Mobile DS Photo Verbindung zu Photo Station über DS Photo nicht möglich - SSL-Zert. unsicher

ABCXYZ

Benutzer
Mitglied seit
24. Jan 2021
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Hallo,

seit gestern bin ich nun stolzer Besitzer einer DS120j. der Kaufgrund war folgender:

- Keine Private IP-Adresse vom Glasfaseranbieter erhalten
- Nutzung trotz SynologyRelay-Dienst möglich
- Einfach Einrichtung für Laien

Ich wollte mit Hilfe der PhotoStation für meine Familie ein paar Fotoalben online stellen.
Über die Adresse: quickconnect.to/quickconnectid/photo können auch alle ohne Probleme per Webbrowser zugreifen.
Nach Eingabe der Adresse erscheint in Firefox das Schloss-Symbol neben der Adresszeile für eine sichere SSL-Verbindung.
Ich gehe davon aus das die Datenübertragung nun Ende-zu-Ende verschlüsselt ist.

Da ich es aber bei einen älteren Familienmitglied sehr einfach gestallten wollte, hielt ich es für eine gute Idee, die DSPhoto-App aus dem PlayStor auf einen Tablet zu installieren.

Nach der Installation, habe ich die App gestartet. In den App-Einstellungen habe ich noch die Überprüfung des SSL-Zert angestellt.

ssl-prüfen.png

Danach habe ich meine Daten eingegeben:

Meine QC-ID
Mein Kontoname (Benutzer)
Mein Passwort
HTTPS angewählt

login.png

(Die Eingaben sind als Beispiel)

Dann habe ich auf "Anmelden" geklickt und bekam folgende Meldung:

sslfehler.png

Beim zweiten Versuch habe ich in den Einstellungen die Auswahl für "Zertifakt überprüfen" wieder abgewählt
und konnte mich nun verbinden...

Jetzt kommt der Punkt wo ich verwirrt und verunsichert bin ... und leider auch nicht weiter weis... und hoffe das Ihr mir weiterhelfen könnt und mir meine Verunsicherung etwas nehmen könnt.

Was mache ich falsch oder muss die Einstellung für das Zertifikat garnicht geprüft werden?
Ist dann aber die Übertragung trotzdem ordentlich gesichert?

EDIT: Das Android-Tablet ist nicht im selben Haushalt bzw nicht im gleichen Netzwerk!

Bitte um Hilfe...

Vielen Dank schonmal :)
 
Zuletzt bearbeitet:

ABCXYZ

Benutzer
Mitglied seit
24. Jan 2021
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Über die Adresse: quickconnect.to/quickconnectid/photo können auch alle ohne Probleme per Webbrowser zugreifen.
Nach Eingabe der Adresse erscheint in Firefox das Schloss-Symbol neben der Adresszeile für eine sichere SSL-Verbindung.
Ich gehe davon aus das die Datenübertragung nun Ende-zu-Ende verschlüsselt ist.

Hierzu noch die Information das der Zugriff über den Webbrowser nicht im eigenen Netzwerk stattfindet sonder über das WWW
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.729
Punkte für Reaktionen
145
Punkte
129
Erstmal Willkommen im Forum

Ein Zertifikat ist wie das POSTIDENT der Post. Du brauchst ein dritte Person die bestätigt dass die Person auf deinem Ausweis und die Person die sich anmelden will auch wirklich du bist. Das macht bei Postident der Mitarbeiter am Schalter in dem er den Ausweis mit dir vergleicht und dann dem System gegenüber bestätigt dass das du bist.

Aktuell hast du nur dich, EINEN (aber eben nicht deinen) Ausweis und deine Anmeldung aber niemanden der sagt, ja das passt so zusammen, deshalb bekommst du die Fehlermeldung.

Ja grundsätzlich ist die Übertragung Verschlüsselt nur weißt du halt nie ob sich jemand eingeklinkt hat.

Um die Meldung wegzubekommen musst du entweder eine dritte Stelle haben die alles bestätigt also eine CA (wie Lets Encrypt) und damit auch eine eigenes Zertifikat (was aber bei QC nicht möglich ist) oder du fügst es in dein Endgerät ein. Dazu kann ich dir aber dann nicht helfen denn ich habe eine eigene Domain mit eigenem Zertifikat von Lets Encrypt.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Wenn die Verbindung via Quickconnect läuft, ohne Portfreigabe, dann gelten die Zertifikate von Synology.
Sonst würde auch der Browser Aufruf von quickconnect.to/quickconnectid/photo eine Zertifikatswarnung verursachen.
Frage ist wieso DS Photo dies in der selben Umgebung dann nicht hinbekommt.
 

ABCXYZ

Benutzer
Mitglied seit
24. Jan 2021
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Aktuell hast du nur dich, EINEN (aber eben nicht deinen) Ausweis und deine Anmeldung aber niemanden der sagt, ja das passt so zusammen, deshalb bekommst du die Fehlermeldung.

Ja grundsätzlich ist die Übertragung Verschlüsselt nur weißt du halt nie ob sich jemand eingeklinkt hat.

Vielen Dank für die Antwort...

Spielt es dann überhaupt eine Rolle ob das Häkchen bei "HTTPS" in der App gesetzt ist oder nicht, wen die Verbindung sowieso über den QuickConnect-Relay-Server immer vrschlüsselt ist?

Was meinst du mit "einklinken" ? Ich war der Meinung wenn eine SSL Verbindung besteht dann werden Daten sicher übertragen?

Wenn die Verbindung via Quickconnect läuft, ohne Portfreigabe, dann gelten die Zertifikate von Synology.
Sonst würde auch der Browser Aufruf von quickconnect.to/quickconnectid/photo eine Zertifikatswarnung verursachen.
Frage ist wieso DS Photo dies in der selben Umgebung dann nicht hinbekommt.

Nein über den Browser ist alles in bester ordnung! Keine Warnungen...

In der App wähle ich wie schon erwähnt:

Meine QC-ID
Mein Kontoname (Benutzer)
Mein Passwort
HTTPS angewählt

... und kann mich verbinden ...

nur wenn ich in den App-Optionen die Einstellung "Zertifakt überprüfen" einstelle dann kommt die oben beschreibene Fehlermeldung...
und das verunsichert mich... :(
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Das beschämende ist, dass die Apps keinerlei Anzeige in irgendeiner Art haben, WAS sie prüfen und bemängeln.
Bei jedem Browser kann man genau nachsehen was denn eine Warnung sagen will bzw. worauf sie beruht.

Wenn du auf dem Tablet mal einen Browser benutzt anstatt der App?
Wenn da genauso kein Fehler kommt und das richtige Ziel, dann würde ich vermutlich erst mal auf die Prüfung verzichten, wenn es dann geht, auch wenn das nicht ganz befriedigend ist.

Wäre die Frage, bezogen auf deine Einleitung, kannst du an deinem Anschluß den Betrieb nicht via dynDNS realisieren?
Das wäre für die Benutzer ähnlich einfach und funktioniert mit Lets Encrypt Zertifikaten auch mit Überprüfung.
 

ABCXYZ

Benutzer
Mitglied seit
24. Jan 2021
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Ja ist schade... Ich hoffe ja zumindest wenn man beim log-in in der app den punkt "https" auswählt auch eine ssl-Verbindung benutzt wird...

Zum 2. Punkt:

Wenn ich auf den Tablet oder auf meinen handy im 4G-Netz über den Browser zb. Chrome oder Firefox zugreife, ist alles in Ordnung... Schön das Schloss-Symbol zneben der Adress-Leiste zu erkennen... Mit einen gültigen Zertifikat...

Zu Punkt 3. Leider nicht möglich... Keine öffentliche Ip vom Glasfaser-internet-anbieter... Das war ja der Kaufentscheid für die DS. Somit ist auch kein dynDNS möglich... Ich schaffe es nicht mal die fritzbox mit myfritz einzurichten, weil es keine öffentliche ip gibt...

Nun gut... Ich denke und hoffe wenn ich den haken in der app bei "HTTPS" einstelle, dann wenigstens eine gesicherte Verbindung benutzt wird... Dann alss ich die Überprüfung des Zertifikat in den Einstellungen weg...

Schade...
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Also weder öffentliche IPv4 noch IPv6?
IPv4 Carrier grade NAT waren glaube 100.x.y.z IPs, bei IPv6 weiß ich den Range grad nicht auswendig.
Falls ja, schon armselig. Wenigstens öffentliche IPv6 sollte das mindeste sein.
Dass ausgerechnet die Glasfaser mit NAT only wieder um die Ecke kommen ... na ja, anderes Thema das eher die Gefühle weckt wo die Sonne nicht scheint.

Ja, mit https wird eine gesicherte Verbindung aufgebaut, man kann nur nicht prüfen wo diese endet.
 

ABCXYZ

Benutzer
Mitglied seit
24. Jan 2021
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Ja, mit https wird eine gesicherte Verbindung aufgebaut, man kann nur nicht prüfen wo diese endet.
Naja ich hoffe doch wenn die App nur als einzige Eingabe zum Verbinden ein quickconnect id bekommt... Und dazu ein Benutzer und ein Passwort... Das die Verbindung zum richtigen relay-server von synology und dann bei meiner DS endet :)

Nun gut vielen lieben Dank für die fleißigen Antworten... Ich denke mehr kann man nicht tun...
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Dass die Verbindung bei dir endet siehst du ja wenn du DEINE Photos siehst.
Ich meinte nur, dass nicht ersichtlich ist wo und wie oft unterwegs die Verschlüsselung eventuell aufgebrochen wird. Hoffentlich nur auf den Syno Relays.

Ja, schade. Bessere Lösung fällt mir grad nicht ein.
 

ABCXYZ

Benutzer
Mitglied seit
24. Jan 2021
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Hallo,
ich finde es selbst immer schade, wenn ein Problem immer ohne eine zufriedenstellende Lösung endet...
Deshalb möchte ich es ein wenig besser machen und schnell noch mitteilen wie ich es jetzt doch für mich lösen konnte.

Gelöst habe ich es nach dem Motto:

Wenn der Prophet nicht zum Berg kommt, kommt der Berg zum Propheten

Ich habe die Box jetzt einfach an den Internet-Anschluss eins anderen Familienmitgliedes gehangen.

Das bringt mir fast dem Komfort wie ich es mir vorgestellt habe.
Das der Upload der Fotos nun etwas länger dauert, ist ein Problem, das ich verkraften kann.

  1. NAS an die Fritz Box angeschlossen…
  2. DDNS-Adresse von Synology eingerichtet
  3. Nur die benötigten Ports für den Zugriff übers Internet auf die PhotoStation freigegeben.
  4. Zertifikat von LE beantragt … 2 Minuten später war es generiert und aktiv.

Top der Zugriff über Browser funktioniert verschlüsselt und nun kann ich die Option „Zertifikat überprüfen“ in der DS Photo-App ebenfalls auswählen und mich auch erfolgreich verbinden…

  • Um auf die DSM-Oberfläche zuzugreifen oder neue Fotos mit Hilfe des Synology Photo Station Uploader hochzuladen, benutze ich eine VPN-Verbindung zur Box.

Das ist denke ich eine gute Möglichkeit, um die DSM-Oberfläche und die Datenübertragung von mir zur DS gut zu schützen.

  • Die Sache mit der QuickConnect-ID oder den Synology-Relay-Server habe ich wieder deaktiviert…

Ich hoffe, dass nun alle Daten so gut wie möglich geschützt sind…

Wie gesagt wollte nur noch meinen Lösungsweg mitteilen.



Schönen Abend noch… ?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat