.crt; e.) server.key
Nun musst du das Stammzertifikat ca.crt folgendermaßen importieren.
Öffne den Zertifikatmanager (certmgr.msc) und wähle in dem Spaltenbrowser links die Kategorie "Vertrauenswürdige Stammzertifizierungsstellen->Zertifikate" (siehe Bild im Anhang). Jetzt über das Menü "Action->All Tasks->Import" wählen und den Pfad zu der Datei "ca.crt" angeben.
Wenn der Import erfolgreich abgeschlossen ist sollte das Zertifikat nun in der Liste auftauchen (vermutlich unter dem Namen "Synology").
Jetzt sollte auch bei der Erstellung einer WebDAVs Verbindung (über https, port 5006) mit dem Windows Datei Explorer nichts mehr im Wege stehen.




Ich hoffe du hast damit Erfolg.

Gruß
luddi

 

[pagru]

Hallo luddi
Danke dir für den Tipp. Soweit bin ich gekommen und es noch immer nicht geklappt. Der Windows Explorer stellt unter Windows 7 jeweils eine Verbindung auf den https://xxx.myds.me:5006 her, fragt nach Benutzer und kennwort, ich gebe beide Sachen ein, tippe auf OK. Dann erlischt die Lasche und es stellt während zwei Sekunden die Verbindung her, und nachher kommt dieselbe Lasche zum Anmelden wieder. Und dann sollte ich wiederum Benutzer und Passwort eingeben. Mache ich das ein zweites Mal, gehts wieder nicht und die Lasche kommt zum Anmelden noch ein drittes Mal. Gebe ich wiederum ein, heisst es nach dem 3. Mal "Unerwarteter Netzwerkfehler". Da stehe ich am Berg!
Zertifikat ist importiert, genau nach deinen Angaben. Übrigens gehts auch mit dem Netdrive Programm nicht. Port 5001 und 5006 ist offen, Benutzer haben alle Rechte.
Mir ist das ein Rätsel. Warum nur so?
Grüsse

 

[luddi]

Hallo,

ich glaube nun zu wissen woran das liegt.
Du hast zwar das Zertifikat richtig importiert aber du bekommst dennoch die Fehlermeldung nach dreimaliger Eingabe des Benutzer/Passwort.

Das Problem ist folgendes:
Du verwendest das "default" Zertifikat welches in deinem Synology System schon vorhanden ist.
Versuchst du nun von deinem Betriebssystem (in deinem Fall Windows 7) eine Verbindung zu deinem Server aufzubauen, wird der Zertifikatmanager nun ein entsprechendes Zertifikat in der Datenbank suchen welches zu der aufgerufenen Domain passt.
Ist die Adresse wie in deinem Fall beschrieben "https://xxxx.synology.me:5006", sucht der Zertifikatmanager nach der Domain "xxxx.synology.me" in der Datenbank. Da diese aber mit keinem deiner Zertifikate (Inhalt von certmgr.msc->Vertrauenswürdige Stammzertifizierungsstellen) verknüpft ist (auch nicht mit dem default Zertifkat ca.crt von Synology) wird auch der Zertifikatmanager nicht das richtige Zertifikat zuordnen können.
An dieser Stelle ist das Betriebssystem (Windows 7) so restriktiv dass es nicht zulässt ein Zertifikat für die Verbindung auszuwählen oder explizit danach zu fragen.

Das habe ich anhand eines Beispiels versucht darzustellen:
a.) hier wird versucht die Verbindung direkt über die IP_ADRESSE herzustellen -> "https://WAN_IP_ADRESSE:5006/FREIGABE"
b.) in diesem Fall wird versucht die Verbindung über eine Domain herzustellen -> "https://xxx.myds.me:5006/FREIGABE"

Versucht man nun wie unter a.) das Netzlaufwerk über WebDAV zu mounten, erhält man wie bei dir beschrieben nach dreimaliger Eingabe der Benutzerdaten eine Fehlermeldung. Dies passiert weil der Zertifikatmanager zu der IP Adresse kein entsprechendes Zertifikat zuordnen kann.



Versucht man den Verbindungsaufbau wie unter b.) angegeben, dann prüft der Zertifikatmanager ob es zu der Domain ein Zertifikat gibt in dem die Domain vorhanden ist. In meinem Fall geht das hier auch gut, da ich zu meiner Domain ein selbst erstelltes Zertifikat verwende und die Domain dort auch eingetragen ist. Das Ergebnis siehst du unten in den Bildern.
Es ist aber auch möglich dem Zertifikat mehrere SAN´s (Subject Alternative Names) zuzuordnen. Somit ist es auch möglich über verschiedene Domains oder IP Adressen auf den Server zuzugreifen da der Zertifikatmanager diese auch einem bestimmten Zertifikat zuordnen kann.






Beste Grüße
luddi

 

[pagru]

Danke für die Info. Ich hab mal ganz easy ein Zertifikat erstellt und habe in der Synology DS die Felder mal ausgefüllt. Und siehe da, das erstelle Zertifikat importiert und die Webdav Verbindung hat funktioniert.
Nur hab ich bemerkt, dass in deiner erstellen Verbindung im Explorer am Schluss @SSL@5006 steht. Ich habe lediglich die Verbindung im Zertifikat so definiert: https://xxx.synology.me:5006
Das steht bei mir nicht so wie bei dir mit SSL und 5006. Geht das auch so? Oder was muss ich zwingend noch beim Erstellen des Zertifikates beachten?

 

[luddi]

Hi pagru,

das hört sich doch schon vielversprechend an.

Es gibt nun zwei Möglichkeiten ein Zertifikat für dein Synology System zu erstellen.

a.) du verwendest diese Anleitung http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats

oder die einfachere und schnellere Methode

b.) über DSM
Im DSM findet man unter (DSM 4.3 "Systemsteuerung->DSM Einstellungen->Zertifikat") oder (DSM 5.0 "Systemsteuerung->Sicherheit->Zertifikat") den Button "Zertifikat erstellen". Dieses füllst du wie folgt in dem Bild beschrieben aus.
Man wird hier gezwungen alle Felder auszufüllen. Wichtig sind jedoch nur "Common name" UND "Subject Alternative Name".

Zuerst wählt man "Create self-signed certificate"



Anschließend füllt man die Felder wie folgt aus, wobei "bla" nur als Platzhalter dient und kann willkürlich ausgefüllt werden.
Die in rot markierten Felder sind wichtig! Die in orange müssen zwar ausgefüllt sein, aber tragen zur Funktion der Zertifikatprüfung nicht bei. Diese sind lediglich Informationen für Dritte denen du das Zertifikat "ca.crt" aushändigst.

Unter "Common name" UND "Subject Alternative Name" ist exakt folgendes einzutragen: xxxx.synology.me -> welches der Domain entspricht unter welcher du deine Synology erreichen möchtest. Wahlweise kannst du unter "Subject Alternative Name" mehrere Domains durch Semikolon getrennt eintragen.
Hinweis: Eigentlich sollte nur die Angabe unter "Common name" ausreichen. Jedoch habe ich persönlich die Erfahrung gemacht dass ein von mir verwendeter Browser (ich glaube soweit mich erinnern zu können, Firefox gewesen ist) dies allein nicht akzeptiert hat. Deshalb solltest du den Eintrag gleich bei beiden Feldern vornehmen.





Was den Namen des Netzlaufwerks betrifft (@SSL@5006) kann ich nichts dazu sagen. Wie Windows den Namen generiert habe ich mich nicht beschäftigt. Nun hoffe ich, dir etwas weitergeholfen zu haben und du auch erfolgreich von außerhalb die WebDAV Verbindung via https direkt im Windows Explorer nutzen kannst.

Zusätzlich kannst du nun das von dir erstellte Zertifikat auch für alle anderen SSL Verbindungen verwenden, da die Domain die du aufrufst immer xxxx.synology.me sein wird. Unabhängig von Port oder Freigabeverzeichnis.
Verwendest du im Browser den Zugriff auf die DSM Oberfläche "https://xxxx.synology.me:5001" (default Port für DSM https Verbindungen) oder wie hier schon mit WebDAV beschrieben "https://xxxx.synology.me:5006/FREIGABE" oder auch den Zugriff auf den eigenen Webserver "https://xxxx.synology.me/MY_PERSONAL_WEBPAGE" wirst du mit deinem selbst erstellten Zertifikat prüfen, ob die Antwort auch tatsächlich von dem zu erreichenden Server kommt.

Mit freundlichen Grüßen
luddi

 

[pagru]

Tausend Dank! Das ist ein grossartiger Dienst von dir! Genau diese Ausführlichkeit bräuchte ich dauernd. Auch für weitere Schwierigkeiten, die noch auf meiner Pendenzenliste stehen! Super so! Es funktioniert und wird in den nächsten Tagen noch weiter reichlich getestet.

 

[Pulpi]

Wenn man das Zertifikat selbst erstellt (wie unter b.) beschrieben) dann muss das Zertifikat aber immer im Browser importiert werden, damit man Zugriff auf die DS erhält? Wenn man quasi von einem Freund aus mit einem Browser der nicht das Zertifikat besitzt sich verbinden will hat man keine Chance, sehe ich das richtig?

 

[luddi]

Nein! Man bekommt über den Browser Zugriff mit der Ausnahme dass eine Warnmeldung erscheint. Diese Sicherheitswarnung kann man ignorieren indem man sie als Ausnahme (temporär oder permanent, auch je nach Browser abhängig) bestätigt. Somit wird man dennoch Zugriff auf z.B. DSM, Webserver etc. (alle Dienste die über den Browser erreichbar sind) bekommen.
Die 2 Bilder zeigen die Warnmeldungen der bekannten Browser, Firefox und Internet Explorer.





Wie ich schon in einer der anderen Antworten geschrieben habe:

An dieser Stelle ist das Betriebssystem (Windows 7) so restriktiv dass es nicht zulässt ein Zertifikat für die Verbindung auszuwählen oder explizit danach zu fragen.

Bei dem Verbindungsaufbau mit dem Datei Explorer prüft Windows ob das Zertifikat vorhanden ist. Wenn nicht dann lässt es auch keine Verbindung zu. Bei der Handhabung mit dem Browser kann man die Warnmeldung wie schon erwähnt ignorieren (bestätigen).
Die Zertifikatprüfung dient lediglich dazu um sicherzustellen dass man auch auf dem Server landet zu dem man tatsächlich eine Verbindung aufbauen möchte. Es ist in der Regel nicht zwingend notwendig das Zertifikat (CA: certificate authority) zu besitzen und es im System importiert zu haben um Zugriff auf einen Server zu bekommen.

Das Verhalten in dem speziellen Fall unter Windows 7 für WebDAV Verbindungen lässt daraus schließen dass ein Zertifikat für die Verbindung zwingend ist. Dies ist aber allgemein nicht der Fall.

luddi

 

[Pulpi]

Wenn ich unter "Common Name" bei Root Zertifikat und Zertifikat dieselbe Dyndns-Adresse angebe kommt immer die folgende Fehlermeldung:

 

[luddi]

Die Antwort auf deine Frage findest du in diesem bereits existierenden Beitrag (erstellt am 14.02.2014): http://www.synology-forum.de/showth...-DSM-Oberfl%E4che-ich-komme-nicht-mehr-weiter

Zudem schrieb ich nämlich vorher folgendes:

..... Wichtig sind jedoch nur "Common name" UND "Subject Alternative Name".

und...

Unter "Common name" UND "Subject Alternative Name" ist exakt folgendes einzutragen: xxxx.synology.me ........

Damit ist nicht gemeint dass unter Root-Zertifikat "Comman Name" und bei Zertifikat erstellen "Comman Name" jeweils deine domain eingetragen werden muss, sondern einmal bei "Common Name" und das andere mal bei "Subject Alternative Name" unter Zertifikat erstellen (unter DSM 5.0 somit erst auf der 2. Seite).

Genau wie es in dem verlinkten Beitrag von user "rolandl" in Antwort #3 beschrieben ist.

[Seite 1]
Comman Name: Name der Diskstation
EMail: meine eigene E-Mail Adresse
Land: [DE] Deutschland
Staat/Provinz: NRW
Stadt: meine Stadt
Organisation: Mein Nachnamen
Abteilung: privat

auf der nachfolgenden Seite nach "weiter"

[Seite 2]
Comman Name: Name.dyndns.org
Betreff Alternative Name: Name.dyndns.org

Gruß
luddi

 

[peote]

Hallo,

ich bekomme immer die Meldung, dass Root und Server Zertifiakt nicht Identisch sein dürfen`? Wie kann ich das problem lösen`?

 

[Tuvok42]

ich bekomme immer die Meldung, dass Root und Server Zertifiakt nicht Identisch sein dürfen`? Wie kann ich das problem lösen`?

Z.B. in dem Du den Beitrag über deinem liest und dann entsprechend handelst. (Für das Root-Zertifikat solltest Du nicht deinen DYNDNS-Namen verwenden)

 

[xashx]

Wie installiere ich das so erstelle Zertifikat in windows 10 ? Ich erhalte beim export aus der Syno 4 pem dateien. In Firefox kann ich die installieren, aber hab keine Ahnung wie das bei WIndows gehen soll. Er bringt immer die Meldung dateityp unbekannt.