extern inloggen via domeinnaam niet mogelijk

[GerardR]

Op mijn RT2600AC staat geïnstalleerd versie 1.3.1-9346 update 1.
Inloggen op de router via het interne IP adres is geen probleem. Ook niet voor de NAS.
Als ik inlog via https://<domeinnaam.nl>:8001/webman/index.cgi dan kan ik gebruikersnaam, wachtwoord en verificatiecode gewoon invoeren. Daarna verschijnt het bureaublad en na enkele seconden het bericht; "U bent niet gemachtigd deze service te gebruiken".
Dit gebeurt als ik ook via mijn NAS ingelogd ben via https://<domeinnaam>.nl:5001. 
Als ik mijn NAS uitlog en daarna inlog via de domeinnaam op mijn Router krijg ik de melding niet.
Dit probleem doet zich niet voor het gebruik van de interne IP adresssen.
Ik kan niet ontdekken wat de oorzaak is. Uitzetten van de firewall helpt niet.

[Briolet]

Ik zou het ook niet weten, maar met een domeinnaam log je in via de WAN kant van de router. Dus via het publieke IP adres. Dat kan een IPv4 of IPv6 zijn.

Ik zou even een keer een andere browser proberen, of de cache van je huidige browser legen.

[GerardR]

Ik log in via IP4. Een andere browser en het legen van de cache had ik al geprobeerd. Zonder succes.
Ik kan mij niet herinneren het probleem eerder gehad te hebben.
Het vreemde is ook als ik de app Synology router op mijn telefoon gebruik en inlog via de domeinnaam doet zich het probleem niet voor.

[Babylonia]

Bij gebruik van de nieuwe SRM 1.3.1 firmware heb je een extra beveiligingslaag.
Je kunt vanuit "hetzelfde" apparaat via een netwerk maar één keer ingelogd zijn.
Log je in via het interne netwerk, en daarna log je niet uit, wordt niet toegestaan,
dat je via een ander browserscherm ook nog eens inlogt via een domeinnaam = "buitenom".

Eerst uitloggen via de ene methode, om dan via een andere methode weer te kunnen inloggen.
Vergelijkbaar onderwerp < HIER >

[GerardR]

Het lukt mij wel om via het interne netwerk zowel een verbinding te hebben met de NAS als met de router.
Wat ook lukt een via intern en de ander via extern.

[Babylonia]

Is ook een andere situatie. Een NAS en router zijn twee verschillende apparaten, die op zichzelf niets met elkaar te maken hebben.
Dus ja, dat je daar tegelijkertijd op kunt inloggen staat los van de situatie voor een inlog op hetzelfde apparaat (de router)
via verschillende inlogmethoden vanuit "hetzelfde" apparaat (je PC) of bijv. vanuit verschillende browsers vanuit dezelfde PC.

Verschillende apparaten (en inlogmethoden vanuit verschillende apparaten) vallen buiten die uitzondering zoals specifiek benoemd.

[GerardR]

Even terug naar mij eerste bericht van 7 september:
Inloggen vanaf hetzelfde apparaat naar de NAS en naar de router via een extern adres dat niet lukt.
Verschillende apparaten dus!

[Babylonia]

Heb het nu hier specifiek ook nog eens getest vanuit externe locatie (laptop via tethered USB met smartphone en mobiele verbinding),
inloggen op zowel een RT6600ax router (met SRM 1.3.1) - alsook achterliggend een NAS.

En het klopt inderdaad met wat je schrijft, dan wordt de verbinding met de router met SRM 1.3.1 verbroken.      

Kennelijk dus "weer" een onbedoelde werking / bug van de nieuwe SRM versie.  (De zoveelste).
Zou zeggen stuur een Support Ticket in naar Synology om het op te lossen.
(Zelf kom ik daar voorlopig niet aan toe, heb hier nog een "wachtrij" aan support tickets wat opgelost moet worden.
--->  Toevallig a.s. maandag, waarbij door het moeizame verloop eerder, er nu een "TeamViewer" sessie staat gepland met Taiwan
        voor specifiek één ticket m.b.t. IPTV van KPN via mesh points, wat niet functioneert).

[Birdy]

@Babylonia Ik heb exact dezelfde test uitgevoerd dus:
1 - Telefoon Mobile hotspot aangezet.
2 - Laptop via WiFi met m'n hotspot verbonden.
3 - Ingelogd op m'n RT2600ac met SRM 1.2.5-8227
4 - Ingelogd op m'n DS220+ met DSM 7.1.1-42962 en prompt wordt ik bij op m'n RT2600ac uitgelogd met de melding:


5 - Ik blijf ingelogd op m'n DS220+ en log weer aan op m''n RT2600ac en krijg de mededeling:


6 - Ik meld mij af op m'n DS220+ en log weer aan op m'n RT2600ac en kom gewoon binnen.

Opmerking:
Het gekke is dat als ik weer wil aanmelden op m'n DS220+ (was in punt 6 afgemeld) in dezelfde browser sessie, dan werkt het aanmeld scherm niet meer en moet een nieuw browser sessie starten om weer te kunnen aanmelden.

Conclusie:

En het klopt inderdaad met wat je schrijft, dan wordt de verbinding met de router met SRM 1.3.1 verbroken.

Hier ook met SRM 1.2.5-8227.

Kennelijk dus "weer" een onbedoelde werking / bug van de nieuwe SRM versie.

Kennelijk niet, die bug was er al in SRM 1.2.5-8227.

[Birdy]

Ho eens !
Het probleem doet zich ook voor op m'n lokale netwerk, precies dezelfde test met precies hetzelfde resultaat.

Opmerking:
Zowel Extern als Intern heb ik naam.synology.me gebruikt.
Het probleem zou dan te maken moeten hebben met het DDNS gebruik.

[Babylonia]

Bij de inlog gebruik ik een eigen NL-domein - niet DDNS, maar DDNS is voor een van die systemen achterliggend wel actief.
Mischief dat het dan toch roet in het eten gooit??     Zal een dezer dagen nog eens kijken door DDNS uit te schakelen.

[Babylonia]

Inmiddels wat verdere testen gedaan met het eigen NL-domein.  Alle Synology DDNS services uitgeschakeld.
Kennelijk ligt het daar dus NIET aan, maar lijkt het een strengere beveiliging te zijn van huidige nieuwe browser versies??
(Dus het "probleem" / uitwerking in de functionaliteit blijft gehandhaafd).

Gebruik van twee verschillende browsers, en dan verder vooral de combinaties die men probeert:
Inlog van twee apparaten tegelijkertijd via verschillende browsers wordt WEL geaccepteerd,
maar twee apparaten tegelijkertijd via dezelfde browser NIET.

Google Chrome                            -          Firefox
Router RT6600ax geopend            -          RT2600ac (SRM 1.2.5) geopend                     -          werkt
Router RT6600ax geopend            -          NAS DS515+ OF een andere NAS geopend      -          werkt

Maar zo gauw je twee Synology apparaten binnen één browser opent,
(maakt niet uit router of NAS en welke SRM / DSM versie wordt gebruikt),
kunnen die twee apparaten onderling binnen dezelfde browser NIET tegelijkertijd geopend zijn.
Eén Synology apparaat daarnaast nog geopend onder de andere browser gaat dan nog WEL.

Maakt niet uit Google Chrome of Firefox en visa versa.

Haal ik er nog een derde browser bij - Microsoft Edge - geldt daar ook weer hetzelfde.

Wil je vanuit externe verbinding bijv. perse 3 apparaten geopend hebben, kun je 3 verschillende browsers gebruiken.
Waarbij je per browser één apparaat opent.

Omdat deze beperking voor een interne LAN verbinding niet opgaat,  kun je vanuit een externe locatie beter een VPN verbinding opzetten.
Want dan is het of je in je eigen "thuisnetwerk" zit.  DAT werkt wel. Kan dan zo meerdere Synology apparaten tegelijkertijd openen.
(Wel het interne LAN IP-adres gebruiken van deze apparaten).  VPN verbinding is sowieso aan te bevelen om in te zetten.

Heb het nu niet getest door een ander apparaat (geen Synology) van buiten uit ook te kunnen benaderen.
(Dat is doorgaans ook niet als zodanig ingesteld door beperkte beveiliging / geen firewall van die "netwerk" apparaten).
Maar zou me niet verbazen als daar vergelijkbare ervaringen bij naar boven komen.

[Briolet]

…Het probleem zou dan te maken moeten hebben met het DDNS gebruik.

Het lijkt me sterk dat het aan DDNS gebruik ligt. Zoals ik eerder schreef zal het liggen aan het inloggen via de WAN kant. (Als je de DDNS naam intern gebruikt, log je via de nat-loopback ook 'extern' in.

Hetzelfde zal gebeuren als je via je externe IP inlogt. (Behalve dan dat testen lastig is omdat je daar dan geen certificaat voor hebt)

In elk geval een bug ergens, want dit mag niet gebeuren.

[Babylonia]

Vraag me af of het een "bug" is?   Zou ook een algemeen "nieuwer beleid" / maatregel kunnen zijn,
om een hogere mate van veiligheid te kunnen bieden bij apparaten die van buitenaf worden benaderd?

Buiten Synology om heb ik zelf hier geen servers op Raspberry Pi's, Linux e.d. draaien, waarbij het ook met andere apparaten is te testen.
Het zou me niet verbazen, dat het ook dan aan de orde is?  Zou mooi zijn als iemand met andere systemen dat zou kunnen bevestigen.

[Briolet]

Het kan iets zijn in het JS script dat op de inlogpagina staat.  Ik weet dat de nassen via dat script kunnen zien welke andere nassen in het netwerk hangen.

Het kan zijn dat RSM ook zo iets heeft in zijn script. Ik heb wel even door dat script gebladerd, maar het zijn toch te veel regels om het even snel te bekijken.