Beiträge von Lichtlord

Also, habe auf Firmware 3.2.3 geupdatet und alles lief wunderbar.
Auch auf Xdove 1.3 von 1.2e geupdatet ( nach Wiki ), jedoch konnte er das alte Archiv nicht importieren.
Habe es über SSH raufkopiert. Beim Restore seltsame Fehlermeldung, jedoch scheint alles da zu sein.
XDove lief wieder. Roundcube musste jedoch ein DES 24 Bit Key ergäntzt werden, sowie der smtp username geleert werden, da ein Bug im PHP vorherrscht derzeit. Die Datenbank des Webcalendar musste erst im Config Menü convertiert/erneuert werden.

Danach lief wieder alles wunderbar.

Was ich super finde, ist die Tatsache, dass nun endlich der SSL Zugriff sauber realisiert wurde.
Webserver1
8080 normal http admin
443 ssl http admin
Webserver2
80 normal http webservice ( auch für die QPKG )
8081 ssl http webservice und QPKG

Gruß

Lichtlord :mrgreen: :thumb:

Ich glaube, dass nur die "Shares" bzw. deren Pfade unangetastet bleiben.
Deshalb liegt darunter auch der versteckte Pfad ".qpkg".
Idee wäre, dass Du das Script und die Crontab unter den Sharepfaden ablegst und die crontab entweder immer zurückkopierst, oder
einen Symlink von /etc ( oder alternatives system Verzeichnis, weiss leider die Pfade nicht mehr genau, ist lange her ) erstellst.
Das Firmwareupgrade schreibt sozusagen fast immer den gesamten abgetrennten, originalen Systembereich neu, wenn man das so sagen kann. Evtl. kannste auch ein zweites Script erstellen, dass Du remote nach einem FW Upgrade laufen lässt und es dann die Verknüpfung herstellt bzw. crontab zurück kopiert. Das wäre ne Lösung, die die Systemstruktur nicht zerstört und den Standard wart.

Gruß

Lichtlord

Hallo Leute,

ich habe vor meine TS 439 Pro von der letzten 2.x Firmware auf die neueste 3.x Firmware upzudaten.
Installiert an QPKGs ist Joomla und XDove 1.2 .
Backups sind vorhanden.
Meine Frage nun, ist der Update generell unbedenklich ?
Bleiben die QPKGs erhalten auch von 2.x auf 3.x ?
Übernimmt er alle Einstellungen sauber ?
Bleiben die MySQL Datenbanken erhalten ?

Modifiziert habe ich sonst nichts, bis auf eine Datei für XDove, die aber unter den .qpkg Shares liegt.

Wäre für Tipps und Vorgehensweise dankbar.

liebe Grüße

Lichtlord

Hmm, also, wenn der SSL Zugriff über das lokale Netzwerk von Anfang an nicht funktioniert,
dann sieht mir das nach einem Grundproblem auf deinem NAS aus.
Zusätzlich hast Du die 3.x Firmware drauf, die noch Beta ist, und anscheinend in vielen verschiedenen Fällen noch etliche Probleme
verursacht. Ich persönlich würde ersteinmal die Grundfunktion, die dem Standard entspricht wiederherstellen, ( nicht zurücksetzen )
also unmodifizierte Firmware mit SSL Zugriff. Würde einmal beim Qnap Support anfragen, insofern die Beta Firmware unterstützt wird.
Solange die Grundfunktion deines Nas nicht funktioniert, evtl. durch einen Fehler in der Betaversion, und Du weiter nichts modifiziert hast ( also Shell Zugriff vor oder nach dem Update ) Ist es ein Fall für den Support. Danach, kann man über Modifikation reden.
Zusätzlich glaube ich, das evtl. in der 3.x Firmware der SSL zugriff anders gelöst sein könnte ?
Das mit der Ausnahmeregel im Browser ist richtig, da es sich bei dem hinterlegten Zertifikat um ein privates Zertifikat handelt, was keine Gegenstelle hat, jene das Zertifikat abnickt. Die Sichere Verbindung wird nicht beeinflusst.
Was meinen die Profis ?

Um den Standard so wenig wie möglich zu verlassen, und um die Sicherheit zu erhöhen, habe ich nun das SSL Interface auf 443 belassen, 444 für den normalen Webserver verwendet und nun am Router einfach die Portweiterleitung einen Port nach oben gesetzt.

Also 445 geht auf 444 und 444 geht auf 443, überlege mir auch, über die 1024 Grenze zu gehen, um den Well-Known-Ports-Bereich zu verlassen, da Port-Scan meistens nicht über Port 1024 scannen. Dann muss man natürlich die Urls entsprechend
anpassen. Also z. B. https://wahnsinniglustig.dyndns.org:1025/Qmultimedia/
Dann sollte man wirklich auf der sicheren Seite sein.

So, dann sollte sich alles geklärt haben und ich kann in den Urlaub

:thumb:

Lightlord 8-) :thumb:

So, Problem gelöst

/etc/config/stunnel/stunnel.conf geändert ( wird beim reboot nicht überschrieben )
[https]
accept = 443
connect = 127.0.0.1:8080
TIMEOUTclose = 0

[https2]
accept = 444
connect = 127.0.0.1:80
TIMEOUTclose = 0

Danach /etc/init.d/stunnel.sh restart

Das Webinterface inkl. aller Qnap Urdienste sind wie bekannt erreichbar:
https://nasip/Qmultimedia
https://nasip/

Die ganzen QPKG Dienste sind über 444 erreichbar:
https://nasip:444/roundcube
https://nasip:444/PHPMyAdmin
https://nasip:444/Joomla

Jetzt nur noch Port 443 und 444 durch den Router leiten und relativ hacksichere SSL Verbindungen geniessen und vom Inetcafe in Italien
Zuhause die Mails lesen oder mal auf die Cameras gucken :thumb:
Webint: https://endlichwiederlustig.dyndns.org:444/roundcube/
Cameras https://endlichwiederlustig.dyndns.org:444/Survstation ( weiss Linknamen grade nicht )

Evtl noch den Port 443 auf 445 verschieben, dann kommt da wirklich nur ein Profiportscanner drauf, und durch den SSL Wrapper sollten auch Scripte nicht beeinflusst sein.
Finde das Qnap Design auf den zweiten Blick wohl durchdacht, dass eben in den httpds kein SSL eingescahltet ist und es über den Wrapper gemacht wird.

Lustige Sache :thumb:

Lichtlord

Ahh, OK, das System wollte ich mir Heute zu Gemüte führen. Hmm, dann müsste ich soz. einen neuen Tunnel legen, der z. B. über stunnel Port 444 auf http://locahost:80 verbindet und belasse einfach das Admininterface auf 443.
Dann verbinde ich einfach mit https://lustigesnas.dyndns.org:444/roundcube/index.php auf das Webint.
Dann ist der stunnel Dienst/Deamon soz. quasi eine Art SSL Wrapper ?
Werde ich einmal testen, hat mir auf jedenfall sehr geholfen.

Danke und Entschuldigt, wenn ich ab und zu zu weit vorraus denke

Lichtlord :thumb:

Solange der Apache Server auch SSL anfragen auf Port 8080 / 80 annimmt, funktioniert es.
Du biegst ja sozusagen den Connect von Port 443 auf 80 um, der aber mit dem SSL Proctocol ankommt.
Wahrscheinlich erkennt das der Apache und schaltet dann auf SSL um, laienhaft gesprochen.

Ich bin aber schon einen Schritt weiter. Habe festgestellt, das alle Dienste des Qnap zusätzlich über SSL erreichbar sind ( Qmultimedia, Qrecord, usw. ), jedoch Dienste, jene per QPKG eingespielt wurden, reagieren nur auf Port 80 ( Joomla, XDove, PHPMyAdmin ) Dies hat folgenden Hintergrund. Es laufen 2 Apache Dienste/Prozesse, einmal qhttpd und einmal thttpd ( wobei das auch tiny httpd sein kann ) Der qhttpd ist auf SSL konfiguriert, der thttpd ist nicht auf SSL konfiguriert. Aus Gründen der Trennung zwischen in der Firmware enthaltenen Diensten und Diensten(Webshares ), die manuell per QPKG eingespielt wurden.
Da aber qhttpd, den port 443 hält, kann man thttpd natürlich nicht auf SSL schalten, da sonst ein Portkonflikt auftritt.
Somit muss man einfach in der konfig des qhttpd ein Virtuelles SSL Verzeichnis auf den Roundcube Pfad erstellen.
Ich versuche gerade den Teil aus der config des thttpd in die konfig des qhttpd zu kopieren und auf SSL umzumodeln.
Schade, dachte es würde ohne Frikelei gehen Musste leider gestern Abend abbrechen, ich halte euch aber einmal auf dem Laufenden.

Viele Grüße

Lichtlord :thumb:

PS: Roundcube unterstützt SSL, dies ist jedoch als Abholverfahren in Zusammenhang mit einem Imapserver zu verstehen. Die in Apache konfigurierte Webshare kann wahlweise/gleichzeitg SSL oder Standard HTTP sein, wobei der Inhalt immer transparent zu sehen ist. D. h. Roundcube selbst sind soz. PHP Dateien und haben nichts mit den unterstützten Zugriffsweisen des Apache auf die Webshare zu tun. Gut über bestimmte Module des Apache jetzt mal nicht zu sprechen.

Hmm, ich weiss zwar nicht genau was der stunnel Dienst genau macht, wenn man eine SSL Connection auf einen 80er unverschlüsselten Webdienst umleitet, aber
ich glaube da könnte der SSL Layer verloren gehen, oder ? Oder erkennt das der http deamon automatisch und verbindet dann mit SSL ?
Zusätzlich frage ich mich, ob der Roundcube service erstens nicht in der http.conf auf SSL konfiguriert werden muss, und zweitens habe ich gerade 2 getrennte http deamons über die shell ausgespäht. Einmal thttpd und qhttpd. thttpd ist der deamon für den starbaren Webservice und qhttpd, der deamon der generell 443 und alle Qnap "Urdienste" hält. Ich glaube nicht, das es so einfach geht, glaube eher, man muss die virtuelle Seite des roundcube auf SSL setzen, sollte Sie in qhttpd laufen.
Hat die Lösung denn bei Dir funktioniert ?

Aber auf jedenfall Danke für die zahlreichen Antworten und nette Hilfe :thumb:

Lichtlord

PS: Das mit dem Open VPN ist schon eine nette Sache, aber das wäre mir dann zuviel Modifikation in der Software. Will eigentlich so nah wie Möglich am Standard bleiben, falls einmal Probleme etc. auftreten.

Hmm, schade, mein Hauptziel war es eigentlich das Roundcube Webinterface vom Xdove Server über 443 von z. B. einem Internetcafe zugänglich zu machen.
Also der Webserver über 443 wäre ganz nett gewesen, aber nicht unbedingt notwendig.
Über den Umweg der Admin Start Seite kommt man ja wunderbar über 443 ( SSL ) auf alle Qnap "Urdienste" ( Webfilemanger, Surv. Station usw. )
nur ist das Xdove Roundcube Webinterface nur auf Port 80 konfiguriert, habe jetzt nicht in der config nachgesehen, aber gibts da evtl. nen kleinen config Kniff, damit das
Webint über 443 läuft, also https://sehrlustig.dyndns.org/roundcube/ ? Evtl. auch httpd.conf editieren, solange es keine Scripte beeinflusst, weil mir die Funktion schon wichtig wäre ? Der Rest läuft über die umgebogenen Adminstartseite oder Direktlink. Z. B. https://immernochlustig.dyndns.org/Qdownload/
Aber bei https://oknimmerlustig.dyndns.org/roundcube/index.php findet er den Pfad nicht, ohne das s(ecure) gehts wunderbar.

VPN ist zwar eine Alternative, aber wollte unabhängig von lokalen Softwarelösungen sein, besonders bei Rechnern, wo Installationssperre vorherrscht

Danke auf Jedenfall für die schnelle und super Hilfe :thumb:

viele Grüße

Lichtord

Hallo

ich möchte gerne auf diverse Dienste ( Webfilemanager, Multimediastation, Admin Interface, Xdove Webmail, usw. )
nur über den Port 443, welcher durch meinen Router geforwarded wurde, zugreifen. ( Also Port 80 und 8080 vermeiden, da hier
denke ich eine unverschlüsselte Webverbindung vorliegt )
Ist das überhaupt so möglich ? Also z. B. https://lustig.dyndns.org/Qrecords, oder macht mir da die Webserverconfig einen
Strich durch die Rechnung ? Was müsste ich wo einstellen, ausgehend von einer Standdardconfig und ohne Shell Modifikation ?
( Equip: Qnap TS439 Pro hinter Fritzbox 7220 )

Danke und viele Grüße

Lichtlord