Toggle sidebar

DSM 6.x und darunter DSM Update: Webstation über HTTPs von extern nicht mehr erreichbar

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.
M

mike399845

Benutzer
Registriert
06. Juni 2013
Beiträge
19
Reaktionspunkte
0
Punkte
0
ich habe leider seit ca. anfang dezember (müsste das update auf 5.1-5004 Update 2 gewesen sein) das problem, dass meine webstation auf der DS213+ (aktuell mit DSM 5.1-5022) nur mehr intern vom LAN aus erreichbar ist. von extern geht leider nichts mehr. andere anwendungen wie z.b. die downloadstation sind nach wie vor problemlos erreichbar, web- und damit auch photostation aber nicht.

am router, der die LAN/WAN verbindung herstellt kann es nicht liegen, da die einstellungen (port forwarding) sich (1) nicht verändert und (2) auch mehrfach überprüft wurden. auch die DSM firewall einstellungen habe ich mehrfach überprüft - es passt aber nach wie vor alles.

was ich bislang heraus gefunden habe: port 80 funktioniert von extern, aber 443 eben nicht. ich möchte aber wie auch bislang alle HTTP verbindungen auf HTTPs umleiten.

ich vermute daher, dass die DSM firewall hinsichtlich HTTPs einen bug hat.


kann diesen problem jemand von euch bestätigen? ich habe bislang gehofft, dass die neuen DSM versionen den fehler beheben, aber leider ist das nicht passiert. kontakt mit dem synology support habe ich noch nicht aufgenommen - dafür wäre es für mich hilfreich zu wissen, ob jemand von euch das problem ebenfalls hat oder das nur auf meiner kiste auftritt.

vielen dank schon mal!
 
Zuletzt bearbeitet:
mike399845 schrieb:
ich vermute daher, dass die DSM firewall hinsichtlich HTTPs einen bug hat.

kann diesen problem jemand von euch bestätigen?
Zum Vergrößern anklicken....
Nein, kann ich nicht. Läuft alles problemlos.

Vielleicht einmal https bei den Webdiensten deaktivieren und danach wieder aktivieren...
 
danke für die schnelle antwort.

deaktivieren / aktivieren habe ich eigentlich bei allen relevanten einstellungen schon probiert - leider hilft das nicht.

komisch ist eindeutig, dass HTTPs intern funktioniert. daher auch meine anfängliche vermutung, dass es an meiner eigenen infrastruktur außerhalb der DS liegt. das ist es aber auch nicht, zumal ja auch die downloadstation erreichbar ist.
 
Dann schlage ich vor, Du deaktivierst testweise einmal alle Firewallregeln, löschst die Portweiterleitung 443 im Router und richtest sie neu ein.
 
danke auch für diesen tipp.

ich habe alle firewallregel (allgemein) deaktiviert. ebenso in beiden schnittstellen und dann auf "wenn keine regel zutrifft: zugriff zulassen".

im router die regel für meine port forwardings deaktiviert und eine neue angelegt: an rechner [nas ip], quelle tcp, beliebiger port zu zielport 443 (ebenfalls für UDP aktiviert).

leider immer noch der selbe fehler.

edit: von intern wie gesagt kein problem; extern habe ich mit einer weiteren unabhängigen internetverbindung getesten - immer das gleiche ergebnis, dass die website nicht erreicht werden kann.
 
mike399845 schrieb:
...an rechner [nas ip], quelle tcp, beliebiger port zu zielport 443 (ebenfalls für UDP aktiviert).
Zum Vergrößern anklicken....
Es reicht TCP. Und bitte Port 80 (extern) an 80 (intern an die DS) weiterleiten sowie 443 (extern) an 443 (intern an die DS).
 
UDP habe ich entfernt, das war kein problem.
die jeweiligen quellports muss ich aber auf "beliebig" lassen, sonst geht gar nichts mehr durch (getestet mit 80, 443 und port für die downloadstation - überall das gleiche resultat).

immer noch wie gehabt: 80 und downloadstation sind erreichbar https/443 nicht.
 
mike399845 schrieb:
die jeweiligen quellports muss ich aber auf "beliebig" lassen, sonst geht gar nichts mehr durch
Zum Vergrößern anklicken....
Wie bitte? Welchen Router hast Du? Kannst Du mal einen Screenshot des Menüs für die Portweiterleitung posten?
 
das ist der standardrouter von meinem österreichischen ISP (A1 Telekom) - ein pirelli modem.

hier der screenshot:

portf.JPG
(das ist das vierte untermenü zur definition von port forwardings. wenn es hilfreich ist, stell ich gerne weitere screenshots rein).

edit: genau produktnummer: Pirelli PRGAV4202N
 
Zuletzt bearbeitet:
Wenn ich auf die Seite 40 des Handbuches zu Deinem Modem schaue, dann ist dort detailliiert beschrieben, wie man einzelne externe Ports an einzelne Ports intern weiterleitet. Arbeite die bitte einmal für Port 80 und 443 jeweils ab.
 
danke, das handbuch kenne ich.

so wie auf seite 40 habe ich es gemacht (seite 42 beschreibt port triggering). das handbuch ist nicht sehr detailliert was den port forwarding abschnitt betrifft. wie erwähnt gibt es da ein hauptmenü zu port forwarding und dann drei untermenüs, wenn man eigene dienste (mit benutzerdefinierten ports) anlegen will. die standardmäßig definierten ports sind aber genauso eingerichtet wie ich es gemacht habe, also mit quellport beliebig.

ich kann schon nachvollziehen, dass das eine sicherheitslücke sein kann, aber offenbar ist das mit dem router nicht anders umsetzbar.


ich glaube aber wie gesagt nicht, dass es am router liegt. sonst wären ja nicht 80 und die downloadstation erreichbar. zudem habe ich am router nichts verändert und plötzlich - nach dem DSM update im dezember - gab es plötzlich probleme.

edit: vielen dank jedenfalls für deine umfangreiche hilfe!

edit2: bringt es evtl. etwas die firewall settings der DS über die commandline zu prüfen? ob quasi in den linux settings auch wirklich das drinnen steht, was laut DSM drinnen stehen sollte? ich habe nur leider keine ahnung wie das geht (grundlegende linux kenntnisse habe ich). ich habe keine erweiterungen installiert (zwar DSM pakete, aber keine zusätzlichen configs oder pakete über die commandline).
 
Zuletzt bearbeitet:
mike399845 schrieb:
ich glaube aber wie gesagt nicht, dass es am router liegt. sonst wären ja nicht 80 und die downloadstation erreichbar.
Zum Vergrößern anklicken....
Wenn innerhalb des LANs nichts blockiert (sprich die Firewall) und der Zugriff per https über 443 funktioniert, dann gibt es keinen technischen Grund, warum der Zugriff von außen nicht auch funktioniert - es sei denn, der Router leitet die Pakete auf 443 nicht korrekt an die DS weiter.
 
ok, ich hab jetzt das NAS für einen kurzen test als DMZ freigeschaltet - immer noch das gleiche verhalten.

mein erster gedanke vor einem monat war auch, dass es der router sein muss, aber das glaube ich nach den ganzen tests nicht mehr, da der router seit einiger zeit kein update bekommen hat und der fehler unmittelbar nach dem DSM update aufgetreten ist.
 
Sorry, wenn Du im LAN die Photostation per https erreichst (und Firewall-Regeln externe Zugriffe nicht blocken), dann liegt der Fehler nicht in der DS - wo auch immer bei Dir der Wurm steckt...
 
ok, dann vielen dank für die ausführlichen antworten.

ich werde es für heute bleiben lassen, aktuell habe ich keine idee mehr, an welcher schraube ich noch drehen soll...
 
jetzt hab ich doch noch mal weiter getestet und fühle mich in meiner theorie durchaus bestärkt, dass der bug auch im DSM liegen kann.

1) port forwarding auf einen eigens definierten, zweiten HTTPs port funktioniert (z.B. 8443).
2) nur weil HTTPs im LAN funktioniert, heißt es nicht automatisch, dass nicht durch einen bug im DSM externe request blockiert werden können: der externe request wird über port forwarding an das NAS weitergeleitet und kommt dort ja auch mit der externen IP an. insofern kann durch einen bug die externe anfrage auf port 443 blockiert werden.

fraglich ist aber immer noch, warum das problem nur mein NAS betrifft.
 
Zuletzt bearbeitet:
naja, es wäre ja nicht das erste mal, dass nicht jede DS auf ein update gleich reagiert. kann ja durchaus sein, dass bestehende configs auf einer DS ein problem auslösen und auf einer anderen alles glatt läuft.
 
mike399845 schrieb:
1) port forwarding auf einen eigens definierten, zweiten HTTPs port funktioniert (z.B. 8443).
2) nur weil HTTPs im LAN funktioniert, heißt es nicht automatisch, dass nicht durch einen bug im DSM externe request blockiert werden können: der externe request wird über port forwarding an das NAS weitergeleitet und kommt dort ja auch mit der externen IP an. insofern kann durch einen bug die externe anfrage auf port 443 blockiert werden.

fraglich ist aber immer noch, warum das problem nur mein NAS betrifft.
Zum Vergrößern anklicken....
So mal als Anregung aus der Tatsache, dass es mit einem anderen Port klappt: vielleicht nutzt Dein Modem den Port 443 für eine Fernkonfiguration? Wäre nicht das erste Gerät ;)
 
ja, auch mit der lösung wäre ich hoch zufrieden :P.
leider hab ich auch das schon 10 mal in allen möglichen untermenüs kontrolliert.

übrigens kann ich auch einen 443 forward auf ein anders LAN device machen und die externe verbindung klappt. nur mit der DS gibt's dieses thema.

naja, jetzt lass ichs wirklich sein. muss halt bis auf weiteres ein anderer port herhalten.

danke nochmal für eure hilfe!
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten