Probleme WebDAV, Webserver und Port-Weiterleitung

  • Hallo! Ich habe mir vor kurzem ein TS-419P zugelegt, welches ich als zentralen Datenspeicher im Heimnetzwerk nutze. Jetzt würde ich gerne auch von außen Zugriff haben, um z.B. Bilder nicht immer parallel auf Note- und Netbook kopieren zu müssen, oder auch mal auf einem fremden Rechner Zugriff auf meine Daten zu haben.


    Als einfache Zugriffsmöglichkeit habe ich WebDAV gewählt. Ich habe mir über DynDNS.com eine Host-URL besorgt und auch verstanden, wie ich diese über das QNAP mit der dynamischen IP aktualisiert halte.


    WebDAV habe ich auch so eingerichtet, wie in den QNAP-Anleitungen beschrieben, also Webserver aktiviert (Vorgabe Port 80), SSL ist nicht aktiviert. WebDAV ist aktiviert. Am Router (Linksys WRT610N) ist die einfache Port-Weiterleitung extern 80, intern 80 aktiviert, sonst nichts. Der Zugang über WebDAV funktioniert über http://meinHost.dyndns.info/meinOrdner auch bestens, nachdem ich den Microsoft Workoround zur WebDAV-Problematik in der Registry angewendet habe (siehe http://support.microsoft.com/kb/928692/en). Ich habe für WebDAV auf meine Verzeichnisse einen User mit Lesezugriff zugelassen. Von der Funktion her bin ich also zufrieden, aber ich habe ein paar (Sicherheits-)bedenken.


    Folgende Probleme:


    1. wenn ich meine DynDNS-URL eingebe, komme ich auf den Webserver-Setup-Guide des QNAP-NAS. Also genau wie wenn ich über Netzwerkdienst\Webserver die dort angezeigte URL xxx.xxx.x.xxx:80/ anklicke. Da hat jemand von außen aber meiner Meinungs nach nichts drauf verloren. Wie kann ich das sperren?


    2. ich würde gerne über eine sichere Verbindung (https:) zugreifen, habe aber keine Ahnung mit diesen Ports. SSL ist doch eigentlich 443, QNAP gibt im Webinterface 8081 vor. Was muss ich denn jetzt wo einstellen, damit das geht? Mir ist auch die Bedeutung des Unterschieds zwischen externem und internem Port im Rahmen der Portweiterleitung des Routers nicht ganz klar.


    Ich denke das ist alles ganz einfach, nur fehlt mir da die Ahnung. Bitte bei der Antwort darauf achten! Von PCs an sich habe ich zwar viel Ahnung, aber ich kann bei den wenigsten aktiven Usern hier wirklich mitreden wenns um IP/Internet/Ports etc. geht, also bitte anfängertauglich! Ich lerne das gerade "by doing" und will nichts falsch machen.


    Danke und liebe Grüße,
    Peer

  • Hallo Peer,


    Zu 1.)

    Zitat von "Feddie1200N"

    Wie kann ich das sperren?


    das geht mit einer ".htaccess"-Datei.


    Zu 2.)
    Da QNAP regulär für den Admin-WebGUI den Port 443 vergeben hat und nicht doppelt belegt werden kann,
    daher wurde für den Apache der Port 8081 zum SSL zugeordnet.
    Verwendest du den Port 443 nicht für die WebGUI, solltst diesen dann dem Apache vergeben.


    Zitat von "Feddie1200N"

    Mir ist auch die Bedeutung des Unterschieds zwischen externem und internem Port im Rahmen der Portweiterleitung des Routers nicht ganz klar.


    So wie beschrieben ist, du könntest auf dem NAS den Port 80 verwenden, gibst diesen dann im Router als internen Zugriff und extern einen beliebigen (zB. 10080),
    dann kannst aus dem Internet auf den Port 10080 zugreifen und erreichst auf dem NAS somit den Port 80.
    Mehr ist das nicht.


    Stefan

  • Hallo zurück!


    zu 1.: geht das so einfach, dass Du mir das hier posten kannst? Hab da echt (noch) keine Ahnung. Sonst werde ich mich wohl mal tiefer einlesen müssen.


    zu 2.: ich gebe es langsam auf, mal gehts, dann gehts wieder nicht... ich habe jetzt spaßeshalber alle relevanten Ports (80, 443, 21) intern und extern freigeschaltet und komme derzeit von außen wieder nicht drauf. Muss mir mal Zeit zum experimentieren nehmen. Danke für den Tipp zur 443/8081 ich habe SSL bei der WebGui deaktiviert (auf die will ich von außen sowieso nicht drauf) und dafür beim Webserver eingetragen. Bringt aber nix, das mit dem WebDAV wird mich noch eine Weile beschäftigen. Komme immer bis zur Passworteingabem die 2x erfolgt, dann "Der angegebene Ordner ist ungültig, wählen Sie einen anderen Ordner". Als Adresse gebe ich ein: https://meinhost.dyndns.info/meinOrdner. Dieselbe Variante mit HTTP: funktioniert (zumindest vom Rechner, der am Netzwerk hängt aus momentan). So langsam glaube ich, ich akzeptiere einfach, dass ich dafür zu doof bin. :(

  • Hi,


    wenn du per ssl bzw. 443 zugreifen willst, muss doch eigentlich ssl im NAS an sein und du musst dein DynDNS per https aufrufen.


    Mach das ganze mal systematisch: einen Port im Router auf die IP des NAS weiterleiten, die DynDNS-Adresse aufrufen und schauen, was geht. Alle anderen Portweiterleitungen zunächst raus.


    Also Port 443 im Router an die IP des NAS, und dann https://dein_dyndns. Im NAS dazu auch WebDAV aus. Es müsste sich dann dein Browser mit einem Zertifikatfehler melden (das ist o.k., da es ein allgemeines Zertifikat von QNAP ist, dass nicht zu deiner DynDNS-Adresse passt), und dann müsstest du auf der Weboberfläche des NAS sein.


    Wenn das nicht geht: Ist auf dem NAS der Webserver an? Wenn nicht, mach den mal an.


    Wenn es dann immer noch nicht geht: Router neu starten.


    Wenn immer noch nicht: Wo wird dein DynDNS-Eintrag verwaltet? Trag den ggf. mal nur im Router ein, nicht doppelt im Router und NAS.


    Was wohl nicht geht: ssl für das Webinterface des NAS und WebDAV gleichzeitig. Da war was, check mal die Online-Hilfe des NAS (Fragezeichen in der Weboberfläche des NAS).

  • lucascoco: ich habe Win 7, aber wie ganz oben gesagt, die von Microsoft angegebenen Änderung der Registry wg. Authentifizierung vorgenommen. Damit ging es anfangs auch über http/Port80, aber eben nicht immer, als ich neulich vom Laptop wieder zugreifen wollte wieder nicht. Komisch...


    eol1: ich denke grundlegend klappt alles, ich komme auf das NAS über http://meinHost.dyndns.info; es wird das "Webserver Setup Guide" angezeigt (was ich gerne unterbinden würde). Über https genau wie Du sagst, Zertifikatfehler aber dann auch aufs Guide. Der Zugang scheint grundsätzlich also kein Problem zu sein. Ich habe das mit den Ports im NAS jetzt so, dass die WebGui (die über http per Port 8080 zu erreichen ist) für https deaktiviert ist (hier war für SSL Port 443 voreingestellt). Das hat nach meinem Verständnis mit dem Webserver nichts zu tun. Ich habe den Webserver (Port 80) aktiviert, und auch SSL (https), und dort statt der Voreinstellung 8081 Port 443 vergeben. Parallel WebDAV aktiviert. Ich denke die Zugriffe auf den Webserver über http und https (mit Anzeige des genennten Setup Guides) bestätigen, dass es grundästzlich korrekt eingestellt ist und auch die Port-Weiterleitung funktioniert. DYNDNS habe ich ausschließlich am NAS eingerichtet, das scheint ja auch zu funktionieren, nur das verkack... WebDAV klappt nicht. Liegt vielleicht doch am Windows 7?


    Frage: wenn das weiter so Probleme macht, lasse ich es vielleicht bei einem FTP-Zugang. Ich hatte das mal kurz ausprobiert und mir ist aufgefallen, dass die Verzeichnisstruktur ohne Passwortabfrage angezeigt wird, erst zum Öffnen einer Datei musste ich mich anmelden. Das ist mir irgendwie zu "offen". Ist das normal oder habe ich dieses Verhalten vielleicht nur weil ich sowieso am Netzwerk hing?


    -------------------------
    Wenn ich noch nen weiteren Hinweis zu dieser .htaccess-Geschichte bekommen würde... :D das ist ja einfach nur eine ASCII-Datei, wo ich Dateizugriff sperren muss bzw. die Ausführung der index.php, oder? Wie genau geht das?


    Grüße,
    Peer

  • Hallo zusammen,



    als Neuling zum Thema NAS-Konfiguration, bin ich mit meiner identischen Problemstellung auf diese Beiträge gestoßen.


    Nun würde mich natürlich auch die jeweilige Lösung interessieren.


    Gibt es denn jemanden, der so nett ist und diese zur Verfügung stellt?


    Einmal das mit der .htacces und das mit der Fehlermeldung unter https?



    schönen Dank


    Käpsele

  • Zitat von "Käpsele"

    ...und das mit der Fehlermeldung unter https?


    Du bekommst, wenn du mittels https zugreifst, eine "Fehlermeldung" deines Browsers, der auf ein unsicheres Zertifikat hinweist und dich auffordert, dieses ggf. explizit anzunehmen.


    Der Hintergrund dazu: Das Zertifikat, das auf dem NAS installiert ist, kommt von QNAP und passt daher nicht zu deinem DynDNS-Eintrag. Das Zertifikat also solches ist aber in Ordnung.


    Du kannst das Zertifikat annehmen, und dann ist alles o.k.

  • Dankeschön für die schnelle Antwort und sorry für meine ungenaue Frage zur Fehlermeldung.


    Wenn ich mich mit dem https einlogge, dann werde ich nach Benutzernamen und Passwort gefragt. Nach zwei Eingabe-Versuchen kommt dann die Fehlermeldung: "ungültiger Ordner"


    Das meinte ich mit Fehlermeldung unter https.


    Vielleicht gibt es ja hierzu auch eine Lösung?


    schönen Dank

  • Danke für die Antwort,


    nur werde ich daraus nicht schlau. Wenn es am Port oder an der SSL Aktivierung liegen würde, dann würde ich ja gar nicht erst bis zur Passwort-Anmeldung kommen- oder?
    Und was mir der Link zeigen soll, verstehe ich leider auch nicht?

  • Hallo zusammen,


    ich habe leider das gleiche problem und leider auch noch keine lösung gefunden. Hat mittlerweile vielleicht etwas gefunden?
    Vielen Dank schon mal!


    Anton

  • Ja, es gibt in der Zwischenzeit eine Antwort vom QNAP-Support.


    Leider unterstützt Windows 7 (noch) kein WebDAV. :(


    Wer also Windows 7 hat, darf sich zumindest vorläufig eine andere Lösung überlegen.

  • Hi Käpsele,


    also diese Aussage kann man ja so nicht stehen lassen :-/ , denn bei mir funzt ja Webdav über Port 80 also ungesichert.
    Was bei mir nicht funktioniert ist der gesicherte Zugang mit Webdav. Nach meinem Verständnis bis jetzt hat das was mit dem Zertifikat zu tun.
    Bei mir verwende ich ja noch immer den mitgelieferten Zertifikat von TS NAS Series, den habe ich mittlerweile mit Snap-In nach Win7 importiert aber leider mag Win7 den in Verbindung mit meiner DynDNS nicht, anscheinend muss der CN (common name) mit der Dyndns der NAS übereinstimmen. Ich bin da noch nicht weitergekommen (Arbeit, Frau blabla) aber es scheint ein vielversprechender Ansatz zu sein. Man müsste sich wohl ein Zertifikat erstellen (ich weiß nicht ob man den von QNAP so bearbeiten kann, dass dort der CN geändert wird, aber ich vermute nicht) der als CN die DynDNS der NAS enthält und danach müsste es klappen. Wenn jemand die folgende Anleitung schon mal ausprobieren will wäre das ganz toll!
    http://www.computerbase.de/forum/showthread.php?t=707192
    Ich bin leider nicht so vertraut mit apache, linux, openssl usw. d.h. es wird bei mir dauern bis ich da selbst durchsteige ;)


    Anton

  • Na-ja,


    vielleicht reichen auch meine Englisch-Kenntnisse nicht aus und ich habe die Antwort falsch interpretiert.


    Hier die original Antwort vom Support:


    "Sorry that currently WebDAV function on our NAS doesn’t support Windows 7. It only support Windows XP/Vista."


    und auf meine Nachfrage, ob eine Lösung absehbar ist:

    "This is valid for all series of NAS.
    Currently we have no schedule for the solution of this problem since this problem looks like Windows 7’s poor support of webdav. "



    Aber wenn es bei dir ohne SSL funktioniert, dann gratuliere ich schon mal und würde mich über eine Anleitung freuen, wie ich es auch einrchten kann.


    schöne Grüße


    Käpsele

  • Danke für den Tipp, wenn ich jetzt noch gesagt bekomme, was ich tun muss, damit es auch bei meinem Windows 7 funktioniert, dann wäre ich glücklich.

  • Also bei mir klappt es jetzt auch unter Windows 7 sowohl via http alsauch via https. Unter Ubuntu ging es von Anfang an.


    Das Problem scheint bei Windows 7 zu sein, dass er keine selbstsignierten Zertifiakte akzeptiert. Bei StartSSL kann man sich jedoch ein offizielles und für ein Jahr gültiges Zertifikat holen.


    Dazu wie folgt vorgehen:
    Auf einer Linux-Büchse muss der Private-Key und der Zertifikatsantrag erstellt werden:
    openssl genrsa -out example.com.key 2048
    openssl req -new -key example.com.key -out example.com.csr


    Bei StartSSL unter http://www.startssl.com/?app=12 der Express Lane folgen, Bestätigungscodes alle brav eintippen und abwarten. Per copy & paste irgendwann die csr - Datei einfügen. Das signierte Zertifikat kann man sich dann herunterladen.


    In der QNAP-Oberfläche gibt man nun Sicherherit, Wichtiges SSL-Zertifiat im oberen Feld den Inhalt des signierten Zertifates ein und im unteren den Private-Key (example.com.key).


    Jetzt hat der QNAP schonmal an sich das offizielle Zertifkat. Leider fehlt dem Ganzen aber noch die Chain - sprich der Zertifikatsbaum der CA. Diesen muss man per Hand einfügen:
    In folgenden Ordner wechseln: /etc/stunnel/
    wget http://www.startssl.com/certs/sub.class1.server.ca.pem
    vi /etc/config/apache/extra/apache-ssl.conf
    folgende untere, eine Zeile aufnehmen unter der "SSLCertificateFile" Zeile:
    SSLCertificateChainFile "/etc/stunnel/sub.class1.server.ca.pem"
    /etc/init.d/Qthttpd.sh restart


    Dann ggf. im Browser nochmals mit F5 aktualisieren und iht habt ein offzilles, signiertes Zertifikat am Start. Danach ging bei mir auch unter Windows 7 alles via Webdav.


    VanHaakonnen

  • oh wow


    könntest Du das nochmal für dummies beschreiben, also für so richtige dummies :)
    welche Linux-Büchse zum Beispiel?


    Danke schon mal


    Anton

  • Hi Käpsele


    Zitat von "Käpsele"

    "Sorry that currently WebDAV function on our NAS doesn’t support Windows 7. It only support Windows XP/Vista."


    naja das heisst ja genau genommen, dass das NAS den Win7-WebDav nicht unterstützt


    Zitat von "Käpsele"

    und auf meine Nachfrage, ob eine Lösung absehbar ist:
    "This is valid for all series of NAS.
    Currently we have no schedule for the solution of this problem since this problem looks like Windows 7’s poor support of webdav. "


    Und das ist wohl wahr. Nach allem was ich bis heute weiss, ist WebDav bei Win7 ziemlich verrunzt. Aber wie gesagt ohne SSL funzt es ja und mit SSL anscheinend auch nur ist es eben wegen der strikten Auffassung von Sicherheit seitens Win7 etwas tricky. Ich bin noch nicht soweit, dass ich es selbst lösen kann :(


    Zitat von "Käpsele"

    "Aber wenn es bei dir ohne SSL funktioniert, dann gratuliere ich schon mal und würde mich über eine Anleitung freuen, wie ich es auch einrchten kann."


    na dann ich versuchs mal:


    eigentlich läuft es ziemlich so ab wie im handbuch beschrieben:


    Router:
    1. Port 80 auf NAS weiterleiten (siehe hierzu das manual deines routers!) Bei meinem ist es ziemlich einfach ich wähle die LAN IP meiner NAS und gebe bei "Portweiterleitung TCP" 80 ein, bestätigen. Fertig!


    NAS: (Reihenfolge der Schritte beachten. Falls bei dir jetzt die Freigabe schon irgendwo drin ist aber der Webserver/Webdav inaktiv musst du die Freigaben ersteinaml rausnehmen und dann wieder die Schritte nacheinander befolgen)
    2. Webserver aktivieren
    3. WebDav aktivieren (Sichere Verbindung nicht aktivieren!)
    4. Den gewünschten Ordner bei "Zugriffskontrolle">>"Freigabeordner">>"WebDav-Zugangskontrolle"(blauer-Kreis-Icon)>>"Zugriffsrecht" für den/die gewünschten User auswählen (also Schreibgeschützt oder Vollzugriff)
    Achtung! die gleichen Rechte gelten für alle ausgewählten User und die entsprechenden User müssen auch schon unter "Zugriffskontrolle" (Ordner-in-derHand-Icon) dieselben Rechte haben.
    5. Kontrolle der Portweiterleitung - Nach Schritt 4 solltest du mit deinem Browser über das Internet zu deiner NAS navigieren also von außen nicht aus dem LAN (Internetadresse in der Adressleiste nicht LAN-IP)! Auf der Anmeldeseite solltest du nun auf Webserver klicken wenn du auf die Seite kommst wo die Anbindung mit WebDav beschrieben wird kommst dann funktioniert die Portweiterleitung, ansonsten (also wenn du "Seite kann nicht erreicht werden"-Meldung bekommst dann zurück auf Anfang.


    Win7:
    6. Folgende Anleitung befolgen http://support.microsoft.com/kb/928692/de
    Achtung! Neustart nicht vergessen.
    Anbinden der Webdav-Freigabe (geht eigentlich genauso wie im QNAP Manual beschrieben, du brauchst für Win7 den dort angesprochenen Update nicht, bei 64-Bit System sowieso nicht)
    8. Computer>>Netzlaufwerk verbinden>>Verbindung mit einer Website herstellen...>>Weiter>>Eine benutzerdefinierte Netzwerkadresse...>>Weiter>>im Feld für die Adresse, deine NAS-Adresse eingeben:
    http://deinenasdyndns oder deinenasip/freigabeordner>>Weiter>>Username und Passwort des Users für den die Freigabe mit Zugriffsrecht erteilt wurde eingeben>>Bestätigen
    9. Fertig!!!


    So hat es bei mir funktioniert. Leider kann ich es ohne sicheren Zugriff also SSL nicht gebrauchen :(
    Ich hoffe es klappt so bei dir auch, viele Grüße


    Anton