Пропало подключение из всех мобильных приложений

[dj_nsk]

Пришла беда, откуда не ждали😞. Неожиданно ВСЕ мобильные приложения Synology (Android) перестали подключаться к DSM:

• DS finder, DS Audio, DS Video, DS file, Photos, Drive
• Не подключаются ни по внешнему адресу, ни по локальному (198.162...). В некоторых просто говорит, что невозможно/ошибка, в некоторых - "код ошибки: 100".
• для внешних подключений проброска портов в роутере настроена
• DS Finder в локальной сети:
  • прекрасно видит оба ip адреса DNS (показывает правильные серийный номер, модель, версию, MAC). Но подключиться не даёт - "Операция невозможна"
  • если в настройках удалить доверенные подключения, то при подключении по HTTPS он сначала спрашивает про добавление сертификата в доверенные (т.е. явно обращается к DSM!), но дальше не пускает
• В журналах попытки подключения вообще не отражаются
• При этом любые подключения не через мобильные приложения (файловые службы в локальной сети, web-интерфейс тех же самых сервисов даже через мобильный браузер с того же телефона, и в локальной сети, и снаружи...) нормально работают.

 

Ещё вчера всё работало как часы - хоть извне, хоть в локальной сети. Всю голову уже себе сломал - где же и что именно могло испортиться.

И крайне смутных подозрений, что могло повлиять:

1) вчера был какой-то сбой (возможно, из-за моих экспериментов с перезагрузкой DSM и попыток перейти с TCRP на ARPL):

1.1) сломался ffmpeg и не давал себя ни восстановить, ни удалить штатными средствами - пришлось чистить через SSH, после чего установился нормально;

1.2) сломался Active Backup for Business - перестал показывать ранее добавленные устройства (ПК) и задачи для них, требовал настроить LDAP/домен (хотя раньше таких настроек не было и не требовалось). Решилось просто удалением пакета (без чистки настроек) у установкой заново.

2) в ходе исправление по п.1 заметил, что у меня в сертификатах есть бесплатный от Synology, не используемый, но уже просроченный - нажал "продлить" и он продлился (сегодня же в ходе разборок его просто удалил)

3) DSM работает в виде виртуалки под ESXi с двумя сетевыми картами (одна - виртуальная, вторая - "проброшена", у обеих - валидные MAC к валидному SN). Но так оно и работало уже больше недели.

Возможно, из-за пп.1-2 какие-то службы упали и не запускаются?

 

Если у кого-то есть идеи, что проверить/посмотреть, буду благодарен!

[dj_nsk]

Так как никаких других решений найти не смог (хоть и уверен, что существует какое-то очень простое, только его никто не знает  ), в итоге проблему решил через переустановку DSM:

1. полный бэкап системы и данных с помощью Hyper Backup
2. очистка дисков (удаление Partitions)
3. установка DSM
4. восстановление из бэкапа
5. ручные донастройки того, что бэкап не восстанавливает (сертификаты, Active Backup for Business, Docker и контейнеры, и что-то ещё по мелочи)

В новой DSM все настройки выглядят точно так же, как было в старой, но мобильные приложение теперь нормально подключаются.

 

<тему можно закрывать>

[dj_nsk]

Немного продвинулся в диагностике. Что изменилось/выяснилось:

1. приложение Synology Drive подключается в любом из 4-х вариантов: по локальному IP (192.168...) HTTP и HTTPS; по внешнему адресу (<domain.ru>) HTTP и HTTPS;
2. если отключить галку "Портал для входа/ DSM/ Автоматически перенаправлять подключение HTTP на HTTPS..." (обычно она у меня включена), то при входе на локальный IP по HTTP (192.16...:5000) - спрашивает логин и пароль, но после ввода пароля выдаёт "Ключ шифрования не является действительным. Пароль был передан как обычный текст без шифрования" (в английском видимо "Because the encryption key is invalid, the password has been transmitted as plain text without encryption"), можно нажать OK и пускает дальше.
3. На специально созданной с нуля для экспериментов виртуалке DSM в той же ESXi подключение по варианту п.2 никаких ошибок не выдаёт.
4. Одно из найденных описаний/решений (https://reddit.rtrace.io/r/synology/comments/vh1d4n/login_issues_invalid_encryption_key_password/) намекает на возможную связь с моими экспериментами до этого с PiHole и Adguard - но я вроде все их следы удалил и работало после этого.

 

Как  понимаю, в этом и заключается проблема - п.2. Почему-то рабочая DSM перестала принимать зашифрованный пароль. Что это за "ключ шифрования"? Почему он мог стать недействительным?

 

Поиск выдал схожие ситуации, причина которых была в сбое даты DSM (например, у кого-то сбросилась на 2000 год). Исправление даты/синхронизация времени DSM устраняло проблему.

У меня дата нормальная. Но судя по симптомам где-то какой-то "ключ" (сертификат?) стал просроченным/недействительным.

Сертификаты сбрасывал (Безопасность/ Сертификат/ Настройки/ Дополнительно/ Сброс) - не меняет ситуацию. Вернул свой назад (SSL).

 

Как же мне найти и обновить этот "Ключ шифрования" (encryption key)?

Edited March 11, 2023 by dj_nsk

[dj_nsk]

И ещё один симптом: при каждом подключении по SSH PuTTY, запущенный из WinSCP, выдаёт предупреждение: "... the server's key does not match the one PuTTY has cashed ...". Я нажимаю Accept, но в следующий раз опять выдаёт, что ключи расходятся.

Если нажать More... и скопировать информацию о ключах, по она всегда одна и та же (а он ругается, что разошлась).

Т.е. где-то в соединении WinSCP указан другой ключ?

Upd: да, это проверил - просто WinSCP хранил в своём кэше. Скорее всего, к основной проблеме не относится

 

Edited March 12, 2023 by dj_nsk

[dj_nsk]

Просто удивительные дела... Обновилось приложение DS finder, теперь оно в Ещё\ Информация о входе в систему\ Все учетные записи показывает и те успешные входы, которые я выполнял до того, как оно сломалось, и "учетные записи из других приложений Synology" (от DS Drive). По любому из этих вариантов войти даёт! (хоть HTTP/HTTPS, хоть локальный IP, хоть внешний адрес).

Но если тут же нажать "+", выбрать "Поиск NAS" и попробовать подключиться к тому же самому устройству, то опять "Ошибка. Операция невозможна". Ну и остальные приложения тоже так и не подключаются...

 

[Olegin]

@dj_nsk Такое подозрение, что у вас сертификат кривой остался привязан к приложениям. Посмотрите в настройках.

[dj_nsk]

2 часа назад, Olegin сказал:

@dj_nsk Такое подозрение, что у вас сертификат кривой остался привязан к приложениям. Посмотрите в настройках.

Безопасность/ Сертификат/ Настройки - здесь? Уже менял на разные варианты. Делал сброс до сертификата Синолоджи "по умолчанию". Поведение не меняется. 

[Olegin]

2 часа назад, dj_nsk сказал:

Безопасность/ Сертификат/ Настройки - здесь? Уже менял на разные варианты. Делал сброс до сертификата Синолоджи "по умолчанию". Поведение не меняется. 

Да, там. Чудеса сами собой не происходят, вот вы написали: "2) в ходе исправление по п.1 заметил, что у меня в сертификатах есть бесплатный от Synology, не используемый, но уже просроченный - нажал "продлить" и он продлился (сегодня же в ходе разборок его просто удалил)" и все симптомы указывают на кривизну сертификата.

[dj_nsk]

2 часа назад, Olegin сказал:

Да, там. Чудеса сами собой не происходят, вот вы написали: "2) в ходе исправление по п.1 заметил, что у меня в сертификатах есть бесплатный от Synology, не используемый, но уже просроченный - нажал "продлить" и он продлился (сегодня же в ходе разборок его просто удалил)" и все симптомы указывают на кривизну сертификата.

После этого я уже делал: Безопасность/ Сертификат/ Настройки/ Дополнительно/ Сброс - при этом Синолоджи породил новый сертификат, удалив мой. Всё работало точно так же (точнее - НЕ работало 😁). Я и сам понимаю, что скорее всего какой-то конфликт/сбой в сертификатах/ключах шифрования. Но где, какой, и как исправить - идей уже не осталось (только переустановка DSM) ...

[dj_nsk]

Добавлю ещё симптомы: решил сделать миграцию на новую виртуальную DSM через Migration Assistant - запускаю его на новой DSM, а подключиться к старой ("исходное устройство") не даёт: "Учетная запись или пароль введены неверно". Хотя, конечно же, никакой ошибки в логине/пароле нет. Что ж за засада такая...