DSM 6.x und darunter Kein Zugriff auf DS nach Versuch auf https umzustellen

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

stau

Benutzer
Mitglied seit
24. Aug 2014
Beiträge
92
Punkte für Reaktionen
0
Punkte
6
Hallo C0smo,

Jetzt bin ich genau so wie von Dir beschrieben vorgegangen.
Als Domainnamen habe ich <Name>.synology.me und als Mailadresse meine Hauot-Mailadresse eingegeben. Den Parameter alternativer Name habe ich leer gelassen.
Der Abruf schien perfekt zu laufen. Das Zertifikat ist nun das Standard-Zertifikat.

Ich habe mich, um sicher zu gehen, abgemeldet, die DS heruntergefahren und bin dann neu gestartet.
Leider wird mir als Wensite-Information immer noch unsicher mit https: (durchgestrichen und <Name>.synology.me:5001 angezeigt.
Sowohl in der Fritz!Box als auch im Windows-Defender ist der Port 80 für ein- und ausgehende Verbindungen freigegeben.

An was kann das jezt noch liegen?
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.590
Punkte für Reaktionen
1.171
Punkte
254
Klick das Zertifikat an und gehe auf konfigurieren. Hier müssen alle Dienste mit dem Zertifikat verknüpft sein.
Ausserdem muss der Aufruf von deiner DS genauso erfolgen, wie die Domain registriert worden ist.
h**ps://deine_domain.de:5001 ist nicht das Selbe wie h**ps://www.deine_domain.de:5001


Port 80 wieder schließen! Der wird nicht mehr verwendet und stellt ein Risiko dar.
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
336
Punkte
123
Jupp, Port 80 ist hier garnicht nötig.

Der wird z.B. für den WebServer verwendet, wenn er installiert ist und nicht auch einen anderen Port verwendet.
Post 80 und 443 sind die Standard-Ports für HTTP und HTTPS, aber das DSM der DS läuft standardmäßig auf den Ports 5000 (HTTP, statt 80) und 5001 (HTTPS, statt 443), was du ebenfalls ändern könntest.
Darum ist bei deinem Aufruf auch der Port in der URL, weil es eben nicht der Standardport 80/443 ist.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Jupp, Port 80 ist hier garnicht nötig.

Er hatte Port 80 zum Abruf des Zertifikats von Lets Encrypt geöffnet und da ist es notwendig. LE verifiziert den Host über einen HTTP-Aufruf.

MfG Matthieu
 

stau

Benutzer
Mitglied seit
24. Aug 2014
Beiträge
92
Punkte für Reaktionen
0
Punkte
6
Vielen Dank an alle, die mir geholfen haben. Mein Zugriff unter https erfolgt nun ohne Fehler und Warnungen, nachdem ich noch alle Dienste mit dem Let'sEncrypt-Zertifikat verknüpft habe.

Ich habe nur noch eine Farge zur Nutzung der Ports 80 und 443.
Im DSM sehe ich nirgends, dass diese Ports genutzt werden. Muss das ausschließlich im Router, also meiner Fritz!Box definiert werden?
Benötige ich Port 80 nicht z. B., wenn ich Photo DS nutzen möchte?
Und gibt es nicht weitere externe Programme, für die der Zugriff benötigt wird. Ich habe z. B. eine Website bei Strato?
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.590
Punkte für Reaktionen
1.171
Punkte
254
Zuletzt bearbeitet:

stau

Benutzer
Mitglied seit
24. Aug 2014
Beiträge
92
Punkte für Reaktionen
0
Punkte
6
Vielen Dank für die Aufklärung.
Ich habe wieder hinzugelernt.
 

stau

Benutzer
Mitglied seit
24. Aug 2014
Beiträge
92
Punkte für Reaktionen
0
Punkte
6
Hallo Matthieu,

Es ist nun zwar schon eine Weile her, dass ich zum Thema "Kein Zugriff auf DS nach Versuch auf https umzustellen" posten musste.
Du warst mir damals eine große Hilfe. Nun ereilt mich wieder das gleiche Problem.

Ich will mich anmelden per "https://<IP-Adresse der DS>:5001" und erhalte wieder die Nachricht "Dies ist keine sichere Verbindung".
Seinerzeit schriebst Du mir, dass man diese Meldung übergehen kann. Leider gelingt mir das nicht (mehr).

Ich vermute mal, dass das Zugangsproblem damit zusammen hängt, dass das LetsEncrypt-Zertifikat abgelaufen ist. Ich erinnere mich daran, dass ich eine derartige Nachricht erhalten hatte, Die habe ich dann aber übergangen im Glauben, dass das Zertifikat nucht ablaufen kann. Da habe ich mich wohl getäuscht.

Ich wage mich noch einmal mit der Frage vor, wie ich mich wieder an der DS anmelden kann.
Das mit dem Zertifikat kriege ich dann wohl wieder hin.

Ich würde mich sehr darüber freuen, wenn Du mir noch einmal behilflich sein könntest.
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
243
Punkte
63
Ein Let´s Encrypt-Zertifikat hat mit Deiner Konstellation nichts zu tun: Ein Let´s -Encrypt-Zertifikat wird nicht für eine IP-Adresse (192...) ausgestellt, sondern nur für eine Domain. Wenn Du also in Deinem Heimnetz unterwegs bist, und Du möchtest auf deine DS, und erhältst die Sicherheitsmeldung - dann entweder ignorieren (schließlich weisst Du ja, dass Deine Synology eine sichere Adresse ist), oder in Deinem Browser die Heim-IP-Adresse als Ausnahme hinzufügen. Möchtest Du von außerhalb auf Deine Synology, dann eine Domain besorgen, und darauf in der Synology ein Let´s encrypt Zertifikat ausstellen. (als Alias kann man dort auch die www.Domain-Adresse hinzufügen).
 

stau

Benutzer
Mitglied seit
24. Aug 2014
Beiträge
92
Punkte für Reaktionen
0
Punkte
6
Bevor Deine Antworteinging, hatte ich es schon zunächst geschafft, die Fehlermeldung "Diesist keine sichere Verbindung" zu übergehen und mich anzumelden.
Dann habe ich das abgelaufeneLetsEncrypt-Zertifikat erneuert und die Verbindung zu allen Diensten wiederhergestellt.
Bei der nächsten Anmeldung per https://<Domainname> (die imLetsEncrypt-Zertifikat erscheinende Domain xxx..synology.me:5001 ) erhieltich dann wieder die gleiche Fehlermeldung.

Aber bei der nächsten Anmeldung war dann alleswieder ok wie früher. Ich melde mich jetzt also wieder im sicheren https-Modusan.
Du schriebst, dass man sich eine Domain besorgenmüsse. Ich gehe mal davon aus, dass das im Regelfall kostenpflichtig ist.
Ich habe keine Ahnung mehr wie ich zu dieserDomain gekommen bin, bin aber sicher, dass das nicht kostenpflichtig war.

Also ist mein Zugangsproblem gelöst, aber ichmöchte trotzdem gern wissen wie das mit dem Zertifikat und dem Domainnamenzusammenhängt.
Dann habe ich nämlich wieder hinzugelernt.

Zunächst mal herzlichen Dank für Deine Antwort.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Ein dynDNS wie xxx.synology.me ist auch eine " Domain". Eine Domain ist nichts als ein Name der einer IP zugeordnet wird. Vergleichbar einem Telefonbuch welches einen Menschen/Person einer Telefonnummer zuordnet unter die dieser erreichbar ist.
Ein Zertifikat wird eben auf einen Domainnamen ausgestellt und wenn der Browser xxx.synology.me aufruft prüft er ob dieser Name mit dem Namen der im Zertifikat genannt ist, welches ihm sein Gegenüber aushändigt, identisch ist.
Ist es dies nicht, dann gibt der Browser eine Warnmeldung aus, oder verhindert den Kontakt eventuell komplett.
Das ist z.B. dann der Fall, wenn das Zertifikat auf xxx.synology.me lautet, ich aber die lokale NAS-IP, z.B. 192.168.178.11, besuche.
Oder wenn ich xxx.synology.me besuche und das zertifikat aber auf abc.synology.me lautet.
 

stau

Benutzer
Mitglied seit
24. Aug 2014
Beiträge
92
Punkte für Reaktionen
0
Punkte
6
Ich verstehe jetzt ein bisschen besser den Zusammenhang zwischen Domain und dem Namen im Zertifikat.
Was ich aber immer noch nicht kapiere ist, wie zur Ehre einer kostenlosen Domain gekommen bin.
Stellt LetsEncrypt diese kostenlos zur Verfügung?
 

BigBugHmb

Benutzer
Mitglied seit
13. Sep 2017
Beiträge
28
Punkte für Reaktionen
0
Punkte
7
Die "Synology" Domain stellt logischer Weise Synology kostenlos zu Verfügung, da ihnen die Domains gehören. Das Zertifikat stellt entsprechend LetsEncrypt kostenlos zur Verfügung.
Du musstest es einfach nur in deinen NAS Einstellungen entsprechend auswählen/einstellen.
 

stau

Benutzer
Mitglied seit
24. Aug 2014
Beiträge
92
Punkte für Reaktionen
0
Punkte
6
Vielen Dank für Dein Aufklärung.
Genau das hatte ich noch wissen wollen.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat