DSM 6.x und darunter Über https auf die DS zugreifen

[androidin]

Hallo,

ich würde gerne über https auf die DS zugreifen (macht das Sinn - erhöht das die Sicherheit?).

Leider kann ich meine DS nicht über https://192.168.2.101:5001/ erreichen. In der DS-Firewall ist es freigeschaltet. Wieso geht denn das nicht? Wie kann ich das debuggen?

Danke schonmal für eure Hilfe.

 

[Frogman]

Klar macht das Sinn!
Hast Du denn in der Systemsteuerung unter Netzwerk -> DSM-Einstellungen auch https aktiviert? Wenn Du auch den User-Webserver mit https erreichen möchtest, musst Du das ebenso aktivieren, unter Webdienste.

 

[androidin]

Hallo Frogman,

Du bist wirklich überall im Forum unterwegs. Cool. Natürlich habe ich das __nicht__ aktiviert. Ich bin zu lange am Rechner und schon betriebsblind. Obwohl ich __alle__ Einstellungen durchgegangen bin, die habe ich einrfach übersehen. Man o man.

Erklärst du mir bitte noch kurz, warum es Sinn macht und warum ich den Zugriff über http verbieten sollte (wenn das überhaupt stimmt?)?

Und meinst du, ich sollte den Filetransfer prinzipiell https verschlüsseln? Allerdings habe ich gelesen, dass dann die Übertragungsrate recht in die Knie gehen soll....


Und noch eine Frage: Der Zugriff über https funktioniert nun, aber https ist im Browser durchgestrichen. Ein Zertifikat habe ich doch erzeugt. Ich kriege die Kriese

 

[Frogman]

Ok, dann müssen wir etwas differenzieren:
externer Zugriff sollte grundsätzlich verschlüsselt erfolgen. Entweder über SSL-verschlüsselte Ports oder aber auch über einen VPN-Kanal, in dem dann bedenkenlos die normalen unverschlüsselten Ports verwendet werden können. Wichtig ist, entweder die benötigten SSL-verschlüsselten Ports bzw. VPN-Ports im Router weiterzuleiten, am besten per Hand und nicht mit der automatisierten UPnP-Routerkonfiguration. Den DSM-Zugang sollte man in der Regel extern nicht verfügbar machen, weil man ihn eigentlich nicht wirklich braucht. File Station und Co. können über separate Ports erreicht werden.
Der interne Zugriff - nun ja, wenn Du dem LAN vertraust, kann der auch unverschlüsselt erfolgen. Wenn man die Latte hoch legen will, kommuniziert man auch lokal verschlüsselt - damit hat dann bspw. auch Malware, die auf Geräten des LAN eventuell zu finden ist, keine Chance. Schlecht ist es natürlich, wenn der zugreifende Rechner kompromittiert ist - dann hilft die beste Verschlüsselung nichts, da dann der Schädling an der Quelle sitzt und bspw. Passwörter mitschneiden kann.

Allgemein gilt, das eine verschlüsselte Übertragung etwas Performance kostet - aber nicht so viel, dass man hier graue Haare bekommen muss. Ja, Sicherheit kostet immer irgendetwas, Performance oder auch Bequemlichkeit. Doch man sollte sich immer fragen, ob es einem die eigenen Daten nicht wert sein sollten.

Thema Zertifikat:
Die DS bietet ein generisches SSL-Zertifikat. Für eine sichere Übertragung besteht da kein Unterschied zu einem selbst erzeugten/gekauften Zertifkat. Da beim Zugriff aber auf eine geschlossene Signaturkette bis hoch zu einem Root-Zertifikat geprüft wird, meckern Browser und Co. bei einem Synology-Zertifikat bzw. einem beliebigen eigengeneriertes/eigensigniertes Zertifikat (dann ist die Adresszeile häufig auch rot). Wenn man das verhindern möchte, benötigt man - für eine eigene Domain, die man besitzen muss - ein von einer anerkannten CA signiertes Zertifikat. Entweder gegen Geld oder aber von einem der kostenlosen Anbieter (bspw. StartSSL mit ihren Class1-Zertifikaten oder in Kürze auch von Mozilla, die einen kostenlosen Signaturdienst angekündigt haben).

 

[androidin]

Danke Frogman für diesen wirklich leicht verständlichen Post.

Ich hatte sogar mal eine eigene Domain, allerdings habe ich diese beim Anbieter gekündigt, aber scheinbar wird die Domain immer noch "blockiert". Kann ich diese wieder reaktivieren? Wenn ja, wie und welcher preisgünstige Hoster ist zu empfehlen? Ich will eigentlich nicht mehr als einen Euro p. m. zahlen - ich habe auch kaum Ansprüche an eine eigene Domain.

 

[Heizerei43]

Moin ,moin,

Du kannst einen Antrag stellen beim neuen Provider die alte Domain mitzunehmen. Glaube das war damals ein KK Antrag !
Anbieter wäre z.b. Selfhost.de da kostet mich jede Domain 1 € pro Monat

Viel Spaß weiterhin
Gruß Michèl

 

[androidin]

Ah, gut zu wissen. Ich habe 2010 gekündigt gehabt und einen AuthCode erhalten. Der ist nun aber nicht mehr gültig, oder? Wie komme ich an einen neuen heran?