Synology-Forum.nl
Packages => Officiële Packages => Cloud Station & Drive => Topic gestart door: HenkGroen op 18 september 2021, 10:37:03
-
Ik gebruik Drive Client 3.0.1 in combinatie met Lets Encrypt, en deze verlengd zichzelf automatisch
(eerstvolgende keer is ergens in Okt.)
Dit werkt allemaal prima op de 2 laptops die ik gebruik.
Nu heb ik 1 PC boven staan, die eens in de 2 maanden eens aangezet wordt.
Nu krijg ik op die PC de melding: (in de Drive-client)
Het SSL-certificaat is verlengd
Het SSL-certificaat is verlengd. Bewerk de verbinding om opnieuw te koppelen
Ik connect via de PC naar het interne IP-Adres van de NAS
Nu vraag is nu:
Ik snap dat het certificaat van Lets Encrypt automatisch verlengd wordt, maar waarom krijg ik dan op de PC de foutmelding.
Is dit omdat het 'te lang geleden' is dat de PC het oude/nieuwe certificaat in een bepaalde tijd wilde zien o.i.d
Hoe kan ik dit voorkomen. ?
Heeft het kopen van een certificaat voor 1 jaar (of langer), dit effect dan niet meer ?
(en zo ja: waar kan ik dan het beste een certificaat kopen voor 2 of 5 jaar)
-
Even off Topic.
Voor mij begrip, als Drive alleen intern gebruikt, dan hoeft dat toch niet perse met SSL gegevens overdracht codering?
-
Sorry,
Ik gebruik drive ook nog extern op 1 device
-
Maak je met beide laptops ook via hetzelfde IP adres verbinding met de NAS of via een domeinnaam?
Een soortgelijke melding had ik lange tijd met de mailserver. Doordat thunderbird via het interne IP adres verbinding maakte met de NAS kon ik na elke verlenging weer toestemming geven. De telefoon maakte via een domeinnaam verbinding met de server en daar verscheen de melding niet. Door ook thunderbird via het domeinnaam te laten werken heb ik de melding niet weer gekregen.
-
Extern gebruik ik mijn DDNS naam van Synology.me
Of QuickConnect valt natuurlijk ook onder de mogelijkheden, als dat beter zou zijn.
-
Probeer op de PC ook via de synology. me link te verbinden. Ik ga ervan uit dat dan het probleem is opgelost.
De oorzaak zit erin dat het certificaat is uitgegeven voor de synology. me link en niet voor het interne IP adres.
-
Oke,
Ga ik proberen. Thanks voor de uitleg.
Zit er dan nog verschil tussen de QC en de synology.me variant ?
(onder water gaat de QC uiteindelijk ook naar de xxx.Synology.me toe zou ik zeggen)
-
Ik connect via de PC naar het interne IP-Adres van de NAS
Een certificaat codeert niet alleen de verbinding, maar checkt ook of je met een site verbind waarvoor het certificaat is uitgegeven. Als jij met een IP verbind, controleert je cliënt ook of het certificaat voor dat IP is uitgegeven. (Dat zal bij Let's Encrypt noot het geval zijn)
Je kunt wel handmatig een uitzondering instellen om dat certificaat toch te vertrouwen. Elk certificaat heeft echter een uniek nummer en na elke verlenging van het certificaat, veranderd dat nummer en moet je het vertrouwen opnieuw bevestigen.
Het beste is om toch via een domeinnaam te verbinden die ook in het certificaat staat. Netwerk-technisch is dat minder efficiënt omdat het verkeer nu steeds via de router naar de nas loopt en het netwerk meer belast.
Dat kun je oplossen door die domeinnaam met het interne IP ook in de 'hosts' file van je PC te zetten. Of een DNS server te installeren die deze domeinnaam rechtstreeks naar de nas stuurt. (De eerste oplossing is het simpelst, maar is niet te gebruiken op mobiele apparaten die ook buiten huis gebruikt worden)
-
(onder water gaat de QC uiteindelijk ook naar de xxx.Synology.me toe zou ik zeggen)
Nee, zijn twee verschillende dingen, QC zal uiteindelijk niet naar xxx.Synology.me gaan.
-
Oke, Duidelijk.
Ik ga alles aanpassen naar de xxxx.synology.me variant, want daar staat hij ook onder qua certificaat.
Moet ik alleen even poort 6690 openzetten voor de Drive Server op de router & DSM
-
Die poort moet je dan idd in de router forwarden. Of de Hosts file aanpassen. Hierover staat veel op het internet. (o.a deze (https://realhosting.nl/helpdesk/hoe-pas-ik-mijn-hosts-file-aan-op-windows-10-computer/)) Voor windows:
Ga naar C:\WINDOWS\system32\drivers\etc en open het bestand Hosts met kladblok.
En voeg toe
123.45.67.89 xxx.synology.me
Je PC zal dan voor die domeinnaam rechtstreeks naar dat IP gaan.
-
Thanks heren.
Alles is aangepast. :clap:
-
Even aanhakend op dit probleem. Ik kreeg gisteren op 3 van mijn mac's de melding dat het certificaat niet meer vertrouwd werd.
Alleen gebruik ik een let's encrypt certificaat dat 5 sept vernieuwd is. Gisteren is er dus niets met het certificaat gebeurd. En ook een vernieuwing geeft bij mij nooit een waarschuwing omdat ik de domeinnaam gebruik.
Als ik op dsm inlog met de browser, dan is er geen waarschuwing. (Zelfde certificaat)
Jammer dat drive het certificaat zelf niet laat zien, zodat je controleren of hij plots een ander certificaat gebruikt. Volgens de instellingen in DSM gebruikt Drive Server gewoon het certificaat dat ook DSM gebruikt.
Hebben anderen dit ook gehad? Want net las ik een melding dat iemand ook bij dit forum een certificaat waarschuwing kreeg. En omdat het forum ook Let's Encrypt gebruikt, zou het probeem daar kunnen liggen. (onterecht terug getrokken certificaat of een validatieserver die te lang off-line is))
-
@Briolet, ik heb een paar dagen geleden hetzelfde ervaren met Drive client op mijn Windows 10 laptop. Enige manier om het op te lossen was om de verbinding te ‘wijzigen’; dat wil zeggen het wachtwoord opnieuw invoeren.
Op een andere Windows 10 laptop speelde dit probleem niet.
-
Ik ben er nog eens ingedoken. Ik heb de verbinding verbroken en weer aangemaakt met Wireshark actief. Vervolgens heb ik in het verkeer via poort 6690 naar de handshake gezocht.
Daar vond ik uiteindelijk de 3 uitgewisselde certificaten. (Root, intermidiate en gebruikers)
Vervolgens heb ik die vergeleken met de certificaten die de browser ziet.
Het intermediate en gebruikers certificaat zijn identiek op beide plekken. Ze hebben hetzelfde serienummer. Eigenlijk zou de root ook gelijk moeten zijn, maar dat is niet zo. Ergens lijkt het erop dat Let's Encrypt een andere root is gaan gebruiken, maar Drive nog steeds naar het oude root certificaat verwijst.
Via de browser zie ik:
[attachimg=1]
Via Drive zie ik:
[attachimg=2]
De omcirkelde certificaatnummers zijn anders. Ook de geldigheid is anders. De browser ziet een root die tot 2035 geldig is en Drive toont een root die tot 2030 geldig is.
De echte Root, die ook op mijn Mac geïnstalleerd is, is de versie die ik in de browser zien.
Dit lijkt me een bug in drive waarbij data van een oude root certificaat getoont blijft worden, na een wisseling van het gebruikerscertificaat.
Let's Encrypt gebruikte vroeger de root "DST Root CA x3". Dit jaar zijn ze gewisseld (https://letsencrypt.org/images/isrg-hierarchy.png).
Als ik dat oude rootcertificaat ophaal dan zie ik:
[attachimg=3]
Dat certificaat is gisteren om 4 uur 's middags verlopen. Dit was ook het moment dat bij mij alle synchronisaties een foutmelding gingen geven.
-
Was een leuke puzzel. In elk geval is dit een bug in Drive. Nu moet ik zeggen dat ik nog niet naar het nieuwe Drive 3.0 geupdate heb. Dit omdat ik dan de compatibiliteit met de Cloud Server verlies. (Ik maak nog backups naar een oude nas waar ik geen Drive op kan zetten)
Als anderen bovenstaand probleem niet hadden vanaf gisteren 4 uur, dan zal dit in Drive 3.0 opgelost zijn.
-
@Briolet : Thanks voor je uitzoek werk en info.
Ik ga eens kijken hoe het er bij mij thuis uitziet, en op de andere lokatie 's
-
Altijd leuk dat gepuzzel. Vooral als je er ook iets van leert. Ik zeg altijd "meten is weten". En als er verbindingsproblemen zijn is WireShark een goede tool omdat die alle verbindingsbitjes registreert. Anders blijft het maar gissen wat er gebeurd.
De grootste kunst bij Wireshark is om de goede bitjes er uit te filteren omdat er nog heel veel meer dataverkeer plaats heeft en je anders verdrinkt in de overdaad aan data. Gelukkig gebruikt Drive een eigen poort zodat het filteren hier snel ging.
Helemaal ben ik er nog niet uit. Ik vond een oude post over dit probleem op het Engelse Synology forum (https://community.synology.com/enu/forum/1/post/143514). Dar heeft iemand hetzelfde probleem geanalyseerd in mei, toen Let's Encrypt van root certificaat gewisseld heeft, voordat het oude certificaat verliep.
Ik vraag me dan af waarom ik toen dat probleem niet had en het hier juist optrad bij het verlopen van het oude certificaat. Maar goed, om over 2 maand niet weer tegen hetzelfde probleem aan te lopen, ben ik maar overgestapt op Drive 3.0.1.