webzugriff ohne Synology DDNS

Status
Für weitere Antworten geschlossen.

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
502
Punkte für Reaktionen
16
Punkte
44
würde das gern ohne den Synology-Server konfigurieren
DDNS Konto ist vorhanden bei selfhost
FritzBox 7270 ist von aussen erreichbar
Diskstation hat im LAN eine feste IP
die Diskstation hat sich selbst diese Portfreigaben gegeben
Portfreigaben.JPG

ich dachte ich komme jetzt einfach mit

meinKonto.sefhost.com:5000

auf die Weboberfläche der Diskstation, so einfach war es bei meinem alten NAS

aber hier läuft es anders, aber wie?
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.954
Punkte für Reaktionen
11
Punkte
104
Ports per UPnP würde ich dringlichst wieder deaktivieren. Benötigte Ports nur manuell eintragen.
Da behält man auch den Überblick. Wird Deine öffentliche IP des Routers auch mit dem Konto bei Selfhost abgeglichen?
Wo ist das Konto hinterlegt? in der DS oder der Fritz!Box?
Abgesehen davon würde ich DSM nie übers Internet zugänglich machen. Weder über Plain (Port 5000) noch über HTTPS (Port 5001)
Dafür gibts die File Station, Music Station, Video Station etc... Je nachdem was Du machen willst.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Schau mal unter DSM => Systemsteuerung => Netzwerk => DSM-Einstellungen => DSM-Ports

Standard ist:
HTTP => 5000
HTTPS => 5001

Fritzbox:
für Port 5000 hast du eine Weiterleitung von 5000, aber
für Port 5001 hast du eine Weiterleitung von 52735.

Klappt es mit deinKonto.sefhost.com:52735 ?
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
502
Punkte für Reaktionen
16
Punkte
44
Wo ist das Konto hinterlegt? in der DS oder der Fritz!Box?

das Selfhost Konto ist in der Fritz!Box hinterlegt
Ports kann ich natürlich auch manuell einrichten, dann geht 5001 -> 5001

Ports sind auf default eingestellt

DSM Ports.JPG

Klappt es mit deinKonto.sefhost.com:52735 ?

nein, kommt die Fehlermeldung URL konnte nicht gefunden werden, dasselbe bei 5001

während bei 5000 oben im BrowserTab "DiskStation" mit dem blauen Logo erscheint und
unten in der Statuszeile "warten auf deinKonto.sefhost.com"
Die Seite bleibt aber weiss und weiter passiert nix, also kein Anmeldefenster...so als würde die Seite nicht geladen

EDIT: am selben PC funktioniert es mit dem Firefox mit der 5000, vorher hatte ich Chrome verwendet, komisch...

EDIT: nach einem Neustart von Chrom läuft's damit jetzt auch....
 
Zuletzt bearbeitet:

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
502
Punkte für Reaktionen
16
Punkte
44
also, so ganz kapiere ich es mit der Portfreigabe noch nicht, hab mal den Assistenten gestartet, der mir diese Fehlermeldung beschert...
RouterBridge.JPG
tatsächlich befindet sich zwischen der DS und der FritzBox noch ein Switch und ein Router, die ich aber überhaupt nicht konfiguriert habe.
Ich dachte das macht der Router von alleine...

Und dann frage ich mich, ob diese ganzen Portfreigaben alle notwendig sind, da bekommt die DS ja 20-30 Ports. Mein alter NAS kam mit 3-4 aus, hat aber nur FTP und die Dateifreigaben bereitsgestellt, keine schicken Web-Apps für Music, Video und Fotos.

Portfreigaben.JPG
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.954
Punkte für Reaktionen
11
Punkte
104
Ports per UPnP würde ich dringlichst wieder deaktivieren. Benötigte Ports nur manuell eintragen.

Da Du das anscheinend nicht umsetzten kannst oder willst, bin ich an dieser Stelle raus.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Empfehlung: Die Anzahl der Ports immer gering halten, sprich nur das was wirklich dringend nötig ist. Auch Ports nie durch die DS setzen lassen, sondern händisch in der Fritzbox setzen.
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
502
Punkte für Reaktionen
16
Punkte
44
Da Du das anscheinend nicht umsetzten kannst oder willst, bin ich an dieser Stelle raus.

sagt doch keiner, hab kein Problem damit, die Ports auch manuell einzugeben, aber ich will vorher erstmal verstehen, was die DS sich da automatisch freigeben will und die Frage wird ja leider nicht beantwortet...

Ausserdem hab ich die Stelle noch nicht gefunden, wo man UPnP in der DS abschaltet
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.998
Punkte für Reaktionen
264
Punkte
373
Hallo,
UPnP mußt Du in der Fitzbox abschalten, die DS versucht über UPnP die Fritte einzurichten.

Gruß Götz
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
aber ich will vorher erstmal verstehen, was die DS sich da automatisch freigeben will

Hi! Da gibt es leider wenig bis nichts zu verstehen. Das war mitunter das einzige große Manko, dass ich bei der Synology gefunden hab.

DSM bietet die Möglichkeit, dass quasi wirklich jeder ohne Vorkenntnisse das NAS ins Internet stellt. Ja hört sich gut an... aber zu welchem Preis?!

Das NAS steht dann einfach so im Internet und kann von jedem nach potentiellen Schwachstellen durchforstet werden. Firewall ist oft auch nicht aktiviert. Das NAS ist salopp gesagt, offen wie ein Scheunentor.

Daher den umgekehrten Weg gehen, und nur benötigte Ports freigeben.
Überleg dir, was notwendig ist. ZB DS File Zugriff und den Port dann nach außen freigeben.
DSM über https würde ich nur via VPN nach außen zur Verfügung stellen. Benötigst du da wirklich den Zugriff via https?
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
502
Punkte für Reaktionen
16
Punkte
44
jetzt mal Klartext:

1. Was ist mit o.g. Bridge-Mode zu machen http://www.synology-forum.de/showth...-Synology-DDNS&p=753533&viewfull=1#post753533

2. kein UPnP in der FB ist ok, dann gebe ich die Ports manuell frei, welche benötige ich?

3. Dienste wie Audio-, Video- und Photo-Station benötige ich nicht von aussen, reicht mir wenn die im LAN zugänglich sind

4. von aussen wäre FTp und/oder File-Manager wichtig, welcher Port dafür?
bei meiner alten NAS gab es Anmeldeversuche mit zufälligen Passwort-Versuchen, wo finde ich denn hier das protokoll um das zu sehen?

5. Daher hatte ich FTP immer abgeschaltet und über die Web-Oberfläche des NAS nur vor der Benutzung eingeschaltet, insofern wäre Zugang zum DSM von aussen schon gut. Was ist gegen https einzuwenden? Selbst onlinebanking geht darüger. Und wer noch mehr Sicherheit will kann ja die 2-Stufen-Verifizierung verwenden.
Port wäre somit nur der 5001, richtig?
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Https an sich ist verschlüsselt. Das Problem dabei ist, dass dein Webserver unter Port 443 oder 5001 oder was auch immer im Netz ist.

Und Webserver (Apache httpd oder nginx) haben immer wieder mal Sicherheitslücken wie diverse Eskalationen in der Vergangenheit gezeigt haben.
Dh. man öffnet Angriffsvektoren nach außen und muss versuchen, dass System immer sehr aktuell gepatched zu haben.
Natürlich kann man das mit 2-Phasen Auth abschwächen, aber das hilft nix wenn man durch Programmierfehler im Webserver Befehle als root ausführen kann oder Sonstiges ohne Authentifizierung.

Eine mögliche Alternative stellt VPN dar. Da kann es natürlich auch Sicherheitslücken geben, aber trotzdem setzen zB die meisten Firmen im Moment wohl auf VPN. Natürlich kann es hier auch Fehler geben, aber ich habe zB mit Client-Zertifikaten sichergestellt, dass der Server sämtliche Verbindungen ohne Zertifikat sofort verwirft, um den Angriffsvektor zu minimieren.

Wenn es nur ein Zugriff für wenige oder dich ist, probiere es sonst ggf. mal mit VPN. Dann benötigst du genau einen Port als Forward und der Rest funktioniert wie von intern.

Ad 1) zu dem Bridge Modus kann ich nichts sagen, verwende ich nicht. Sorry!
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
502
Punkte für Reaktionen
16
Punkte
44
ok, soweit alles verstanden, VPN muss ich mal für später zurückstellen, hab damit NULL Erfahrung.
Nochmals die Frage, welche Ports ich manuell in der FB freigeben soll, wenn ich o.g. Bedingungen erfüllen möchte.
Der EZ-Assistent würde by default den Port 5000 und 80 freigeben.
Wozu brauch ich den Port 80, wenn ich PhotoStation nicht öffnen will?
Was ist WebStation und Web-Mail

EZ PortFreigabe.JPG

Werden mit der Bestätigung in diesem Fenster dann alle bereits früher geöffneten Ports zB für die Video-Station wieder geschlossen oder muss ich das in der FB einzeln pro Port wieder löschen mit dem [X]
 
Zuletzt bearbeitet:

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.874
Punkte für Reaktionen
1.496
Punkte
274
5001 für die DSM und die meisten Standardprogramme, 443 für die Photostation. Auch nur diese in der FB freigeben. Am besten die Firewall der DS zunächst ausgeschaltet lassen und nur in der FB eintragen. Dann testen, wenn alles läuft, die Firewall der DS wieder einschalten und nochmals alles testen.
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
502
Punkte für Reaktionen
16
Punkte
44
kann den Port 443 manuell nicht freigeben (wegen internem Konflikt mit der FritzBox) die UPnP Zuweisung hätte den Port 443 an Port 598xx weitergeleitet. das kann ich natürlich auch manuell eintragen.
Wenn die DS dann auch mitbekommt?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Wenn du eine Portumleitung, externer Port an der Fritte ungleich internem Port an der DS, verwendest, kannst du z.B. unter Systemsteuerung > Externer Zugriff > Erweitert den Port angeben, damit die DS auch weiß, welches der externe Port ist, damit Freigabe-Links etc. entsprechend richtig generiert werden können.
Grundsätzlich muss die DS da aber nichts "mitbekommen", wenn es nur um den Zugriff geht, weil der Zugriff ja auch dem Port erfolgt auf dem die DS lauscht. Dass du von außen da auf einen anderen Port an der Fritte ankommst interessiert die DS nicht.
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
502
Punkte für Reaktionen
16
Punkte
44
ok verstanden, wenn ich also FTP nicht auf Port 21 haben will, ändere ich in der DS nix, weil die ja auf Port 21 hört aber leite in der Fritte um von extern 55555 auf intern 21, richtig?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Prinzipiell ja. Bei ftp musst halt schauen, weil da zum Teil noch die PASV Ports offen sein müssen (also gleiches Schema, aber mehr Ports).
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
502
Punkte für Reaktionen
16
Punkte
44
funktioniert leider nicht, hatte das Problem früher schon das es immer nur mit Port 21 läuft, ist vielleicht noch ein Proxy im Weg. Ich mache den Port dann einfach kurz vor einem Zugriff auf und danach wieder zu.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Bezüglich höherer Ports. Zwei Sachen fallen mir ein, die dich hier sperren könnten.

1.) es gibt durch aus Internet Provider, die gewisse Port Ranges einfach sperren (zB LTE Anbieter). Daher klappts dann mit 21, und mit anderen nicht.
Da müsstest du sonst mal bei deinem Provider nachfragen.

2.) Evt. die Synology Firewall aktiviert?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat