Hallo,
Seit letzter Woche habe ich relativ günstig ein gebrauchten WT-6 für meine D6 erstanden. Ziel ist es, damit Bilder direkt mit SFTP auf meinen NAS zu übertragen, sowohl mit Kabel (darum ins D6-Forum) als auch kabellos. Da dies gegebenfalls auch vom Internet aus geschehen soll, musste es die sichere Variante von FTP sein. Dies hat sich als schwieriger herausgestellt, als ich das erwartet habe und die LAN LED blinkte orange mit kryptischen Fehlermeldungen "Err:3F" und ähnliches.
Erst durch einen Trace mit tcpdump auf dem NAS wurde klar, warum die Verbindung mit SFTP zunächst nicht funktionierte. Die D6 (sowohl mit Kabel als auch über den WT-6) verwendet nur relativ alte sha-1 basierte SSH Algorithmen, die für die Absicherung der SFTP-Verbindung verwendet werden. Auf dem NAS war mittlere Sicherheit für SSH eingestellt (was auch für SFTP galt), und so scheiterten der NAS und die D6 am Verbindungsaufbau. Die Fehlermeldung und die entsprechende Seite von Nikon (english: https://onlinemanual.nikonimglib.com/d6/en/13_ethernet_wt-6_11.html) geben dazu nur an, die Kamera neu zu starten, was wenig hilfreich ist, da das ja nicht modernere Algorithmen in die Kamera bringt.
Abhilfe hat eine Konfigurationsänderung auf dem Synology NAS gebracht(Systemsteuerung->Terminal&SNMP->Terminal->Erweiterte Einstellungen->Anpassen). Gut versteckt, da es nicht von der Konfigurationsseite über SFTP erreichbar ist.
In den drei Spalten mindestens die folgenden Einträge anwählen:
Cipher: aes256-ctr
KEX: diffie-hellman-group14-sha1 (Siehe https://tools.ietf.org/id/draft-ietf-curdle-ssh-kex-sha2-09.html warum group14 und nicht diffie-hellman-group1-sha1 oder diffie-hellman-group-exchange-sha1)
MAC: hmac-sha1 (D6 unterstützt hmac-sha1,hmac-sha1-96,hmac-md5,hmac-md5-96,hmac-ripemd160,[email protected]. MD5 ist unsicherer als SHA1, zu Riped habe ich nicht viel gefunden)
Danach klappt dann auch der Verbindungsaufbau mit SFTP. Mit einer Portweiterleitung von dem Router (z.B. 12345 -> NAS:22) und dynamischem DNS Eintrag klappte dann auch gleich der Verbindungsaufbau über Hotspot vom Handy zum NAS ohne Probleme.
Vermutlich werde ich den Port nur weiterleiten, wenn ich das wirklich nutzen werde. Man sollte sich überlegen, ob man seine Server so dauerhaft dem Internet aussetzt. Zumindest kann man einen anderen Port als 22 wählen.
Mit der Lösung bin ich so zufrieden, auch wenn der WT-6 zunächst etwas schwer in Betrieb zu nehmen ist. Für den IT-Laien kann das schnell frustrierend sein, gerade bei dem Preis.
Insbesondere stört mich
1) Die Verknüpfung der (S)FTP Konfiguration mit dem LAN/WT. Warum man dasselbe FTP Profil nicht für ein kabelgebundenes Ethernet und den WT verwenden kann ist wohl ein Geheimnis von Nikon.
2) Die Fehlermeldungen ("Err:3F") sind doch sehr kryptisch und bei der Fehlersuche wenig hilfreich. Da waren die Programmierer wohl etwas faul, "Err. 32" in "Das Kennwort ist falsch." zu übersetzen.
3) Bei bestehender Verbindung blinkt die LAN LED sehr nervös. Ich hätte es besser gefunden, wenn die LED beim Verbindungsaufbau blinkt und bei bestehender Verbindung dauerhaft leuchtet.
4) Der Flugmodus stellt nicht den WT-6 ab (Firmware Version C 1.11). Das ist wohl ein Bug.
5) Der WT-6 unterstüzt wohl kein WPA2-Enterprise (WLAN Passwörter im Radius Server). Damit kann sich der WT-6 wohl kaum als professionelle Ausrüstung bezeichnen.
Ich kann mir gut vorstellen, daß die SFTP-Probleme auch für die WT-5, and D4s/D5 auftreten können. Die D4 konnte ja wohl noch kein SFTP, da sollte man doch lieber vorsichtig sein mit FTP über das Internet.
So, und jetzt sollte ich wieder ans Fotografieren denken.
Schöne Woche und bleibt gesund
/Sascha
Seit letzter Woche habe ich relativ günstig ein gebrauchten WT-6 für meine D6 erstanden. Ziel ist es, damit Bilder direkt mit SFTP auf meinen NAS zu übertragen, sowohl mit Kabel (darum ins D6-Forum) als auch kabellos. Da dies gegebenfalls auch vom Internet aus geschehen soll, musste es die sichere Variante von FTP sein. Dies hat sich als schwieriger herausgestellt, als ich das erwartet habe und die LAN LED blinkte orange mit kryptischen Fehlermeldungen "Err:3F" und ähnliches.
Erst durch einen Trace mit tcpdump auf dem NAS wurde klar, warum die Verbindung mit SFTP zunächst nicht funktionierte. Die D6 (sowohl mit Kabel als auch über den WT-6) verwendet nur relativ alte sha-1 basierte SSH Algorithmen, die für die Absicherung der SFTP-Verbindung verwendet werden. Auf dem NAS war mittlere Sicherheit für SSH eingestellt (was auch für SFTP galt), und so scheiterten der NAS und die D6 am Verbindungsaufbau. Die Fehlermeldung und die entsprechende Seite von Nikon (english: https://onlinemanual.nikonimglib.com/d6/en/13_ethernet_wt-6_11.html) geben dazu nur an, die Kamera neu zu starten, was wenig hilfreich ist, da das ja nicht modernere Algorithmen in die Kamera bringt.
Abhilfe hat eine Konfigurationsänderung auf dem Synology NAS gebracht(Systemsteuerung->Terminal&SNMP->Terminal->Erweiterte Einstellungen->Anpassen). Gut versteckt, da es nicht von der Konfigurationsseite über SFTP erreichbar ist.
In den drei Spalten mindestens die folgenden Einträge anwählen:
Cipher: aes256-ctr
KEX: diffie-hellman-group14-sha1 (Siehe https://tools.ietf.org/id/draft-ietf-curdle-ssh-kex-sha2-09.html warum group14 und nicht diffie-hellman-group1-sha1 oder diffie-hellman-group-exchange-sha1)
MAC: hmac-sha1 (D6 unterstützt hmac-sha1,hmac-sha1-96,hmac-md5,hmac-md5-96,hmac-ripemd160,[email protected]. MD5 ist unsicherer als SHA1, zu Riped habe ich nicht viel gefunden)
Danach klappt dann auch der Verbindungsaufbau mit SFTP. Mit einer Portweiterleitung von dem Router (z.B. 12345 -> NAS:22) und dynamischem DNS Eintrag klappte dann auch gleich der Verbindungsaufbau über Hotspot vom Handy zum NAS ohne Probleme.
Vermutlich werde ich den Port nur weiterleiten, wenn ich das wirklich nutzen werde. Man sollte sich überlegen, ob man seine Server so dauerhaft dem Internet aussetzt. Zumindest kann man einen anderen Port als 22 wählen.
Mit der Lösung bin ich so zufrieden, auch wenn der WT-6 zunächst etwas schwer in Betrieb zu nehmen ist. Für den IT-Laien kann das schnell frustrierend sein, gerade bei dem Preis.
Insbesondere stört mich
1) Die Verknüpfung der (S)FTP Konfiguration mit dem LAN/WT. Warum man dasselbe FTP Profil nicht für ein kabelgebundenes Ethernet und den WT verwenden kann ist wohl ein Geheimnis von Nikon.
2) Die Fehlermeldungen ("Err:3F") sind doch sehr kryptisch und bei der Fehlersuche wenig hilfreich. Da waren die Programmierer wohl etwas faul, "Err. 32" in "Das Kennwort ist falsch." zu übersetzen.
3) Bei bestehender Verbindung blinkt die LAN LED sehr nervös. Ich hätte es besser gefunden, wenn die LED beim Verbindungsaufbau blinkt und bei bestehender Verbindung dauerhaft leuchtet.
4) Der Flugmodus stellt nicht den WT-6 ab (Firmware Version C 1.11). Das ist wohl ein Bug.
5) Der WT-6 unterstüzt wohl kein WPA2-Enterprise (WLAN Passwörter im Radius Server). Damit kann sich der WT-6 wohl kaum als professionelle Ausrüstung bezeichnen.
Ich kann mir gut vorstellen, daß die SFTP-Probleme auch für die WT-5, and D4s/D5 auftreten können. Die D4 konnte ja wohl noch kein SFTP, da sollte man doch lieber vorsichtig sein mit FTP über das Internet.
So, und jetzt sollte ich wieder ans Fotografieren denken.
Schöne Woche und bleibt gesund
/Sascha
Ja, die D6 ist schon auf V1.11, alles oben beschriebene gilt für diese Firmware.
Und nicht daß der falsche Eindruck entsteht. Nach erfolgreicher Konfiguration macht der WT-6 genau das, was ich erwarte und wofür ich den angeschafft habe: Bilder ohne Handy-App und von überall auf einen NAS zu bewegen.