Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 13
  1. #1
    Anwender
    Registriert seit
    29.08.2019
    Beiträge
    27

    verwirrt Zugriff von intern über HTTPS auf die DS918+

    Hallo zusammen,

    ich bräuchte dringend eure Hilfe bei folgendem Problem bzw. Verständnisproblem. Auch nach tagelanger Recherche und etlichen Videos habe ich immer noch
    keine Lösung gefunden weshalb ich mich gerne an euch wenden würde, letztes Mal hats auch schon prima geklappt!

    Also, folgendes: Ich bin gerade dabei WebDAV auf meiner DS918+ einzurichten um die Möglichkeit zu erhalten die NAS über das Internet als Netzlaufwerk anbinden
    zu können, das scheint mir nach längerem Einarbeiten in die Materie die beste Möglichkeit zu sein um mein Vorhaben umzusetzen.

    Was habe ich bisher gemacht?

    - Eigenen Synology DDNS-Dienst in DSM aktiviert und Adresse reserviert -> DSM meldet "Normal" und auch in meinem Synology-Konto steht das Lämpchen auf Grün
    - SSL Zertifikat von Let’s Encrypt installiert und konfiguriert, alle Dienste laufen auf diesem Zertifikat und meine DDNS-Adresse ist auch korrekt verknüpft
    - Unter Netzwerk -> DSM-Einstellungen sind die beiden Häkchen bei "HTTP automatisch zu HTTPS..." und "HTTP/2" aktiviert.

    Was habe ich vor?

    Wie bereits beschrieben möchte ich WebDAV entsprechend konfigurieren und nutzen. Das stellt aber an sich nicht mein Problem dar, mein Problem bzw. meine Frage ist
    folgende: Wie greife ich intern über HTTPS auf die DS918+ zu ohne Fehlermeldung des Browsers wegen eines ungültigen Zertifikats?

    Bei meiner Recherche habe ich festgestellt dass das SSL Zertifikat letztlich nur auf meiner DDNS-Adresse läuft, nicht aber auf der IP des NAS, soweit verständlich. Möchte
    ich also per HTTPS auf die DS918+ per https://IP:Port oder per https://InternerName(Z.B. DiskStation):Port zugreifen so erhalte ich den Zertifikatsfehler, macht an sich ja Sinn.

    Aber wie kann ich den sonst noch intern über HTTPS ohne Zertifikatsfehler auf die NAS zugreifen? Per DDNS? Wenn ich die NAS über https://DDNS:Port anspreche dann geht
    die Anfrage doch erstmal ins Internet, wird dann auf die externe IP meines Routers umgeleitet und dann durch Portweiterleitung auf die DS918+ weitergeleitet? An sich wäre das
    das so doch total sinnfrei oder? In diesem Falle müsste ich ja Port 5001 als auch Port 443 im Router permanent geöffnet lassen, das wäre wiederum eine Sicherheitslücke?

    Entweder meine Überlegungen sind grundsätzlich falsch oder ich zerdenke das Ganze mal wieder...
    In jedem Falle wäre ich über etwas Hilfe mehr als glücklich, bitte beachtet aber das ich wirklich blutiger Anfänger bin und mich hier gerade noch in die Materie einarbeite.

    Zusatzinfos:
    Mein Router: FRITZ!Box 7530
    Meine Browser: Edge & Firefox

    Vielen lieben Dank im Voraus und liebe Grüße!
    Max

  2. #2
    Anwender
    Registriert seit
    17.04.2013
    Beiträge
    3.014

    Standard

    vielleicht zuerst mal fragen wozu soll man intern SSL verwenden?

    Ein LE Zertifikat auf eine IP (egal ob interne oder extern) gibt es ja gar nicht

    Ich denke es wäre einfacher hier eine Ausnahme dem Browser erlauben.


    ---
    also falls du ohnehin nicht nach aussen was öffnen willst, dann brauchst ja auch keinen LE, dann kannst du auch den selfsigned von Synology oder gar selber eins erstellten nehmen und diesen dann in den Browser samt den dazugehörenden CA Zerts importieren.
    So zumindest mache ich es, das macht man einmal, dann ist alles ok.
    DS212j, DSM4.3-3827-7, DS414slim, DSM6.1

  3. #3
    Anwender
    Registriert seit
    29.08.2019
    Beiträge
    27

    Standard

    Erstmal vielen Dank für die super schnelle Antwort!

    Genau, SSL bzw. HTTPS intern zu verwenden ist an sich überflüssig. Wie beschrieben möchte ich jedoch extern per WebDAV auf die DS918+ zugreifen, hierzu muss ich Port 5006 dauerhaft im Router freigeben
    da ich über HTTPS und nicht über HTTP, das wäre Port 5005, zugreifen möchte. Damit WebDAV aber funktioniert muss meine DS918+ über ein aktives SSL Zertifikat verfügen, daher der ganze Aufwand.
    Richtig, soviel habe ich auch schon rausgefunden, LE SSL nur für DDNS-Adressen, nicht aber für IP´s.

    Was würdest du/ihr denn nun vorschlagen? Gäbe es eine Möglichkeit intern per HTTP auf das NAS zuzugreifen, extern aber HTTPS zu erzwingen? Hab in die Richtung leider noch nichts in den DSM-Einstellungen
    gefunden. Oder einfach alles so belassen und im Firefox wie du bereits beschrieben hast eine Ausnahme für das Zertifikat hinterlegen? Letzterem müsste ich erstmal auf den Grund gehen, auf Anhieb wüsste ich nicht wie
    ich einen solchen Fall im Firefox konfiguriere.

    Vielen Dank.

  4. #4
    Anwender Avatar von Matis
    Registriert seit
    28.05.2015
    Beiträge
    591

    Standard

    Klar sonst müsstest du jedesmal von intern per http und IP auf extern https und domain umkonfigurieren.
    Da ich sehr viele subdomains nutze und in der Konfiguration auch keinen Unterschied zwischen WAN und LAN machen wollte habe ich dies über einen internen Domain Name Server gelöst.
    Du findest dazu ein Synology Paket das schnell installiert ist.
    Die Konfiguration braucht ein paar Nerven, du findest dazu aber alles im Netz.
    Dann noch in deine, Router bei dhcp den dns auf deine syno IP stellen und kannst alle Dienste extern und intern über deinen Domain Namen nutzen.
    DS1515+ (16GB, 2x SSD860EVO500, 3x WD30EFRX) + DX-213 (2x WD60EFRX)
    DS1515+ (16GB, 2x SSD850EVO500, 3x WD30EFRX)
    DS716+II (8GB, 2x ST6000VN0041)
    DSM 6.2 / Kopano4s / Surveillance / Web-Seiten / Backup & Data
    Hikvision: 5x DS-2CD2085FWD-I, 3x DS-2CD2022WD-I, DS-2CD2142FWD-I, DS-2CD2F42FWD-I, DS-2CD2032-I, DS-2CD2042WD-I
    Netgear: JGS524PE (PoE) & JGS524Ev2 / APC-UPS: PRO USV 550VA

  5. #5
    Anwender
    Registriert seit
    09.01.2018
    Beiträge
    36

    Standard

    Hallo Matis,
    Wie heißt dieses Paket das du da verwendest?

  6. #6
    Anwender Avatar von Matis
    Registriert seit
    28.05.2015
    Beiträge
    591

    Standard

    DNS Server.
    Damit hast Du deinen eigenen Server der Namen in IPs übersetzt.
    Wichtig ist dabei der Forwarder Eintrag, damit alles was er in deiner Liste nicht findet im DNS im Web gesucht wird.
    Lies Dich mal ein, das ist nicht ganz trivial, aber eine Lösung oder die einzige Lösung für dein Problem.
    DS1515+ (16GB, 2x SSD860EVO500, 3x WD30EFRX) + DX-213 (2x WD60EFRX)
    DS1515+ (16GB, 2x SSD850EVO500, 3x WD30EFRX)
    DS716+II (8GB, 2x ST6000VN0041)
    DSM 6.2 / Kopano4s / Surveillance / Web-Seiten / Backup & Data
    Hikvision: 5x DS-2CD2085FWD-I, 3x DS-2CD2022WD-I, DS-2CD2142FWD-I, DS-2CD2F42FWD-I, DS-2CD2032-I, DS-2CD2042WD-I
    Netgear: JGS524PE (PoE) & JGS524Ev2 / APC-UPS: PRO USV 550VA

  7. #7
    Anwender
    Registriert seit
    09.11.2016
    Beiträge
    2.038

    Standard

    Es gibt auch Router, in denen du solche Ausnahmen eintargen kannst. Da du ja immer am Gateway landest kann dieses dann auch überprüfen, ob der name intern oder extern zu verwenden ist.
    • Synology: RS1619xs+ * RX1217RP * RS815RP+ * DS916+ * DS418play *
    • Router/Modem: Draytek Vigor130 * Draytek Vigor2960 * Bintec 3002 * Fritzbox 6490C / 7490 / 7590 / TC4400 *
    • LAN/WLAN: Netgear 24+2 Port * Ubiquiti UniFi US-8-60W * Ubiquiti Cloud Key + Unifi AC PROs * Draytek Vigor 1280G * Draytek Vigor P2280 * Draytek Vigor AP910C *
    • USV: CyberPower Rackmount Serie 1000VA * BlueWalker VI 3000 * BlueWalker FI 3000 * Eaton Ellipse ECO800 *

  8. #8
    Anwender
    Registriert seit
    18.01.2019
    Beiträge
    236

    Standard

    Einfach den Port 5005 nicht für außen freigeben. Schon ist das Problem gelöst. Intern HTTP Extern HTTPS

  9. #9
    Anwender
    Registriert seit
    05.08.2014
    Beiträge
    218

    Standard

    Das Zauberwort heißt "Hairpin" bzw. Reverse Proxy. Entweder dein Router kann das, zB Mikrotik Router können das oder OpenWRT-basierte. Oder du kannst auch in der Syno sowas anlegen, wie das genau dort geht weiß ich jedoch nicht. Wenn du eine Lösung hast, poste sie aber bitte hier.

    Dann kann man von intern auch interne Dienste per https-Domain (https://meine.domain.de) ansprechen (nicht per IP).

    Manche Dienste benötigen auch zwingend SSL, zB Apple Cal/CardDAV lässt sich zu Baikal nur per SSL verbinden.

  10. #10
    Anwender
    Registriert seit
    29.08.2019
    Beiträge
    27

    Standard

    Hallo zusammen,

    vielen Dank erstmal für die ganzen Antworten! Ich habe mich mit dem Thema noch etwas beschäftigt und bin dabei auf den Entschluss gekommen das folgende
    Lösung, die Uwe schon erwähnt hatte, für mich am praktikabelsten wäre.

    Ich habe unter Netzwerk -> DSM-Einstellungen die beiden Häkchen bei "HTTP automatisch zu HTTPS..." und "HTTP/2" wieder deaktiviert um intern per HTTP ohne
    Verschlüsselung auf die NAS zugreifen zu können. Wie hier schon mehrmals erwähnt ist der interne Zugriff per SSL einfach nicht nötig. Über den Port 5000 kann ich
    nun wieder ohne Zertifikatswarnung auf die DS918+ zugreifen, wie zuvor auch schon.

    Jetzt noch kurz zu meinem vorhaben mit WebDAV:

    Greife ich nun extern mit "Netzlaufwerk anbinden" in Windows über https://DDNS:5006 auf die NAS zu, so erreiche ich mit der DDNS-Adresse erstmal meinen Roter,
    im Router wird dann ausschließlich Port 5006 auf den Port 5006 der NAS weitergeleitet, da Port 5006 den verschlüsselten Zugriff per WebDAV ermöglicht und die
    DDNS-Adresse ein gültiges SSL LE Zertifikat aufweist sollte doch alles passen oder mache ich hier gerade einen Denkfehler?

    Ich werde das Ganze morgen mal testen und melde mich dann wieder.

    Vielen Dank!

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Antworten: 13
    Letzter Beitrag: 23.03.2019, 13:38
  2. Kameras für intern und extern über ds218+
    Von ralhan im Forum Surveillance Station
    Antworten: 1
    Letzter Beitrag: 18.11.2018, 11:58
  3. Kein Zugriff auf MailPlus von intern
    Von user1610 im Forum Mail Station
    Antworten: 2
    Letzter Beitrag: 12.09.2016, 10:22
  4. Kein Zugriff per HTTPS auf die Photostation
    Von yessurf im Forum Photo Station und Blog
    Antworten: 1
    Letzter Beitrag: 29.10.2014, 18:37
  5. Antworten: 1
    Letzter Beitrag: 17.09.2012, 20:13

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •