Kein Zugriff auf die Anmeldeseite, aber aufs NAS per Dateiexplorer mit VLANs

    Guten Morgen Zusammen,


    ich bin gerade dabei, meine Heimnetzwerk umzustellen auf VLANs.

    Das klappt soweit auch prima, lediglich gestern Abend/ Nacht bin ich ein wenig am NAS verzweifelt.


    Zum Setup:


    Am Switch ist das NAS (HS-251) an einem untagged Port angeschlossen, welcher die PVID 10 hat. Dies ist das "Server"-VLAN.

    Im netzwerk existiert eine Firewall die auch das Routuing übernimmt, mein PC steht im VLAN 20 "Admin"-VLAN.

    Das VLAN 20 hat auf alle anderen VLANs Zugriff durch eine entsprechende Regel.


    Am NAS ist KEIN VLAN eingerichtet, das NAS ist lediglich mit einer IP aus dem Netzwerk von VLAN 10 konfiguriert (192.168.10.2, Gateway und DNS jeweils die Firewall 192.168.10.1)

    Mein PC ist im VLAN 20 und hat die IP 192.168.20.2, Gateway und DNS jeweils die Firewall 192.168.20.1)


    Rufe ich nun im Explorer \\192.168.10.2 auf, so werden mir brav alle Freigaben angezeigt und ich kann auf das NAS zugreifen.

    Wenn ich nun aber die Weboberfläche aufrufe, gleiche IP leidglich im Web-Broswer (Forefox oder Edge machen das selbe...), dann kommt keine Verbindung zu Stande.


    Erst wenn ich meinem PC eine IP aus dem Netz des VLAN 10 gebe (192.168.10.3 zB), dann komme ich auf die Weboberfläche.

    An den VLAN Einstellungen ändere ich hier nichts.


    In den Einstellungen am NAS ist der Zugriff von Überall erlaubt (Im Bereich Sicherheit), es wird kein IP-Bereich oder dergleichen ausgeschlossen oder explizit freigegeben.


    Kann das NAS das nicht oder was ist hier los? Leider komme ich hier nicht weiter, da ich in den Einstellungen vom NAS nichts mehr finden kann was hier Blockierend eingreifen würde. Da ich per Datei-Browser auf das NAS zugreifen kann, ist für mich das Routing über die Firewall auch OK


    Gruss,

    Michael

    Was sagt das Firewall Log? Bei den TCP Sync States kann man ja schon sehen wo es klemmt.


    Kannst du über die FW nen Mitschnitt erzeugen, ich kann das bei meiner pfSense. Das kannst dann auch runterladen und mit Wireshark öffnen.


    Sicherheitseinstellungen im NAS erlauben wirklich Zugriff von überall? Firewall App aktiv? Und auch die Firewall App erlaubt das?

    Hab selbst sowas ähnliches am laufen.


    Für den Web-Zugriff habe ich eine Firewall-Regel eingestellt die den Zugriff auf den Web-Port vom NAS im VLAN 0 erlaubt. Für Dateizugriffe reicht das VLAN-Routing aus.


    Eventuell liegt es daran.

    Hallo Zusammen,


    in den TCP States habe ich noch nicht geschaut, werde ich Heute Abend machen, danke für den Hinweis.


    Die Sicherheitseinstellungen sind soweit korrekt, es steht auf Zugriff von Überall erlaubt, keine Einschränkung ist da definiert.


    In der Firewall habe ich eine Regel vom "Admin"-VLAN "20" to Any definiert, alle Protokolle. Daher (sollte) es hier ja eigentlich auch keine Probleme geben.


    Ich werde heute Abend mal in die Logs schauen und auch wie das mit dem Wireshark geht, danke für den Hinweis. Wenn ich mehr habe melde ich mich noch einmal :)


    Gruss,

    Michael

    Hab's mal kurz bei mir getestet... funktioniert auch ohne Firewall-Regel... also weg damit.

    Guten Abend Zusammen,


    also ich habe noch einmal das NAS überprüft...


    - Es ist keine Firewall-App installiert und/oder aktiv

    - Die Sicherheitseinstellungen stehen auf alles erlauben, keine Einschränkungen definiert


    Auf der pfSense habe ich mal einen Aufruf mitgeschrieben (im Packet Capture.


    Ich bin jetzt kein Netzwerker oder Firewall-Spezi, aber ich sehe da kein Deny oder Forbidden oder sowas... nur den Zugriff meines PCs (192.168.20.90) auf das NAS (192.168.10.5)


    Merkwürdig ist dabei, die Seite wird erst grau (Meine Startseite am NAS ist blau) und nach einer Weile kommt dann eine Timeout-Meldung vom Browser.

    Als SSL Zertifikat nutze ich ein selbsterstelltes Zertifikat.


    Gruss,

    Das sieht eigentlich gut aus, erstelle doch mal einen PCAP unter Diag -> Paket Capture, dann Interface vom NAS auswählen und die IP, dann hast du nur diese Infos drin. Das ist ggf. aufschlussreicher.


    Wie ist denn die Laufzeit vom Zertifikat?

    Das Root hast du sauber auf allen Clients hinterlegt?

    Mit der Sense ausgestellt oder wo hast du das generiert?

    Hallo,


    die Aufzeichnung mache ich Heute Abend einmal.


    Die Zertifikate waren bis vorgestern noch auf Lets Encrypt eingestellt und bereits abgelaufen (Ich habe das NAS seit einiger Zeit nicht mehr mit dem Internet Verbunden).

    Dies habe ich vorgestern dann auf ein eigenes Umgestellt, welches vom NAS selber erzeugt wurde, die Laufzeit ist also "frisch".


    Dieses Zertifikat habe ich allerdings auf keinen Clients etc. hinterlegt, da es bisher nicht notwendig war.


    Mir ist aber gestern, durch Zufall, aufgefallen, dass der Zugriff aus dem VLAN 20 auf das VLAN 10 auch bei anderen Servern nicht sauber funktioniert, wenn HTTPS im Spiel ist.

    Ich habe einige "Server" als VMs laufen, die nur per HTTP erreichbar sind, diese kann ich ohne Probleme erreichen (im Browser).

    Jene mit HTTPS haben das gleiche Problem wie das NAS, die Startseite bleibt leer. Daher gehe ich schwer davon aus, dass ich hier an der pfSense etwas mit HTTPS machen muss, wobei wie gesagt die Regel eine Admin-Netz to ANY ist für alle Protokolle, also kein Unterschied da sein sollte ob HTTP oder HTTPS.


    Ich werde mich daher einmal auf die pfSense konzentrieren, da das NAS ja ohne VLANs sauber funktioniert hat und sich da, bis auf das Zertifikat nun, nichts geändert hat.


    Danke bis hierher erst einmal für Eure Hilfe und die Hinweise, das war sehr infomativ mit der Diagnose an der pfSense :)


    Gruss,

    Michael

    Laut Log leitet dir pfSense das sauber weiter.


    Konzentriere dich lieber auf das SSL Problem, bzw. das Problem mit dem/den Zertifikat(en).


    Denn die neuen Richtlinien geben max Laufzeiten von 398 Tagen vor.

    Und bei certificate pinning will der Browser eh nicht mehr wenn sich Kiste dann mit einem ganz anderem meldet.

    Guten Moprgen :)


    danke für den Hinweis, es lag auch tatsächlich nicht am NAS sondern an der Firewall / pfSense.

    Nachdem ich vorgestern Abend zum Feierabend die Firewall und andere VMs neu gestartet hatte, funktionierte alles gestern ohne weiteres Zutun aus dem Stande heraus...

    Alle HTTPS Dienste laufen und sind per Browser erreichbar, keine Probleme.


    Also entweder lag es daher nun an der Firewall oder aber halt an den Browsern (Cache usw.)...


    Hauptsache es läuft nun :)


    Trotzdem vielen lieben Dank für Eure Hilfe und Ratschläge!


    Gruss,

    Michael

    Sehr unwahrscheinlich das es an der Firewall gelegen hat.

    Denn diese lässt es entweder nach Regelwerk zu oder blockt es.

    Und in deinem Fall hat die das zugelassen.


    Daher auch nach FW Log Auswertung der Schritt mit Wireshark, hier kannst du dann genau sehen wo der SSL Handshake scheitert.


    Jetzt läuft es zwar wieder aber das warum ist nicht geklärt, kann also wieder auftreten.

    Zitat von Crazyhorse

    Konzentriere dich lieber auf das SSL Problem, bzw. das Problem mit dem/den Zertifikat(en).

    Wie löst man grundsätzlich das Problem mit dem/den Zertifikate(en)?

    Das QNAP default kann man im Browser als vertrauenswürdig beständigen und kommt auf die Weboberfläche mit https.

    Andere Dienste könnte man mit LetsEncrypt-Zertifikaten zur Verschlüsselung bewegen?

    Man erstellt sich eine eigene CA. Denn bei Zertifikaten geht es um Vertrauen und ich vertraue meinen eigenen System mit eigenem Zertifikat mehr als z.B. einer Webseite mit DigCert.

    Zur Installation braucht es aber spezielle Kenntnisse, die ich nicht habe.

    Für LetsEncrypt-Zertifikate gibt es ja auf der Web-GUI einen Installateur. Ohne myqnapcloud machbar? Hatte LE-Zert. früher mal installiert, aber jetzt durch vollständige Neuinstallation VPN QTS 5 nicht mehr nachvollziehbar.