File Station extern nicht erreichbar

[drago]

Hallo,

ich habe hier ein kurioses Problem. Ich kann den für die File Station reservierten Port 7001 (https Verbindungen) nicht aktivieren, die Einstellungen werden vom System nicht übernommen. Beim mehrmaligen Versuch diese zu aktivieren, schmiert mir Apache ab, ein restart unter telnet zeigt mir folgenden Fehler an, ob das ein Zusammenhang damit hat weiß ich nicht.

Start System Apache Server .....  -DSSL -f /usr/syno/apache/conf/httpd.conf-sys
Syntax error on line 4 of /usr/syno/apache/conf/extra/httpd-alt-port-ssl-setting.conf:
Invalid command 'SSLCipSSLCipherSuite', perhaps misspelled or defined by a module not included in the server configuration
/usr/syno/etc/rc.d/S97apache-sys.sh: system httpd started
server>

httpd-alt-port-ssl-setting.conf

SSLEngine on
Header add Strict-Transport-Security max-age=31536000;includeSubDomains
SSLCipSSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:DES-CBC3-SHA
SSLProtocol all -SSLv2 -SSLv3                                                                                                                                                              
SSLHonorCipherOrder on

SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
SSLCertificateChainFile /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt

Danke für die Hilfe.

 

[Frogman]

Das 'SSLv3' sollte zumindest schon einmal in der Zeile darüber hinter dem letzten '-' stehen...

 

[drago]

Ich verstehe deine Antwort nicht

 

[Frogman]

mmh... - und wenn nicht Du, wer hat dann die SSL-Settings auf Deiner DS geändert?
Wenn das so in den Settings steht, dann weißt Du, woher die Fehlermeldung stammt... und außerdem setz mal noch "" um die max-age und SubDomainanweisung

 

[drago]

Das habe ich hier zu 1:1 aus dem Forum übernommen.

"max-age=31536000;includeSubDomains"

oder

"max-age"=31536000;"includeSubDomains"

Auf welche Zeile soll -SSLv3 gesetzt werden?

 

[Frogman]

Das habe ich hier zu 1:1 aus dem Forum übernommen.

Na, offenbar nicht - oder wo siehst Du oben in Deiner Settings-Datei die Anführungszeichen?
Und zu meinem Hinweis mit 'SSLv3' - das scheinst Du dann ja auch "übernommen" zu haben. Schau am besten nochmal in der Quelle nach - jedenfalls sollte das in diesem Fall in der Anweisung für die SSL-Protokolle in Verbindung mit einem '-' Zeichen davor stehen, was eben heißt, dass SSLv3 ausgeschlossen wird. Und bei Dir steht das 'SSLv3' einsam und verlassen in einer neuen Zeile, während das zugehörige '-' ebenso einsam am Ende einer anderen Zeile sein Dasein fristet...

 

[drago]

Ich habe es dir mal rausgesucht woher ich die Konfiguration habe, mir ist hierzu aufgefallen das die beiden genannten Zeilen mal oben und mal unten stehen. Aber es ändert nicht das Problem.

http://www.synology-forum.de/showthread.html?43502-Perfect-Forward-Secrecy-Synology-DS/page2

Seite 2-3

 

[Frogman]

Ich habe es dir mal rausgesucht woher ich die Konfiguration habe, mir ist hierzu aufgefallen das die beiden genannten Zeilen mal oben und mal unten stehen. Aber es ändert nicht das Problem.

http://www.synology-forum.de/showthread.html?43502-Perfect-Forward-Secrecy-Synology-DS/page2

Seite 2-3

Dein Link führt an eine Stelle, wo gerade der Punkt mit dem max-age nicht zu finden ist - aber wenn ich mal Dein Augenmerk auf die Seite 4 lenken darf... dort wird es nämlich erwähnt!

Und hast Du nach der Korrektur einen Neustart gemacht (und es natürlich auch in der Datei httpd-ssl.conf-common geändert, wo sich die Parameter nämlich ebenfalls befinden)? Ich kann Dir nur empfehlen, dort sorgfältiger hinzuschauen - im Moment habe ich den Eindruck nicht so wirklich...

 

[drago]

Der Punkt mit dem "max-age" ist bereits erledigt, daher habe ich es nicht mehr weiter erwähnt und ja, ich habe es auch in der httpd-ssl.conf-common korrigiert, sowie jeweils ein restart durchgeführt.

Nun weiß ich aber immer noch nicht was mit der Zeile SSLProtocol all -SSLv2 -SSLv3 falsch sein soll, es steht wie im Forum in einer Zeile.

Und mal so nebenbei gefragt, der Port 7001 funktioniert bei dir mit dieser Konfiguration ohne probleme?

 

[Frogman]

..., es steht wie im Forum in einer Zeile.

... im Startpost allerdings nicht - und daher hatte ich es erwähnt.

Um weitere Fehler auszuschließen, würde ich Dir zunächst einmal dringend empfehlen, die DS mit den originalen SSL-Konfigs zu starten und dann zu schauen, ob Fehlermeldungen im Log auftauchen und SSL-Ports aktivierbar sind...

 

[drago]

Die Fehlermeldung ist weg "SSLCipSSLCipherSuite" war falsch geschrieben. Das System weigert sich denn noch den Port 7001 zu übernehmen.

Wo finde ich die originale SSL Konfi ?

 

[Frogman]

Wo finde ich die originale SSL Konfi ?

Die solltest Du angelegt haben, als Du die beiden Files editiert hast... Goldene Regel Nr. 1: lege von Dateien, die Du änderst, Backups an! Ansonsten kann Du auch mal die *.pat-Datei Des DSM Deiner DS entpacken und darin die beiden Files herausfischen...

 

[drago]

Ab hier komme ich nicht weiter.

Wie entpacke ich eine *.pat-Datei?

 

[dil88]

Benenne das Ding in tar um und packe es dann mit tar xpf filename.tar aus, wobei Du filename ersetzen musst durch den tatsächlichen Dateinamen. Du kannst auch die Dateinamen der Dateien an die Befehlszeile anhängen, die ausgepackt werden sollen. Tust Du das nicht, wird das komplette Archiv ausgepackt. Also bitte vorher ein Verzeichnis erzeugen, in dem Du dann auspacken kannst, ohne etwas kaputt zu machen.