Photo Station Photo Station Let's Encrypt Zertifikat https gesicherte Verbindung fehlgeschlagen

Status
Für weitere Antworten geschlossen.
Mitglied seit
29. Sep 2019
Beiträge
10
Punkte für Reaktionen
1
Punkte
3
Hallo miteinander,

bisher war ich stiller Leser, was die meisten meiner Probleme lösen konnte, jedoch komme ich an der jetzigen Stelle auch nach dem Lesen von diversen Threads einfach nicht weiter, sodass ich mich gezwungen fühle, eine eigenen zu eröffnen.

Gegeben ist:
DS216play
DSM 6.2.2-24922 Update 3
Dyndns meinnas.de

DSM
http 3000
https 3001
http-Verbindungen automatisch zu HTTPS umleiten (Web Station und Photo Station ausgeschlossen)

Portweiterleitung im Telekom-Router
TCP
80:80 -> 80
443:433 -> 443
3000:3001 -> 3000-3001 (DSM http, https)
6690:6690 -> 6690 (Cloud Station)
UDP
1194:1194 -> 1194 (VPN)

Zertifikat Let’s Encrypt für meinnas.de (Standardzertifikat)
gültig bist 2019-12-27
Konfiguriert für alle verfügbaren Dienste (VPN Server, Systemvoreinstellung, Protokollempfang, FTPS, Cloud Station Server)

Problem:
Öffnen ich die Photo Station aus dem DSM, spuckt mir Firefox folgendes aus:
„Fehler: Gesicherte Verbindung fehlgeschlagen
Beim Verbinden mit meinnas.de trat ein Fehler auf. PR_END_OF_FILE_ERROR

Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.“

Ändere ich den Link händisch in http://meinnas.de/photo/ funktioniert es, mit dem http-üblichen Hinweis, dass die Verbindung nicht sicher sei.
Bei http://ip/photo geht’s, aber eben mit unsicherer Verbindung
Bei https://ip/photo nicht, ebenfalls mit PR_END_OF_FILE_ERROR (was aber wahrscheinlich normal ist, da dass https-Zertifikat ja für meinnas.de ausgestellt wurde
Verbinde ich mich mit DS Photo, ist bei https „das SSL-Zertifikat der Synology NAS nicht vertrauenswürdig“, bei http funktionierts.


Was ich bisher probiert habe:
Im DSM
Sicherheit/Zertifikat Selbst unterzeichnetes Zertifikat erstellt, neues Let's Encrypt Zertifikat erstellt
Sicherheit/Firewall Regeln erstellt, komplett deaktiviert
Anwendungsportal/Reverse Proxy
diverses ausprobiert, aber nicht sicher, ob ichs richtig eingestellt habe, hat aber immer zu Zeitüberschreitungen geführt
(Quelle: Https, meinnas.de, Port 3003 (testweise Photo Station-Https), Ziel: https, meinnas.de (bei localhost oder IP kommt „Operation fehlgeschlagen“), Port 443)​
Photo Station deaktiviert/aktiviert, deinstalliert/installiert

Im Photo Station
Einstellungen/Allgemein/Router-Port
Hostname oder statische IP: meinnas.de
http: diverse Ports probiert (80, 3000, 3002) - bei einem anderen Port als 80 bekomme ich im Firefox einen Zeitüberschreitungs-Fehler
https: diverse Ports probiert (443, 3001, 3003) - bei einem anderen Port als 443 bekomme ich im Firefox einen Zeitüberschreitungs-Fehler
Automatisch http-Verbindungen zu HTTPS umleiten (das hatte zur Folge, dass ich gar nicht mehr auf die Photo Station kam und mit putty über ssh die Datenbank löschen musste)​

Wie ihr seht, habe ich schon an so manchen Schrauben gedreht, komme aber leider einfach nicht weiter und würde mich sehr freuen, wenn ihr mir bei dem Problem helfen könntet, danke!
 
Zuletzt bearbeitet:
  • Like
Reaktionen: StorageFan
Mitglied seit
29. Sep 2019
Beiträge
10
Punkte für Reaktionen
1
Punkte
3
Hallo zusammen,

nach über einer Woche noch keine Antwort zu haben, scheint mir für dieses Forum außergewöhnlich zu sein. Ich sehe im Moment drei Möglichkeiten, warum das so sein könnte:


A: Ich stelle mich zu dämlich an und keiner hat Bock darauf, einem Anfänger wie mir zu helfen, weil das Problem offensichtlich zu trivial oder zu aufwendig ist.

B: Alle haben das gleiche Problem, keiner hat eine Lösung parat und alle warten gespannt darauf, ob sie jemand findet.

C: Niemand hat das Problem, was es so außergewöhnlich macht, dass auch niemand eine Lösung kennt.​



Als Zusatzinfos hätte ich noch anzubieten:


  • Domain-Anbieter: Strato (DynDNS aktiv)
  • DynDNS Einstellungen liegt im Speedport Smart 2 (funktioniert laut Protokoll, Anbieter meldet <Erfolgreiche Anmeldung (good)>
  • Ping auf meinnas.de löst die öffentliche WAN-IP des Speedport auf
  • Portweiterleitungen sind nur für die Netzinterne IP der NAS eingerichtet.

Ich hoffe, es kann vielleicht doch noch jemand Licht ins Dunkle bringen. :confused:

Beste Grüße
Alex
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
721
Punkte für Reaktionen
136
Punkte
69
Wie sieht es aus mit dem externen Zugriff auf DSM ? D.h. auf die normale Oberfläche der DS ?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
ich habe da auch einen Firefox, der auch so was macht obwohl er Exeptions hat und auch CA des Zerts importiert hat.
Daneben einen Waterfox plaziert und schon geht alles wie vorher.
 
Mitglied seit
29. Sep 2019
Beiträge
10
Punkte für Reaktionen
1
Punkte
3
Wie sieht es aus mit dem externen Zugriff auf DSM ? D.h. auf die normale Oberfläche der DS ?

Hallo stulpinger,

der Zugriff auf den DSM klappt von überall problemlos.
Wenn ich im Browser meinnas.de eingebe, lande ich automatisch bei https://meinnas.de:3001/, also der DSM-Anmeldeoberfläche. Dabei zeigt er eine "Sichere Verbindung" zu meinnas.de an, Verifiziert von: Let's Encrypt.
 
Mitglied seit
29. Sep 2019
Beiträge
10
Punkte für Reaktionen
1
Punkte
3
ich habe da auch einen Firefox, der auch so was macht obwohl er Exeptions hat und auch CA des Zerts importiert hat.
Daneben einen Waterfox plaziert und schon geht alles wie vorher.

Hallo ottosykora,

den Verdacht hatte ich auch schon, daher hab ich es mit diversen Browsern an einem unabhänigigen und bereinigten Laptop (Cookies, Verlauf, Sessions, etc.) probiert:

Das gleiche auf dem Smartphone
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Hast du auf dem Rechner irgendwelche Security Software die eventuell https Verbindungen aufbricht?
https://support.mozilla.org/de/questions/1264659

Deine Frage ist nicht dämlich, nur sollte es eigentlich funktionieren, wenn das Zertifikat für Systemvoreinstellung auf meinenas.de lautet und die Photo Station via https://meinenas.de/photo aufgerufen wird.

Bei manchen Speedports ist noch eingehend IPv6 komplett gesperrt und auch nicht freigebbar. Sollte allerdings keinen Einfluß auf IPv4 Clients haben solange du einen Dual-Stack Anschluß hast.

Ansonsten kommen wir glaube nicht weiter ohne dass du einem von uns mal in einer PM die reale Adresse schickst, damit man mal von außen sehen kann, ob einem noch mehr auffällt als dir und was du hier schilderst.

Wenn er die https Verbindung bemängelt zeigt der Browser dann das selbe Zertifikat wie bei https://meinenas.de:3001 ?
 
Mitglied seit
29. Sep 2019
Beiträge
10
Punkte für Reaktionen
1
Punkte
3
Hallo Fusion,

Hast du auf dem Rechner irgendwelche Security Software die eventuell https Verbindungen aufbricht?
https://support.mozilla.org/de/questions/1264659

ich habe Kaspersky im Einsatz, das wurde von mir zum testen aber auch schon mal komplett lahmgelegt, jedoch ohne Veränderung. Zudem tritt das Problem auch auf anderen PCs und Smartphones auf. Die Firewall der NAS ist aus.

Deine Frage ist nicht dämlich, nur sollte es eigentlich funktionieren, wenn das Zertifikat für Systemvoreinstellung auf meinenas.de lautet und die Photo Station via https://meinenas.de/photo aufgerufen wird.

Ja, das Zertifikat von Let's Encrypt ist das Einzige, was ich habe, als Standardzertifikat eingestellt und auch für die Systemvoreinstellung konfiguriert.

Bei manchen Speedports ist noch eingehend IPv6 komplett gesperrt und auch nicht freigebbar. Sollte allerdings keinen Einfluß auf IPv4 Clients haben solange du einen Dual-Stack Anschluß hast.

Inwiefern IPv6 dabei eine Rolle spielt, kann ich nicht sagen, die IPv4-Zuweisung funktioniert, ich habe ich z.B. auch einen VPN Server und die Cloud Station laufen, mit denen ich mich über die DynDNS problemlos verbinden kann.

Ansonsten kommen wir glaube nicht weiter ohne dass du einem von uns mal in einer PM die reale Adresse schickst, damit man mal von außen sehen kann, ob einem noch mehr auffällt als dir und was du hier schilderst.

Per PM die reale Adresse zuzuschicken, wäre kein Problem, ich bin für jegliche Hilfe dankbar.

Wenn er die https Verbindung bemängelt zeigt der Browser dann das selbe Zertifikat wie bei https://meinenas.de:3001 ?

Gehe ich im Firefox auf https://meinnas.de:3001 --> Grünes Schloss --> Pfeil neben Verbindung (Sichere Verbindung) --> weitere Informationen steht da unter anderem: Website: meinnas.de | Validiert von: Let's Encrypt | Gültig bis: Sonntag, 5. Januar 2020 | und ich kann mir das Zertifikat per Button anzeigen lassen.

Bei https://meinnas.de/photo sehe ich bei kreis mit i (kein grünes Schloss) --> Pfeil neben Verbindung (Verbindung ist nicht sicher) --> weitere Informationen Website: meinnas.de | Validiert von: Nicht angegeben | und es gibt keinen Button, um sich ein Zertifikat anzeigen zu lassen.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
OK. Und https://nasip/photo liefert das identische Zertifikat bis auf die Fehlermeldung zum nicht übereinstimmenden Namen?

Wo hast du meinenas.de im DSM überall als Hostname oder benutzerdefinierte Domain eingetragen?

Wenn nicht etwas grundlegendes an deiner Webserver Installation kaputt ist blockiert eventuell ein anderer Dienst.

Wenn du es nicht weißt, kannst du es einfach testen in dem du z.b. Eine andere sub.dynDNS.de hernimmst, sie maximal in der Photo Station einträgst, aber sonst nirgends im DSM.
Dann sollte bei https://sub.dynDNS.de/photo eine Zertifikatswarnung kommen mit dem Zertifikat von meinenas.de
 
Mitglied seit
29. Sep 2019
Beiträge
10
Punkte für Reaktionen
1
Punkte
3
Ja, also https://ExterneNasIP:3001 löst meinnas.de auf, mit der Namens-Fehlermeldung.

Bei https://ExterneNasIP/Photo erscheint wieder der gleiche Fehler, wie bei https://meinnas.de/photo.

meinnas.de habe ich scheinbar an keiner Stelle eingetragen, abgesehen davon, dass ich das Zertifikat dafür erstellt habe. Ist das schon ein Fehler?

Ich habe mir Testweise bei Strato die Subdomain photo.meinnas.de angelegt, DynDNS aktiviert und im DSM / Externer Zugriff / DDNS eingerichtet. Funktioniert, Status ist Normal und Ping auf photo.meinnas.de ergibt die gleiche IP, wie meinnas.de. In der Photo Station hab ich photo.meinnas.de eingegeben.

Rufe ich https://photo.meinnas.de:3001 auf, beschwert er sich über das Zertifikat, da es von meinnas.de stammt.
Bei https://photo.meinnas.de/photo erscheint wieder der gleiche Fehler, wie bei https://meinnas.de/photo.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Nein, Namen nicht eintragen ist normal kein Problem. Einträge für hosts können hingegen teilweise diesen Namen für andere Dienste unbrauchbar machen.
 
Mitglied seit
29. Sep 2019
Beiträge
10
Punkte für Reaktionen
1
Punkte
3
Um das Thema abzuschließen und um anderen, die sich, so wie ich, durch Forenbeiträge wühlen, vielleicht zu helfen:

Es hatte sich herausgestellt, dass ich den Port des VPN-Servers testweise auf 443 geändert habe (weil ich mich in einem Netzwerk befand, welches die meisten Ports blockiert) und die Änderung im Anschluss übersehen habe.
Die Photo Station verwendet den Port 80 bzw. 443. Wird dieser Port von anderen Diensten belegt (wie z.B. von einem VPN-Server), funktioniert sie nicht ordnungsgemäß und es entstehen - vor allem bei https über 443 - Konflikte.

Danke an alle, die sich meinem Problem angenommen und versucht haben, mir zu helfen!
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat