DSM 6.x und darunter Verständnisfrage Externer Zugriff auf DSM sperren, APP Zugriff extern erlauben

[Birdy_666]

Hallo zuammen,
ich bin der Neue
durch einen "XPenology Test" konnte ich mich von den Synos überzeugen und bin nun stolzer Besitzer einer DS415+.
Auf diesem Weg auch gleich mal ein grosses Lob an dieses Forum. Echt klasse wie aktiv hier alles ist...Respekt...

Leider steh ich jedoch ein wenig auf dem Schlauch was den Zugriff vom "Internet" auf die DSM und den Synology Apps angeht.

Zur Situation:
- DynDNS Dienst (...goip.de) auf der Fritzbox eingerichtet, funktioniert
- Portweiterleitung auf der Fritzbox auf Port 5001 eingerichtet
- Eigenes Zertifikat erstellt und auf Windows Phone 8.1 "installiert"
- im DSM alles auf HTTPS gesetzt
- Zugriff mit der Windows Phone APP DS Audio funktioniert

...soweit alles i.O.
Aber durch die Portweiterleitung erscheint nun auch die DSM-Oberfläche wenn ich über das "Internet" meine DynDNS-Adresse eintrage.
Dies möchte ich aus Sicherheitsgründen nicht, bzw. hier möchte ich keinen Angriffpunkt meiner DS "freigeben"...

Deshalb meine Fragen, bzw. Vorhaben:
1. Besteht die Möglichkeit die DSM-Oberfläche nur für mein Lokales Netzwerk freizugeben
2. Laufen die originalen Synology APP Anwendungen (DS Audio, DS Photo, DS Video) alle über den "DSM-Port"
2.1 kann ich die Ports für die entsprechenden Anwendungen im DSM konfigurieren? -> hierzu habe ich keine Einstellungen gefunden

3. hat es schon jemand geschafft mit einem Windows Phone 8.1 eine VPN Verbindung aufzubauen? Oder heisst es hier warten und hoffen auf Windows 10?


Für entsprechende Tips wäre ich sehr dankbar

Viele Grüsse
Birdy_666

 

[Nima]

Das sollte dir weiterhelfen: https://www.synology.com/de-de/knowledgebase/faq/299

 

[frankyst72]

wenn ich die Info von Nima richtig verstehe, dann ist es wohl nicht möglich. Du kannst aber natürlich von außen weniger gefährdete Ports verwenden und diese auf die internen Standardports an der DS umleiten. Also z.B. anstatt 5001 -> 35001, es bleibt aber trotzdem die Oberfläche erreichbar.

Einzige Hilfe... sichere Passwörter

 

[Nima]

Das ist eine trügerische Sicherheit (obwohl ich das auch gemacht habe und Synology das auch empfiehlt ;-). Stichwort Portscanner.
Die DS ist relativ sicher. Absolute Sicherheit gibt es nicht.
Es gibt keinen Grund sich kirre zu machen. Verwende immer https. Öffne nur Ports, die du auch wirklich brauchst!
Ich habe seit Jahren damit keine Probleme gehabt.

 

[Andy14]

Die PhotoStation (DSPhoto) ist eine "normale" Webseite http Port 80, https Port 443, da erscheint dann nicht die DSM Eingabemaske.
Ports für FileStation (DSFile), VideoStation (DSVideo), und AudioStation (DSAudio) können über Systemsteuerung->Anwendungsportal jeweils für http und https festgelegt werden. Über diese Ports sind dann in der Eingabemaske auch nur die entsprechenden "Stations" erreichbar und nicht die DSM Oberfläche.
5001 brauchst du dann nicht freigeben.

 

[Birdy_666]

Vielen Dank, waren genau die Informationen die mir gefehlt haben.
Falls andere auch an diesem Thema sind kurz eine Zusammenfassung, bzw. folgendes habe ich mir jetzt eingerichtet:

1. DSM Systemsteuerung -> Anwendungsportal:
"alias" und zusätzliche "https Ports" für Audio und Video eintragen

2. DSM Systemsteuerung -> WEBDienste
zusätzlichen "https Port" für Photo (und WEB) eintragen

Auf dem Router/Fritzbox für die 3 Anwendungen die zusätzlichen https Ports an die DS weiterleiten

Ergebnis:
Lokal kann nun auf DSM und die Anwendungen im Format 192.xxx.xxx/"alias" zugegriffen werden
Der Mobile Zugriff (auch mit den Syno-Apps) erfolgt dann über https://dyndns-Adresse/"zusätzlicher https Port"

Der Mobile DSM-Login für die Syno-Administration ist somit wie gewüncht nicht mehr möglich

Noch mal vielen Dank