Zugriff von außen - wie soll das gehen?

Status
Für weitere Antworten geschlossen.

polonus

Benutzer
Mitglied seit
01. Sep 2008
Beiträge
30
Punkte für Reaktionen
2
Punkte
8
Hallo Profis,

ich habe eine wichtige Frage und hoffe auf einen Tipp.
Da ich öfters unterwegs bin, muss ich auf meine DS207+ von außen zugreifen. Ich habe eine Verbindung in FileZilla über ftpes (Sicherheit spielt für mich sehr wichtige Rolle) eingerichtet, die wirklich super funktioniert. Das Problem ist jedoch, dass ich öfters bei unterschiedlichen Firmen arbeite wo die Ports für ftpes blockiert werden. Ich brauche also eine andere Lösung. Man könnte versuchen mit Ports Umleitung aber ftpes braucht soweit ich weiß mehrere Ports. Der Port 443 ist normalerweise immer in jede Firma offen aber der brauche ich für Photostation. Die Ports, die ich in meinem Router geöffnet habe, sind: 22, 21, 443 und die typischen Ports, die ftpes (55536-55663) braucht.
Irgendwelche Ideen?
Vielen herzlichen Dank im Voraus!

Viele Grüße, polonus
 

coolhot

Benutzer
Mitglied seit
01. Mrz 2009
Beiträge
926
Punkte für Reaktionen
0
Punkte
0
Nur ne Idee, hab selber mangels Anforderung nicht recherchiert: Ein webbasierter ftp-Dienst könnte klappen - Port 80 sollte immer frei sein. Um deinen Sicherheitsanfordrungen zu entsprechen müsste allerdings ssl unterstützt werden und damit wieder 443 aber der ist normalerweise ja auch kein Problem. Bleibt nur noch die Frage ob du einen Anbieter findest der das bietet und ob du dort deine Zugangsdaten eingeben willst.
 

polonus

Benutzer
Mitglied seit
01. Sep 2008
Beiträge
30
Punkte für Reaktionen
2
Punkte
8
Nur ne Idee, hab selber mangels Anforderung nicht recherchiert: Ein webbasierter ftp-Dienst könnte klappen - Port 80 sollte immer frei sein. Um deinen Sicherheitsanfordrungen zu entsprechen müsste allerdings ssl unterstützt werden und damit wieder 443 aber der ist normalerweise ja auch kein Problem. Bleibt nur noch die Frage ob du einen Anbieter findest der das bietet und ob du dort deine Zugangsdaten eingeben willst.

Port 80 brauche ich doch nicht! Ich benutze doch für Photostation https. Ein FTP über Port 80 und das soll sicher sein?
Wozu soll ich denn eigentlich einen Anbieter finden?

Grüße, polonus
 

coolhot

Benutzer
Mitglied seit
01. Mrz 2009
Beiträge
926
Punkte für Reaktionen
0
Punkte
0
Entweder hast du mich oder ich dich nicht verstanden. :D

Ich meinte statt einem Clientprogramm wie Filezilla einen web-based-service zu verwenden, soll heißen du startetes kein Prgramm was irgendwelche geblockten Ports braucht sondern du gehst auf www.irgendeinwebftpdienst.de und nutzt das als Oberfläche. Vorteil:
www.irgendeinwebftpdienst.de ist überall über Standardports zu erreichen. Die Verbindung über die speziellen ftpes-Ports läuft dann vom Anbieter zu deiner DS.

Wie gesagt ich weiß nicht ob jemand so einen Dienst anbietet aber google oder bing helfen dir suchen.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Webftp Client. Ich glaube itari hat mal eine 3rd Party Applikation dazu geschrieben (suche im Forum). Oder du greifst via Filestation auf die Daten zu. Lässt sich auch mit SSL arbeiten und hat - in der neusten FW (Beta 0914) zumindest - auch die Möglichkeit Clients zu blocken
Ein FTP über Port 80 und das soll sicher sein?
Was soll daran unsicherer sein als ein "normaler" FTP Port?
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Kurz zur Klarstellung: Der FTP-Server auf der DS sollte auch weiterhin auf 21, 22 usw. laufen. Nur statt des FTP-Clients (beim Firewall-gesicherten Kunden) sollte man eben auf ein Web-FTP-Programm (bei einem Web-FTP-Provider - dies könnte auch der Apache der DS-Station sein) zurückgreifen. Bei Kunden würde das über Port 80 laufen ... beim Web-FTP-Programm-Provider würde das Programm wie ein Proxy arbeiten, auf der einen Seite mit HTTP (Port:80) und auf der anderen Seite wie ein FTP-Client (Port:irgendwas). Natürlich würde bei dieser Lösung ein Teil der Übertragungsstrecke erstmal ohne 'gesicherte Verschlüsselung' laufen, wenn https beim Kunden nicht möglich wäre ... man kann halt nicht alles haben.

Praktischer Tipp: Netbook mit irgendeinem Handy-Funkteil (Aldi ist dein kostensparender Freund). Dann kannst alles machen was du möchtest ohne deinen Kunden zu belästigen :D

Itari
 

polonus

Benutzer
Mitglied seit
01. Sep 2008
Beiträge
30
Punkte für Reaktionen
2
Punkte
8
Entweder hast du mich oder ich dich nicht verstanden. :D

Ich meinte statt einem Clientprogramm wie Filezilla einen web-based-service zu verwenden, soll heißen du startetes kein Prgramm was irgendwelche geblockten Ports braucht sondern du gehst auf www.irgendeinwebftpdienst.de und nutzt das als Oberfläche. Vorteil:
www.irgendeinwebftpdienst.de ist überall über Standardports zu erreichen. Die Verbindung über die speziellen ftpes-Ports läuft dann vom Anbieter zu deiner DS.

Wie gesagt ich weiß nicht ob jemand so einen Dienst anbietet aber google oder bing helfen dir suchen.
Ok, ok, ich glaube jetzt habe ich dich schon verstanden. Nun wie schon gesagt port 80 hat keine Verschlüsselung und private Daten über irgendein Provider zu schieben, ist mit Sicherheit keine gute Idee. Es muss (!!!) direkt zu meinem Synology Server gehen. Sonst macht es keinen Sinn. Dritte Anbieter sollen dürfen nicht mal meine private Daten vorbei riechen können :D

Grüße, polonus
 

coolhot

Benutzer
Mitglied seit
01. Mrz 2009
Beiträge
926
Punkte für Reaktionen
0
Punkte
0
Dann bleibt dir wohl nur die Filestation oder ein Webftp der auf deiner DS läuft und über https erreichbar ist.
 

polonus

Benutzer
Mitglied seit
01. Sep 2008
Beiträge
30
Punkte für Reaktionen
2
Punkte
8
Webftp Client. Ich glaube itari hat mal eine 3rd Party Applikation dazu geschrieben (suche im Forum). Oder du greifst via Filestation auf die Daten zu. Lässt sich auch mit SSL arbeiten und hat - in der neusten FW (Beta 0914) zumindest - auch die Möglichkeit Clients zu blocken

Was soll daran unsicherer sein als ein "normaler" FTP Port?

Tja, wie schon gesagt, momentan tue ich auf meine DS ausschließlich über ftpes also verschlüsselt! Eine unverschlüsselte Verbindung kommt für mich gar nicht in Frage. 443 ist normalerweise bei jeder Firma offen. Also es würde sich schon anbieten über 443 umzuleiten. Das Problem ist nur wie?
Erstens ftpes benutzt soweit ich weiß mehrere Ports.
Zweitens 443 benutze ich schon für Photostation.
Port 80 ist grundsätzlich geschlossen- brauche ich nicht.
Irgendwelche Ideen?
Herzlichen DANK im Voraus!

Grüße, polonus
 

polonus

Benutzer
Mitglied seit
01. Sep 2008
Beiträge
30
Punkte für Reaktionen
2
Punkte
8
Dann bleibt dir wohl nur die Filestation oder ein Webftp der auf deiner DS läuft und über https erreichbar ist.

Tja mit Webftp über https -> das ist glaube ich schon eine Möglichkeit. Was meinst du genau über Filestation?
Aber gibt es vielleicht nicht eine andere verschlüsselte Verbindung, die man auf DS einrichten könnte, die
1) nur ein Port braucht, so dass man mit umleitung auf 443 klappen würde
2) wie könnte man das zusammen mit Photostation über 443 realisieren?

Grüße, polonus
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Ob ein Port "verschlüsselt" ist oder nicht hat nix mit dem verwendeten Port sondern mit der Applikation dahinter zu tun. Du kannst z.B. problemlos https via Port 80 laufen lassen, wenn du es denn so konfigurierst.
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.999
Punkte für Reaktionen
264
Punkte
373
Hallo,
falls Dir eine Richtung reicht, setze Dir einen user-apache mit freigegebenem directory listing auf, sichere das Verzeichnis per .htaccess, baue eine ssh Verbindung mit Tunnel Port 80 -> localhost:80 auf (bei putty unter Connection->SSH->Tunnels source port:80, destination: localhost:80) und gib im Browser http://localhost ein. Die gesamte Übertragung läuft duch den Tunnel, nicht unbedingt performant da alles verschlüsselt wird.

Gruß Götz
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.999
Punkte für Reaktionen
264
Punkte
373
Hallo,
geht ja noch viel einfacher, alle benötigten Ports tunneln und ftp localhost, Der Standardbereich sollte dann aber etwas eingeschränkt werden, hab es gerade mit 55536-55546 probiert, geht.
Gruß Götz
 

polonus

Benutzer
Mitglied seit
01. Sep 2008
Beiträge
30
Punkte für Reaktionen
2
Punkte
8
Hallo,
geht ja noch viel einfacher, alle benötigten Ports tunneln und ftp localhost, Der Standardbereich sollte dann aber etwas eingeschränkt werden, hab es gerade mit 55536-55546 probiert, geht.
Gruß Götz

Hallo Götz,

deine für deine Antworten! Dazu hätte ich aber eine Frage: wie soll das gehen mit tuneln? Ich meine der verschlüsselte Tunel muss doch auch über irgendein Port gehen oder? Kannst du genauer erklären? Wie kann das doch gehen, wenn die Ports 55536-55546 in einer Firma geblockt sind? Oder verstehe ich nur Bahnhof...
Danke im Voraus!

Grüße, polonus
 

polonus

Benutzer
Mitglied seit
01. Sep 2008
Beiträge
30
Punkte für Reaktionen
2
Punkte
8
Ob ein Port "verschlüsselt" ist oder nicht hat nix mit dem verwendeten Port sondern mit der Applikation dahinter zu tun. Du kannst z.B. problemlos https via Port 80 laufen lassen, wenn du es denn so konfigurierst.

ja, ja, das ist schon klar aber ftpes braucht doch mehrere Ports. 80 könnte ich schon im Router öffnen und umleiten lassen aber über nur ein Port lässt sich das doch nicht realisieren.

Grüße, polonus
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.999
Punkte für Reaktionen
264
Punkte
373
Hallo,
du machst ganz normal eine ssh Verbindung zum Port 22 auf. Nun gibst du dieser Verbindung aber noch die Tunnel mit, welcher externer Port zu welchem local gemapt wird. Ein Anfrage an localhost Port 21 wird Dank des Tunnels durch den Tunnel an den sshd der Gegenstelle geleitet, der diese dann im System absetzt, genauso mit den anderen Ports. Alles über eine Verbindung Port 22. Gib mal bei Google ssh tunnel ein, Lesestoff für den ganzen Sommer:)

Gruß Götz
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat