Kopieren ganzer Ordner funktioniert nicht

[Ash-Zayr]

es tut mir so leid, aber das kommt auch nicht hin.
Ich hatte bei meiner Fritzbox Tabula rasa gemacht.....upnp deaktiviert und alle bestehenden Portfreigaben gelöscht. Dann nun als erste und einzige Freigabe wollte ich TCp 443 bis 443 für an "meinedyns" an 7001....kommt Fehlermeldung der FRitzbox, dass er diese Regel nicht erstellen kann, da die Regel im Konflikt mit einer internen stände.

Was auch nervt: wenn ich nun mal direkt die Filestation wie heute hier gelernt über https (mit 7001) aufrufe, kommen zig Fehlerfenster und Warnungen, die ich bestätigen und Ausnahmen genehmigen soll mit Hinweis auf Zertifikat und nicht vertrauenswürdig, aber ich habe doch ein SLL Zertifikat erworbenb, was mir die DS auch als aktiv anzeigt? Wieso wird das nicht erkannt...?

Ash

 

[hopeless]

1. FritzBox: Deaktiviere bei der FritzBox unter Internet->Freigaben->FritzBox-Dienste mal den Punkt: "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert"

2.Das Zertifikat gilt nur für deine Domain und funktioniert nur, wenn du deine Seite über ihren Namen aufrufst, nicht mit der IP-Adresse.

 

[Ash-Zayr]

Neuer Tag, neues Glück...mit eurer Hilfe ist aber schon mal der eigentliche Durchbruch gelungen. In der Tat war ja port 443 für den Fernzugriff auf meine Fritzbox reserviert. Ich konnte den Fernzugriff über https auf einen alternativen Port in der FB umstellen...in dem Moment, wo ich das Tat, flog ich natürlich raus, weil der neue von mir gewählte Port 550 dann ja nicht mehr hier aus der Firma erreichbar ist...habe ja aber noch mein Smartphone. Dort habe ich dann die Regel tcp 443 auf 7001 erstellt.
Jetzt klappt es von hier, dass ich per https://meinedyndns.de direkt über https in der file station lande. Sehr schön! Danke soweit.
Aber ein Schritt vor, wieder einen zurück: in der File Station fehlt nun allerdings wieder die lokale Ordner-Struktur, die ich bekommen hatte, indem ich Java erlaubte. Gehe ich über den noch derzeit aktiven port 5000 in die file station, also http, klappt es. Warum nicht über https?

Ash

 

[hopeless]

Ich würde es vermeiden die Verwaltungsoberfläche meines Routers in das Internet zu stellen, aber wenn du meinst.
Wie sehen jetzt die Einstellungen für die Filestation im Applikationsmenu der DS aus?

Filestation httport 7000, HTTPSort 7001
Router: Port 443->7001, Port 7000->7000
Port 5000 ist doch eigentlich für die Anmeldung HTTP an die DS.

 

[Ash-Zayr]

Du meinst also, Fritzbox Fernzugriff ist generell gefährlich? Ich bin offen für alles, was der Sicherheit dient, momentan ist es aber gold wert, dass ich sowohl ins DSM als auch in die FB komme, um alles zu probieren.

Aktueller Stand der Porfreigaben:

5001 an 5001 für DSM Aufruf über https
443 an 7001 für direkt file station per https aus der Firma hinaus
7001 an 7001 für direkt in die File Station über https von außerhalb der Firma...aber brauche ich diese Regel? Eintippen muss ich nämlich https://meinedyndns.de:5001/file
5006 an 5006 ist https für DS file app meines phones


Die 7000 und 5000 ports habe ich nun gezielt gelöscht, also keinerlei http mehr.
Ich muss nun allerdings alle meine Adressen mit https:// tippen....nur direkt www.meinesyndns klappt nicht mehr...
Ash

 

[hopeless]

Du meinst also, Fritzbox Fernzugriff ist generell gefährlich? Ich bin offen für alles, was der Sicherheit dient

Bin der Meinung, alles was eine zentrale Konfiguration beinhaltet gehört nicht in ein öffentiches Netz, der Nutzen steht in keinem Verhältnis zum Risiko.
Das sind Router, DSM, phpMyadmin usw.
Schöne Beispiele was passieren kann, haben ja so ziemlich alle Routerhersteller und auch Synology in letzter Zeit geliefert, da werden durch Sicherheitslücken zum Teil vom Router die Kennungen mit Passwörtern in Klartext ausgeliefert usw.

Aktueller Stand der Porfreigaben:

5001 an 5001 für DSM Aufruf über https
443 an 7001 für direkt file station per https aus der Firma hinaus
7001 an 7001 dachte damit komme ich direkt in die File Station über https von außerhalb der Firma...klappt aber nicht
5006 an 5006 ist https für DS file app meines phones

DSM würde ich nicht..., aber ich widerhole mich

443->7001 -> HTTPS Filestation
7000 ->7000 -> HTTP Filestation (vielleicht funktioniert dann auch der Java Teil beim Filestation Aufruf mit https)
5006 -> 5006 -> brauchts das wirklich? Kann man da nicht auch die 7001 nehmen?

Die 7000 und 5000 ports habe ich nun gezielt gelöscht, also keinerlei http mehr.
Ich muss nun allerdings alle meine Adressen mit https:// tippen....nur direkt www.meinesyndns klappt nicht mehr...

Natürlich nicht, du hast die "unsicheren Ports" bzw. den http Zugang ja auch dicht gemacht.

 

[Ash-Zayr]

wenn der ganze Kram erstmal steht, werde ich die 5001 und damit DSM dann auch dicht machen, versprochen.....
warum aber empfhielst Du mir doch noch die 7000 an 7000? Ich dachte http ist böse...?
Es hilft auch nicht bezüglich des fehlenden lokalen Inhalts über https file station, gerade mal probiert.

by the way: wo ist der Paypal donate button...

ash

edit: probieren geht über studieren, auch wenn ich seit Tagen nichts andere mache. Ich habe die Regel 7001 an 7001 auch löschen können.
Will ich die https file station direkt aufrufen, mache ich das nun in der Firma mit https://meinedyndns.de, von außerhalb der Firma muss ich tippen https://meinedyndns.de:5001/file

WEnn ich nun aber die 5001 an 5001 Regel auch demnächst lösche, um die dsm nicht mehr erreichbar zu machen, ist damit der Weg über alias /file zum 7001 ja auch wieder pfutsch....? argghh...

 

[hopeless]

warum aber empfhielst Du mir doch noch die 7000 an 7000? Ich dachte http ist böse...?
Es hilft auch nicht bezüglich des fehlenden lokalen Inhalts über https file station, gerade mal probiert.

Nicht http ist böse, sondern einen Anmeldevorgang über http zu machen, ist eher semi.., war auch nur zum Test, wegem dem Java geschruntzel.

Will ich die https file station direkt aufrufen, mache ich das nun in der Firma mit https://meinedyndns.de, von außerhalb der Firma muss ich tippen https://meinedyndns.de:5001/file

Du kannst immer https://meinedyndns.de nutzen, ob in der Firma, oder außerhalb. Warum willst du https://meinedyndns.de:5001/file nehmen?

 

[Ash-Zayr]

ich schwanke zwischen Freude und Wahninn. Ich habe die 7001 an 7001 gelöscht. Und ja, sowohl aus der Firma als auch außerhalb reicht in der Tat nun https://meinebla.de und ich lande in der File Station. Super!
Allerdings. für die app DS File ist die Regel 5006 auf 5006 gedacht. Nun habe ich gerade die 5001 an 5001 gelöscht, und schon klappt DS file nicht mehr....aber DS File hat doch extra seinen 5006 Port, warum ist der vom 5001 abhängig?
Ist es nicht so: sollte die 5001 Regel nicht gelöscht werden, kann doch jeder, der die Syntax meiner dyndnd kennt, einfach :5001 an die URL anhängen und kommt bis zum DSM log in? Und selbst wenn er nur die url eintippt, kommt er halt zum File Station log-in. Das kann man doch gar nicht verhindern? Demnach müsste ja wichtiger als alle Portregeln sein, den Wortlaut seiner dyndns geheim zu halten?

 

[hopeless]

Normalerweise sollte der Port 5001 nicht nötig sein, siehe Portliste von Synology:

http://www.synology.com/de-de/support/faq/299

möglicherweise hat der Router sich inzwischen verschluckt. Vielleicht wenn du wieder zu hause bist einmal den Router neu starten.

 

[Ash-Zayr]

das kann ich ja sogar dank Fernzugriff noch von hier aus machen...

Ich berichte natürlich...

edit:
Hat nichts gebracht der Neustart und nochmal getestet: die Funktionalität der DS file app mit ihrem Port 5006 ist anscheinend vom 5001 abhängig. Vielleicht ja, weil der 5001 nun mal für die File Station steht und das nötig ist, damit das app-Derivat auf 5006 sich daraus ableiten kann?

 

[hopeless]

Das ist merkwürdig, vielleicht hängt das mit diesen Einstellungen zusammen:

 

[Ash-Zayr]

Verzeihung, ich war ein Honk...argh...! Ich hatte die 5006 an Handy (!) an 5006...dabei muss ja auch diese Regel an die DS. Gebe ich nun in der DS file app ein: meinedyndns.de:5006, dann klappt es; bei nun gelöschter 5001 Portregel!!
Es wird!! Danke!

Habe nun alles komplett als https:
443 an 7001 für direkt file station (klappt auch aus Firma!)
5006 an 5006 (für app DS file)
550 an 550 (dies ist ein eigens gewählter https port für die photo station...intern im Heimnetz klappt es schon mal)
8801 an 8801 (für direkten möglichen Aufruf der Audio Station)

Ich wage zu behaupten, dass photo station und audio aus der Firma dann nicht klappen, denn ich habe mein Pulver mit der Umleitung 443 an 7001 für die file station ja schon verschossen, oder?
Wenn ich Montag in der Firma Musik hören will, werde ich eingeben: https://meinedyndns.de:8801, und es wird geblockt sein. Uhd ich kann ja nicht eine Regel erstellen 443 an 8801 und 443 an 550, da schon 443 an 7001 existiert....richtig?

Ash

 

[hopeless]

550 an 550 (dies ist ein eigens gewählter https port für die photo station...intern im Heimnetz klappt es schon mal)
8801 an 8801 (für direkten möglichen Aufruf der Audio Station)

550 würde ich nicht nehmen, denn Ports unterhalb von Portnummer 1023 sind System
Ports und vergeben, als Userports sind die Nummern 1024-49151 vorgesehen.

Siehe: http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml?&page=1

Ich wage zu behaupten, dass photo station und audio aus der Firma dann nicht klappen, denn ich habe mein Pulver mit der Umleitung 443 an 7001 für die file station ja schon verschossen, oder?
Wenn ich Montag in der Firma Musik hören will, werde ich eingeben: https://meinedyndns.de:8801, und es wird geblockt sein. Uhd ich kann ja nicht eine Regel erstellen 443 an 8801 und 443 an 550, da schon 443 an 7001 existiert....richtig?

So ist das. Ich habe mir dann damit geholfen, dass ich für die AudioStation einen User erstellt habe der nichts darf, außer die AudioStation aufrufen und Musik hören. Da ist das Risiko gering das, der Account wenn er gehackt wird, schaden anrichten kann.
Die AudioStation horcht dann auf http Port 8080 und ist somit von der Arbeit zu erreichen.