Kann Drive Client nicht aufrufen. Fehler: "Anfrage war für eine HTTP-URL mit aktiviertem Moduls „HTTPS-Only“ war"

[erhe]

Hallo Forum,

Ich habe ein Macbook, damit läuft es so weit.
Ich habe neu einen Mac Mini und mit dem kann ich Drive Client nicht aufrufen - das scheint mir das Hauptthema zu sein. Mehr Hinweise dazu unten im Kapitel „Mac Mini“.
Beide haben Sequoia 15.3.1
Ich kann für beide das NAS im Finder über SMB einbinden und ansprechen.
Ein paar Infos sind unten (ob alle relevant sind, kann ich nicht einschätzen, wenn nicht dann sorry für das Überangebot)
Ich glaube ja, das die Lösung weniger im NAS, DSM liegt, als vielleicht an einer Einstellung am Mac Mini, denn mit dem Macbook geht es ja. Über Hilfe freue ich mich.

Macbook - hier habe ich Zugriff auf das NAS
- Im Finder kann ich das NAS sehen und habe Zugriff. Das habe ich dazu glaube ich ziemlich sicher per SMB eingebunden
- Synology Drive Client kann ich aufrufen
- Synology Assistant kann ich nicht aufrufen, aber brauche ich ja auch nicht mehr?

NAS / DSM
- DS224+ mit DSM 7.2.2-72806 Update 3
- Browser Eingabe am Macbook 192.xxx.xxx.xxx:5000 ruft die Anmeldeseite auf.
- Synology Drive Server steht bei den installierten Paketen - ist also vorhanden
- Dateidienste / SMB —> SMB Dienst ist aktiviert
- Externer Zugriff / Erweitert —> DSM (HTTP): 5000 & DSM (HTTPS): 5001
- Externer Zugriff / Quickconnect —> quickconnect ist nicht aktiviert. Nach meinem Verständnis brauche ich quickconnect dann, wenn ich von außer Haus auf das NAS zugreifen möchte? Aktuell will ich das noch nicht, daher habe ich es nicht aktiviert.

Mac Mini
- Mac Mini / Finder / Gehe zu / Mit Server verbinden —> smb://… bringt ein Fenster „Ein Volume auf den Server „Name“ konnte nicht aktiviert werden. Beim aktivieren des Volumen ist ein Fehler aufgetreten. —> dann auf einmal ging es aber und ich kann auf das NAS im Server zugreifen.

- finds.synology.com - zeigt mir das NAS, verbindet aber nicht. Es kommt die Fehlermeldung im Safari Browser „Safari kann die Seite http://192.xxx.xxx.xxx:5000 nicht öffnen. Die Steuerung ist fehlgeschlagen, da die Anfrage für eine HTTP-URL mit aktiviertem Moduls „HTTPS-Only“ war. WebkiterrorDomain 305"

- synologynas.local:5000 bringt „ die Verbindung ist nicht sicher, diese Webseite unterstützt keine sichere Verbindung über https. Ich hab mich daher nicht gebraucht fortfahren zu drücken.

- synology Assitant App —> wie bei find.synology.com

- Synology Drive Client App —> findet das NAS nicht. Und fordert „Synology Drive Server muss auf dem NAS installiert sein“. Das ist es, siehe auch oben. Ich gebe die Daten manuell ein: 192.xxx.xxx.xx und Benutzer und Kennwort und erhalte die Meldung „Dass SSL Zertifkat des Synology NAS ist nicht vertrauenswürdig. Auch hier kann ich „Trotzdem fortfahren“, da ich es nicht verstehe, traue ich mich auch hier nicht.

Ich glaube ja, das die Lösung weniger im NAS, DSM liegt, als vielleicht an einer Einstellung am Mac Mini, denn mit dem Macbook geht es ja. Über Hilfe freue ich mich.

Danke, erhe

 

[Hagen2000]

Für den Zugriff vom Mac Mini verwendest Du am besten https://192.xxx.xxx.xx:5001. Dann solltest Du - wie beim Drive Client - eine Zertifikatswarnung erhalten. Hier klickst Du auf „Trotzdem fortfahren“.
Grund: Die Zertifikatswarnung erhältst Du, weil das mitgelieferte (kostenlose) Zertifikat nicht von einer anerkannten Zertifizierungsstelle stammt, sondern selbst-signiert (self signed) ist. Daher musst Du dafür eine Ausnahme erlauben.
Das ist erst mal eine pragmatische Lösung, alternativ müsstest Du dich mit Themen wie DDNS und Zertifikaten beschäftigen. Synology hat da viel im NAS-Betriebssystem DSM vorbereitet, aber es ist trotzdem mit etwas Aufwand verbunden.

 

[ottosykora]

die Anfrage ist für Mitlesende hier shcon mal verwirrend.
Drive Client ist die Software von Synology welche du an deinem Computer installierst.
Das was auf NAS läuft ist der Drive Server.

https://kb.synology.com/de-de/DSM/help/SynologyDrive/drive_getting_started?version=7

https://kb.synology.com/de-de/DSM/tutorial/Quick_Start_Synology_Drive_users

 

[erhe]

Danke Hagen2000, ich werde es ausprobieren.

Ich habe diese Frage 2x erstellt, kann bitte ein Amin die beiden Fragen zusammenführen?

 

[Hagen2000]

Dazu musst Du auf den "Melden"-Button im zweiten Thema klicken und darüber einen Moderator kontaktieren.

Zum Thema zurück: Du kannst auch auf dem Mac Mini in Safari / Einstellungen / Sicherheit den Haken bei "Vor dem Verbinden mit einer Webseite über HTTP warnen" rausnehmen, dann sollte der Zugriff über HTTP (ohne 'S') wieder funktionieren.

 

[erhe]

Danke nochmals! Ich verstehe, dass ich mich mit den DMS noch näher beschäftigen muß. Ich möchte dennoch kurz schildern, was ich bisher noch versucht habe, vielleicht gibt das noch einen neuen Anstoß. Den Haken in den Safari Einstellungen möchte ich noch nicht herausnehmen. Und nach allem was ich probiert habe, stelle ich fest: ich verstehe dieses Thema noch nicht, an den Zertifikaten scheitere ich. Alles folgende am Mac Mini.

- Systemsteuerung / Externer Zugriff / DDNS
- Ich sehe dort bereits: Serviceanbieter (Synology), Hostname, Konto, … sind erstellt,
- der Verbindungstest zeigt normal,
- das Zertifikat von Lets Encrypt ist deaktiviert, das bedeutet gemäß der online Hilfe: "Wenn jedoch bereits ein SSL-Zertifikat für Ihren DDNS-Hostname vorhanden ist, ist dieses Kontrollkästchen deaktiviert“. Und da steht, dass meine Domain zur Registrierung an Lets Encrypt weitergegeben wird. Von Lets Encrypt selbst habe ich nie eine Rückmeldung bekommen.

- Also weiter mit Systemsteuerung / Sicherheit / Zertifikat - dort steht mein Hostname, und 29.05.2025 (Ist das das Ablaufdatum?), ausgestellt von R11. Es ist als Standard markiert. Und es gibt ein Synology mit 02.03.2026. Ich bleibe bei dem mit meinem Hostname.
- Unter Einstellungen / Konfigurieren ist überall mein Hostname eingetragen.
- Unter Aktion / bearbeiten kann ich nichts machen
- Zertifikat exportieren scheint mir falsch
- Zertifikat erneuern —> das habe ich dann gemacht, es steht dort danach nun nicht mehr 29.05.2025, sondern 04.06.2025

—> wenn ich jetzt Synology Drive Client starte, dann steht dort die IP Adresse des NAS - das ist neu, aber ansonsten kommen die gleichen Fehlermeldungen.
Und auch Synology Assistant findet weiterhin das NAS, verbindet es aber nach wie vor nicht.

—> neuer Versuch: Systemsteuerung / Sicherheit / Zertifikat / hinzufügen / Vorhandenes Zertifikat ersetzen / importieren - habe ich die Daten nicht, also wähle ich: von Lets Encrypt abrufen / ich erhalte ein weiters Zertifikat mit gleichem Hostnamen, bis 04.06.2025, ausgestellt von R10, ich nehme es als Standard —> und wieder sagt drive client, dass das Zertifikat nicht vertrauenswürdig ist.

Es liegt am Zertifikat ist die Annahme. Aber warum spielt das Ganze am Macbook? Dann muss das Zertifikat doch akzeptiert und gültig sein? Wie gesagt, ich verstehe die Zusammenhänge mit Zertifikaten offensichtlich nicht.


Dies ist ein Exkurs, weil manches davon auch vorgeschlagen wurde, aber ohne oben stehendes, also Zertifikate, zu lösen, kann nach meinem Verständnis auch folgendes nicht klappen.

- Rufe ich am Mac Mini Synology Drive Client auf, komm ich wie schon beschrieben auf die Synology Drive Client Maske. Nur dieses Mal wähle ich „fortfahren“ - dann fragt er mich nach einem 6-stelligen Code und den habe ich nicht, ich kann ihn mir auch nicht zusenden lassen.

- Https://192.xxx.xxx.xxx:5001 bringt das bekannte „Verbindung nicht sicher“, ich fahre dennoch fort, es kommt 400 Bad Request. The plain HTTP request was sent to HTTPS port.

- https://192.xxx.xxx.xxx:5000 bringt das bekannte „Verbindung nicht sicher“, ich fahre dennoch fort, doch hier komme ich auf die DMS Anmeldeseite

Und weil ich da wohl Verwirrung gestiftet habe:
Ich habe drive client auf meinem Mac Mini, zumindest kann ich die App aufrufen.
Im DMS Paketzentrum sehe ich, dass der Synology Drive Server installiert ist, ich kann ihn öffnen und erreiche die Synology Drive Admin Konsole.

 

[Hagen2000]

Bitte keine Buchstabendreher: DMS DSM

Von Lets Encrypt selbst habe ich nie eine Rückmeldung bekommen.

Bekommst Du auch nicht.

29.05.2025 (Ist das das Ablaufdatum?)

Ja, die gelten 3 Monate und werden im letzten Monat vor Ablauf automatisch verlängert.

Ich bleibe bei dem mit meinem Hostname.

Richtig.

es steht dort danach nun nicht mehr 29.05.2025, sondern 04.06.2025

Prima - dann wird die automatische Verlängerung auch funktionieren.

Und auch Synology Assistant findet weiterhin das NAS, verbindet es aber nach wie vor nicht.

Ist auch erwartungsgemäß: Der Zertifikatsfehler wird erst dann nicht mehr auftreten, wenn Du statt der IP-Adresse deinen Hostnamen benutzt, denn das Zertifikat bestätigt nur die Echtheit deines Hostnamen, von IP-Adressen weiß es nichts (mal salopp formuliert).

ABER: Der Hostname muss die IP-Adresse deines NAS auflösen. Daher kommt es jetzt darauf an, was Du beim Synology DDNS in den Feldern "Externe IP-Adresse(IPv4)" und "Externe IP-Adresse(IPv6)" eingetragen hast. Am besten stellst Du hier mal ein Bildschirmfoto davon ein.
Wenn Du deine IP-Adresse verbergen willst, so schwärze bei IPv4 die letzten beiden Oktette, bei IPv6 lass mindestens die ersten 4 Ziffern inkl. Doppelpunkt sichtbar. Private IP-Adressen (also z.B. 192.168.x.y) brauchst Du prinzipiell nicht zu verbergen.

Aber warum spielt das Ganze am Macbook?

Vielleicht hast Du hier die Ausnahme schon mal gemacht, dann merkt es sich das. Oder im Safari ist der zuvor genannte Haken nicht gesetzt (wobei das sich nicht auf die Drive Client App auswirken sollte).

dann fragt er mich nach einem 6-stelligen Code

Dann musst Du aber schon so etwas wie 2-Faktor-Authentifizierung eingerichtet haben?

 

[erhe]

Danke für Deine Geduld mit mir! Es ist immer viel Text, doch ich brauche oft eine Weile, bis ich die richtigen Seiten finde und so ist es für mich auch eine Gedächtnisstütze.

Wenn Du deine IP-Adresse verbergen willst, so schwärze bei IPv4 die letzten beiden Oktette, bei IPv6 lass mindestens die ersten 4 Ziffern inkl. Doppelpunkt sichtbar. Private IP-Adressen (also z.B. 192.168.x.y) brauchst Du prinzipiell nicht zu verbergen.

#Systemsteuerung / Externer Zugriff / DDNS / Bearbeiten
Siehe Anhang zur Frage IPv4, IPv6


#Systemsteuerung / Sicherheit / Konto - Persönlich / Sicherheit
zeigt, dass ich die 2-Faktor-Authenfizierung eingerichtet habe. Nach Deinem Kommentar / Frage bin in nochmals „durch gelaufen“. Tatsächlich habe ich Secure Sign In bereits auf dem Handy, aber die App meldet sich nicht, wenn ich mich anmelde. Ich muss sie aktiv öffnen und den Code abschreiben. Das war mir nicht klar, ich habe immer einen OTP angefordert. Siehst Du, jetzt hast Du mir nebenbei bei einem weiteren Thema geholfen (dieses wäre einer der nächsten Fragen geworden).

 

[Hagen2000]

IPv4 steht auf "Automatisch" und ermittelt somit deine externe IPv4-Adresse unter der dein Router im Internet erreichbar ist.
Wenn Du nur intern im Heimnetz mit dem Zertifikat arbeiten willst, dann stelle diesen Eintrag auf "LAN 1" (bzw. den Anschluss, an dem dein NAS mit dem Netzwerk verbunden ist). Das würde ich jetzt als ersten Schritt empfehlen und dann sollte der sichere Zugriff im Heimnetz funktionieren.
Später kann man dann noch überlegen, ob Du auch von außerhalb auf das NAS zugreifen können willst, aber dann müsste man den Router entsprechend konfigurieren.

IPv6 scheint in deinem Heimnetz gar nicht aktiv zu sein, daher würde ich jetzt erst mal den Eintrag dafür auf "Deaktivieren" stellen.

 

[erhe]

Ich habe jetzt LAN1 ausgewählt für IPv4 und IPv6 deaktiviert.
Ich habe auch unter Netzwerk / Netzwerkschnittstellen kontrolliert, dass tatsächlich LAN 1 aktiv ist.
CMD Leertaste und Sonology Drive Client und Synology Assistant bringen weiterhin die Fehlermeldungen.

 

[Hagen2000]

Hast Du eine FRITZ!Box? Bei einer FRITZ!Box musst Du im Rebind-Schutz eine Ausnahme für deinen Domainnamen erstellen.

Ansonsten könntest Du mal in einer Eingabeaufforderung einen ping-Befehl testen:
ping deinname.synology.me muss dann die IP-Adresse deines NAS im Heimnetz anzeigen und es müssen Antworten eintreffen.

 

[Hagen2000]

Bei macOS heißt das natürlich nicht Eingabeaufforderung sondern "Terminal" und befindet sich unter Diensprogramme.

 

[erhe]

cmd Leertaste -> Terminal -> ping mein-DDNS-Hostname.synology.me
-> bringt: cannot resolve mein-DDNS-Hostname.synology.me: Unknown host

cmd Leertaste -> Terminal -> ping 192.xxx.xxx.xxx
-> es hört gar nicht auf Zeilen zurückzuschreiben

https://avm.de/service/wissensdaten...re-Anfrage-aus-Sicherheitsgrunden-abgewiesen/
Fritz!Box / Heimnetz / Netzwerk / Netzwerkeinstellungen / Lan Einstellungen / weitere Einstellungen … / DNS-Rebind-Schutz -> mein-DDNS-Hostname.synology.me eingetragen / Übernehmen
-> Cmd / Leertaste / Synology Drive Client —> gleiche Fehlermeldung

Fritz!Box / Heimnetz / Netzwerk / Netzwerkeinstellungen / Lan Einstellungen / weitere Einstellungen … / DNS-Rebind-Schutz -> 192.xxx.xxx.xxx eingetragen / Übernehmen
-> Cmd / Leertaste / Synology Drive Client —> gleiche Fehlermeldung

Ich habe die Einstellungen für rebind wieder herausgenommen.

 

[Hagen2000]

Mach's nochmal ganz in Ruhe.

-> bringt: cannot resolve mein-DDNS-Hostname.synology.me: Unknown host

Dann greift der DNS-Rebind-Schutz, der Eintrag in der FRITZ!Box für mein-DDNS-Hostname.synology.me muss rein (natürlich hier deinen echten Hostnamen eintragen). Der ping-Befehl muss dann die 192.xxx.xxx.xxx-Adresse liefern, die Du auch manuell angegeben hast. Vielleicht hattest Du dich vertippt.

Erst wenn das funktioniert, den Test mit der Drive Client App machen: Deinen Hostnamen eintragen und HTTPS einschalten.
Mit dem Browser https://mein-ddns-hostname.synology.me:5001 aufrufen.

 

[Hagen2000]

Du kannst auch noch folgenden Test machen: Auf dieser Webseite deinen DDNS-Hostnamen eingeben, da muss dann unter A-Records deine IP-Adresse geliefert werden: https://www.nslookup.io/

 

[erhe]

Danke! nslookup habe ich durchgeführt, es liefert mir 192.xxx.xxx.xxx zurück, als IPv4
Durchgeführt habe ich es mit meinName.synology.me (klar, mein Name ist ersetzt)

rst wenn das funktioniert, den Test mit der Drive Client App machen: Deinen Hostnamen eintragen und HTTPS einschalten.
Mit dem Browser https://mein-ddns-hostname.synology.me:5001 aufrufen.

Was meinst Du hier bitte mit "HTTPS einschalten"? Wo muss ich dazu dann hin? Oder meinst Du die Adresse mit https im Browser eingeben und eben 5001?

Es kann sein, dass ich mich erst Montag wieder melde.
Vielleicht kann ich gleich aber nochmals die Fritz!Box probieren.

 

[erhe]

Okay, wer hält es schon aus bis Montag zu warten ... wenn ich ich meinName.synology.me in der Fritzbox bei Rebind eintrage und dann den Ping Test mache, dann bekomme ich 192.xxx.xxx.xxx zurück (als Dauerschleife)

Als nächstes habe ich im Browser https://mein-ddns-hostname.synology.me:5001 eingegeben und komme direkt auf die DSM Anmeldeseite.

Dann habe ich cmd Leertaste / Synology drive client aufgerufen, da kommt immer noch, dass das Zertifikat nicht vertrauenswürdig ist - durchgeführt habe ich das mit 192.xxx.xxx.xxx - diese wurde mir angeboten (als "Adresse in der Nähe"). Dann habe ich stattdessen meinName.synology.me eingetragen und, hurra, ich komme zur Seite "Aufgabentyp auswählen". Ich bin glücklich.

Jetzt habe ich noch eine Frage zum Rebind, ist das eine stabile sichere Lösung, eine Übergangslösung, bis wir "die richtige" Lösung haben, oder habe ich damit eine Schwachstelle eingebaut (wie zB zu viele nicht benötigte offene Ports)?

Hagen2000, vielen, vielen Dank!
Jetzt starten die nächsten Schritte. Und ich komme bestimmt wieder mit Fragen

 

[Hagen2000]

Super, das freut mich sehr.
Der DNS-Rebind-Schutz ist eine Sicherheits-Funktion der FRITZ!Box, die in diesem Fall eine Ausnahme machen muss. Andere Router haben so eine Funktion gar nicht. Du hast jetzt ein gültiges Zertifikat von Let's Encrypt, dass alle deine Geräte akzeptieren und die Datenübertragung erfolgt verschlüsselt ohne dass Du bei den Zertifikaten Ausnahmen machen musst. Somit ist alles sicher und stabil. Ports im Router musst Du gar keine aufmachen.
Wenn Du gegenüber deinem Heimnetz dein NAS noch sicherer machen willst, müsstest Du dich mit der Firewall des NAS beschäftigen. Aber mach das bitte in einer neuen Anfrage, wir sind dem ursprünglichen Thema eigentlich an dieser Stelle fertig. Gleiches gilt, falls Du mal den Zugriff von außen ermöglichen willst.

 

[erhe]

Alles klar. Danke nochmals