DSM 6.x und darunter Zugriff von intern über HTTPS auf die DS918+

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

Max67

Benutzer
Mitglied seit
29. Aug 2019
Beiträge
27
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich bräuchte dringend eure Hilfe bei folgendem Problem bzw. Verständnisproblem. Auch nach tagelanger Recherche und etlichen Videos habe ich immer noch
keine Lösung gefunden weshalb ich mich gerne an euch wenden würde, letztes Mal hats auch schon prima geklappt!

Also, folgendes: Ich bin gerade dabei WebDAV auf meiner DS918+ einzurichten um die Möglichkeit zu erhalten die NAS über das Internet als Netzlaufwerk anbinden
zu können, das scheint mir nach längerem Einarbeiten in die Materie die beste Möglichkeit zu sein um mein Vorhaben umzusetzen.

Was habe ich bisher gemacht?

- Eigenen Synology DDNS-Dienst in DSM aktiviert und Adresse reserviert -> DSM meldet "Normal" und auch in meinem Synology-Konto steht das Lämpchen auf Grün
- SSL Zertifikat von Let’s Encrypt installiert und konfiguriert, alle Dienste laufen auf diesem Zertifikat und meine DDNS-Adresse ist auch korrekt verknüpft
- Unter Netzwerk -> DSM-Einstellungen sind die beiden Häkchen bei "HTTP automatisch zu HTTPS..." und "HTTP/2" aktiviert.

Was habe ich vor?

Wie bereits beschrieben möchte ich WebDAV entsprechend konfigurieren und nutzen. Das stellt aber an sich nicht mein Problem dar, mein Problem bzw. meine Frage ist
folgende: Wie greife ich intern über HTTPS auf die DS918+ zu ohne Fehlermeldung des Browsers wegen eines ungültigen Zertifikats?

Bei meiner Recherche habe ich festgestellt dass das SSL Zertifikat letztlich nur auf meiner DDNS-Adresse läuft, nicht aber auf der IP des NAS, soweit verständlich. Möchte
ich also per HTTPS auf die DS918+ per https://IP:Port oder per https://InternerName(Z.B. DiskStation):port zugreifen so erhalte ich den Zertifikatsfehler, macht an sich ja Sinn.

Aber wie kann ich den sonst noch intern über HTTPS ohne Zertifikatsfehler auf die NAS zugreifen? Per DDNS? Wenn ich die NAS über https://DDNS:Port anspreche dann geht
die Anfrage doch erstmal ins Internet, wird dann auf die externe IP meines Routers umgeleitet und dann durch Portweiterleitung auf die DS918+ weitergeleitet? An sich wäre das
das so doch total sinnfrei oder? In diesem Falle müsste ich ja Port 5001 als auch Port 443 im Router permanent geöffnet lassen, das wäre wiederum eine Sicherheitslücke?

Entweder meine Überlegungen sind grundsätzlich falsch oder ich zerdenke das Ganze mal wieder...
In jedem Falle wäre ich über etwas Hilfe mehr als glücklich, bitte beachtet aber das ich wirklich blutiger Anfänger bin und mich hier gerade noch in die Materie einarbeite.

Zusatzinfos:
Mein Router: FRITZ!Box 7530
Meine Browser: Edge & Firefox

Vielen lieben Dank im Voraus und liebe Grüße!
Max
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
vielleicht zuerst mal fragen wozu soll man intern SSL verwenden?

Ein LE Zertifikat auf eine IP (egal ob interne oder extern) gibt es ja gar nicht

Ich denke es wäre einfacher hier eine Ausnahme dem Browser erlauben.


---
also falls du ohnehin nicht nach aussen was öffnen willst, dann brauchst ja auch keinen LE, dann kannst du auch den selfsigned von Synology oder gar selber eins erstellten nehmen und diesen dann in den Browser samt den dazugehörenden CA Zerts importieren.
So zumindest mache ich es, das macht man einmal, dann ist alles ok.
 

Max67

Benutzer
Mitglied seit
29. Aug 2019
Beiträge
27
Punkte für Reaktionen
0
Punkte
1
Erstmal vielen Dank für die super schnelle Antwort!

Genau, SSL bzw. HTTPS intern zu verwenden ist an sich überflüssig. Wie beschrieben möchte ich jedoch extern per WebDAV auf die DS918+ zugreifen, hierzu muss ich Port 5006 dauerhaft im Router freigeben
da ich über HTTPS und nicht über HTTP, das wäre Port 5005, zugreifen möchte. Damit WebDAV aber funktioniert muss meine DS918+ über ein aktives SSL Zertifikat verfügen, daher der ganze Aufwand.
Richtig, soviel habe ich auch schon rausgefunden, LE SSL nur für DDNS-Adressen, nicht aber für IP´s.

Was würdest du/ihr denn nun vorschlagen? Gäbe es eine Möglichkeit intern per HTTP auf das NAS zuzugreifen, extern aber HTTPS zu erzwingen? Hab in die Richtung leider noch nichts in den DSM-Einstellungen
gefunden. Oder einfach alles so belassen und im Firefox wie du bereits beschrieben hast eine Ausnahme für das Zertifikat hinterlegen? Letzterem müsste ich erstmal auf den Grund gehen, auf Anhieb wüsste ich nicht wie
ich einen solchen Fall im Firefox konfiguriere.

Vielen Dank.
 

Matis

Benutzer
Mitglied seit
28. Mai 2015
Beiträge
735
Punkte für Reaktionen
9
Punkte
44
Klar sonst müsstest du jedesmal von intern per http und IP auf extern https und domain umkonfigurieren.
Da ich sehr viele subdomains nutze und in der Konfiguration auch keinen Unterschied zwischen WAN und LAN machen wollte habe ich dies über einen internen Domain Name Server gelöst.
Du findest dazu ein Synology Paket das schnell installiert ist.
Die Konfiguration braucht ein paar Nerven, du findest dazu aber alles im Netz.
Dann noch in deine, Router bei dhcp den dns auf deine syno IP stellen und kannst alle Dienste extern und intern über deinen Domain Namen nutzen.
 

mosti23

Benutzer
Mitglied seit
09. Jan 2018
Beiträge
48
Punkte für Reaktionen
2
Punkte
8
Hallo Matis,
Wie heißt dieses Paket das du da verwendest?
 

Matis

Benutzer
Mitglied seit
28. Mai 2015
Beiträge
735
Punkte für Reaktionen
9
Punkte
44
DNS Server.
Damit hast Du deinen eigenen Server der Namen in IPs übersetzt.
Wichtig ist dabei der Forwarder Eintrag, damit alles was er in deiner Liste nicht findet im DNS im Web gesucht wird.
Lies Dich mal ein, das ist nicht ganz trivial, aber eine Lösung oder die einzige Lösung für dein Problem.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Es gibt auch Router, in denen du solche Ausnahmen eintargen kannst. Da du ja immer am Gateway landest kann dieses dann auch überprüfen, ob der name intern oder extern zu verwenden ist.
 

Uwe96

Benutzer
Mitglied seit
18. Jan 2019
Beiträge
1.070
Punkte für Reaktionen
83
Punkte
68
Einfach den Port 5005 nicht für außen freigeben. Schon ist das Problem gelöst. Intern HTTP Extern HTTPS
 

Solear

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
Das Zauberwort heißt "Hairpin" bzw. Reverse Proxy. Entweder dein Router kann das, zB Mikrotik Router können das oder OpenWRT-basierte. Oder du kannst auch in der Syno sowas anlegen, wie das genau dort geht weiß ich jedoch nicht. Wenn du eine Lösung hast, poste sie aber bitte hier.

Dann kann man von intern auch interne Dienste per https-Domain (https://meine.domain.de) ansprechen (nicht per IP).

Manche Dienste benötigen auch zwingend SSL, zB Apple Cal/CardDAV lässt sich zu Baikal nur per SSL verbinden.
 

Max67

Benutzer
Mitglied seit
29. Aug 2019
Beiträge
27
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

vielen Dank erstmal für die ganzen Antworten! Ich habe mich mit dem Thema noch etwas beschäftigt und bin dabei auf den Entschluss gekommen das folgende
Lösung, die Uwe schon erwähnt hatte, für mich am praktikabelsten wäre.

Ich habe unter Netzwerk -> DSM-Einstellungen die beiden Häkchen bei "HTTP automatisch zu HTTPS..." und "HTTP/2" wieder deaktiviert um intern per HTTP ohne
Verschlüsselung auf die NAS zugreifen zu können. Wie hier schon mehrmals erwähnt ist der interne Zugriff per SSL einfach nicht nötig. Über den Port 5000 kann ich
nun wieder ohne Zertifikatswarnung auf die DS918+ zugreifen, wie zuvor auch schon.

Jetzt noch kurz zu meinem vorhaben mit WebDAV:

Greife ich nun extern mit "Netzlaufwerk anbinden" in Windows über https://DDNS:5006 auf die NAS zu, so erreiche ich mit der DDNS-Adresse erstmal meinen Roter,
im Router wird dann ausschließlich Port 5006 auf den Port 5006 der NAS weitergeleitet, da Port 5006 den verschlüsselten Zugriff per WebDAV ermöglicht und die
DDNS-Adresse ein gültiges SSL LE Zertifikat aufweist sollte doch alles passen oder mache ich hier gerade einen Denkfehler?

Ich werde das Ganze morgen mal testen und melde mich dann wieder.

Vielen Dank! :)
 

Max67

Benutzer
Mitglied seit
29. Aug 2019
Beiträge
27
Punkte für Reaktionen
0
Punkte
1
Kleine Info: Hab´s intern eben mal getestet, funktioniert! :D
Morgen dann der Test per extern!
 

Max67

Benutzer
Mitglied seit
29. Aug 2019
Beiträge
27
Punkte für Reaktionen
0
Punkte
1
"Im WebDAV Protokoll sind Größenbeschränkungen für den Up- und Download von Einzeldateien bestimmt worden. Während die Grenzen für den Upload mit 2 GB
pro Einzeldatei großzügig festgelegt sind, beschränkt Windows die Einzeldateigröße für den Download auf etwa 47 MB (50.000.000 Byte)."

Das ist jetzt nicht wahr oder? Hab grad mal probiert ne 100MB große Dummy-Datei über WebDAV auf meinen Rechner zu kopieren - Fehlanzeige!
Dateien mit mehreren MB´s funktionieren aber problemlos...

Kann ich diese hirnlose Limitierung irgendwie umgehen? Mit NetDrive etwa?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat