Keine Verbindung von extern zur Verwaltungsoberfläche

[Maddni]

Hallo zusammen,
ich bin echt am verzweifel.

also:
Intern:
http://xxxxx.asuscomm.com:5000 -> Funktioniert super

Extern:
http://xxxxx.asuscomm.com:5000 -> Keine Antwort

Der Verbindungstest zu Port 5000 vom der DS/Routerkonfiguration sagt : Fehlgeschlagen
DS Firewall ist auf alles erlauben eingestellt.

Im Router Port-Forwarding eingetragen für Port 5000
Der Zugriff von Außen zum Beispiel auf die surveillance station über port 9900 funktioniert.

Ich weiß echt nicht weiter

 

[TheGardner]

Kapier ich nicht so ganz. Deine interne Adresse ist die gleiche wie die externe. Das heisst, wenn es intern geht, so wie Du das da darstellst - dann geht das, indem der Client (Du) erst nach draussen geht und von draussen wieder reinkommt... Wenn das geht, dann muss es auch gehen, wenn Du nur von draussen reinkommst.

Nur drinnen zu sein, würde eine Adresse wie http://192.168.x.x:5000 bedeuten, über die Du die DS anwählen müsstest.


Von wo probierst Du denn "von Draussen" auf die DS zuzugreifen? Von einem Netzwerk auf Arbeit? Das geht u.U. nicht, weil dort die (bestimmten) Ports wegen Rumspielerei der Angestellten geblockt werden.

Oder aber Du hast intern irgendeine Regel (in der host oder im Router) zu laufen, die besagt, dass xxxx.asuscomm.com irgendwo im internem Netzwerk ist. Dann ist klar, dass es intern schön funktioniert, aber draussen sucht der sich nen Wolf, weil er eigentlich nach ner internen Adresse sucht, die es draussen nicht gibt.
Und bevor das alles verwirrt, beantworte Dir mal folgende Fragen:

- was passiert wenn Du intern nen Ping auf xxxxxx.asuscomm.com machst? Welche Adresse wird Dir dann angezeigt?
- was machst Du um extern zu sein? Wo bist Du da, bzw. wodurch bist Du extern (Freundes WLAN? Netzwerk auf Arbeit?...)
- welche Adresse/Meldung bekommst Du draussen bei einem Ping auf xxxx.asuscomm.com?

 

[Maddni]

Hay, danke für Deine Hilfsbereitschaft.

- was passiert wenn Du intern nen Ping auf xxxxxx.asuscomm.com machst? Welche Adresse wird Dir dann angezeigt?
Es wird die richtige öffnetliche IP angezeigt, alles Super

- was machst Du um extern zu sein? Wo bist Du da, bzw. wodurch bist Du extern (Freundes WLAN? Netzwerk auf Arbeit?...)
habe das Wlan meines Nachbarn (Schwiegervater, natürlich mit seiner Zustimmung ) angezapft

- welche Adresse/Meldung bekommst Du draussen bei einem Ping auf xxxx.asuscomm.com?
Es wird die richtige öffnetliche IP angezeigt aber es kommt zur Zeitüberschreitung (Router eingestellt dass Pings nicht geantwortet wird)

Hardware:Asus RT-AC66, DDNS von ASUS direkt im Router in Betrieb.

 

[Maddni]

Update: Port von 5000 auf 5002 in der DS geändert und natürlich dementsprechend im Router den Port angepasst und siehe da....Zugriff
Ich weiss nicht wer mir den 5000er zu macht.

 

[Maddni]

Lösung und Fragen

Also...

Alle Adressen egal ob über DDNSort oder ÖffentlicheIPort sind von außen erreichbar. Nur die DS Oberfläche, sprich die DDNS:5000 bzw. ÖffentlicheIP:5000 ist von Außen nicht erreichbar.
Ändert man den Port in der DS von 5000 auf z.B. 5002 und richtet es natürlich im Router ein, so geht der Zugriff auch auf DDNS:5002 bzw. ÖffentlicheIP:5002

Von intern dagegen besteht der Zugriff in allen Varianten und Ports:
DDNSort oder ÖffentlicheIPort und natürlcihe intenre IP's 192.xxx.xxx.xxx


Zwei Möglichkeiten.

1. Die DS erkennt den Zugriff von außen auf den 5000 Port und blockt diesen. Nach dem Motto Sicherheit geh vor, wenn Du zugreifen willst musst das schon manuell einrichten, aber Standat ist der 5000er ZU. Nimm was anderes.

2. Mein Provider blockt den 5000er Port - wieso auch immer.

 

[TheGardner]

Könnte es auch sein, dass Dein PC/Laptop da etwas über die Firewall blockiert hat (versehendlich - auch vielleicht von Dir ausgelöst??) ? Ausschließen könntest Du das, indem Du mal die Verbindung von einem anderen/fremden PC aus testest!

Im Grunde ist es nicht schlimm, weil ich an Deiner Stelle wie folgt (weiter) vorgehen würde! Der Port 5000 ist draußen (bei den dunklen Mächten) relativ bekannt, seit es Synology (und andere) schon ne lange Zeit auf dem Markt gibt! Deshalb wird dieser Port (und viele andere bekannte) auch immer wieder in Portscannern eingestellt, dass diese den auf ihren Schlupflöchern-Suchen mit einbeziehen! D.h. erhöhtes Risiko so lange wie die DS von aussen her verfügbar sein soll!

Deshalb würde ich an Deiner Stelle solche Ports (wie die bei Synology benutzten 5000, 5001, 7000, 7001, 8000....) an der DS so benutzen, ABER am Router alles so einstellen, dass es nach außen andere Ports sind! Hier mal ein Beispiel, wie ich es benutzen würde:

An der DS lasse ich alle Ports so, wie sie von Synology so im Handbuch vorgesehen sind - also auch den Port 5000 für den Admin-Zugriff. In der Fritzbox habe ich aber eine Port-Weiterleitung hinterlegt, die den SynologyPort 5000 nach außen hin als Port 9910 darstellt - Quasi eine Weiterleitung von 9910 nach 5000 und umgekehrt! Den Port 5001 (für https-Admin-Zugriff) habe ich am Router den Port 9911 zugewiesen.
Ich wähle also meine DS über http://meine-DS.de:9910 an - und die Hacker draußen können sich bei 5000 einen Wolf suchen, die werden keine Synology Maschine vorfinden (weil sie ja nicht wissen können, dass sie bei 9910 suchen sollten).

Dieser Trick würde dann bei Dir gleich noch dieses blöde 5000er Problem am Router mit erschlagen - was immer da auch schief läuft/gelaufen ist!
Überlegs Dir mal! Bei den Ports 21 (FTP) und 80 (http) würde ich aber alles so lassen, wie es ist, da Dich und die DS die jeweils zugehörigen Programme (Apache für 80 und FTP Server für 21) ausreichend über User/Passwort Kombinationen schützen können/werden.

 

[Maddni]

Jo, genauso habe ich es nun gemacht, und siehe da, es funktioniert. Danke
Auch die Mobilen Apps funktionieren nun, man hinter den server den Port angiebt sprich " xxxx.asuscomm.comort"

Danke

 

[TheGardner]

Du musst bei allem die Ports dahinter angeben! Nur bei http (Port 80), https (Port 443) und FTP (Port 21) würde es sich erübrigen, wenn man sowas nutzt!