Netzlaufwerk über WebDav einbinden

[Schura]

Hi, ich bin neu hier und ein absolut Unwissender (Sorry dafür)
Ich habe mir eine Synology 918+ zugelegt, und würde nun gerne das Nas, dass bei mir zuhause steht, als Laufwerk im Büro im Nachbarort einbinden.
Nachdem ich mir dazu haufenweise Videos angesehen habe, scheint WebDav dafür die richtige Option zu sein.
Ich habe nun DDNS mit dem Let´s Encrypt Zertifikat auf der Synology eingerichtet.
Ich habe die Ports 5001 für DDNS und den Port 5006 für WebDav freigegeben (jeweils mit HTTP und HTTPS über Port 80 bzw. 443)
Der direkte Zugriff über den Hostnamen funktioniert auch soweit (Zumindest aus dem Büro, von zuhause nicht), aber wenn ich das Laufwerk
in Windows 10 einbinden will, heist es "Der angegebene Ordner ist ungültig. Wählen Sie einen anderen Ordner"
Über weitere Videos bei Youtube habe ich herausgefunden, dass dieser Fehler wohl öfter vorkommt.
Also habe ich mir RaiDrive installiert und versucht darüber das NAS als Laufwerk einzubinden.
Hier bekomme ich aber auch die Fehlermeldung
"Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht richtig reagiert hat, oder die hergestellte
Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat"

Ich nehme an, dass ich irgendwas bei der Portfreigabe falsch gemacht habe, wüsste aber nicht was.
Kann mir evtl. jemand auf die Sprünge helfen?

P.S. die Firewall der Synology ist nicht aktiv

 

[plang.pl]

Willkommen hier im Forum!

Ich habe die Ports 5001

Zu allererst: Den Port 5000/5001 hängt man nicht ins Internet!

Hast du mal geprüft, ob der DDNS auf die richtige ext. IP auflöst (Kommandozeilentool "nslookup")?
Zudem hast du überhaupt eine öffentlich erreichbare IPv4 Adresse?

 

[Schura]

Vielen Dank für Deine schnelle Antwort.
Ja, es wird die richtige IP aufgelöst.

5000/5001 sind die Standardports bei der Synology, deshalb habe ich es so belassen.
Warum hängt man diese nicht ins Internet?
Wo kann ich prüfen ob ich eine öffentliche IPv4 Adresse habe? Sollte das nicht über den Host der DDNS geregelt sein?

Bitte entschuldige, wenn ich doof frage, aber ich bin wirklich ganz neu in dem Thema

 

[metalworker]

Weil so deine DS direkt im Internet allen Angreifern direkt ausgesetzt ist.

Gerade wenn man nicht in dem Thema drin steckt läuft man schnell gefahr das man Angreifer auf seinen System hat.

Generell sollte man Ports nach Außen nur öffnen wenn man genau weiß was man macht

 

[Kachelkaiser]

Zu allererst: Den Port 5000/5001 hängt man nicht ins Internet!

Ich habe die Ports 5001 für DDNS und den Port 5006 für WebDav freigegeben (jeweils mit HTTP und HTTPS über Port 80 bzw. 443)

Ich interpretiere es so, dass zwar 5001 und 5006 in der Firewall freigegeben sind, aber nur über 80/443 erreichbar sind. Wobei 80 auch fahrlässig ist auf Grund unverschlüsselter Verbindung.

Das genaue Setting wäre mal interessant.

@Schura Nachdem der 5001 ein Standardport von Synology ist, wissen das auch die Hacker starten Angriffe sehr gerne auf diesen Ports.

 

[plang.pl]

Warum hängt man diese nicht ins Internet?

Weil da jedes kleine Scriptkiddie in der großen, weiten Welt direkt weiß, dass da ein Synology NAS dahinter hängt, dass ggfs. von jemandem dahin gehängt wurde, der es vielleicht nicht besser weiß.

Wo kann ich prüfen ob ich eine öffentliche IPv4 Adresse habe?

Schau mal in deinen Router, welche externe IPv4 dort angezeigt wird. Dann gehst du noch auf "wieistmeineip.de" und schaust nach, welche IPv4 dort angezeigt wird. Anschließend kannst du hier die ersten beiden Oktette der beiden Adressen hier posten.

 

[Schura]

Ok, habe die Ports mal geändert.
Um die IP des Routers abzufragen muss ich wahrscheinlich zuhause sein.
Werde es dann mal heute Abend überprüfen

Vielen Dank schon einmal für eure Hilfsbereitschaft

 

[plang.pl]

Kein Thema. Kriegen wir schon hin. Melde dich halt wieder.
Noch ein wenig Lesestoff zum Thema öffentliche IPv4, wenn du Bock hast: https://de.wikipedia.org/wiki/Carrier-grade_NAT

 

[Schura]

Aber noch mal eine grundsätzliche Frage zum Verständnis:
Meine NAS ist aus dem Büro erreichbar, wenn ich im Browser den Host eingebe xxxxxx.synology.me
Ich kann mich dann direkt anmelden und darauf zugreifen.
Müssten dann nicht alle Voraussetzungen erfüllt sein?
Woran kann es dann liegen, dass sie dann über den WebDav-Port nicht erreichbar ist?

 

[plang.pl]

Vielleicht greifst du vom Büro aus aber auf die IPv6 via DDNS zu und WebDAV will IPv4.
Du musst den Port ja mit angeben beim WebDAV Netzlaufwerk. Machst du schon, oder?

 

[metalworker]

moment , wenn du es so machst , das gehst aber über Quickconnect

 

[plang.pl]

Quickconnect

Nein. Das ist eine DDNS-Adresse:

xxxxxx.synology.me

 

[Schura]

Ja, ich gebe den Port beim WebDav mit an. Bei dem ist auch IPv4 und IPv6 freigegeben.
Quickconnect wäre dann eine quickconnect.to Ardesse

 

[NSFH]

Sorry aber hier wird wieder ein vollkommen falscher Ansatz gepredigt!
1. Keine unverschlüsselten Ports ins Internet hängen, also weder 5000, 5005 oder 80 zB
2. Lässt man die Ports (nicht nur) für den WebDav Zugriff in der Syno unverändert auf 5006! Hier kommt nämlich der Router ins Spiel.

Variante 1:
Man sucht sich einen freien 5-stelligen Port aus, den man am PC für den Webdav Zugang nutzen möchte, zB 48713. Diesen Port stellt man im Router ein und leitet ihn dort intern auf den originalen Port 5006 für Webdav weiter.

Variante 2 und die empfohlene, da der ReverseProxy zusätzliche Sicherheit bringt:
Eine öffentliche Domain zulegen, zB example.de. In dieser Domain eine Subdomain anlegen. zb webdav.example.de.
Im Router eine Weiterleitung einrichten für Port 443 auf die Syno
In der Syno den ReverseProxy aktivieren und dort den Port 443 auf den Webdavport 5006 mit der Subdomain eintragen.
Via LetsEncrypt ein Zertifikat für die Subdomain auf der Syno installieren und WebDav zuweisen.

So wird ein Schuh aus der Geschichte um sicher via HTTPS auf die Syno zugreifen zu können. Nutzt man DS-File am Mobile kann man noch 2FA als zusätzliche Sicherheit aktivieren.
Natürlich muss jetzt noch die Firewall der Syno vernünftig konfiguriert werden und im Dateisystem eine Lösung entwickelt werden, welche Freigaben wem zugeordnet werden sollen!

 

[plang.pl]

WebDAV lauscht aber standardmäßig (https) nicht auf 5001. Stattdessen hat der WebDAV Server einen eigenen Port und der ist normal 5006.

In allen anderen Punkten hat @NSFH aber recht.

 

[NSFH]

Ja sorry, habe ich korrigiert. 5001 ist DSM. Danke!

 

[NSFH]

Kurzer Nachbrenner wegen der Erreichbarkeit aus dem Internet:
Wenn deine Domain aus dem Büro über den Browser erreichbar ist schön, dagt aber nur aus das das Internet funktioniert.
Aber nutzt deine Firma vielleicht eine Firewall? Dann ist 5006 garantiert blockiert.
Ausserdem müsstest du den 5006 zu Hause im Router auf die Syno umleiten, sonst findet die Anfrage gar nicht ihr Ziel.
Wenn das Problem in der Firewall deiner Firma liegt hilft nur die Variante 2 meines vorigen Postings, da du dann via HTTPS (443) überall hin kommst.
Von Webdav via Quickconnect kann ich nur abraten, wenn du grössere Dateien bewegen willst. Ist im Vergleich zum "richtigen" Zugang extrem langsam.

 

[plang.pl]

Webdav geht gar nicht über QC. Gott sei Dank. Damit kann man nur Synology Apps ansprechen.
Es ist ohnehin besser, alles über 443 und RP laufen zu lassen, statt für jeden Dienst ein weiteres Loch in die Firewall zu reißen.

 

[Schura]

Habe jetzt mal meine IPs gecheckt
Die IPv4 über "wieistmeineip.de" lautet 77.21.252.117

In der Fritzbox habe ich keine IPv4 sondern diesen Hinweis:
FRITZ!Box verwendet einen DS-Lite-Tunnel, Kabel Deutschland

Die Portweiterleitung im Router auf die Standardports in der Synology muss ich mal versuchen

 

[plang.pl]

Dann hast du schon mal keine von extern erreichbare IPv4. Versuch mal, IPv4 beim DDNS in der DS komplett auszuschalten.