System-Port lässt sich nicht auf 80 einstellen, ist von anderer Anwendung belegt

    Hallo Zusammen


    Ich möchte gern mein Qnap Nas TS-451+ auf ein Let's Encrypt Zertifikat umstellen (Systemsteuerung -> System -> Sicherheit -> Zertifikat & privater Schlüssel -> Zertifikat ersetzen).
    Wenn ich die Daten (dyndns-URL und Email) eintrage und auf übernehmen klicke kommt kurz darauf ein Authentifizierungsproblem, siehe Anhang ("prüfen sie DNS oder Port 80).


    Dann habe ich versucht den Port umzustellen auf dem ich die GUI aufrufe (Systemsteuerung -> System -> Allgemeine Einstellungen -> Systemadministration -> Systemport). Aktuell ist dort ein Port =! 80 eingestellt. Wenn ich versuche 80 einzustellen kommt unten eine Fehlermeldung, dass der Systemport bereits von einer anderen Anwendung belegt wird (siehe Screenshot).
    Nur weiß ich leider nicht welche das ist.
    Den Webserver hab ich abgeschaltet und auch die Multimediadienste (Photostation etc.) sind nicht aktiv.


    Habt ihr eine Idee welche Anwendung diesen Port belegt?
    Zumal sich auch kein Webservice auf Port 80 meldet wenn ich meine dyndns-URL auf Port 80 aufrufe.
    Ich bin ratlos :(


    Ich hoffe ihr könnt mir weiterhelfen. Bei Google und hier im Forum hab ich leider nichts passendes bisher gefunden.


    Vielen Dank schon mal.


    Gruß,


    Felix

    Ich mag mich täuschen, aber auf einer kostenfreien Wald-und Wiesen-DynDNS-Subdomain kann man meinem Kenntsnisstand nach kein Zertifikat anmelden. Hatte ich am mehreren Stellen im Netz gelesen. Die DynDNS Anbieter würden zwar auch zertifzierungsfähige Subdomains anbieten, allerdings gegen einen Kostenbeitrag. Alternativ kann man sich dann aber lieber eine eigene Domain-Adresse kaufen und die DynDNS-Adresse dort im CNAME eintragen. Vielleicht hat sich ja da zwischenzeitlich auch etwas geändert.



    Funktioniert eigentlich Let's Encrypt mit einer xxx.myqnapcloud.com Domain? JA!


    Nachtrag I:
    Ich war neugierig und habe es ausprobiert...



    Nachtrag II:
    Und ich habe mich getäuscht, ich konnte mir gerade auch ein Zertifikat für meine DynDNS myfritz Adresse einrichten.



    @Felix1980


    Der Systemport ist typischerweise 8080 und den musste ich bei meinen Tests (siehe Nachtrag I und II) auch nicht umstellen. Den Webserver auf Port 80 musste ich ebenfalls nicht disablen. Hattest du denn im Router für den Zertifizierungsprozess die Weiterleitung Port 80 auf die Interne IP deiner Nas Port 80 eingerichtet? Die ist Voraussetzung für die Zertifizierung. Wenn die Zertifizierung abgeschlossen ist, solltest du die Portweiterleitung wieder schließen.

    3 Mal editiert, zuletzt von phoneo ()

    der Systemport ist doch was anderes als der http-Port.


    Stell den Systemport auf 8080 bzw. lass ihn so. Was du brauchst, ist eine Weiterleitung im Router, und zwar die des Port 80 (http) auf die IP des NAS. Dann wird das gehen.


    Der Port 80 dürfte durch den Webserver belegt sein. Der muss auf 80 zu kriegen sein, außer du willst beim Aufruf des Webserver immer einen Port mit angeben, was keinen Sinn macht.

    Moin,


    Zitat von Doc HT

    Stell den Systemport auf 8080 bzw. lass ihn so

    ja ist okay so


    Zitat von Doc HT

    Was du brauchst, ist eine Weiterleitung im Router, und zwar die des Port 80 (http) auf die IP des NAS. Dann wird das gehen.

    der Port 443 wäre auch okay, wenn du die Weiterleitung im Router auf die NAS auch auf 443 stellst
    das hat den Vorteil das du keinen Port Eintragen musst


    URL ist dann: https://deine NAS Domain


    Bildschirmfoto 2017-11-25 um 08.13.52.png


    wenn du es so hast:


    Bildschirmfoto 2017-11-25 um 08.55.05.png


    starte NAS einmal neu, danach sollte es gehen, ich habe gerade gemerkt das anscheinend das Zertifikat nicht richtig übernommen wird —> aber nach einem Neustart war es dann okay

    Gruß Torsten

    @Akinos
    Wenn du die Option "Nur eine sichere Verbindung herstellen" für den Systemport auswählst, kann das für die Einrichtung eines Zertifikats problematisch werden. Geht die Einrichtung des Zertifikats nämlich schief, ist das GUI nicht mehr erreichbar.

    Zitat von Doc HT

    @Akinos vielen Dank für den Tipp mit dem Port 443!

    ja Bitteschön ;)


    um aber nicht ins offene Messer zu laufen wegen der geöffneten Ports würde ich dringend hierzu raten:


    Bildschirmfoto 2017-11-25 um 09.29.26.png




    ca. 90% aller sagen wir mal „anfragen“, oder auch noch mehr, werden von Kids oder verseuchten Rechnern gemacht, die Langeweile haben gemacht.
    Dummerweise scheint dieses System nicht oder vielleicht noch nicht erweiterbar zu sein.


    Besser wäre z.B. wenn IP xxx.xxx.xxx.xxx 3 mal das gleiche versucht ist für eine Woche diese IP gesperrt


    Gruß Torsten

    Zitat von phoneo

    Wenn du die Option "Nur eine sichere Verbindung herstellen" für den Systemport auswählst, kann das für die Einrichtung eines Zertifikats problematisch werden. Geht die Einrichtung des Zertifikats nämlich schief, ist das GUI nicht mehr erreichbar.

    es sollte doch aber immer noch über die IP funktionieren, oder?


    Gruß Torsten

    Zitat von Akinos

    es sollte doch aber immer noch über die IP funktionieren, oder?

    Ich bin noch nicht in die Verlegenheit gekommen das auszuprobieren. Aber wir hatten schon die Diskussion bereits mit entsprechendem Hilfegesuch im Forum.



    temp_1.jpg


    Der Hinweis müsste die Problematik bestätigen.


    Die Option "Nur eine sichere Verbindung (https) herstellen, ist meiner Meinung nach nur dann sinnvoll, wenn man die interne Umgebung seines Intranets (z.B. größere Netze von Firmen) für unsicher einstuft und deshalb eine SSL-Verschlüsselung zum Web-GUI erzwingen will. Das muss natürlich jeder für sich entscheiden, zumindest aber wenn man Änderungen an den Zertifikaten vornimmt, die Option rausnehmen, bis man sicher ist, dass es richtig läuft.


    Gruß Dirk

    Urks!


    Das dürfte immer dann der Fall sein, wenn man die an dieser Stelle ja manuell anzustoßende Aktualisierung des Zertifkates mal verpennt hat.


    @christian Deswegen wäre es toll, wenn QNAP es so einrichten würde, dass die Let's Encrypt-Zertifikate, die an dieser Stelle eingestellt werden, genau so automatisch erneuert werden könnten wie die Let's Encrypt, die man im Bereich myQNAPcloud holen kann.

    Zitat von Doc HT

    Das dürfte immer dann der Fall sein, wenn man die an dieser Stelle ja manuell anzustoßende Aktualisierung des Zertifkates mal verpennt hat.

    Nein, das glaube ich nicht. Ein ungültiges Zertifikat wird immer noch funktionieren. Nur der Browser wird sich per Sicherheitshinweis melden und eine Ausnahmeregel bestätigt haben wollen.


    Ich glaube, wir entfernen uns zu weit vom Thema wobei es bestimmt noch Interessantes auszutauschen gäbe. Z.B. hatte ich bei meinem gestrigen Versuch ein Zertifikat für myQNAPCloud einzurichten, bewusst keine Protweiterleitung geschaltet. Um zu schauen, ob ich eine Fehlermeldung wie @Felix1980 bekomme. Erstaunlicherweise wurde das Let's Encrypt Zertifikat aber anstandslos erstellt. Die Zertifizierungsprozedur scheint hier also "vereinfacht" zu laufen. Vermutlich wird die notwendige Prüfung direkt zwischen den QNAP-Servern und den Let's-Encrpct-Servern laufen. Für den Nutzer von MyQNApCloud also sehr komfortabel.

    Genau. Liegt das nicht daran, dass myQNAPcloud das via UPnP macht? Da kann man doch irgendwas einstellen.


    Danke für die Klarstellung zur Frage der Nichterreichbarkeit, wenn das Zertifikat abläuft. Wobei aus der Diskussion klar wurde, dass man https im internen Netz in der Regel nicht braucht.

    @ phoneo


    das sehe ich etwas anders, „Nur eine sichere Verbindung (https)„ —> dabei werden die jeweiligen Login Daten und die Daten Verschlüsselt übertragen, was ja daraus Sinn macht egal ob das Netzwerk „sicher“ oder auch nicht „sicher“ ist.



    das einzige, so wie ich das sehe, ist das wenn ich vergesse das Zertifikat zu erneuern ist das die normale Warnung kommt wo man eigentlich auch sehen kann, dass das Zertifikat abgelaufen ist und erneuert werden muss
    ja, und da scheint das Ganze nicht automatisch zu funktionieren was aber mit wenigen Klicks zu bereinigen ist


    Gruß Torsten

    Zitat von Doc HT

    Genau. Liegt das nicht daran, dass myQNAPcloud das via UPnP macht?

    Nein, das kann nicht sein. Ich lassen keine Zugriffe per UPnP auf meinen Router zu.


    @Akinos


    Wie ich bereits geschrieben habe: Muss jeder für sich selbst entscheiden, ob man seinem Heimnetzwerk vertraut oder nicht. HTTPS von extern kann man dadurch erzwingen, dass man nur auf den HTTPS-Port weiterleitet. Somit bleibt im Heimnetzwerk bei Problemen mit dem Zertifikat (Einrichtungsfehler) der HTTP-Port als Fallback erhalten.

    Hallo Leute


    Ich danke euch für die rege Unterstützung. Leider bin ich immer noch nicht weitergekommen. Ich bekomme nach wie vor die gleiche Fehlermeldung.
    Hier mal meine aktuelle Konfiguration:
    - IP-Adresse des NAS im LAN: 192.168.1.202 (fest vergeben)
    - Systemport: 8080 (wie oben empfohlen)
    - https-Port: 443
    - Webserver läuft auf Port 80, https auf 8081


    (also eigentlich eine ganz normale Konfiguration, nichts besonderes)


    Im Router hab ich mehrere Portweiterleitungen gleichzeitig aktiviert, leider ohne Erfolg:
    TCP 80 -> 80 (192.168.1.202)


    TCP 443 -> 443 (192.168.1.202)
    TCP 8080 -> 8080 (192.168.1.202)
    TCP 8081 -> 8081 (192.168.1.202)


    Was ich dazu sagen muss:
    - die GUI vom NAS ist problemlos über meine no-ip-Adresse auf Port 8080 erreichbar --> das bedeutet, dass die Portweiterleitung im Router (Telekom Speedport Smart) grundsätzlich funktioniert
    - der QNAP-Webserver zwar auf Port 80 läuft, dort aber nichts ausgibt. Der Webserver ist zwar über die GUI aktiv geschaltet gibt aber keine Seite aus, ich habe ihn nicht konfiguriert. Könnte das das Problem sein? Sollte der Webserver vielleicht zumindest eine einfache html-Seite bereitstellen auf welche die Letsencrypt-Server zugreifen können?
    - in einer virtuellen Maschine hab ich unter Windows einen Subsonic-Server laufen (mit eigener IP), auf den wird normalerweise Port 80 weitergeleitet. Die VM inkl. Server hab ich natürlich ausgeschaltet und die Portweiterleitung auf Port 80 gelöscht.


    So langsam verzweifle ich :(


    Habt ihr noch eine Idee?


    Gruß, Felix

    Zitat von Felix1980

    - der QNAP-Webserver zwar auf Port 80 läuft, dort aber nichts ausgibt. Der Webserver ist zwar über die GUI aktiv geschaltet gibt aber keine Seite aus, ich habe ihn nicht konfiguriert. Könnte das das Problem sein?

    Hi,


    wenn ich mein Nas über Interne-IP:80 aufrufen, wird die Anfrage auf die GUI weitergeleitet. Das ist jetzt keine Einstellung die ich bewusst vorgenommen habe, sondern nur das Ergebnis meines Tests. Ist bei dir vielleicht unter Virtual Hosts noch etwas eingerichtet?



    Zitat von Felix1980

    in einer virtuellen Maschine hab ich unter Windows einen Subsonic-Server laufen (mit eigener IP), auf den wird normalerweise Port 80 weitergeleitet. Die VM inkl. Server hab ich natürlich ausgeschaltet und die Portweiterleitung auf Port 80 gelöscht.

    Auch mal neu gebootet?


    Gruß Dirk