Kein Zugriff über das Internet

[kalle56]

Hallo zusammmen,

Ich bin in Sachen NAS Server (Synology) noch recht frisch unterwegs und habe mir vor zwei Wochen das Modell DS213j mit 2 x 2TB Festplatten zugelegt. Das installieren und die Grundeinstellungen haben ohne größere Probleme geklappt.

Seit 3 Tagen versuche ich nun die Synology DS213j in Verbindung mit der Fritz.Box 7360 SL für den externen Zugriff einzurichten. Ich habe bereits viel im Internet gelesen und einige Tutorial Videos an gesehen, aber irgendwie will es nicht klappen.

Einsatzziel:
Sicherung meines Musik & Foto Archivs
Zugriff über Browser (HTTPS) auf DiskStation
Zugriff über Handy & Tablet (HTTPS) auf Audio Station und Photo Station

Bereits eingerichtet:
Alle Grundeinstellungen habe ich eingerichtet, feste IP Adresse der Synology DS213j zugewiesen und bei Synology über der DiskStation eine DDNS registriert und eingerichtet. In der Fritz.Box hatte ich die Ports 80, 5000 bzw. 5001 freigegeben. Allerdings komme ich mit der eingerichten DDNS nicht auf die DiskStation. Über die feste IP Adresse https://192.xxx.xxx.xxx:5001/ bekomme ich Zugriff.

Kann mir jemand ein paar Tipps oder eine Anleitung verraten, welche Einstellungen nötig sind um Zugriff über das Internet zu bekommen? Über Hilfe wäre ich dankbar.

 

[stefan_lx]

Du hast aber schon eine Portweiterleitung auf die 192.168.178.20 in der fritzbox definiert?
Wenn du https auf der syno aktiviert hast, dann solltest du aber auch port 443 in der fritz auf die syno weiterleiten. Port 5000 ist nicht empfehlenswert.
hier und vor allem hier gibt es Übersichten.

Stefan

 

[kalle56]

Hallo Stefan,
Danke für das schnelle Feedback. Was meinst du mit

Du hast aber schon eine Portweiterleitung auf die 192.168.178.20 in der fritzbox definiert?

 

[borg2k]

also um recht einfach Zugriff auf die Photostation zu bekommen musst du in der Fritznox HTTPS Port 443 auf 443 der DS weiterleiten. Danach bekommst du dann entweder per Browser unter https://DDNS:443/photo zugriff auf die Photostation oder aber per DS Photo App unter angabe der DDNS Adresse (+evtl. Logindaten). Was die Audiostation angeht, für die kannst/musst du in der Systemsteuerung im DSM unter Applikationsportal erstmal die Portnummern festlegen unter der sie erreichbar sein soll. Standardmässig wird da glaube Port 8800 für http und 8801 für htpps vorgeschlagen, falls du das so übernimmst musst du in der Fritzbox dann den Port 8801 (externer Port) auf 8801 der DS weiterleiten. In den Apps auf dem Tablet / Smartphone kannst du sofern du die Standardports benutzt hast dann die Portangabe hinter der DDNS Adresse weglassen, schaden kann es aber auch nichts.

 

[stefan_lx]

@borg2k: aber den 443 extern auf den 443 intern weiterleiten, sonst landet er ja mit 5001 auf der Konfig

Stefan

 

[borg2k]

@borg2k: aber den 443 extern auf den 443 intern weiterleiten, sonst landet er ja mit 5001 auf der Konfig

Stefan

stimmt, kleiner Denkfehler. Wobei ich das mal ausprobiert habe, dass klappt eh nicht, denn da springt dann der browser bei mir plötzlich auf Port 5001 (extern) und da der dann gerade nicht weitergeleitet ist, kommt nur Seite nicht gefunden. Hab das unter Sicherheitsmechanismus der DS abgehakt, damit nicht jeder unter dem Standard-HTTP(s)-Port aufs DSM weitergeleitet wird.

 

[kalle56]

von meinem pc kann ich auf die ddns im browser nicht zugreifen. über mein handy habe ich wlan deaktiviert und nun funktioniert auch schon mal die audio station auf dem handy. allerdings nur ohne https häckchen in der app. mit häckchen funktioniert es nicht. erstmal danke für eure infos, werde jetzt mal einige ports einrichten und über einen anderen rechner / netzwerk weiter testen.

 

[kalle56]

Ich habe es nun soweit zum laufen bekommen. Die Speicherung der Portfreigaben scheint im Netzwerk nicht sofort zu greifen. ca 30 Minuten später funktionierte aber alles ohne Probleme.

In der Fritz.Box habe ich die folgenden Ports freigegeben:
80, 443, 5000, 5001 jeweils TCP

Auf der Synology Webseite habe ich mir unter Netzwerkports > Mobile Anwendungen die Portnummern für Photo Station & Audio Station und bei Webanwendungen > DSM rausgesucht.

Sicherheit:
Meine Frage ist nun noch, wie kann ich meine Synology am besten absichern? Welche Einstellungen sollte ich in der Firewall eintragen?

 

[borg2k]

Hm, also die Freigabe von Port 5000 und 5001 lässt sich mit dem Thema Sicherheit im Prinzip gar nicht vereinbaren, denn damit machst du das Tor zum DSM der DS für das ganze Internet sperrangelweit auf. Sicherlich kann man die Option bei der DS setzen, dass nach x Fehlgeschlagenen Versuchen die IP gesperrt wird, aber das wird bei Botnetzen und auch bei Leuten die sich per ISP mit dynamischer IP ins Internet einwählen wenig nützen.

Wenn man schon aufs DSM unbedingt von außen zugreiffen muss, dann macht man das über VPN.

 

[kalle56]

Mit den Ports 5000 und 5001 habe ich schon gelesen. Wie richte das den am besten per VPN ein?

 

[kalle56]

Schade, irgendwie findet man gar keine richtige Anleitungen, wie man was inkl. Ports und Sicherheit erstellt. Hab schon so einige Stunden hier im Forum verbracht, aber keine passende Lösung gefunden. Kann mir keiner von den Profis einen Tipp geben, wie man die DSM, Audio Station & Photo Station am besten absichern kann? in Bezug auf die Port Freigabe? Oder kann man das auch per VPN Server einrichten? Wenn, wie ... thanks ...

 

[borg2k]

Die Fragen kommen min. 2-3 mal die Woche hier. Da musst du nur ein bisschen genauer mal suchen. Portweiterleitungen sind halt Routerspezifisch, da gibts für Anfänger leider keine allgemein gültige bebilderte Anleitung.

Allgemein gesprochen würde ich die Ports 5000 und 5001 nie einfach so fürs Internet freigeben, damit wird deine DS sehr verwundbar gemacht, wenn du darauf zugriff brauchst, richte ein VPN zu deinem Router (sofern der mehr als PPTP kann) oder halt zur DS ein. Entsprechende Anleitungen gibts genügend im Internet.

 

[kalle56]

Wenn das so einfach wäre, hier im Forum die Lösung zu finden, würde ich nicht Fragen. In vielen Beiträgen werden ähnliche Probleme beschrieben, haben aber nicht immer ein Happy End. Wenn ich die Ports 5000 und 5001 nicht freigebe, komme ich unterwegs nicht auf meine Audio Station per Handy ...

 

[borg2k]

Doch du musst in der Systemsteuerung unter Applikationsportal (oder so ähnlich) für die AudioStation einen Port bestimmen, Standard für http ist 8800 und https 8801, diese musst du dann im Router auf die DS weiterleiten.