Externer Zugriff über IP / DDNS geht nicht

[MX-3-Tom]

Hallo,

ich möchte von außen auf mein DSM zugreifen.
Diese hängt mit fester IP über eine FritzBox im Internet. DDNS habe ich dennoch konfiguriert.
Zugriff über Quickconnect klappt super, allerdings möchte ich gern direkt über meinen DNS-Port (HTTPS) zugreifen. Diesen Port habe ich bereits von 5001 auf einen anderen 5-stelligen Wert geändert.
Im Heimnetz klappt das auch mittels IPort.

Von außen zeigt mir Safari aber immer an, dass er keine sichere Verbindung zum Server aufbauen kann.
Und das sowohl bei externerIPort als auch bei DDNS-Adresseort.
Portfreigaben in FritzBox und Firewall der Synology geben meinen Port frei.
Ping funktioniert sowohl auf die externe IP , als auch auf die DDNS-Adresse.

Habt ihr noch eine Idee, woran das liegen kann?

Was mich auch wundert ist, dass ich 3 SSL-Zertifikate habe: Synology Standard, DDNS-Adresse und Quickconnect-Adresse. Alle drei sind im DSM grün gekennzeichnet. Für alle Service ist unter "Einstellungen" das Zertifikat der DDNS-Adresse ausgewählt.
Dennoch musste ich beim ersten Verbinden auch im Heimnetz das Zertifikat als vertrauenswürdig abhaken.

VG. Tom

 

[Thonav]

Hast Du denn auch die entsprechenden Zertifikate zugeordnet? Schau mal bei den Zertifikaten unter Einstellungen.

 

[alexhell]

Und wenn du das im Browser aufrufst und dir die Zertifikatsdetails anguckst, steht da die richtige Domain drin?

 

[MX-3-Tom]

So hier sind sie zugeordnet:

 

[MX-3-Tom]

Hier das Zertifikat, wenn ich mich aus dem lokalen Netzwerk verbinde:



Und schließlich die Fehlermeldung, wenn ich von außen zugreifen will. Hier kann ich mir kein Zertifikat anzeigen lassen (kein Schloss-Symbol):

 

[Benares]

Hast du schon mal einen anderen Browser probiert? Apple und Safari sind da sehr speziell.

 

[alexhell]

Zertifikate gelten für Domains und keine IPs.
Hast du es mal mit deinem anderen Browser probiert als Safari? Könnte es der Rebind Schutz der Fritzbox sein?

 

[MX-3-Tom]

Zertifikat beim Verbindungen im lokalen Netzwerk: OK, macht Sinn. Dann kann ich das ja einfach als Ausnahme akzeptieren. Passt - danke!

Habe mal als DNS-Rebind-Ausnahme die DDNS-Adresse eingetragen. Leider ohne Erfolg.
Einen anderen Browser habe ich aktuell nicht. Müsste ich heute Abend mal schauen.

 

[MX-3-Tom]

Hier der Fehler auf einem Windows-Rechner

 

[alexhell]

Löst die Domain richtig auf? nslookup deine-ddns probiert?

 

[MX-3-Tom]

Hier das Ergebnis aus dem Mac Terminal.
Das löst nach IPv6 auf - da bin ich leider nicht so wirklich firm. Auch die #53 sagt mir nix.

 

[alexhell]

Deine DDNS Adresse wird nicht richtig aufgelöst.

 

[Benares]

Ohne "https://", nur der Name.
Die erste Ausgabe ist der DNS-Server, der auflöst. Erst darunter erfolgt der aufgelöste Namen.

 

[alexhell]

Ach das https:// hab ich übersehen....

 

[MX-3-Tom]

Ahhh, ok. Hier ohne https:

 

[alexhell]

Kann im Netzwerk irgendwas den Zugriff gerade blockieren? Eine Firewall auf dem Rechner vielleicht?

 

[MX-3-Tom]

Habe grad mal die Firewall am Laptop deaktiviert - ändert nichts. :-(

 

[alexhell]

Könntest du es mal mit einem Smartphone testen und mobile Daten?

 

[MX-3-Tom]

Ja, das habe ich auch probiert. Kommt exakt die gleiche Fehlermeldung.
Ich kann mir nur vorstellen, dass die FritzBox irgendwas blockiert. Am 5-stelligen Port kann es meiner Meinung nach nicht liegen, da es auch mit der 5001 nicht funktioniert hat.

 

[MX-3-Tom]

Problem erkannt!
Die Synology steht in einem Bürokomplex. Und dort sind alle Zugriff außer die 1194 (VPN) gesperrt.
Ich muss das also mit der Büro-IT klären, damit mein Port freigeschaltet wird.

Danke euch für eure schnelle Hilfe!