Anfängerfragen ds218j

Status
Für weitere Antworten geschlossen.

dingding

Benutzer
Mitglied seit
07. Mrz 2019
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
ich danke euch!
das problem an der ganzen geschichte ist, dass ich nicht wirklich weiß was ich da mache...
ich gehe meist nach anleitung vor und bekomme es auch hin im router ports freizugeben / weiterzuleiten aber was das tatsächlich bewirkt weiß ich nicht.
womöglich enstehen hierdurch weitere sicherheitslücken...
nun frage ich mich ob ich http (wie es jetzt ist) oder https (dann aber ohne zertifikat, da mir das mit den ports doch etwas zu heikel ist...) verwende.
ich bräuchte hierfür echt eine genaue anleitung, aber die finde ich nicht...
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
Verstehe ich nicht, du hast doch schon alles was du brauchst. Gib mal im browser statt 192.xxx usw den domainnamen an, also jenen Namen für welchen du das Zertifikat erstellt hast, dann ist auch die Warnmeldung weg.
https läuft im Normalfall immer auf 443, dh. wenn du eintippst h**ps://deinen_domainnamen.com ---> Enter, dann hängt dein browser "unsichtbar" hinten :443 dran.
Wenn du die Standarteinstellungen genommen hast und ins DSM möchtest dann tippst du ein h**ps://deinen_domainnamen.com:5001 ----> es sollte sich deine DSM Anmeldeseite öffnen.

Nur Mut das wird schon! Du bist schon so weit gekommen, jetzt musst du einfach nur mehr weiterlaufen, das "Gehen lernen" hast du schon hinter dir :)

Das wichtigste: Du kannst fast nichts kaputt machen mit den Ports, wenn etwas falsch ist, dann geht es halt einfach nur nicht, aber "beschädigt" wird in Normalfall nichts.

Wichtig für dein Zertifkat: Du musst EXAKT den Namen so eingeben, wie du ihn dir für das Zertifikat ausgesucht hast!
Dh. du hast das Zertifikat auf h**ps://deinen_domainnamen.com gemacht, dann gib ein h**ps://deinen_domainnamen.com ---> das Vorhangschloss sollte grün sein, alles ok.
Tippst du jetzt aber ein h**ps://www.deinen_domainnamen.com, dann wirst du eine Fehlermeldung erhalten, weil www. NICHT Teil bei der Zertifikatserstellung war.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...Dh. du hast das Zertifikat auf h**ps://deinen_domainnamen.com gemacht, dann gib ein h**ps://deinen_domainnamen.com ---> ....
Nur 'ne kleine Ergänzung: das Zertifikat wird IMMER nur auf den (Sub-)Domainnamen erstellt, also deinen_domainnamen.tld. Das Protokoll (und auch Ports) ist im Zertifikat nicht hinterlegt.
 

dingding

Benutzer
Mitglied seit
07. Mrz 2019
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
okay, auf ein neues:
ich habe mir unter systemeinstellungen - externer zugriff - ddns eine adresse xxx.diskstation.me für den externen zugriff angelegt > test sagt mir auch "normal"
wenn ich die adresse in den browser eingebe kommt aber "Die Website ist nicht erreichbar megabrain.myds.me hat die Verbindung abgelehnt."
(diese adresse benötige ich doch für ein lets encrypt zertifikat, oder?) > das zertifikat habe ich nun auch, siehe screenshots.
ich denke, dass da irgendwas mit der portweiterleitung nicht funktioniert oder? es kommt auch noch immer rotes https und nicht sicher und obwohl ich das encrypt zertifikat als standard gewählt habe, zeigt google chrome das von synology an...
ich zeig euch auch mal einen screenshot meiner connect-box ob da evtl was falsch ist?
komme nun echt nicht weiter... falls ihr noch weitere infos braucht, sagt gerne

achso mein setup: macbook + alles per wlan
nas(192.168.0.3) -> router (192.168.0.1) -> internet
am router hängt noch ein weiter router im wohnzimmer, der das wlan erweitert (192.168.0.2)

Bildschirmfoto 2019-03-14 um 08.30.13.png
Bildschirmfoto 2019-03-14 um 10.05.44.jpg
Bildschirmfoto 2019-03-14 um 10.15.50.png
Bildschirmfoto 2019-03-14 um 10.19.31.png
Bildschirmfoto 2019-03-14 um 10.29.53.jpg
 
Zuletzt bearbeitet:

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
Quellport extern 80 = Zielport IP DEINER DS 80
Quellport extern 443 = Zielport IP DEINER DS 443
Quellport extern 5000 = Zielport IP DEINER DS 5000
Quellport 3xtern 5001 = Zielport IP DEINER DS 5001

dh, von aussen geht es auf die interne IP DEINER DS auf deren Port 443, bzw 5001.
Die 5000 und 80 solltest du nur in zwingenden Fällen offen halten, da hier unverschlüsselt übertragen wird. Aber zum Testen für den Anfang sollte es gehen.

Da gibt es auch noch eine Diskrepanz bei dir, im Synologykonto steht irgendwas.diskstation.me ABER die Fehlermeldung sagt irgendwas.myds.me geht nicht. Du musst dich für einen Namen entscheiden.
 
Zuletzt bearbeitet:

dingding

Benutzer
Mitglied seit
07. Mrz 2019
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
okay ich habe das nun mal so gemacht, ich habe in der connectbox nur die möglichkeit ipv6 adressen anzugeben:
die eingegebene ist die des nas‘
es hat sich jedoch nichts geändert.
ich habe mir auf account.synology.com einen *wunschname*.diskstation.me account angelegt wie ihr oben auf den screenshots auch seht. ist auch ein grüber punkt davor.
wenn ich jedoch name.diskstation.me in den browser eingebe: "Die Website ist nicht erreichbar"
diese nutze ich auch fürs zertifikat - kann es sein dass es da ein problem gibt und ich deshalb kein gültiges zertifikat bekomme?

Bildschirmfoto 2019-03-14 um 13.43.10.png
Bildschirmfoto 2019-03-14 um 13.43.24.png
Bildschirmfoto 2019-03-14 um 13.46.13.jpg
 

dingding

Benutzer
Mitglied seit
07. Mrz 2019
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
Da gibt es auch noch eine Diskrepanz bei dir, im Synologykonto steht irgendwas.diskstation.me ABER die Fehlermeldung sagt irgendwas.myds.me geht nicht. Du musst dich für einen Namen entscheiden.
es ist diskstation.me - hatte das nur mal mit was anderem getestet. die fehlermeldung aktuell heißt also .diskstation.me hat die Verbindung abgelehnt.
und so ist das auch im account
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
hmmmmm, ich meine mal irgendwo gelesen zu haben, dass es bei IPv6 Adressen keine Portweiterleitungen geben soll/muss, da hier die Geräte "direkt" angesprochen werden. Aber warte mal ab, was die Netzwerkspezialisten hierzu meinen.
 

dingding

Benutzer
Mitglied seit
07. Mrz 2019
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
ich glaube, dass mein vorhaben ohne weiteres nicht möglich ist, da ich unitiymedia-kunde mit einer connect box bin.
somit habe ich (nach recherche) wohl einen IPv6 DS-Lite Anschluss, sprich keine öffentliche IPv4 und ich bräuchte einen "portmapper" - stimmt das?
quickconnect funktioniert bei mir, aber so bekomme ich ja kein letsencrypt zertifikat / sicheres https...
ich habe gelesen, ich könnte den kundendienst anrufen und um Umstellung auf echtes Dual Stack bitten (was aber nur mit einer fritzbox geht) - sprich die werden das nicht ohne weiteres machen...
 

dingding

Benutzer
Mitglied seit
07. Mrz 2019
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
ich würde noch ein letztes Mal versuchen Hilfe zu bekommen *push*
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414

dingding

Benutzer
Mitglied seit
07. Mrz 2019
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
das habe ich heute vormittag gemacht und sie haben mich tatsächloich umgestellt :)
 

dingding

Benutzer
Mitglied seit
07. Mrz 2019
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
so, ich möchte meine aktuellen stand mal aktualisieren:
nach dem upgrade auf Dual Stack habe ich die möglichkeit ports weiterzuleiten, hier mal die einstellungen:
Bildschirmfoto 2019-03-28 um 17.57.37.png

das lets encrypt zertifikat scheint auch zu funktionieren:
Bildschirmfoto 2019-03-28 um 18.00.32.png
Bildschirmfoto 2019-03-28 um 17.52.43.png
wenn ich mich über https://xxx.diskstation.me:5001/ anmelde, komme ich auch auf die weboberfläche, wenn ich jedoch nur https://xxx.diskstation.me/ eingebe kommt "die webseite ist nicht verfügbar" und bei http://xxx.diskstation.me/ kommt dieses bild - heißt ich muss bei externem zugriff immer die erste adresse nehmen oder?
wenn ich intern (per wlan) mittels ip zugreifen möchte mit http://192.168.0.3 kommt auch dieses bild - mit https://192.168.0.3:5001 funktioniert es...
jedoch zeigt es mir an, dass die verbindung nicht sicher sei (bei externem zugriff wird mir das nicht angezeigt)
Bildschirmfoto 2019-03-28 um 17.52.00.png
Bildschirmfoto 2019-03-28 um 17.52.16.png
Bildschirmfoto 2019-03-28 um 18.12.06.png

so, das ist der derzeitige stand...?!
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
Wenn du dir deine Routingtabelle ansiehst, kannst du da deinen Fehler selber erkennen oder soll ich dir Details nennen?

Da befindet sich ein Zahlendreher darin! Schau mal genau für https :)

Zur Erklärung, wenn du h**p://irgendwas.com eintippst, so ergänzt der Webbrowser automatisch :80, der wird "unsichtbar" autom angehängt.
Bei h**ps:// ist es das selbe, da wird unsichtbar :443 eingetragen, das ergänzt der Webbrowser automatisch, vorausgesetzt man hat auch 443 korrekt eingetragen :)
 

dingding

Benutzer
Mitglied seit
07. Mrz 2019
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
oh, danke dir - hab das korrigiert.


aber so ganz will es noch immer nicht:
https://192.168.0.3:5001 > funktioniert
https://192.168.0.3 > https wird rot durchgestrichen und das Bild ist zu sehen
http://192.168.0.3 > Bild

https://xxx.diskstation.me:5001 > funktioniert
https://xxx.diskstation.me > Bild zu sehen
http://xxx.diskstation.me > Bild zu sehen

und das mit dem hostnamen des zertifikats versthe ich auch nicht...
liegt es daran, dass das zertifikat auf xxx.diskstation.me ausgestellt wurde und nicht auf 192.168.0.3?
falls das so ist, kann ich da was dagegen machen?
 
Zuletzt bearbeitet:

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Was du beschreibst ist genau das erwartete Verhalten.

Wenn du über die IP gehst, greift das Zertifikat nicht, denn dieses wurde auf xxx.diskstation.me ausgestellt.

Alles, was du ohne Port angibst, wird auf die WebsStation geleitet. Wenn die nicht aktiviert ist, bzw. keine Webpge eingerichtet ist, dann gibt's genau das o.g. Bild.
 

dingding

Benutzer
Mitglied seit
07. Mrz 2019
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
hm okay.
Bei h**ps:// ist es das selbe, da wird unsichtbar :443 eingetragen, das ergänzt der Webbrowser automatisch
aber sollte dann nicht das https davor reichen?
eine sichere https verbindung per ip bekomme ich so also nicht hin?
ist ja eigentlich auch nicht weiter schlimm, ich hätte es nur gerne...
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Ja, es wird Port 443 automatisch ergänzt, aber wenn du offenbar keine Webseite hinterlegt hast, was erwartest du denn dann zu sehen?

https Verbindung ist immer verschlüsselt, ganz gleich, oder der Browser das Zertifikat bemängelt oder nicht.
 

dingding

Benutzer
Mitglied seit
07. Mrz 2019
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
eigentlich die weboberfläche des nas :D
aber eigentlich logisch, dass es so nicht funktioniert...
anders gefragt: gibt es eine möglichkeit, dass ich nur durch eingabe der ip auf die weboberfläche (login) komme? es geht eigentlich nur darum, dass ich nicht immer :5001 eingeben muss - wenn das ohne weiteres nicht möglich ist, ist das auch okay...
bin da nicht so bewandert, aber könnte ich nicht den 443 auf 5001 umleiten? :/
 
Zuletzt bearbeitet von einem Moderator:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat