Na crash RT2600ac router werkt certificaat van NAS niet meer.

[pvkan]

Beste allemaal,

Ik zit met een puzzelstukje waar ik even niet uit kom. Ik weet niet of dit issue hier onder 'Routers' thuis hoort of toch bij de 'NAS'.
Omdat met de NAS (DS1515+) niets is gebeurd en het probleem is veroorzaakt door de router begin ik maar hier.
(maar de moderator is uiteraard vrij om eea alsnog te verplaatsen).

Afgelopen nacht is mijn Synology RT2600ac vastgelopen. Ik had geen andere keuze dan deze een flinke (fabrieks)reset te geven.
Het duurde 1 minuut vasthouden voordat de router reageerde op de resetknop.
Maar goed; hele dag bezig geweest met het opnieuw inrichten van de router (de config-backup deed het tot overmaat van ramp ook al niet goed). Alles draait ondertussen weer alleen kan ik mijn NAS niet meer van buitenaf benaderen via mijn eigen domeinnaam.

Ik kon mijn NAS altijd benaderen via de domeinnaam nas.mijndomein.nl. Dat werkte keurig.
Als ik dit nu doe krijg ik een certificaat fout en de melding dat de site (mijn nas dus) onveilig is ('Je bevinding is niet privé'). Ik heb toen voor de zekerheid het (let's encrypt) certificaat op de NAS handmatig verlengd en dat ging foutloos.
Het certificaat hoort dus nog steeds gewoon bij mijn NAS.

Ik heb ook al mijn cookies weg gegooid; geen resultaat.
BTW: Ik kan de NAS wel gewoon lokaal benaderen via IP (maar dan is dat certificaat ook niet van toepassing).

Met de NAS is niets gebeurd dus ik zie (routermatig?) iets over het hoofd.
Vergeet ik iets in mijn router te configureren ?
Portforwarding lijkt mij verder in orde (poortje 80 wordt keurig naar lokaal IP met het juiste poortnummer doorgesluisd.

Om het nog vreemder te maken: Ik kan mijn router (met ook een LE certificaat) wel keurig benaderen met "https://router.mijndomein.nl"

Wie zet mij op het goede spoor?

EDIT: Als ik mijn NAS onder DMZ zet, werkt het certificaat wel.

Groet,
Peter

[Babylonia]

Kennelijk gebruik je twee aparte DDNS domein-namen voor "hetzelfde" WAN IP-adres.
Ook al is de ene voor de "router" bedoeld en de andere voor een "NAS"?  Het betreft toch gewoon "hetzelfde" WAN IP-adres.
Onderverdelingen wat aan te roepen, wordt gemaakt op basis van poortnummers.

Gebruik beter slechts één DDNS domein + bijbehorende SSL certificaat voor zowel router als NAS.

(Overigens een RT1600ac model heeft nooit bestaan.  Het zal wellicht om een RT1900ac gaan of een RT 2600ac).

[pvkan]

@Babylonia : Haha, foutje inderdaad. Het gaat om een RT2600ac.

Voor zowel NAS als router zijn de certificaten op subdomein.
Beetje oubollige opmerking mijnerzijds is dan ook: Heeft altijd vlekkeloos gewerkt, totdat de router een reset kreeg.
En het moet ook kunnen werken want als ik de NAS in DMZ zet gaat het voor beide domeinen goed.

Mijn inziens vergeet ik iets in de buurt van port-forwarding....alleen wat ?

Peter

[Birdy]

@Babylonia : Haha, foutje inderdaad. Het gaat om een RT2600ac

Heb het maar aangepast 

[Briolet]

Volgens mij mist hier informatie. Een certificaat is wel of niet geldig. Dit kan niet afhangen van poorten of DMZ instellingen.

Weet je zeker dat je het goede certificaat voor de betreffende verbinding gebruikt? Dus echt in de browser naar de certificaat kenmerken kijken (b.v. serienummer) en dat met de kenmerken op de nas vergelijken.

[pvkan]

Hoi @Briolet

Beide certificaten zijn geldig. Ik kan ze zelfs allebei verlengen.
Zodra ik DMZ inschakel kan ik de NAS prima benaderen met HTTPS/SSL. Het certificaat is dus in orde.

Wel zie ik het volgende:
- DMZ ingeschakeld: ik kan NAS benaderen en inloggen met SSL.
- IK log uit van de NAS maar sluit de browser NIET af
- In de router schakel ik nu DMZ uit
- Via nas.mijndomein.nl kan ik nu nog steeds keurig inloggen (DMZ is dus uit)
- Vervolgens log ik weer uit van de NAS
- Ik sluit nu WEL de browser af
- Browser opnieuw opstarten
- Inloggen op NAS geeft nu weer certificaatfout.

Peter

[Briolet]

Beide certificaten zijn geldig.

Dat zegt me niets. Zijn ze ook geldig voor het gebruikte domein. Ik zie te vaak dat men denkt dat een geldig zwemdiploma ook te gebruiken is als rijbewijs (Om maar een vergelijk te maken met het dagelijks leven)

- Inloggen op NAS geeft nu weer certificaatfout.

Ik val in herhaling: Heb je ook in de browser gecheckt of die hetzelfde certificaat ziet in beide situaties? (Edit: In safari doe je dat door op het slotje te klikken en het certificaat uitgebreid te bekijken. In andere browsers kan het anders werken.)

[pvkan]

 
Als ze feilloos worden verlengd dan zijn ze toch ook geldig voor het domein ? (de DDNS wijst immers ook keurig naar mijn NAS).
Of zie ik dat verkeerd ?

[pvkan]

@Briolet

Beide cert serienummers voor router.mijndomein en nas.mijndomein zijn hetzelfde.
Dat lijkt mij niet goed.
Is dan de oplossing om het certificaat van de router te verwijderen ?

(blijft het vreemd dat het wel altijd gewerkt heeft, maar dat was misschien mazzel ?)

[Babylonia]

Mijn inziens vergeet ik iets in de buurt van port-forwarding....alleen wat ?

Dat zou best eens kunnen. Eerder lees ik dat je poort 80 hebt doorgestuurd.
Maar heb je poort 443 ook doorgestuurd naar het NAS IP-adres?

[Briolet]

Beide cert serienummers voor router.mijndomein en nas.mijndomein zijn hetzelfde.

Dan eindig je in beide gevallen op een webpagina van de router en niet op de nas.

DMZ mag gewoon niets uitmaken. Het doet exact hetzelfde als forwarden, maar dan voor alle poorten.

[pvkan]

Hoi,

Ik ben er achter.
Ik had de forward naar de NAS uitgevoerd naar de http poort ipv de https poort.
Hoewel in de NAS (DSM) staat ingesteld dat HTTP verbindingen automatisch omgeleid moeten worden naar HTTPS
snapte de NAS er even niets van.

In de router heb ik de forward nu hard naar de HTTPS poort gebracht hetgeen de oplossingis.
Poort 443 forwarden hoeft blijkbaar niet.
Ik weet overigens niet meer of dit in de oude situatie ook zo stond, maar dat is niet belangrijk.
Ergo: De NAS is weer van buiten keurig bereikbaar met SSL.

Ik kon nu alleen niet meer mijn router bereiken via https://router.mijndomein.nl
Door de URL hier aan te vullen met de juiste poort en deze te forwarden naar de router zelf is ook dit opgelost.
(ik ben toch de enige die eventueel de router van buitenaf wil benaderen).

@Briolet en @Babylonia : Mijn dank heren voor het meedenken.

Peter

[Babylonia]

In de router heb ik de forward nu hard naar de HTTPS poort gebracht hetgeen de oplossingis.
Poort 443 forwarden hoeft blijkbaar niet.

Ik weet niet wat je bedoelt met forward "hard naar https"?
Omdat je eerder sprak over port forwarding van poort 80, neem ik aan dat je mogelijk ook een web-server" draait (of bijv. "Photo Station)?
Voor gebruik van https bij een web-server / Photo Station is daar standaard poort 443 aan gerelateerd.
Wil je dat correct inzetten zul je in dat geval dan ook port forwarding moeten instellen voor poort 443.

De andere NAS benaderingen, DSM als gebruiksinterface van de NAS zijn standaard de poorten 5000 en 5001 daarvoor gereserveerd.
Daarvoor zul je dan port forwarding voor die betreffende poorten moeten instellen.

Zie een lijstje van Synology voor alle gebruikte standaard poorten:
https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services

Ik kon nu alleen niet meer mijn router bereiken via https://router.mijndomein.nl
Door de URL hier aan te vullen met de juiste poort en deze te forwarden naar de router zelf is ook dit opgelost

Voor services die op de router zelf draaien stel je helemaal geen port forwarding in.  Dat is verwijzen naar "jezelf".
Tenzij je 2 routers achter elkaar gebruikt, eentje van de provider, en nog een eigen router er achteraan.
Waarbij in die set-up dan port forwarding geldt voor de 1e naar de 2e router.  (Of DMZ van de 1e naar 2e router).

[pvkan]

Hoi,

Het gaat mij inderdaad alleen maar om DSM. Ik draai verder geen website oid.
De forward bestaat dan ook alleen uit from 80 -> to 'https-poort DSM'.

(ik gebruik de default poortnummers niet; ik ben allergisch voor default; security tikje van mij ;-)

Thx
Peter

[Babylonia]

Als het je dan om security issues gaat kun je poort 80 beter in het geheel NIET gebruiken.
Want dat is nu net een poort die voor URL adressen in het geheel NIET hoeft te worden aangevuld.
En wordt men in jou geval dan automatisch dan toch al doorgeleid naar welke "vreemde" poort dan ook, voor een SSL verbinding.

Overigens is het gebruik van een andere poort ook maar "schijn veiligheid".
Met minimale extra moeite, scant een goede portscanner, gewoon alle poorten van een verbinding, en worden die toch wel gevonden.