Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 20
  1. #1
    Anwender
    Registriert seit
    11.01.2017
    Beiträge
    43

    Standard Benutzeremail Dies ist keine sichere Verbindung

    Hallo, ich hoffe ich bin in der richtigen Rubrik.

    Mein Problem ist der Zugriff von Benutzern funktioniert nicht.

    Ein Benutzer wurde erstellt

    der Benutzer erhält email mit Link mit IP

    Doch bei Klick auf den Link Fehlermeldung

    Dies ist keine sichere Verbindung

    Zurück zur sicheren Website weißer bildschirm mit about:blank


    Das Problem liegt beim Test-Benutzer. Ich selber kann Problemlos auf die DS216play zugreifen.

    Was mache ich falsch?

    Lieben gruß Harry

  2. #2
    Anwender
    Registriert seit
    06.04.2013
    Beiträge
    5.217

    Standard

    Kannst du das mal bitte anhand des konkreten Falles ausschmücken? Damit man sieht mit welchen Links, URLs, etc da hantiert wird?
    Die Meldung deutet erstmal darauf hin, dass eine Zertifikatswarnmeldung vorliegt, was meist auf nicht übereinstimmende Domain-Namen oder auf nicht im Browser-Trust eingetragenen Signaturen von (öffentlichen) CAs hinweist.
    Synology Tech Support Formular | Feature request
    Site 0: DS1812+ 3GB 6.1.2-15132 | 2*3/6*6TB WD Red (SHR-1 + Basic) | DS415+ 8GB 6.1.2-15132-1 | 4*10TB Ironwolf (RAID-1 + Basic)
    Site 1/2/3: DS216+II 8/8/1GB 6.1.1-15101-4 | 2*3/4/3TB WD Red (SHR1)
    USV APC BK650EI | Net UMBW 200/20 | FB 6490 (IPv4) | 2x GS108 GE | Strato-DDNS
    Streaming Plex (1.7.2.3878) | AFTV (Kodi 17.1) | Inverto Sat>IP IDL400s, tvh + DVBLink tv server | Raumfeld (C2, M, One) | KDL-55W905A

  3. #3
    Anwender
    Registriert seit
    11.01.2017
    Beiträge
    43

    Standard

    Hallo Fusion.

    danke für die schnelle Reaktion.

    Folgendes steht in der mail:

    Sehr geehrter Benutzer,

    Willkommen bei Cloud!
    Sie möchten vielleicht auf http://192.168.178.25:5000/ gehen, um Ihr persönliches Profil zu ändern.
    (Wenn Sie keine Verbindung zum Server herstellen können, kontaktieren Sie bitte den Administrator.)

    (Danach folgt Benutzername und PW in der mail)

  4. #4
    Anwender
    Registriert seit
    06.04.2013
    Beiträge
    5.217

    Standard

    ok, und von wo wird dieser Link dann aufgerufen?
    Aus dem LAN oder aus dem Internet?
    Diese IP stammt aus einem privaten IP range für LANs, mit Sicherheit eine Fritzbox.
    Dieser Link funktioniert deshalb auch nur im LAN.

    Falls im LAN aufgerufen, bleibt die URL so erhalten , oder hast du die automatische Umleitung unter Systemsteuerung > Netzwerk > DSM Einstellungen gesetzt und der Link wird zu https und 5001?
    Synology Tech Support Formular | Feature request
    Site 0: DS1812+ 3GB 6.1.2-15132 | 2*3/6*6TB WD Red (SHR-1 + Basic) | DS415+ 8GB 6.1.2-15132-1 | 4*10TB Ironwolf (RAID-1 + Basic)
    Site 1/2/3: DS216+II 8/8/1GB 6.1.1-15101-4 | 2*3/4/3TB WD Red (SHR1)
    USV APC BK650EI | Net UMBW 200/20 | FB 6490 (IPv4) | 2x GS108 GE | Strato-DDNS
    Streaming Plex (1.7.2.3878) | AFTV (Kodi 17.1) | Inverto Sat>IP IDL400s, tvh + DVBLink tv server | Raumfeld (C2, M, One) | KDL-55W905A

  5. #5
    Anwender
    Registriert seit
    11.01.2017
    Beiträge
    43

    Standard

    aufgerufen werden soll es übers Internet.
    Korrekt, Router ist eine Fritzbox
    DSM Einstellungen
    allgemein
    http: 5000, https: 5001
    alle Haken gesetzt

    Als IP wird im Browser
    https://192.168.178.25:5001
    angezeigt

  6. #6
    Anwender
    Registriert seit
    06.04.2013
    Beiträge
    5.217

    Standard

    ok, zum Thema DS von extern gibt es hier etliche Threads, da kannst dich mal umschauen. Ebenso oben gibts ein Link ins Wiki wo man sich auch belesen kann.

    Noch ausführlicher wäre schön gewesen.
    "soll es" drückt einen Wunsch aus, sagt mir aber nicht, ob du es jetzt von intern oder extern hast versucht zu testen. Gehe ich jetzt mal von LAN aus, weil dein Bekannter von außen sonst einen Timeout hätte bekommen müssen.

    Die erwähnte Umleitung ist wohl gesetzt, kannst aber genauso gut aussschalten, da du den DSM eigentlich nicht von außen zugänglich haben willst, unverschlüsselt schon gar nicht.

    Punkte die für den externen Zugang bearbeitet werden müssen:
    - Welcher Internet-Provider, welche Zugangstechnologie?
    - Zugang via Quickconnect, dynDNS, oder eigener Domain (evtl. auch mit fester IP)?
    - Portweiterleitungen im Router
    Synology Tech Support Formular | Feature request
    Site 0: DS1812+ 3GB 6.1.2-15132 | 2*3/6*6TB WD Red (SHR-1 + Basic) | DS415+ 8GB 6.1.2-15132-1 | 4*10TB Ironwolf (RAID-1 + Basic)
    Site 1/2/3: DS216+II 8/8/1GB 6.1.1-15101-4 | 2*3/4/3TB WD Red (SHR1)
    USV APC BK650EI | Net UMBW 200/20 | FB 6490 (IPv4) | 2x GS108 GE | Strato-DDNS
    Streaming Plex (1.7.2.3878) | AFTV (Kodi 17.1) | Inverto Sat>IP IDL400s, tvh + DVBLink tv server | Raumfeld (C2, M, One) | KDL-55W905A

  7. #7
    Anwender
    Registriert seit
    11.01.2017
    Beiträge
    43

    Standard

    Sorry Fusion,
    das DS ist wohl zu komplex für mich.
    Ich habe einen Test-Benutzer eingerichtet.
    ich weißnicht ob und wie es intern/extern getestet wird. Ich habe halt den Link in der mail angeklickt.
    Jetzt habe ich bei den DSM-Einstellungen alle Haken rausgenommen. Die Porteinträge blieben noch.
    Der Zugriff geht nun. aber ist das ein sicherer Zugriff vom Internet aus?

    Den Timeout bekam meine Freundin die ich auch als Benutzer eingerichtet habe.


    - Internet-Provider ist 1&1 Zugangstechnologie verstehe ich nicht
    - Zugang habe ich selber über Quickconnect, dyndns ist auf der Fritzbox eingerichtet, eigene Domain habe ich versucht bei Strato einzurichten
    - Portweiterleitungen im Router nicht gemacht

  8. #8
    Anwender
    Registriert seit
    06.04.2013
    Beiträge
    5.217

    Standard

    Intern heißt, das Gerät von dem du den Link aus aufrufst steht im selben LAN/WLAN, wie die DS.
    Extern heißt die Anfrage würde aus dem Internet über deinen Router ins lokale Netz gelangen.

    ok, 1&1 also DSL oder VDSL. Sehr vermutlich Dual-Stack mit IPv4/IPv4. Beste Voraussetzungen für die Erreichbarkeit.

    Die Haken http/2, windows und bonjour auf der Seite Netzwerk > DSM Einstellungen kannst du drin lassen.

    Wenn du schon Quickconnect und dynDNS eingerichtet hast, dann vergiss diese email und die darin stehende Adresse einfach mal wieder.
    Den Link kannst du z.B. in deinem eigenen Netzwerk benutzen über Port 5000, da brauchst du keine Verschlüsselung unbedingt.

    Die Quickconnect Adresse kann z.B. jeder Benutzer der auf der DS eingerichtet ist benutzen.
    Was ist unter Systemsteuerung > Quickconnect > Erweitert an Häkchen gesetzt (Relay und auto-Port settings)?
    Persönlich würde ich beide rausnehmen und von Hand in der Fritzbox unter Internet > Freigaben > Portfreigaben eine Freigabe eintragen.
    Danach sollte es immer noch möglich sein Quickconnect zu nutzen, allerdings ohne Datenumwege über Taiwan und ohne dass die DS automatisch Ports in der Fritzbox einträgt.

    Da du auch dynDNS schon hast, solltest du nach setzen der Postfreigabe auch über die dynDNS Adresse und den Port Zugriff bekommen.

    Wenn du bei Strato auch dynDNS hast, kannst du das Konto auch in der Fritzbox als dynDNS eintragen. Ein eventuell vorhandenes MyFritz Konto läuft dazu parallel.
    Danach kannst du auch über deine Domain und den Port auf die DS zugreifen.
    Wenn man es ohne dynDNS bei Strato machen will, muss man für eine Subdomain ein CNAME Eintrag in der DNS Verwaltung dort setzen der auf die vorhandene dynDNS Adresse zeigt (wichtig ist der Punkt am Ende des Namens nach dem ....de.)
    Synology Tech Support Formular | Feature request
    Site 0: DS1812+ 3GB 6.1.2-15132 | 2*3/6*6TB WD Red (SHR-1 + Basic) | DS415+ 8GB 6.1.2-15132-1 | 4*10TB Ironwolf (RAID-1 + Basic)
    Site 1/2/3: DS216+II 8/8/1GB 6.1.1-15101-4 | 2*3/4/3TB WD Red (SHR1)
    USV APC BK650EI | Net UMBW 200/20 | FB 6490 (IPv4) | 2x GS108 GE | Strato-DDNS
    Streaming Plex (1.7.2.3878) | AFTV (Kodi 17.1) | Inverto Sat>IP IDL400s, tvh + DVBLink tv server | Raumfeld (C2, M, One) | KDL-55W905A

  9. #9
    Anwender
    Registriert seit
    11.01.2017
    Beiträge
    43

    Standard

    moin..... danke für die Info
    DSL ist ob Dual Stack weiß ich nicht- die 7490 die von 1&1
    ich habe bei http:/2 die Haken gesetzt
    Bei Quickconnect sind die Einstellungen schon so gewesen
    bei der Fritz welche Ports freigeben? 5000 und 5001
    Auf der Fritz ist schon dyndns eingerichtet. Verstehe ich dich richtig dfas ich einen 2. Dyndns für die DS einsetzen kann? Habe den bei Strato dann, auf intern oder extern setzen

    NACHTRAG:
    Habe versucht über quickconnect meinen testbenutzer anzumelden
    Sie dürfen diesen Dienst nicht benutzen
    erhalte ich nach dem Login Versuch
    Geändert von Harry K (12.01.2017 um 09:54 Uhr)

  10. #10
    Anwender
    Registriert seit
    06.04.2013
    Beiträge
    5.217

    Standard

    Wenn schon Portfreigaben für den DSM, dann nur 5001.
    Zur Reduzierung möglicher bösartiger Besucherzahlen, weil die wissen auch was sich normal hinter 5001 versteckt, kann man die Portweiterleitung auch in eine Portumleitung wandeln, also nicht 5001 > 5001 sondern 34521 > 5001, oder gleich eine Weiterleitung auf einem anderen Port machen 34521 > 34521. Das nennt sich Portverschleierung (obscurity) oder Portverlegung auf einen nicht typischen Port. Du hast (fast) frei Wahl zwischen 1024 und 65535 einen zu wählen.
    Im Fall der Portumleitung bleibt unter Netzwerk > DSM Einstellungen der Port auf 5001 und unter Externer Zugriff > Erweitert trägt man als https Port 34521 ein. Damit informiert man die DS über die Portumleitung von der sie sonst nichts mitbekommen würde.
    Im Fall der Portweiterleitung 34521 braucht man unter Externer Zugriff > Erweitert nichts eintragen / leer lassen, aber unter Netzwerk > DSM Einstellungen ändert man den https Port auf 34521. Den http Port kann man auch ändern, muss aber nicht, der sollte eh nur via LAN (oder VPN) erreichbar sein

    Am besten hat man den DSM, also die Schreibtischartige Oberfläche, eben nur im LAN oder via VPN im Zugriff. Das reduziert mögliche Angriffsfläche.
    Aber schon mal nur https nach außen überhaupt zugänglich zu machen und vor allem sichere Passwörter zu verwenden (Minimum 10 Zeichen aus Groß/Kleinbuchstaben, Zahlen und Sonderzeichen) ist schon mal besser als nichts.

    Nebeninfo: Wenn man die Zwangstrennung/Verschiebung auf Wunschzeit in der Fritzbox (Internet > Zugangsdaten > Verbindungseinstellungen) ausschaltet bzw auf dauerhaft halten stellt bekommt man zumindest bei VDSL der Telekom auch für längere Zeit diesselbe IP. Kann man ausprobieren, wenn man will.
    dynDNS bezeichnet die Zuordnung von einem sprechenden Domainnamen zu einer sich ändernden IP des eigenen Internetanschlusses, also die des Routers.
    Prinzipiell ist nur ein Gerät im eigenen LAN nötig um dies zu erledigen. Ebenso können diverse Namen bei verschiedenen Anbietern betrieben werden. Welches Gerät diese Updates macht ist egal, am Ende zeigen alle Namen auf die öffentliche/WAN IP des Routers.
    In der Fritzbox ist man auf zwei Einträge beschränkt. Einmal den MyFritz dynDNS und einen weiteren den man eintragen kann unter Internet > Freigaben > dynDNS (war das glaube ich).
    So habe ich das auch, MyFritz und Strato. Für welches Zielgerät ein dynDNS Namen dient ist dabei erst mal unerheblich. Die Unterscheidung an welches Gerät eine Anfrage geht wird dann in der Fritzbox anhand des Ports getroffen.
    Jeder Port kann dabei nur an ein Gerät weiter/umgeleitet werden (bei IPv4, bei IPv6 ist es anders / flexibler). Ich betrachte jetzt mal nur IPv4. IPv6 bei Bedarf separat.

    Hast du also z.B. sub.myfritz.net und sub.strato.de als dynDNS eingetragen landest du auf dem Router damit auf Port 80, da ohne Angabe immer von http ausgegangen wird.
    Gehst du jetzt auf https und hängst den Port 5001 an (oder eben den Port den du oben gewählt hast) landest du mit beiden dynDNS auf der DS.
    Also sowohl https:// sub.myfritz.net:5001 wie auch https:// sub.strato.de:5001 (Leerzeichen nur eingefügt, damit die URL nicht automatisch in einen klickbaren Hyperlink umgewandelt wird)

    Um jetzt nicht den DSM öffnen zu müssen, kann man auch einzelne Dienste abgrenzen / separat erreichbar machen. Das geht unter Systemsteuerung > Anwendungsportal.
    Dort kann man Aliase (sub.strato.de/dienst), benutzerdefinierte Ports (sub.strato.de:6001) und benutzerdefinierte Domains (sub2.strato.de) definieren, je nachdem, was einem mehr liegt oder gewünscht ist.
    Eventuell ist dann der Port 80/443 weiterzuleiten.
    Du kannst zum Beispiel auch mit einer Domain bei Strato bis zu 10 Sub-Domains anlegen, wenn nicht schon direkt domain.de als dynDNS Eintrag dient.
    Hast man z.B. sub.domain.de als dynDNS eingetragen, kann man sub2.domain.de per CNAME (DNS Einstellungen) auf sub.domain.de zeigen lassen. CNAME zählt nicht als Subdomain bei Strato.
    Durch den CNAME Eintrag wird sub2 dieselbe IP zugewiesen wie sub, ohne dass man einen weiteren dynDNS Eintrag machen müsste.

    Das war jetzt nur mal ein kleiner Geschmack, weil ich hier auch keine Romane schreiben will. Soll eben zeigen, dass es viele Möglichkeiten gibt, die dich eventuell gerade erschlagen, aber auch, dass ein NAS eben mit Zeit-, Arbeits- und Lernaufwand daher kommt.

    Du solltest dir überlegen welche Dienste du von wem und von wo nutzen können willst.
    Dann kann man dir auch bei der Auswahl zwischen den obigen Möglichkeiten eine Empfehlung geben und auch Detailfragen klären.
    Synology Tech Support Formular | Feature request
    Site 0: DS1812+ 3GB 6.1.2-15132 | 2*3/6*6TB WD Red (SHR-1 + Basic) | DS415+ 8GB 6.1.2-15132-1 | 4*10TB Ironwolf (RAID-1 + Basic)
    Site 1/2/3: DS216+II 8/8/1GB 6.1.1-15101-4 | 2*3/4/3TB WD Red (SHR1)
    USV APC BK650EI | Net UMBW 200/20 | FB 6490 (IPv4) | 2x GS108 GE | Strato-DDNS
    Streaming Plex (1.7.2.3878) | AFTV (Kodi 17.1) | Inverto Sat>IP IDL400s, tvh + DVBLink tv server | Raumfeld (C2, M, One) | KDL-55W905A

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. OpenErp 7.0 über sichere https-Verbindung
    Von Dane im Forum Sonstiges
    Antworten: 0
    Letzter Beitrag: 02.03.2015, 18:29
  2. Sichere Admin Verbindung zur DS (Port 5001) funktioniert nicht
    Von Amadeus im Forum Netzwerkkonfiguration
    Antworten: 10
    Letzter Beitrag: 25.10.2012, 16:00
  3. SMTP - sichere Verbindung
    Von wsyro im Forum Mail Station
    Antworten: 3
    Letzter Beitrag: 06.09.2012, 11:52
  4. Ist dies möglich und Sinnvoll?
    Von goodbrain im Forum Kaufberatung - Fragen vor dem Kauf
    Antworten: 12
    Letzter Beitrag: 18.08.2011, 20:53
  5. sichere verbindung via IE nicht möglich
    Von drago im Forum Sonstiges
    Antworten: 8
    Letzter Beitrag: 12.10.2008, 16:46

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •