DSM 6.x und darunter Internet-Zugriff auf DS-109 über Fritzbox - WIE?

[longo]

Hallo,

habe das Forum schon durchforstet und habe auch schon mal (für eine IP-Kamera) eine funktionierende Portweiterleitung eingerichtet - aber für den Internet-Zugriff aus die DS-109 klappt das nicht. Deshalb brauche ich mal Hilfe. Was mache ich falsch?

Konkret möchte ich zunächst einmal von meiner neuen DS-109 den Disk Station Manager erreichen. Laut Wiki (http://www.synology-wiki.de/index.php/Zugriff_auf_die_Synology-Dienste_über_Internet) hat der dafür richtige Port die Nummer 5001.

Ich habe also bei meiner Fritzbox diese Portweiterleitung eingerichtet:

und den Port 5001 natürlich auch in meiner Windows Firewall freigegeben.

Wenn ich nun im Browser unter Verwendung meiner derzeitigen externen IP eingebe:

https://91.96.95.223:5001/ (ist nur ein Beispiel)

passiert leider nichts - ich bekomme eine Netzwerk-Zeitüberschreitung.

Also, irgendwo habe ich ja einen Denkfehler. Weiß jemand wo?

DANKE!

 

[jahlives]

Hast du denn https für den DSM auch aktiviert? Per Default läuft das Teil afaik nur auf http (Port 5000). https müsste man erst aktivieren

 

[longo]

@ jahlives

Hi,

ich meine ja .... aber da ich jetzt im Büro bin (und vergeblich versuche die DS-109 zu erreichen ....), müsste ich dann erstmal heute Abend nachsehen. Danke erstmal für den Hinweis!

 

[steffi]

hi

dann stellt sich die frage, wie willst du von aussen an deine router ip kommen? hast du da eine dauerhaft fixe ip? ansonsten müsstest du den ddns dienst der fritzboxnutzen. ( und dort die dns anbieterdaten z.b. dyndns eintragen)

 

[longo]

@ steffi

Hi Steffi,

ich habe auch eine oder besser zwei dyndns-zugänge eingerichtet. Das wird für mich (bin noch sehr sehr neu auf dem Gebiet) nämlich wahrscheinlich dann eine weitere Herausforderung: Ich kann prima über die eine dyndns-Adresse auf meine Webcam (die einen eigenen Server hat) zugreifen, die andere dyndns-Adresse habe ich eingerichtet, weil ich unter dem Namen dann eigentlich auf die Synology zurückgreifen wollte.

Mit der Portweiterleitung für die DS-109 oben ist alles okay? Also --> von Port 5001 --> an interne IP --> an Port 5001? Die "Denke" bei den Portweiterleitungen ist für mich immer noch schwierig nachvollziehbar.

Im Moment erreiche ich unter beiden dyndns-Adressen meine IP-Kamera, die ich über Port 80 laufen habe. Für dyndns gebe ich ja meine externe IP weiter (die meine Fritzbox täglich dorthin meldet, wenn mein Provider sie gewechselt hat). Wie müsste ich eigentlich dydns klar machen, dass ich unter der einen Adresse die IP-Kamera sehen will und unter der anderen die Synology? Beide Adressen "verwenden" ja die gleiche externe IP, um überhaupt erstmal den Router anzusprechen. Geht das überhaupt, was ich hier will?

 

[steffi]

hi

versuche mal eine deiner dyndns adressen mit dem zusatz " :5001 " oder " :5000 " (ohne die "")

im normalfall reicht eine dyndns adresse. du erweiterst dann die adresse mit dem doppelpunkt und dem port für den zugriff auf das entsprechende gerät/ die jeweilige anwendung

 

[magick]

Firma heisst auch Firmenfirewall, oder? Meine Firma lässt mich zwar erstaunlicherweise per http auf 5000 zugreifen, https auf einen nichtstandard port wird aber rigoros geblockt.
Das hat bei mir zum selben Effekt wie bei Dir geführt. 5000 und 5001 im Router durchgeleitet, in der Firma per http://xxx:5000 auf die admin-Seite, dort https aktiviert und http abgeschaltet und danach war die Box dann weg. :-(
Will ich also meineBox aus der Firma administrieren,muss ich http offen lassen, was ich eigentlich nicht will.

 

[longo]

Danke!

Danke,

sehr hilfreiche Antworten, bringen Licht ins Dunkel. Ich muss heute Abend mal an den Einstellungen der DS-109 werkeln (https an oder aus?). Das ist ja leider das Dumme, dass man nicht gleichzeitig "drinnen" und "draußen" sein kann .... ich erstatte Bericht!

 

[magick]

Am besten http und https aktivieren und dann von der Firma aus schauen, was geht. Dazu 5000 und 5001 durchleiten.

 

[jahlives]

Will ich also meineBox aus der Firma administrieren,muss ich http offen lassen, was ich eigentlich nicht will.

Und wieso leitest du in diesem Fall nicht Port 443 auf Port 5001 weiter? Dann gehen die https Verbindungen zur Verwaltung der DS über den default Port für https. Könnte aber trotzdem sein, dass eine gute Schutzsoftware den Portwechsel 443 auf 5001 erkennt und blockiert. Den meisten Proxies ist das aber relativ egal.

 

[magick]

Weil ich bisher zu faul war Ehrlich gesagt vergess ich es immer und denke erst dran, wenn ich in der Firma bin und mein Passwort im Klartext über die Leitung schicken muss.

 

[longo]

DNS nur auf einem Gerät?

Hi,

habe gerade noch etwas gesehen, das Steffi in einem früheren Beitrag gepostet hatte (http://www.synology-forum.de/showthread.html?t=6619), und das für mich auch wichtig sein könnte (siehe Ausgangspunkt dieses Thread hier ganz oben) - er schrieb "zuerst: den dns dienst bitte nur auf einem gerät eintragen und benutzen. vorzugsweise im router."

Ich habe den DNS-Dienst voller Begeisterung natürlich sowohl für den Router als auch für die DiskStation aktiviert .... auch nicht so gut, oder?

 

[magick]

Du meinst den DynDNS-Client, nicht den DNS-Dienst. Letzteres setzt Anfragen nach xxx.yyy.de in die entsprechende IP-Nummer um und gibts weder auf der DS noch auf deinem Router. Der bietet sich zwar normalerweise als Nameserver ann, aber leitet das
auch nur an den Provider weiter.

DynDNS sollte nur einmal konfiguriert werden. Es hat prinzipiell keine besondere Auswirkung, wenn mans mehrfach konfiguriert, da es immer dieselbe externe IP-Adresse ist, die aktualisiert wird, aber DynDNS-Server mögen es nicht, permanent mit Anfragen bombardiert zu werden.

 

[Matthieu]

Achtung: Es wurden schon Nutzer abgemahnt von Anbietern auch inkl. temporärer Sperrung des Accounts. Anbieter können zwischen verschiedenen Clienten unterscheiden. Wenn jetzt mehrere Updaten wird von einem Problem ausgegangen und entsprechend reagiert.

MfG Matthieu

 

[jahlives]

Grundsätzlich sollte DynDNS am Router konfiguriert werden, weil es der Router sofort mitkriegt wenn seine externe IP wechselt. Die DS muss dazu immer eine externe Webseite aufrufen und funzt sicherlich nicht so schnell wie der Router.

 

[longo]

noch kein Zugriff möglich

Hallo alle,

so, ich habe jetzt mal das https im DiskManager freigeschaltet (war tatsächlich noch nicht der Fall gewesen) und jede Menge Portweiterleitungen eingerichtet, wie hier zu sehen:

Die ersten beiden Portweiterleitungen (auch Port 80) sind für meine Webcam, die ich auch nach wie vor anstandslos erreichen kann. Deshalb ist weiter unten auch die Portweiterleitung auf Port 80 (HTTP-Server) für die DS-109 erstmal NICHT angehakt. Ich kann doch einen weiteren Port (z.B. 81) dafür einrichten und öffen, wenn ich Photostation oder Webstation nutzen will?

Wie Ihr seht, habe ich für http-Zugriff (Port 5000) noch nichts eingerichtet, wollte es natürlich erstmal über eine sichere https-Verbindung versuchen. Leider bekomme ich immer noch keinen Zugriff auf den Disk-Manager: Der Browser meckerte bei der Eingabe von https://meinname.dyndns.org:5001 über das fehlende/gefährliche Zertifikat, das ich dann aber hinzugefügt habe - dann kommt aber nix mehr außer der Netzwerk-Zeitüberschreitung. Jemand eine Idee? Das verwunderliche ist auch, dass mein Bruder gestern Abend von seinem Rechner aus mit der https-Adresse durchaus Zugriff bekommen hat. Von meinem Bürorechner hier aus bekomme ich übrigens ohne weiteres Zugang z.B. zu anderen https-Seiten, etwa Online-Banking. Das verwirrt mich ....

Der FTP-Zugriff auf die Diskstation mit FTP-Programm funktioniert bestens, da habe ich aber keine SSH-Verbindung. Sollte ich aber besser, oder? Außerdem ist die Download-Rate bescheiden, maximal ca. 40 KB/s. Wie gesagt, ich bin Newbie und habe jetzt das allererste Mal eine FTP-Verbindung von außen hergestellt, vielleicht ist das ja ganz normal mit der Transferrate, weil auf der anderen Seite kein Mörder-System steht?

 

[magick]

Du kannst mit den Port machen was Du willst. Der Port der aussen ist muss auch nicht dem inneren entsprechenden. Also

Extern 81 -> intern 80

ist kein Problem.

Das mit dem Timeout ist allerdings merkwürdig, da der Zertifikatsfehler ja auf einen Zugriff schliessen lässt, allerdings hast Du auch den Standardport 443 freigegeben. Sicher das deine Firma https Zugriffe auf nichtstandardports nicht unterbindet?

40Kb/s Donwload in welche Richtung? Auf deine DS oder von deiner DS?
Der Up/Donload dürfte nur von deiner DSL-Leitung limitiert sein und die hat ja bekanntlich einen deutlich kleineren Upload als Download.

 

[longo]

https-Zugriff

Hm,

was mir dazu jetzt noch einfällt (eventuell bringe ich einfach im Dreieck Router - IP-Kamera - DS-109 was durcheinander):

Ich hatte für meinen Router (Fritzbox) einen Fernwartungs-Zugriff eingerichtet. Unter der https-Adresse https://meinname.dyndns.org (ohne irgendwelche Doppelpunkt-Zusätze) konnte ich bislang immer aus der Ferne auf die Fritzbox zugreifen.

Da ich den "normalen" https-Zugriff auf Port 443 "freimachen" wollte (für die DS-109), habe ich gestern Abend noch - was bei der Fritzbox möglich ist - einen anderen Port dort angegeben, nämlich 400 (und natürlich in der Firewall freigegeben). Aber nun kann ich unter https://meinname.dyndns.org:400 dennoch nicht die Fritzbox erreichen. Und die DS-109 ja auch nicht ....

Ehrlich gesagt ist mir der Unterschied zwischen https-Port 443 und 5001 nicht ganz klar .... und vielleicht habe ich da ja was "blockiert"?

 

[longo]

Download-Speed

40Kb/s Donwload in welche Richtung? Auf deine DS oder von deiner DS?
Der Up/Download dürfte nur von deiner DSL-Leitung limitiert sein und die hat ja bekanntlich einen deutlich kleineren Upload als Download.

von meiner DS ins Büro. ADSL2+ ..... weil ich am Dorfrand wohne, komme im Download noch ca 12.000 Kbit/s an, Upload sollten so ca. 700 Kbit/s möglich sein ....

 

[longo]

Jetzt kommt Licht ins Dunkel ....

So, jetzt habe ich eben einen Freund gebeten mal auf die Webseite mit der Adresse https://meinname.dyndns.org:5001 zu gehen, und siehe da, der kommt zum Synology-Anmeldefenster durch, was mir hier verwehrt bleibt. Das legt ja den Schluss nahe, dass meine Firma https-Zugriffe auf Nichtstandardports blockt ....

Hm, was kann man da machen? Geht auch der 443er-Port, um auf den DiskStation-Manager zu kommen? Oder wenn ich nur http-Zugriff nehme, ist der mit einem kryptischen 20-stelligen Passwort dann sicher? Was meint Ihr?