SSL Verbindung geht immer noch nicht

  • Hallo,


    da ich nirgends was dazu gefunden habe was das Problem löst, wollte ich das hier nochmal aufgreifen.


    Ich besitze eine TS-251B mit Firmware 4.4.2.1310


    Ich habe es noch nie hinbekommen eine SSL Verbindung zu meiner NAS aufzubauen bzw. Apps die diese Benötigen wie zb. Nextcloud.


    Sicherer Anschluss HTTPS ist aktiviert mit Port 443 TLS 1.2

    IP-Zugriffsschutz HTTPS ist aktiviert

    Lets Encrypt Zertifikat wird verwendet


    Ports 443 und 8081 sind im Router eingetragen als TCP


    Das NAS ist weder im lokalen Netzwerk über eine Sichere Verbindung zu erreichen noch über die myqnapcloud.com Adresse.

    Alles geht nur über HTTP.


    Gibt es da Neuigkeiten wie man das alles über HTTPS erreichen kann? Wenn ja wie am besten?


    Gruß

  • Mein NAS sind alle älter und haben noch eine FW v4.3.4 (bzw. 4.2.6), aber im LAN sind sie nur über https zu ereichen.

    Ist der entsprechende Haken bei Deinem NAS gesetzt?


    Gruss

    Dateien

    • Q_SSL_1.png

      (23,05 kB, 13 Mal heruntergeladen, zuletzt: )
  • Bei mir sieht es so aus.


    Wenn ich jetzt noch einen Haken bei "Nur eine sichere Verbindung bei (HTTPS) herstellen" auswähle

    ist mein NAS nur noch über HTTPS erreichbar. Und wenn das nicht funktioniert komme ich da nicht mehr rein ist meine

    Befürchtung.


    nas.jpg

  • In diesem Fall müsstest Du Dich per SSH in der CLI anmelden und unter /etc/config/uLinux.conf den Wert "Force SSL" wieder auf 0 setzen.

    Dann sollte auch http wieder gehen. Vorsichtshalber würde ich aber vorher die uLinux.conf kontrollieren, welche Werte dort eingetragen sind.

    Wie versuchst Du dich per https anzumelden: https://<IPdesNAS>:<Port> ?


    Gruss

  • Im moment logge ich mit unter http://ip_adresse:8080 ein oder extern über meine DynDNS aber alles über http


    Was gibt mir die Sicherheit das es dann mit dieser Einstellung gehen sollte. Und warum geht es ohne diese Einstellung nicht?

  • Ich weiß nicht, warum es bei Dir nicht geht. Den Haken bei "Nur eine sichere Verbindung herstellen" muss man nicht setzen, https geht auch ohne, jedenfalls auf allen meinen NAS.

    Du könntest evtl. einen anderen Port testen, wenn kein andere Dienst dort läuft, 8081 oder 4711, das spielt im LAN keine Rolle, aber https muss gehen.


    Moment: weiter oben schreibst Du was von den Ports 443 und 8081, wieso willst Du das NAS dann mit 8080 ansprechen?


    Gruss

  • Der 443 steht bei mir schon immer als standard drin. Und den Port 8080 brauche ich doch um das NAS über den Browser per HTTP zu erreichen. 8081 wäre doch dann bestimmt für https.


    Wichtige Dienste die für mich auf dem NAS laufen müssen und von aussen erreichbar sind, Nextcloud, Containerstation, Teamspeak, Plex. Wobei Nextcloud auch nicht in SSL erreichbar ist.

  • Welcher Port steht im Feld Portnummer unter "Sicheren Anschluss aktivieren"?

    Diesen Port musst Du für https verwenden.


    Gruss

  • Da habe ich den 443 drin zu stehen, den habe ich auch im Router eingetragen als TCP. Könnte es auch am Zertifikat liegen auf der NAS?

  • Nein, der Router ist für den Zugriff über LAN uninteressant, und wenn es am Zertifikat liegt, dann müsste der Browser eine entsprechende Meldung ausgeben.

    Bei den meisten gibt es dann die Möglichkeit "Seite trotzdem laden" aufzurufen

    Aber ansprechen musst Du das NAS unter https://IP:443 oder die Portangabe ganz weglassen, und nicht mit 8080 wie weiter oben angegeben.

    Was passiert dann?


    Gruss

  • Über https mit 443 geht die Verbindung aber die Verbindung ist immer noch nicht sicher.

  • Ok, also geht es rein um das Zertifikat, da kann ich nichts zu sagen, habe meine NAS als Ausnahme im Browser.

    Mit den Zertifikaten habe ich mich bisher nicht befasst.


    Gruss

  • Als Ausnahme bedeutet das du ohne diese Ausnahme das gleiche Problem hättest?

  • Als Ausnahme heisst, das vorher eine Meldung kam (sinngemäß) "Dem Zertifikat wird nicht vertraut..."

    In einem Browser (alter IE?) war es nicht möglich, die Seite dennoch aufzurufen, da fehlte der entsprechende Link "Wollen Sie trotzdem..."

    Im Firefox und Chrome war das aber möglich. Außerdem wird gefragt, ob die Seite zu den Ausnahmen hinzugefügt werden soll sonst erhält man immer wieder die Zertifikats-Meldung.


    Gruss

  • Ok, ich probiere gerade ob ich mir mittels OpenSSL ein eigenes Zertifikat erstellen kann. Mal gucken ob ich das hin bekomme.

    Aber so wirklich funktionieren tut das nicht mit der QNAP NAS und SSL / Https habe ich das gefühl.

    Einmal editiert, zuletzt von Kimble ()

  • Da habe ich den 443 drin zu stehen, den habe ich auch im Router eingetragen als TCP.

    Hallo,

    am zweiten Teilsatz knabbere ich ein wenig: was genau hast du da gemacht und ist das wirklich nötig oder wird das Zugriffsproblem möglicherweise davon verursacht?


    Zwar bin ich in Sachen NAS noch ein Frischling, aber habe auch sonst genug Geräte im Heimnetz und noch nie eines davon explizit im Router mit Protokoll oder Port eingetragen.


    MfG

    Digedag64

  • Mir geht es darum das NAS im Browser über HTTP(S) zu öffnen. Und da gibt es Probleme. Die Ports habe ich im Router eingetragen weil einige Apps das erfordern. Http(S) möchte ein gültiges Zertifikat haben von der NAS da es sich sonst nur im http öffen lässt. Aber das mit den Zertifikaten ist so eine Sache da es im Browser doch zu Sicherheitsrisiken kommt und man muss das immer bestätigen. Wo ich mich dann frage wozu brauche ich die Zertifikate wenn sie doch nicht richtig funktionieren. Und über das eigene Lets Encrypt geht auch nur http.


    Normal müsste es so sein, wenn ich eine QNAP NAS anschließe sollte die von Hause aus nur über eine Sichere Verbindung sich öffnen lassen, egal ob über die lokale ip, myqnapcloud.com oder DynDNS. Das scheinen die aber bis heute nicht gelöst zu haben. Oder ich mache irgendetwas falsch. Aber viel mehr kann man in der NAS auch nicht einstellen. Ich frag mich warum man das überhaupt einstellen soll http oder https. Https sollte standard sein.

  • Solange Du sog. "self-signed" Zertifikate nutzt werden dir Alle Browser einen Sicherheitsverstoß anzeigen. Du kannst Das Zertifikat als Vertrauenswürdig einstufen, dann ist das vorbei.

    Bei Firefox und IE kann man das vom Browser aus steuern, bei Chrome geht dasüber die Internetoptionen von Windows.

    Bitte bedenke:
    Ein Zertifikat auf dem Server verschlüsselt nur die Kommunikation und stellt sicher, dass Dein Browser mit dem richtigen Server kommuniziert. Ob Du der richtige/berechtigte User bist, wird ausschließlich über das dann (verschlüsselt) übermittelte Passwort festgestellt.

    Wenn Du den Dienste nicht öffentlich zur Verfügung stellen willst sondern nur selber darauf zugreifen willst, ist es vollkommen egal, ob das Zertifikat von QNAP, Selfsigned oder von Let's encrypt kommt. Du allein entscheidest ob das Zertifikat, welches im Browser angezeigt wird mit dem übereinstimmst welches auf dem Server liegt.

    Nutzt Du ein "sicheres" Zertifikat nimmt dir und anderen das Betriebssystem am PC/Smartphone nur den Aufwand der manuellen Überprüfung ab, weil das Zertifikat dann von einer vertrauenwürdigen Zertifizierungsstelle unterschrieben ist, der dein System automatisch vertraut.
    Sicherer in der Nutzung wird es nicht, nur einfacher.


    M.
    (P.S. an die Cryptoexperten: das habe ich bewußt "einfach" formuliert)

  • Also kann ich es einfach gesagt auch auf http stehen lassen wenn ich nur von zu Hause lokal darauf zugreife? Dann brauche ich nicht ständig im Firefox das Risiko bestätigen was durch das nicht vertrauenswürdige Zertifikat aufgerufen wird.

  • Wie matthiasJ korrekt schrieb, kannst du dem Zertifikat auch ganz einfach das Vertrauen aussprechen. Du kannst dann per HTTPS ohne weiter Warnungen zugreifen.


    Wenn du aber 100%ig sicher bist, dass sich außer dir niemand im heimischen Netz bewegt, kannst du natürlich auch nur HTTP nutzen: die Kommunikation zwischen deinem Browser und deinem NAS - inkl. Passwortübertragung! - erfolgt dann unverschlüsselt. Aber wenn du ganz, ganz sicher eh allein bist, kann ja niemand mitlesen, auch kein anderweitig kompromittiertes Gerät ......


    Dem eigenen Zertifikat vertrauen und konsequent bzw. generell auf HTTPS setzen fände ich persönlich sinnvoller. Und wenn DANN künftig mal wieder so eine Zertifikatswarnung kommen sollte, hast du das Zertifikat entweder (in zwei Jahren oder so) erneuert und musst ihm wieder vertrauen oder es ist was faul und so musst dem nachgehen.


    MfG

    Digedag64