Fernzugriff aus dem Internet funktioniert nicht

  • Guten Abend,
    ich besitze seit einigier Zeit das QNAP TS-251a. Diese würde ich nun gerne für den externen Zugriff aus dem Internet einrichten, vorzugsweise via WebDAV. Ich habe mich diesbezüglich schon recht viel belesen und durch verschiedene Forenbeiträge durchgehangelt. Allerdings funktioniert der Fernzugriff bisher aus mir ungewissen Gründen noch nicht ganz richtig.


    Aufbau/System:


    Fritzbox 7390 --> Fritz Powerline 540E --> QNAP TS-251a


    Bisherige Konfigurationen:


    QNAP:
    - in den Sytemsteuerungen WebServer aktiviert (Portnummer 80 sowie für sicheren Anschluss 8081; Maximale Anzahl: 1024)
    - WebDAV aktiviert (Freigabeordnerrecht).Desweiteren ist der Benutzer ist für alle Ordnerfreigaben lese und schreib berechtigt.


    Fritzbox:
    - Dem Qnap TS-251a eine feste IP zugeteilt
    - Portfreigabe (TCP Protokoll) nur für Port 8081 zur IP des NAS.
    - DynDNS benutzen aktiviert:
    DynDNS Betreiber: selfhost.de
    Domain, Benutzer und Kennwort übernommen.


    Problem:


    Eine Verbindung zur Oberfläche des NAS durch https://MEINEDOMAIN.selfhost.eu:8081 bzw. https://externeIP-Router:8081 ist nicht möglich.
    Fehlermeldung Safari: „Safari kann die Seite https://MEINEDOMAIN.selfhost.eu nicht öffnen, da Safari keine sichere Verbindung zum Server MEINEDOMAIN.selfhost.eu aufbauen kann.“
    Fehlermeldung Firefox: „Fehler: Verbindung fehlgeschlagen Firefox kann keine Verbindung zu dem Server unter MEINEDOMAIN.selfhost.eu aufbauen.
    -Die Website könnte vorübergehend nicht erreichbar sein, versuchen Sie es bitte später nochmals.
    -Wenn Sie auch keine andere Website aufrufen können, überprüfen Sie bitte die Netzwerk-/Internetverbindung.
    -Wenn Ihr Computer oder Netzwerk von einer Firewall oder einem Proxy geschützt wird, stellen Sie bitte sicher, dass Firefox auf das Internet zugreifen darf.“


    Auf meinem Macbook habe ich mich allerdings über den Finder erfolgreich mit dem NAS via „Mit Server verbinden“ mit https://MEINEDOMAIN.selfhost.eu:8081/ORDER von außerhalb des Netzwerkes verbinden können.



    (Gebe ich im Browser https://MEINEDOMAIN.selfhost.eu:8081/ORDNER bzw. https://IP-Router:8081/ORDER ein, erfolgt eine Authentifizierung bei der ich Benutzernamen und Passwort vom NAS System eingebe. Nach Bestätigung folgt die Fehlermeldung: „Forbidden You don't have permission to access /ORDNER/ on Server. Apache Server at MEINEDOMAIN.selfhost.eu Port 8081
    Dies gilt sowohl im Browser Safari als auch Firefox.)



    Kenn jemand das Problem oder hat einen Lösungsansatz? Könnte es evtl etwas mit dem SSL Zertifikat zu tun haben?


    Vielen Dank für Eure Hilfe im Vorraus!

  • n'Abend!

    Könnte es evtl etwas mit dem SSL Zertifikat zu tun haben?

    Ein selbstsigniertes bzw. ein QNAP Standardzertifikat erzeugt beim Aufrufen der Verbindung im Browser eine Warnmeldung, da der Browser die Echtheit des Zertifikates bzw. die Zugehörigkeit zur aufgerufenen Domäne nicht prüfen kann. Da du ja deine eigene Seite aufrufst und die Umstände für die Warnmeldung kennst, kannst du im Browser eine Ausnahmeregelung einrichten.


    Im Firefox sieht die Wanrmeldung so aus:


    Code
    Diese Verbindung ist nicht sicher!
    
    
    
    
    Der Inhaber von xxxxxxxxxxxxxx hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.

    Die Einrichtung der Ausnahmeregel kann im Webfenster über einen Button aufgerufen werden. Danach müsstest du allerdings ganz normal mit Webdav arbeiten können. Sollten noch Dritte sich über WebDav anmelden können, könnte die Browsermeldung die Nutzer verunsichern. Du kannst dir aber für dein Nas ein kostenfreies Let's Encrypt Zertifikat einrichten und die Warnmeldungen sind dann Geschichte.


    Aber:

    (Gebe ich im Browserhttps://MEINEDOMAIN.selfhost.eu:8081/ORDNER bzw. https://IP-Router:8081/ORDER ein, erfolgt eine Authentifizierung bei der ich Benutzernamen und Passwort vom NAS System eingebe. Nach Bestätigung folgt die Fehlermeldung: „Forbidden You don't have permission to access /ORDNER/ on Server. Apache Server at MEINEDOMAIN.selfhost.eu Port 8081
    Dies gilt sowohl im Browser Safari als auch Firefox.)

    Hast du die Zugriffsberechtigungen auch wirklich für WebDav eingerichtet? Siehe diese Anleitung letzter Screenshot (Berechtigungstyp: WebDAV Zugriff)?

  • Erst einmal vielen Dank für die ausführliche Antwort.


    Du meist also, es hat nichts mit dem SSL Zertifikat zu tun? Die Wanrneldung, von der du gesprochen hast tritt tatsächlich ab und zu auf. Ich habe mir das Zertifikat anzeigen lassen und wie du geschrieben hast eine Ausnahme hinzugefügt bzw eine Erlaubnis die Website zu besuchen hinzugefügt. Anschließend folgte die Fehlermeldung, dass der Browser keine Sichere Verbindung aufbauen konnte (siehe oben). Bei erneutem Versuch erscheint keine Zertifikatswarnung mehr, sondern direkt die Fehlermeldung. Das gilt jedoch wie gesagt nur dann, wenn ich auf die Benutzeroberfläche des NAS zugreifen möchte und nicht auf konkret einen Ordner (siehe oben)


    Bezüglich der WebDAV Berechtigung habe ich in den Systemsteuerungen unter Webserver auf Reiter WebDAV die Freigabeordnerrecht aktiviert. Nach meinem Kenntnisstand werden dadurch die Standard Berechtigungen der Benutzer auch für WebDAV übernommen. Expliziert habe ich bei den Freigabeberechtigungen keine weiteren Einstellungen getroffen. Ich habe mich lediglich vergewissert, dass der Benutzer (der bisher einzige Benutzer, welcher ein Admin ist) für alle Ordner lese und Schreibrecht Besitz.


    Ich versuche heute Abend noch einmal die andere Möglichkeit der Freigabeberechtigung unter WebDAV, bei der explizit eine Freigabe für WebDAV vergeben werden muss. So, wie es in dem Link beschrieben ist probieren.

  • Du meist also, es hat nichts mit dem SSL Zertifikat zu tun?

    Genau, es ist aber nur eine Vermutung. Mit WebDAV selbst arbeite ich nicht, deshalb kann ich bezüglich der Rechtevergabe nur auf das QNAP-Dokument verweisen. Das ist von 2013, also eventuell schon überholt. Vielleicht meldet sich zu dem Thema noch jemand der mit WebDAV arbeitet.

  • Ok vielen Dank dafür erstmal.


    Womit arbeitest du, wenn ich fragen darf? Ich habe mich für WebDAV entschieden, da es einigermaßen "sicher" sein soll und in der späteren Bedienung nicht so umständlich wie VPN. Das habe ich zumindest gelesen.


    Ich würde gerne möglichst unkompliziert und schnell auf meine Daten auf dem NAS von außerhalb des Netzwerks zugreifen. Da ich oft nicht zu Hause bin.


    * Zusatz:


    VPN kommt für mich ebenfalls nicht in Frage, da ich einen Ordner des NAS mit der auf meinem iPad befindlichen App PDF-Expert synchronisiere. Diese unterstützt neben WebDAV "nur" noch FTP, SFTP und SMB.


    Die Synchronisation mit dem Ordner funktioniert im übrigen auch. Darum verstehe ich nicht, warum ich keinen Zugriff auf die Benutzeroberfläche bekomme.

  • Womit arbeitest du, wenn ich fragen darf?

    Router VPN, die Verbindung dient allerdings zur täglichen Datensicherung. Wenn ich von unterwegs auf Datenbestände zugreifen möchte, nutze ich deshalb auch einen VPN-Zugang. Aber eher selten.

    Die Synchronisation mit dem Ordner funktioniert im übrigen auch. Darum verstehe ich nicht, warum ich keinen Zugriff auf die Benutzeroberfläche bekomme.

    Dann wird es wohl doch nicht mit den WebDAV-Rechten zu tun haben.


    Wahrscheinlich funktioniert WebDAV wie gewünscht und du/wir interpretierten die Fehlermeldung falsch. Denn: Die Webadministration dürfte über Port 8081 doch gar nicht erreichbar sein. Du hast doch bestimmt unter Systemsteuerung/Allgemeine Einstellungen/Systemadministration für HTPPS auf Port 443 stehen. Ich kann das am späten Abend auch einmal ausprobieren, aber ich vermute, dass von Extern aus die Weboberfläche so nicht zu erreichen ist. Für WebDAV brauchst du sie doch auch nicht. Siehe deine erfolgreichen Verbindungen Mac und Iphone.

    Einmal editiert, zuletzt von phoneo ()

  • Guten Abend,


    ich habe soeben spaßeshalber den anderen Weg über "WebDAV Berechtigung" und nicht über "Freigabeordnerrecht" probiert. Ebenfalls kein Erfolg.


    Wahrscheinlich funktioniert WebDAV wie gewünscht und du/wir interpretierten die Fehlermeldung falsch. Denn: Die Webadministration dürfte über Port 8081 doch gar nicht erreichbar sein.

    Das kann tatsächlich sein. Womöglich ist es gar nicht möglich einen Ordner über den Browser derartig zu öffnen (https://MEINEDOMAIN.selfhost.eu:8081/ORDNER). Und es ist ebenfalls richtig, dass unter Systemsteuerung/Allgemeine Einstellungen/Systemadministration für HTPPS der Port auf 443 stehen. Somit kann ich also höchstwahrscheinlich gar nicht auf die Administratoroberfläche zugreifen.?! Dafür müsste ich evtl auch den Port 443 vom Router weiterleiten.(?) Dann leidet aber wiederum die Sicherheit ein wenig.


    Ich bin nur ein wenig verwundert, da ich denke ein Video gesehen zu habe, bei den der Zugriff auf die Benutzeroberfläche des QNAP´s durch den Weg über Port 8081 funktionierte.

  • Guten Abend!

    Ich bin nur ein wenig verwundert, da ich denke ein Video gesehen zu habe, bei den der Zugriff auf die Benutzeroberfläche des QNAP´s durch den Weg über Port 8081 funktionierte.

    Du kannst das Video gerne verlinken, das würde mich interessieren.


    Dafür müsste ich evtl auch den Port 443 vom Router weiterleiten.(?) Dann leidet aber wiederum die Sicherheit ein wenig.

    Ich denke, das wäre so.


    Du könntest vielleicht doch noch einmal über VPN nachdenken. Am besten Router-VPN. Du kist ja schon gut eingearbeitet, so kompliziert ist die Einrichtung auch nicht. Wobei... das kommt natürlich auf deinen Router an. :)

    VPN kommt für mich ebenfalls nicht in Frage, da ich einen Ordner des NAS mit der auf meinem iPad befindlichen App PDF-Expert synchronisiere. Diese unterstützt neben WebDAV "nur" noch FTP, SFTP und SMB.

    Ich hatte das bisher noch nicht kommentiert, aber ich kann dir hier Entwarnung geben. Die PDF-Expert App muss nicht "VPN" können. VPN Verbindungen werden häufig als Tunnel-Verbindungen bezeichnet. Das bedeutet, dass man Dienste/Protokolle wie WebDAV, FTP, SMB, ... über eine VPN-Verbindung durchtunneln kann. Du kannst so von unterwegs aus über beliebige Dienste auf dein Nas zugreifen. Am Router sind trotzdem nur die VPN-Ports offen. Wenn du viel auf Reisen bist und dabei häufig über fremde offene WLAN Netzwerke surfen möchtest ohne deine Privatspähre einzubüßen, könntest du die VPN-Verbindung so einrichten, dass der Zugriff auf das Internet ebenfalls über die VPN-Verbindung (damit über den heimischen Internetanschluss) laufen würde. In den fremden Netzwerken könnte also nicht mitprotokolliert werden, auf welchen Seiten du dich herumtreibst, keine Passwörter abgefangen werden oder sonstige Sauereien.

  • der Zugriff scheint ja zu klappen, wenn der Zugriff auf den Zielordner erfolgt. Geht die Portweiterleitung bzw. die Konfiguration an anderer Stelle auf das richtige Verzeichnis?

  • Du kannst das Video gerne verlinken, das würde mich interessieren.

    Ich habe gerade noch einmal nach dem Video gesucht, leider nicht gefunden. Es kann aber auch durchaus sein, dass ich mich täusche und ich das verwechsele.


    Aber:
    Mit der Portweiterleitung von Port 443 funktioniert der Zugriff auf die Benutzeroberfläche von Außen! Es hat also tatsächlich am Port gelegen.


    Jetzt muss ich mir nur noch überlegen, ob ich wirklich Ports auf der Fritzbox öffne oder mich mit dem VPN Zugang anfreunden kann.
    Habe ich das richtig verstanden, dass ich durch den VPN Zugang "andere" Ports (VPN Ports) in der Fritzbox öffnen muss, und die ganze Sache dadurch "sicherer" gegen fremden Zugriff wird?


    Vielen Dank für eure Hilfe!

  • Du hast eine Fritzbox? Das ist bereits die halbe Miete: Gute Anleitungen bei AVM und komfortabel einzurichten. Wenn du den VPN Service der Fritzbox nutzt, brauchst du eigenhändig keine Portfreigaben einrichten. Die Fritzbox macht das für die Fritzbox-Dienste eigenständig. Du findest die Freigaben auch nicht unter --> Internet --> Freigaben, sondern wenn du unter --> Diagnose --> Sicherheit schaust. Dort findest du dann die beiden VPN-Ports. Wie bereits angemerkt, unter VPN brauchst du keine weiteren Portfreigaben erstellen. Du meldest dich von extern über deinen VPN-Klienten an. Dann bist du in deinem heimischen Netzwerk eingeloggt und adressierst alle Dienste so wie von Zuhause aus. Beispiel: http://interneIP-NAS:Port oder https://interneIP-NAS:Port. Ob man noch über https also zusätzlich noch SSL-verschlüsselt zugreift ist eine Glaubensfrage. Die VPN-Verbindung ist ja bereits verschlüsselt.