Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: pvkan op 07 januari 2022, 16:39:14
-
Beste allemaal,
Ik zit met een puzzelstukje waar ik even niet uit kom. Ik weet niet of dit issue hier onder 'Routers' thuis hoort of toch bij de 'NAS'.
Omdat met de NAS (DS1515+) niets is gebeurd en het probleem is veroorzaakt door de router begin ik maar hier.
(maar de moderator is uiteraard vrij om eea alsnog te verplaatsen).
Afgelopen nacht is mijn Synology RT2600ac vastgelopen. Ik had geen andere keuze dan deze een flinke (fabrieks)reset te geven.
Het duurde 1 minuut vasthouden voordat de router reageerde op de resetknop.
Maar goed; hele dag bezig geweest met het opnieuw inrichten van de router (de config-backup deed het tot overmaat van ramp ook al niet goed). Alles draait ondertussen weer alleen kan ik mijn NAS niet meer van buitenaf benaderen via mijn eigen domeinnaam.
Ik kon mijn NAS altijd benaderen via de domeinnaam nas.mijndomein.nl. Dat werkte keurig.
Als ik dit nu doe krijg ik een certificaat fout en de melding dat de site (mijn nas dus) onveilig is ('Je bevinding is niet privé'). Ik heb toen voor de zekerheid het (let's encrypt) certificaat op de NAS handmatig verlengd en dat ging foutloos.
Het certificaat hoort dus nog steeds gewoon bij mijn NAS.
Ik heb ook al mijn cookies weg gegooid; geen resultaat.
BTW: Ik kan de NAS wel gewoon lokaal benaderen via IP (maar dan is dat certificaat ook niet van toepassing).
Met de NAS is niets gebeurd dus ik zie (routermatig?) iets over het hoofd.
Vergeet ik iets in mijn router te configureren ?
Portforwarding lijkt mij verder in orde (poortje 80 wordt keurig naar lokaal IP met het juiste poortnummer doorgesluisd.
Om het nog vreemder te maken: Ik kan mijn router (met ook een LE certificaat) wel keurig benaderen met "https://router.mijndomein.nl"
Wie zet mij op het goede spoor?
EDIT: Als ik mijn NAS onder DMZ zet, werkt het certificaat wel.
Groet,
Peter
-
Kennelijk gebruik je twee aparte DDNS domein-namen voor "hetzelfde" WAN IP-adres.
Ook al is de ene voor de "router" bedoeld en de andere voor een "NAS"? Het betreft toch gewoon "hetzelfde" WAN IP-adres.
Onderverdelingen wat aan te roepen, wordt gemaakt op basis van poortnummers.
Gebruik beter slechts één DDNS domein + bijbehorende SSL certificaat voor zowel router als NAS.
(Overigens een RT1600ac model heeft nooit bestaan. Het zal wellicht om een RT1900ac gaan of een RT 2600ac).
-
@Babylonia : Haha, foutje inderdaad. Het gaat om een RT2600ac.
Voor zowel NAS als router zijn de certificaten op subdomein.
Beetje oubollige opmerking mijnerzijds is dan ook: Heeft altijd vlekkeloos gewerkt, totdat de router een reset kreeg.
En het moet ook kunnen werken want als ik de NAS in DMZ zet gaat het voor beide domeinen goed.
Mijn inziens vergeet ik iets in de buurt van port-forwarding....alleen wat ?
Peter
-
@Babylonia : Haha, foutje inderdaad. Het gaat om een RT2600ac
Heb het maar aangepast ;)
-
Volgens mij mist hier informatie. Een certificaat is wel of niet geldig. Dit kan niet afhangen van poorten of DMZ instellingen.
Weet je zeker dat je het goede certificaat voor de betreffende verbinding gebruikt? Dus echt in de browser naar de certificaat kenmerken kijken (b.v. serienummer) en dat met de kenmerken op de nas vergelijken.
-
Hoi @Briolet
Beide certificaten zijn geldig. Ik kan ze zelfs allebei verlengen.
Zodra ik DMZ inschakel kan ik de NAS prima benaderen met HTTPS/SSL. Het certificaat is dus in orde.
Wel zie ik het volgende:
- DMZ ingeschakeld: ik kan NAS benaderen en inloggen met SSL.
- IK log uit van de NAS maar sluit de browser NIET af
- In de router schakel ik nu DMZ uit
- Via nas.mijndomein.nl kan ik nu nog steeds keurig inloggen (DMZ is dus uit)
- Vervolgens log ik weer uit van de NAS
- Ik sluit nu WEL de browser af
- Browser opnieuw opstarten
- Inloggen op NAS geeft nu weer certificaatfout.
Peter
-
Beide certificaten zijn geldig.
Dat zegt me niets. Zijn ze ook geldig voor het gebruikte domein. Ik zie te vaak dat men denkt dat een geldig zwemdiploma ook te gebruiken is als rijbewijs (Om maar een vergelijk te maken met het dagelijks leven)
- Inloggen op NAS geeft nu weer certificaatfout.
Ik val in herhaling: Heb je ook in de browser gecheckt of die hetzelfde certificaat ziet in beide situaties? (Edit: In safari doe je dat door op het slotje te klikken en het certificaat uitgebreid te bekijken. In andere browsers kan het anders werken.)
-
:lol:
Als ze feilloos worden verlengd dan zijn ze toch ook geldig voor het domein ? (de DDNS wijst immers ook keurig naar mijn NAS).
Of zie ik dat verkeerd ?
-
@Briolet
Beide cert serienummers voor router.mijndomein en nas.mijndomein zijn hetzelfde.
Dat lijkt mij niet goed.
Is dan de oplossing om het certificaat van de router te verwijderen ?
(blijft het vreemd dat het wel altijd gewerkt heeft, maar dat was misschien mazzel ?)
-
Mijn inziens vergeet ik iets in de buurt van port-forwarding....alleen wat ?
Dat zou best eens kunnen. Eerder lees ik dat je poort 80 hebt doorgestuurd.
Maar heb je poort 443 ook doorgestuurd naar het NAS IP-adres?
-
Beide cert serienummers voor router.mijndomein en nas.mijndomein zijn hetzelfde.
Dan eindig je in beide gevallen op een webpagina van de router en niet op de nas.
DMZ mag gewoon niets uitmaken. Het doet exact hetzelfde als forwarden, maar dan voor alle poorten.
-
Hoi,
Ik ben er achter.
Ik had de forward naar de NAS uitgevoerd naar de http poort ipv de https poort.
Hoewel in de NAS (DSM) staat ingesteld dat HTTP verbindingen automatisch omgeleid moeten worden naar HTTPS
snapte de NAS er even niets van.
In de router heb ik de forward nu hard naar de HTTPS poort gebracht hetgeen de oplossingis.
Poort 443 forwarden hoeft blijkbaar niet.
Ik weet overigens niet meer of dit in de oude situatie ook zo stond, maar dat is niet belangrijk.
Ergo: De NAS is weer van buiten keurig bereikbaar met SSL.
Ik kon nu alleen niet meer mijn router bereiken via https://router.mijndomein.nl
Door de URL hier aan te vullen met de juiste poort en deze te forwarden naar de router zelf is ook dit opgelost.
(ik ben toch de enige die eventueel de router van buitenaf wil benaderen).
@Briolet en @Babylonia : Mijn dank heren voor het meedenken.
Peter
-
In de router heb ik de forward nu hard naar de HTTPS poort gebracht hetgeen de oplossingis.
Poort 443 forwarden hoeft blijkbaar niet.
Ik weet niet wat je bedoelt met forward "hard naar https"?
Omdat je eerder sprak over port forwarding van poort 80, neem ik aan dat je mogelijk ook een web-server" draait (of bijv. "Photo Station)?
Voor gebruik van https bij een web-server / Photo Station is daar standaard poort 443 aan gerelateerd.
Wil je dat correct inzetten zul je in dat geval dan ook port forwarding moeten instellen voor poort 443.
De andere NAS benaderingen, DSM als gebruiksinterface van de NAS zijn standaard de poorten 5000 en 5001 daarvoor gereserveerd.
Daarvoor zul je dan port forwarding voor die betreffende poorten moeten instellen.
Zie een lijstje van Synology voor alle gebruikte standaard poorten:
https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services
Ik kon nu alleen niet meer mijn router bereiken via https://router.mijndomein.nl
Door de URL hier aan te vullen met de juiste poort en deze te forwarden naar de router zelf is ook dit opgelost
Voor services die op de router zelf draaien stel je helemaal geen port forwarding in. Dat is verwijzen naar "jezelf".
Tenzij je 2 routers achter elkaar gebruikt, eentje van de provider, en nog een eigen router er achteraan.
Waarbij in die set-up dan port forwarding geldt voor de 1e naar de 2e router. (Of DMZ van de 1e naar 2e router).
-
Hoi,
Het gaat mij inderdaad alleen maar om DSM. Ik draai verder geen website oid.
De forward bestaat dan ook alleen uit from 80 -> to 'https-poort DSM'.
(ik gebruik de default poortnummers niet; ik ben allergisch voor default; security tikje van mij ;-)
Thx
Peter
-
Als het je dan om security issues gaat kun je poort 80 beter in het geheel NIET gebruiken.
Want dat is nu net een poort die voor URL adressen in het geheel NIET hoeft te worden aangevuld.
En wordt men in jou geval dan automatisch dan toch al doorgeleid naar welke "vreemde" poort dan ook, voor een SSL verbinding.
Overigens is het gebruik van een andere poort ook maar "schijn veiligheid".
Met minimale extra moeite, scant een goede portscanner, gewoon alle poorten van een verbinding, en worden die toch wel gevonden.
-
DMZ mag gewoon niets uitmaken. Het doet exact hetzelfde als forwarden, maar dan voor alle poorten.
Het probleem is uit het niets terug gekeerd.
NIets veranderd en weer kan ik mijn NAS niet bereiken vanwege een SSL-certificaat fout.
In de browser zie je ook dat ik het certificaat van de router terug krijg op de URL van de NAS.
Met de NAS in DMZ werkt het wel weer allemaal goed en krijg ik ook keurig het certificaat van de NAS.
Op een of andere manier besluit de router dus om de portforwarding naar de NAS niet te gebruiken.
Er staat nog ergens een deurtje dicht.`
En vreemd dat het twee dagen goed ging en vanmorgen ineens weer niet.
Zucht :-(
Iemand nog een tip ?
Peter
-
Iemand nog een tip ?
Ja, als basis gewoon de standaard poorten en instellingen die er voor staan gebruiken,
en geen afwijkende andersoortige omleidingen voor poorten "i.v.m. security".
Neem eens oudere onderwerpen door waar nogal wat gebruikers aan vergelijkbare problemen komen:
Doe een zoekactie: https://www.synology-forum.nl/search/
Met de zoekterm: Lets encrypt certificaat poort 80
-
Helaas,
Het forum had ik al eerder nageplozen maar zojuist nog een keer met jouw zoekterm.
Ik kom daar voornamelijk problemen tegen met het verlengen van het certificaat maar dat is hier niet van toepassing.
Het certificaat van de NAS kan ik prima verlengen met de huidige router instellingen (eerder geprobeerd).
Op zich vreemd, want dat proces met Let's Encrypt loopt immers ook over poortje 80. Die doet het dus wel.
Beetje onzinnige actie denk ik maar om alles uit te sluiten ook de HTTP en HTTPS poorten op de NAS terug naar default gebracht
(5000/5001) en uiteraard ook daar de forwards op aangepast.
Helaas geen effect. Nog steeds dezelfde problemen. Ik blijf het certificaat van de router ontvangen terwijl ik naar de NAS wil.
Overigens misschien een veeg teken: Als ik 443 forward naar de https poort krijg ik de Synology melding "Sorry, de pagina die u zoekt kan niet weergegeven worden.".
Peter
-
Op zich vreemd, want dat proces met Let's Encrypt loopt immers ook over poortje 80. Die doet het dus wel.
Maar die had je toch laten omleiden naar een niet standaard https poort?
Alleen al het feit dat als je DMZ gebruikt het dan wel werkt, geeft al aan dat je je instellingen niet op orde hebt.
Ik blijf het certificaat van de router ontvangen terwijl ik naar de NAS wil.
Ook dat is een veeg teken. Maar aan de andere kant eigenlijk ook niet echt verwonderlijk.
Beide verwijzen namelijk naar hetzelfde WAN IP-adres van je internetverbinding.
Een verwisseling met verkeerde instellingen voor twee verschillende SSL certificaten is dan zo gemaakt.
Ik denk dat je beter met de juiste instellingen geheel nieuwe certificaten aanmaakt.
Zelf gebruik ik gewoon een commercieel SSL certificaat op een NL-domein wat ik aan mijn internet WAN IP-adres heb gekoppeld.
Zit je niet dat men elke 3 maanden het certificaat moet vernieuwen. Gebruik het certificaat zowel voor mijn NAS als mijn router.
Heb niets te maken met eventuele "andere" certificaten voor router of NAS (want is hetzelfde),
en daarmee geen problemen met mogelijke "omwisselingen".
-
Ik ben een stapje verder in mijn zoektocht.
Ik heb eea nu zover dat in ieder geval de NAS wordt aangesproken.
Port 80 en 443 staan geforward.
De browser ziet keurig nu het juiste certificaat.
Het lijkt er alleen op dat de NAS het nu niet meer begrijpt gezien onderstaand resultaat.
[attach=1]
De NAS wil of kan dus DSM (de inlogpagina in dit geval) niet laden.
Lokaal (via IPadres) lukt dit overigens wel.
Ik heb geen website draaien dus dat kan het niet zijn.
Iemand suggesties ?
Peter
-
Dat is de pagina van de webserver. Dan moet je wel een website in je Web share plaatsen.
-
Maar ik wil en heb helemaal geen webserver draaien.
Enige wat ik (terug) wil is externe toegang tot DSM.
Peter
-
Gebruik je wel de goede poorten? Normaal gaat 443 naar de webserver en 5001 naar DSM
-
Ach natuurlijk, ik had als 'poging' 443 geforward naar DSM, dus dat verklaard. Had ik kunnen verwachten ;-)
Forward poortje 80 weer terug gezet naar DSM met automatische omleiding naar https.
Dit brengt de oude situatie weer terug:
[attach=1]
Wat vergeet ik nou toch ?
Ovrigens poortje 80 direct naar https geeft hetzelfde resultaat.
-
[Mod edit] Ik heb je posting verprutst. Ik dacht een reactie toe te voegen, maar zat in de edit mode van jouw posting.
-
Volgens mij worden hier gewoon te veel redirects uitgevoerd waardoor je het spoor kwijt raakt wat je gebruikt, zodat je op een poort beland die niet geforward is.
In elk geval geeft die error aan dat je probeert in te loggen met een naam die niet op het certificaat staat.
-
Ik ben mij niet bewust van redirects.
Zelfs bij geforceerd gebruik van poortje 80 ( nas.mijndomein.nl:80) kom ik op dezelfde fout.
Ook zijn er geen andere subdomeinen actief (behalve dan die voor de router).
Of bedoel je dat niet ?
Peter
-
Als via poort 80 binnenkomt en je krijgt dezelfde fout, dan heeft er al een redirect plaats gehad. Bij poort 80 worden geen certificaten gebruikt, dus ben je al naar een andere poort met certificaat doorgestuurd.
Ik vind het lastig tips te geven omdat ik steeds het idee heb dat we alleen maar kruimels te zien krijgen van wat jij allemaal ingesteld hebt.
-
Welke informatie is dan (nog) nodig voor een goede foutanalyse ?
Ik wil met alle plezier ook de nodige relevante screendumps geven ;-)
Thx
Peter
-
Zelfs bij geforceerd gebruik van poortje 80 ( nas.mijndomein.nl:80) kom ik op dezelfde fout.
[Mod edit] Ik heb je posting verprutst. Ik dacht een reactie toe te voegen, maar zat in de edit mode van jouw posting.
Kan gebeuren als mod. Dacht dat de strekking het volgende was.
Gebruik eens de volgende link:
http:// [ nas.mijndomein.nl ]:5000
https://[ nas.mijndomein.nl ]:5001
Wat levert dat op?
-
Testje gedaan.
Voor de duidelijkheid: portforwarding 5000->5000 en 5001->5001
-
Ik kan er ook niet meer van maken dat je alle poorten die gebruikt worden (Dus ook door de redirects) moet forwarden naar de nas. En dan inloggen met de domeinnaam die op het certificaat staat.
Dat moet gewoon altijd werken. En als DMZ wel werkt, forward je nog steeds niet alle gebruikte poorten als je geen DMZ gebruikt.
-
@pvkan
Je tweede plaatje is NIET de goede ingang - je gebuikt nog steeds een onversleutelde http verbinding voor poort 5001.
(Poort 5001 geldt alleen voor een versleutelde / beveiligde verbinding ---> een SSL certificaat heeft alleen daar betrekking op).
Mijn opgave leek me toch duidelijk, speciaal in vet rood aangegeven: https voor poort 5001
http:// [ nas.mijndomein.nl ]:5000
https://[ nas.mijndomein.nl ]:5001
-
Mijn tekst in het plaatje klopt niet inderdaad maar dat is een textuele typo. Als je goed kijkt zie je dat op het tweede plaatje (met port 5001)
in de adresbalk van de browser het slotje keurig aanwezig is. HTTPS dus.
Het daar vermelde certificaat is ook van de NAS.
-
@Briolet Ik begrijp wat je zegt en het klinkt ook logisch.
Alsof de aanroep aankomt met een andere poort dan ik voorzie.
Vandaar dus dat DMZ inderdaad wel goed gaat.
Uitdaging is dan: Met welke poort (redirect) kom ik aan op de router/NAS ?
Ik kan ze natuurlijk alle 65536 aflopen, maar er zal ongetwijfeld een snellere manier zijn ;-)
Peter
-
IK wordt er gek van (en schei er mee uit en zie dit als onoplosbaar):
Om 17.00 had ik het eindelijk op mijn werkPC voor elkaar. Alles nog een keer nagelopen.
Ik kon alles weer bereiken op eigen subdomein en zonder SSL fouten.
Om alles uit te sluiten alle browsers afgesloten en weer opnieuw ingelogd; lukte ook. Eindelijk.
Omdat ik het zeker wilde weten nog even op mijn telefoon gekeken (via 4G) en ja hoor; ook daar met de browser
alles foutloos.
Aan tafel, eten en de laptop op de bank gepakt. Email lezen en nog een keer de NAS proberen.
KABOEM; foute boel; symptomen zijn terug.... ligt het aan de laptop ?
Ik daarom nog een keer de telefoon erbij gepakt en $#%$#$ ook daar was het weer foute boel (maar een uur geleden werkte het nog :-( )
Spoken ? Het is toch om gek van te worden ?
-
Als je nu eens slechts voor één van de twee apparaten (router) een DDNS domein instelt + een Let's Encrypt certificaat aanmaakt,
het andere apparaat (NAS) de DDNS de-activeren (en daar ook geen Let's Encrypt SSL certificaat voor aanmaken).
Voor de router wat dan wel actief is aangemaakt, en waar het SSL certificaat voor geldig is,
het SSL-certificaat tevens importeren op de NAS.
Voor beide apparaten kun je hetzelfde DDNS-domein gebruiken, met daarbij dan hetzelfde SSL certificaat.
Enige verschil voor router of NAS zijn de poortnummers.
-
@Babylonia ik heb jouw advies maar opgevolgd. (blijft nog wel de vraag waar het nu is misgegaan ;-) )
Dit werkt nu verder prima met één klein nadeeltje en dat is dat als ik ben ingelogd op de ROUTER
en dan ook even in de NAS wil kijken mijn sessie met de router wordt verbroken.
Maar dat is minor; hoe vaak moet je echt in de router zijn.
Ik heb nu het subdomein router.mijndomein.nl gebruikt.
Als kersje op de taart wil ik nog wel een goed sld-naampje verzinnen. Het staat een beetje raar als je
navigeert naar een router en dan uitkomt op je NAS.
(inderdaad, beetje iets met 'slakken en zout', maar toch..... voor de netheid).
Dank voor je hulp !
Peter
-
Waar ook nog iets kan zitten is het gebruik van IPv6.
Jij zit bij Ziggo, dacht ik. Ziggo is begin december begonnen om alle oud-Ziggo klanten die hun router rechtstreeks aan het internet hebben hangen, IPv6 aan te bieden.
Oud-UPC zou later gebeuren. Misschien dat jouw verschillen komen doordat je soms via IPv6 binnenkomt en dat is misschien niet richting nas open gezet.
-
Oh, dat was mij niet bekend.
Ik heb de Ziggo Connectbox uiteraard in bridge modus dus daar valt weinig te zien.
In mijn RT2600 ac staat IPv6 uit/niet geinstalleerd.
Zou het aanzetten van IPv6 dan soelaas bieden ?
(Ik zit overigens in oud-UPC gebied)
Peter
-
Dit werkt nu verder prima met één klein nadeeltje en dat is dat als ik ben ingelogd op de ROUTER
en dan ook even in de NAS wil kijken mijn sessie met de router wordt verbroken.
Dat lijkt een beveiliging van Synology te zijn, die er eigenlijk vanuit gaat dat een DDNS-domein exclusief voor één apparaat geldig is,
en je daarmee met een geopend apparaat via een DDNS domein, maar één open browservenster "voor dat domein" (apparaat) toestaat.
Met een normaal commercieel domein met aangekoppeld SSL certificaat heb je daar geen last van.
M.b.t. IPv6 is er een ander onderwerp, wat daar speciaal over gaat, (https://www.synology-forum.nl/synology-router/ziggo-en-ipv6-voor-ziggomdoems-in-bridge-mode/)
maar teruglezend hebben mensen nog niet echt specifiek IPv6 ingesteld in de Synology router.
(Verder kwam ik bij toeval dezer dagen een ander onderwerp tegen (https://www.synology-forum.nl/synology-router/srm-1-2-5-8227-update-3-is-gepubliceerd/msg308958/#msg308958), waarbij iemand in ieder geval met Ziggo IPv6 werkt).
-
In mijn RT2600 ac staat IPv6 uit/niet geinstalleerd.
Als het in de router uit staat, gaat Ziggo het ook niet aanbieden. Dat zal dan niet het probleem geweest zijn.
ziggo-gaat-vanaf-december-ipv6-ondersteunen-bij-modems-in-bridgemodus (https://providerforum.nl/topics/ziggo-gaat-vanaf-december-ipv6-ondersteunen-bij-modems-in-bridgemodus.94906/page-2#post-1326646)