DSM 6.x und darunter Kein Zugriff auf Disk Station

[stau]

Hallo,

Ich hatte schon einmal Schwierigkeiten, auf meine Disk Station zuzugreifen und im Forum gepostet..
Seinerzeit lag das an einem nicht korrekt installierten LetsEncrypt-Zertifikat.

Ich greife auf meine Disk Station mit dem Browserbefehl <MeinName>synology.me zu.
Hier erhalte ich nun sowohl in Chrome als auch in MS Edge die Fehlermeldung „Die Website ist nicht erreichbar“.

Mir ist bekannt, dass man das LetsEncrypt-Zertifikat alle 90 Tage erneuern muss. Das habe ich verpennt. Ich kann mir nur vorstellen, dass das Zugriffsproblem wieder mit der Zertifikatsinstallation zusammenhängt.
Bisher habe ich nur die Möglichkeit gefunden, DSM mit dem Befehl find.synology.com zu öffnen, muss dabei aber „unsichere Website“ wählen.

Das LetsEncrypt-Zertifikat hatte ich als Standard-Zertifikat eingerichtet. Ich habe ein benutzerdefiniertes Script /usr/syno/sbin/syno-letsencrypt renew-all
im Aufgabenplaner angelegt. Hierüber hatte ich jeweils das Zertifikat verlängert. Das habe ich nun (im unsicheren Modus) wieder gestartet. Und ach ja: Port 80 ist geöffnet.
Leider hat sich damit nichts geändert. Die Fehlermeldung beim Versuch DSM zu öffnen bleibt.

Kann mir jemand weiterhelfen?

 

[synfor]

„Die Website ist nicht erreichbar“ hat nichts mit der vergessenen Erneuerung des Zertifikats zu tun.

Check mal den Dienste-Status bei Synology

 

[stau]

Hallo synfor,

Zunächst: Bei Überprüfung des Dienste-Status sieht alles ok aus. Vielen Dank für diesen Tipp.

Wie würde sich denn ansonsten ein nicht vorhandenes Zertifikat auswirken?
In der Knowledgebase steht "[FONT=&quot]Ein Zertifikat kann verwendet werden, um SSL-Dienste aus der Synology NAS zu sichern, z. B. Web (alle HTTPS Dienste), E-Mail oder FTP. Der Besitz eines Zertifikats ermöglicht es Benutzern......."
Demzufolge ist es notwendig dafür, um eine sichere Verbindung (per https) aufzubauen.

Ich schrieb ja schon, dass ich mit der [/FONT]find.synology.com Anweisung nur eine unsichere Seite erhalte.
Also war ich davon ausgegangen, dass der Erhalt einer unsicheren Webseite bzw. dem Zugriffsversuch auf eine sichere Webseite mit <Name>.synology.me, was durch den Parameter :5001 ergänzt wird, zuzugreifen, darauf hindeutet, dass das Zertifikat nicht greift.

Es wäre nett, wenn Du mir bei meinem Missverständnis aufklären könntest.

Nur noch nebenbei: Ich kann mich nicht erinnern, dass ich je in letzter Zeit beim Öffnen anderer Webseiten die Fehlermeldung "Die Website ist nicht erreichbar“ erhalten hatte.

 

[ottosykora]

wenn eine Webseite nicht erreichbar ist, dann ist sie eben nicht erreichbar und da kann auch der beste Zertifikat nichts daran ändern. Wenn Zertifikat fehlerhaft ist, dann wird es entsprechend gemeldet *nachdem* die Webseite erreicht wurde und Browser versucht hat eine verschlüsselte Verbindung aufzubauen.

Hier würde es für mich eher so aussehen wie der DDNS Dienst die IP nicht richtig auflöst oder so was.

 

[stau]

Meine Kenntnisse im Netzwerk- und NAS-Bereich sind sehr schwach.
Deshalb sagt mir der Synology DDNS-Dienst sehr wenig. Ich weiß nur, dass DNS die variable einer festen IP-Adresse zuordnet (oder so ähnlich).

Ich stelle hoffnungsfroh, dass man damit evtl. etwas anfangen kann, anbei mal die DSM-Einstellungen für den externen Zugriff zur Ansicht.
Der DDNS-Verbindungstest war positiv. Eine Routerkonfiguration ist nicht definiert.

Helfen diese Angaben eventuell?
Ich darf noch, obwohl Ihr mir ja bedeutet habt, dass hier kein Zusammenhang besteht, hinzufügen, dass der Zugriff auf die DS seit langer Zeit reibungslos verlief und ich erst jetzt in Zusammenhang mit dem abgelaufenen Zertifikat der direkte Zugriff nicht mehr möglich ist.

Helfen meine Angaben vielleicht weiter?

 

[Uwe96]

Kannst du denn von intern (zu Hause) per IP drauf zu greifen?

 

[stau]

Ja. Nach Eingabe meiner IP-Adresse wird diese durch den Parameter :5001 ergänzt und als Website-Info wird "nicht sicher" angezeigt.
Im Ergebnis ist das das Gleiche wie der Zugriff über find.synology.com .

Hingegen erhalte ich die Fehlermeldung "Website nicht erreichbar" beim Anmeldeversuch per <Name>synology.me. Hierbei scheint eine sichere Website Voraussetzung zu sein.

 

[Uwe96]

Testest du das von Extern? Im Internen Netz funktioniert die Namesauflösung von Ausßen nicht!!

 

[ottosykora]

Hingegen erhalte ich die Fehlermeldung "Website nicht erreichbar" beim Anmeldeversuch per <Name>synology.me. Hierbei scheint eine sichere Website Voraussetzung zu sein.

nicht erreichbar heisst wörtlich: nicht erreichbar, so was wie 'kein Anschluss unter dieser Nummer'
also bis zu einer Prüfung des Zertifikates kam es gar nicht, weil eben das Ziel gar nicht kontaktiert werden konnte weil in dem weltweiten Internet gar nicht gefunden wurde.

Ist der Name bei synology.me wirklich registriert?
Ist ein DDNS Updater in Betrieb? Entweder im Router oder in der DS?
Wenn du in commando Zeile in Windows gehst und dort eingibst: ping deinhostname.synology.me
dann wird es auch auf deine richtige öffentlich IP aufgelöst?
Deine öffentliche IP findest du zum Bsp mit https://www.whatismyip.com/de/

Sprechen wir hier eigentlich über IPv4 oder IPv6?

Übrigens: auch bei mir zu Hause geht das was du machst nicht, Eigenschaft des Routers, der macht wohl keinen Loopback wie es Fachleute nennen.
Ich musste dazu die hosts Datei in Windows ergänzen.Ohne weiteres geht es bei einigen Routern intern nur mit der IP.
Bei anderen Routern wie Fritzbox kann man dort eine Einstellung bei 'rebind' machen, dann geht es, bei anderen Routern geht es von Anfang an, einige Leute haben da eine Lösung mit Reverse Proxy etc.

 

[stau]

Testest du das von Extern? Im Internen Netz funktioniert die Namesauflösung von Ausßen nicht!!

Mein NAS ist wie mein Windows-Rechner an der Fritz!box. Die Eingabe nehme ich am Rechner unter Chrome (auch mit Edge getestet) vor.
Ich gehe mal davon aus, dass dies im internen Netz bedeutet.

 

[Uwe96]

Ja, dann geht es nicht. Es sei denn du schaltest in der Fritte Loopback an. Wie das geht steht auf der AVM Seite.

Warum machtst du das überhaupt? Zu Haus geht doch viel leichter per IP

 

[stau]

Ist der Name bei synology.me wirklich registriert?

Die Frage übersteigt leider mein Wissen. Wie und wo müsste die Registrierung erfolgt sein?

Ein DDNS-Updater ist nirgends installiert bzw. in Betrieb.

Die Ping-Ergebnisse waren beide positiv. Bei der Ausführung über die externe IP steht die Anzeige IPv6 nicht erkannt (oder ähnlich).

Und - ich kann mit meinem Wissensstand auch Deinen Ausführungen der letzten beiden Absätze leider nicht folgen.
Was meinst Du mit "was ich zu Haue mache"? Der Aufruf per <Name>.synology.me?
Wenn ja, das hat jahrelang geklappt.

Mir schwant aber nun etwas, nachdem Du die Fritz!box erwähnt hast. Meine FB wurde vor 14 Tagen getauscht (6490 > 6591).
Könnte an irgendeiner Stelle eine relevante Einstellung nötig sein, die ich übersehen hätte? Beim Tausch ließ sich die letzte Sicherung der alte Box leider nicht in die neue überspielen. Wo würde ich dort eine rebind-Einstellung vornehmen müssen?

Bitte entschuldige meine wiederholten Nachfragen.

 

[ottosykora]

versuch das hier:

https://avm.de/service/fritzbox/fri...Auflosung-privater-IP-Adressen-nicht-moglich/


wir wissen ja nicht was du für einen Anschluss hast zum Bsp.
Etwas muss ja dem DDNS mitteilen welche IP zu dem Namen heute gehört. Falls du eine feste IP hast, na ja dann ist es egal, dann muss man es nur einmal eintragen, aber falls sich die IP täglich ändern sollte, muss etwas dafür sorgen dass die neue IP dem Namen zugeteilt ist.
Oft mach man es im Router (FB bei dir) oder auch in der DS selber.
Da wir ja nicht wissen was für einen Anschluss du hast und ob auch der Name bei einem Provider wie synoloy registriert wurde, kommen halt Fragen.

Da du nun sagst ping Versuch wurde OK und stimmt mit der tatsächlichen, gerade gültigen IP überein, dann halt zuerst mal rebind in der FB einstellen. Dann in der FB auch nachschuen ob da was unter DDNS steht.

 

[stau]

Hallo Otto,

Ich bin weder auf einem DNS-Server registriert noch besitze ich eine eigene Domain.
Deshalb kann ich unter DNS-Rebind-Schutz in der FB auch nichts eintragen.

Auch nutze ich weder eine feste IP-Adresse, noch habe ich in der FB unter Internet > Freigaben > DynDNS eine Eingabe vorgenommen.
Anbei die dort eingestellte Freigabe für Port 80.

Hierzu habe ich noch eine Frage:
Port 80 sollte doch wohl nur freigegeben werden, wenn man das LetsEncrypt-Zertifikat verlängert, um es anschließend wieder zu schließen. So war ich auch vorgegangen.
Überlagert die Einstellung in der FB die Firewalleinstellung in der Windows-Systemsteuerung. Ich möchte die Einstellung nämlich in der Fritz!Box löschen und sie nur noch auf Windowsebene ändern. Ist das sinnvoll?

Zu meinem Zugriff mit <Name>.synology.me habe ich im Forum u. a. gelesen, dass Synology als Serviceanbieter für den DynDSN-Service fungiert.
Im DSM > Hauptmenü > Systemsteuerung > Externer Zugriff > Register "DDNS" > Hinzufügen anklicken und den Anweisungen folgen, um eine DDNS zu erstellen.
Diese Einstellung hatte ich auch vorgenommen. Weiter heißt es:
Externe IP-Adresse IPv4/6: Anleitung "Geben Sie die externe IP-Adresse von Synology NAS ein, der den Hostnamen verwenden wird."
Mein Verbindungstest ist ok.
Die externe IP-Adresse meines DSL-Routers, die sich alle 24 Stunden ändert, wird ja auch wohl deswegen automatisch alle 24h abgefragt.
Danach ist meine Einstellung doch korrekt.

Ich verstehe nicht, welche Bedeutung bei den Antworten der Experten (so wie bei „DNS-Auflösung für Domainnamen, die auf private IP-Adressen im Fritz!Box-Heimnetz verweisen …“) die IP-Adresse der Disk Station im Heimnetz haben soll. Sie wird doch von mir nirgends explizit angesprochen.
Zu Deiner Bemerkung „wir wissen ja nicht was du für einen Anschluss hast zum Bsp.“:
Ich habe einen Kabelanschluss per FB6591. An der FB hängen mein Heim-PC und die DS.

Bisher konnte ich sowohl intern (also vom Heim-PC oder Tablet) als auch andere freigegebene Benutzer extern von einem anderen Gerät mit der Anweisung <MeinName>.synology.me auf DSM zugreifen.

Ich bin wegen meines Nicht- bzw. Teilwissens und meiner damit verbundenen Hilflosigkeit total frustriert und überfordert. Ich betrete ja kein absolutes Neuland, wenn ich immer wieder meinen bisher erfolgreichen Zugriff über die genannte Anweisung betone.

 

[ottosykora]

Die Fragen kommen davon, weil du mit einem DDNS Domain Namen aus deinem eigenen Netzwerk auf die DS zugreifen versuchst.
Das ist nicht immer möglich.
Bei der FB kann man es jedoch versuchen einzurichten, das ist in dem Link drin die Anleitung.
Ich weiss nicht genau womit du den Update des DDNS machst, ob in der DS oder in FB. Aber etwas davon muss es machen, sonst geht es nur einmal.
Also mit etwas musst du es machen sonst funktioniert es nicht.

Das mit der FW in der FB, da will ich da keine grosse Diskussion starten, es gibt Leute die schalten alles ein, ich selber beim privaten Netzwerk nichts, nur was so 'von Natur' in Windows ist.


Was mir noch auffällt, ja Port 80 ist normalerweise für http Server, port 443 für https Server.

 

[Uwe96]

So ganz verstehe ich nicht was du willst. Beantworte mal diese Fragen:
Möchtest du von außerhalb, also nicht aus deiner Wohnung z.B. per Handy oder von der Arbeit aus, auf deine DS zugreifen?
Oder möchtest du nur zu Hause drauf zugreifen)

 

[ottosykora]

Ich bin weder auf einem DNS-Server registriert noch besitze ich eine eigene Domain.
Deshalb kann ich unter DNS-Rebind-Schutz in der FB auch nichts eintragen.

also da widersprichst du dir irgednwie.
Zuerst sagst du hast eine DDNS Adresse bei Synology eingerichtet, dann wieder nicht.
Wenn du eine DDNS Domain bei einem DDNS Provider eingetragen hast, dann hast du es.
Dann noch in der DS den Updater einrichten, unter externer Zugriff findet sich es.

Und da dies nun deine DDNS Domain Adresse ist, kannst du es doch auch in der FB eintragen?

Sorry, aber es ist so verwirrend, dass nur schwer zu verstehen ist was dein Ziel ist.

Funktioniert denn deine DDNS Adresse von aussen?


Port 80 alleine ist nicht genug. Du musst , zumindest für den Test auch 5000 und 5001 zu der DS weiterelieten.

Die FB muss halt für den Betrieb mit einem Server konfiguriert werden.
Bitte versuche die Konfiguration nicht aus DSM 'automatisch' zu machen, das endet selten im Erfolg, Fehlersuche dann noch komplizierter.

 

[Uwe96]

Wo steht denn dass der TE überhaupt von außen auf die DS will?

 

[ottosykora]

nicht direkt, aber wenn jemand schon DDNS einrichtet?
Er will doch mit einer DDNS Adresse von seinem Netz aus drauf, also irgendwie verstehe ich es nicht 100%.
Lokal kann man doch DISKSTATION schreiben und gut ist.

schreibt: >Bisher konnte ich sowohl intern (also vom Heim-PC oder Tablet) als auch andere freigegebene Benutzer extern von einem anderen Gerät mit der Anweisung <MeinName>.synology.me auf DSM zugreifen.
<