PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : wie die DS-Admin über das Internet per https:// erreichen?



Quicky81
04.08.2009, 08:21
Hallo Community,
mich beschäftigt seit einiger Zeit ein größeres Problem das mir einfach nicht begreiflich wird wo die Ursache liegt. Ich hoffe das ich die Thematik verständlich rüber bringe.

Ich lese nun schon eine ganze Weile im Forum wie es möglich ist die Administrationsseite aus dem Internet mittels Port-Triggering über eine https Verbindung zu erreichen, wenn z.B. in der Firma der Port 5000 blockiert wird.

Viele schreiben das es möglich ist durch eine Konfigurationsänderung im Router den Port 443 (https) auf den Port 5001 umzulenken und damit zu bewirken das man nur noch "https://meinname.dyndns.de" eingeben muss, ohne einen Port dahinter, um die Admin seite zu öffen.

Ich habe entsprechend dem Wiki die nötigen Pots auf die DS weitergleitet und für den Port 443 ein Triggering auf 5001 vorgenommen, was aber mit 2 Unterschiedlichen Routern (Topcom Skyr@cer WBR 7001g und einen älteren Netgear Router) nicht wirklich gelingen will.
Ich lande immer wieder auf "http://meinname.dyndns.de/" und bekomme meine Webseite angezeigt. Erst wenn ich "https://meinname.dyndns.de:5001" eingebe werde ich auf die AdminSeite geleitet. Ich möchte und kann aber keinen Port hinter der Adresse angeben, das wird im Firmenetz geblockt.

Liegt es an meine älteren Firmware Version: DSM 2.0-0731 die ich auf meiner DS 106 nur betreibe kann, das es nicht so funktioniert wie bei allen anderen, oder vergesse ich etwas in der Routerkonfiguration?
Wie Sieht eine richtige Port und Trigger Konfiguration bei euch aus und welchen Router benutzt Ihr? Ich bin verzweifelt auf der Suche nach der Einstellung oder einem Router der die Trigger Funktion wie gewünscht durchführt, denn nur wenn das funktioniert kann ich mir einen neue DS 409 holen.

Bitte helft mir dem Fehlerteufel auf die Spur zu kommen.


P.S. nach meinem Verständinss kommt ich mit einer https Verbindung beim Router an, der erkennt den Port 443 und leitet um auf 5001, doch dann hab ich ja kein https mehr und schlage demzufolge mit http://name.dyndns.de:5001 an der DS auf und die erkennt dann aufgrund des nun fehlenden https nicht mehr das ich auf die Admin seite will. Werde ich deswegen immer auf meine Webseite geleitet weil die Verbindung von https auf http umschwenkt? Muss ich den Port 443 noch irgendwo zusätzlich weiterleiten?

itari
04.08.2009, 08:50
Vielleicht trägt ein Screenshot deiner Router-Umleitung zum besseren Verständnis bei. Kannst mal einen hier hereinhängen?

Itari

Quicky81
04.08.2009, 09:18
Einen Screenshot könnte ich leider erst heute Abend nach liefern.

SIeht aber so aus das die Portweiterleitung auf die dem WIKI eintsprechen:

192.168.0.11 20 TCP Aktiv FTP
192.168.0.11 21 TCP FTP
192.168.0.11 80 TCP Web Station / Photo Station / Blog
192.168.0.11 443 TCP Web Station / Photo Station / Blog (HTTPS)
192.168.0.11 5000 TCP Synology Disk Station Manager (unverschlüsselt)
192.168.0.11 5001 TCP Synology Disk Station Manager (verschlüsselt)
192.168.0.11 55536-55663 Passiv FTP

Der Port Trigger heißt im Router Virtual-Server und sieht so aus
Private IP | Private Port | Type | Public Port | Comment
------------------------------------------------------------
192.168.0.11 | 5001 | TCP | 443 | NAME

Siehe auch im Handbuch auf Seite 66: http://www.topcom.net/downloads/userguides/Skyracer%20WBR%207001g%20Full%20UK.pdf

Damit soll doch bei einer eingehenden https Verbindung auf den Port 5001 umgelenkt werden, nbur was passiert dann mit dem https? Wird das zu http?
In den normalen Port Forwarding hab ich dem Port 443 und 5001 ja gesagt das er auf die DS zeigen soll, beißt sich das irgendwo?

P.S: bevor ich es vergesse, ich habe in der DS natürlich gesagt das der https aktivieren soll und die Admin anfrage automatisch auf SSL umlegen soll. Klappt auch intern soweit ganz gut.

itari
04.08.2009, 09:33
Es gibt viele Beiträge im Web über das Nicht-Funktionieren eines Port-Forwardings mit SSL bei Routern. Vielleicht schaust du einfach mal beim Router-Hersteller ins Forum bzw. schaust nach, ob das Problem da bekannt ist und was sie empfehlen.

Itari

goetz
04.08.2009, 09:44
Hallo,
so kann es nicht gehen. Du leitest Port 443 direkt an 443 der DS weiter. Woher soll der Router wissen, daß Du nach 5001 eigentlich willst. Port-Triggering (http://de.wikipedia.org/wiki/Port_Triggering) hilft Dir da nicht.
Noch eins vorweg: Mach Port 5000 zu! Der hat im Internet nichts zu suchen!
Was Du machen kannst:
Leite Port 22 (ssh) weiter. Verbinde Dich per ssh von extern mit der DS und tunnel Port 5001

ssh -L 5001:localhost:5001 root@deine.domain
oder per putty bei ssh->Tunnels: Source port:5001, Destination: localhost:5001 ->Add klicken und die Konfiguration speichern.
Von extern gibst Du im Browser nach erfolgreicher ssh Verbindung
https://localhost:5001 ein.

Gruß Götz

Quicky81
04.08.2009, 09:49
Ok, leider gibt es bei er Firma TopCom keine wirkliche Community oder Unterstützung. Hab den Router damals auf gut Glück gekauft und bisher hat er gut funktioniert. Inzwischen ist er etzwas in die jahre gekommen und ich Überlege mir einen neuen Router anzuschaffen der das sauber kann. Kannst du mir einen nennen der gut funktioniert und ein sauberer https Port Forwarding für die DS macht?

Vielen Dank Goetz, ich werde das mal ausprobieren. Klingt logisch was du sagst, werde den Portforward von 443 mal raus nehmen.
Allerdings begreife ich die Umständliche Tunnelung über SSH nicht ganz wenn ich am ende immer noch https://localhost:5001 den Port mit angeben muss.
Was soll das bewirken oder belegen?

goetz
04.08.2009, 10:00
Hallo,
mit dem Tunnel verhält sich der Client-Rechner so als ob nur eine ssh Verbindung besteht und er einen eigenen Webserver (localhost) hätte.
Du kannst natürlich als Destination auch localhost:80 nehmen und rufst https://localhost auf (dann darf aber auf dem Client-Rechner kein eigener Webserver laufen).

Gruß Götz

Quicky81
04.08.2009, 10:07
Achso, das bringt mir leider nichts da ich den Webserver nutze und von der Firma nicht über SSH Port 22 rauskomme, dieser ist ebenfalls blockiert. Ich bin also gezwungen das mit dem SSL Redirekt hinzubekommen und würde dafür auch neue Hardware kaufen, nur welche?

goetz
04.08.2009, 10:19
Hallo,
die einzige Möglichkeit ist dann Port 443 an 192.168.0.11 5001 weiter zu leiten. Damit verlierst Du aber den SSL Zugriff auf Web Station / Photo Station / Blog (HTTPS) .

Gruß Götz

Quicky81
04.08.2009, 10:37
Das ist ja genau das was ich vor haben, die Webseiten werden nur mit http über Port 80 aufgerufen, das Admin Frontend allerdings soll nur über https erreicht werden können, und dafür möchte ich zusätzlich im Router den Port 443 auf 5001 leiten damit ich auch aus der Firma drauf zugreifen kann. In der Firma kann ich den Port 5001 nicht mit angeben (wird blockiert), das muss also über die https Verbindung bei mir zu hause am Router auf 5001 gemappt werden.

goetz
04.08.2009, 10:50
Hallo,
wenn Du 443 aus der Portweiterleitung des Topcom rauswirfst sollte der virtuelle Server eigentlich genau das machen was Du möchtest.

Gruß Götz

Matthieu
04.08.2009, 11:06
Vielleicht unschön, aber ginge es nicht auch über nen iframe?

Über vHosts die https auf nen unterordner umlenken und dort eine Datei mit iframe-DSM-Aufruf einfügen.

MfG matthieu