PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Internet-Zugriff auf DS-109 über Fritzbox - WIE?



longo
24.08.2009, 09:52
Hallo,

habe das Forum schon durchforstet und habe auch schon mal (für eine IP-Kamera) eine funktionierende Portweiterleitung eingerichtet - aber für den Internet-Zugriff aus die DS-109 klappt das nicht. Deshalb brauche ich mal Hilfe. Was mache ich falsch?

Konkret möchte ich zunächst einmal von meiner neuen DS-109 den Disk Station Manager erreichen. Laut Wiki (http://www.synology-wiki.de/index.php/Zugriff_auf_die_Synology-Dienste_%C3%BCber_Internet) hat der dafür richtige Port die Nummer 5001.

Ich habe also bei meiner Fritzbox diese Portweiterleitung eingerichtet:

http://www.vonklenze.de/bilder/ds109-A.jpg

und den Port 5001 natürlich auch in meiner Windows Firewall freigegeben.

Wenn ich nun im Browser unter Verwendung meiner derzeitigen externen IP eingebe:

https://91.96.95.223:5001/ (ist nur ein Beispiel)

passiert leider nichts - ich bekomme eine Netzwerk-Zeitüberschreitung.

Also, irgendwo habe ich ja einen Denkfehler. Weiß jemand wo?

DANKE!

jahlives
24.08.2009, 09:56
Hast du denn https für den DSM auch aktiviert? Per Default läuft das Teil afaik nur auf http (Port 5000). https müsste man erst aktivieren

longo
24.08.2009, 11:03
Hi,

ich meine ja .... aber da ich jetzt im Büro bin (und vergeblich versuche die DS-109 zu erreichen ....), müsste ich dann erstmal heute Abend nachsehen. Danke erstmal für den Hinweis!

steffi
24.08.2009, 11:04
hi

dann stellt sich die frage, wie willst du von aussen an deine router ip kommen? hast du da eine dauerhaft fixe ip? ansonsten müsstest du den ddns dienst der fritzboxnutzen. ( und dort die dns anbieterdaten z.b. dyndns eintragen)

longo
24.08.2009, 11:26
Hi Steffi,

ich habe auch eine oder besser zwei dyndns-zugänge eingerichtet. Das wird für mich (bin noch sehr sehr neu auf dem Gebiet) nämlich wahrscheinlich dann eine weitere Herausforderung: Ich kann prima über die eine dyndns-Adresse auf meine Webcam (die einen eigenen Server hat) zugreifen, die andere dyndns-Adresse habe ich eingerichtet, weil ich unter dem Namen dann eigentlich auf die Synology zurückgreifen wollte.

Mit der Portweiterleitung für die DS-109 oben ist alles okay? Also --> von Port 5001 --> an interne IP --> an Port 5001? Die "Denke" bei den Portweiterleitungen ist für mich immer noch schwierig nachvollziehbar.

Im Moment erreiche ich unter beiden dyndns-Adressen meine IP-Kamera, die ich über Port 80 laufen habe. Für dyndns gebe ich ja meine externe IP weiter (die meine Fritzbox täglich dorthin meldet, wenn mein Provider sie gewechselt hat). Wie müsste ich eigentlich dydns klar machen, dass ich unter der einen Adresse die IP-Kamera sehen will und unter der anderen die Synology? Beide Adressen "verwenden" ja die gleiche externe IP, um überhaupt erstmal den Router anzusprechen. Geht das überhaupt, was ich hier will?

steffi
24.08.2009, 11:30
hi

versuche mal eine deiner dyndns adressen mit dem zusatz " :5001 " oder " :5000 " (ohne die "")

im normalfall reicht eine dyndns adresse. du erweiterst dann die adresse mit dem doppelpunkt und dem port für den zugriff auf das entsprechende gerät/ die jeweilige anwendung

magick
24.08.2009, 12:02
Firma heisst auch Firmenfirewall, oder? Meine Firma lässt mich zwar erstaunlicherweise per http auf 5000 zugreifen, https auf einen nichtstandard port wird aber rigoros geblockt.
Das hat bei mir zum selben Effekt wie bei Dir geführt. 5000 und 5001 im Router durchgeleitet, in der Firma per http://xxx:5000 auf die admin-Seite, dort https aktiviert und http abgeschaltet und danach war die Box dann weg. :-(
Will ich also meineBox aus der Firma administrieren,muss ich http offen lassen, was ich eigentlich nicht will.

longo
24.08.2009, 12:23
Danke,

sehr hilfreiche Antworten, bringen Licht ins Dunkel. Ich muss heute Abend mal an den Einstellungen der DS-109 werkeln (https an oder aus?). Das ist ja leider das Dumme, dass man nicht gleichzeitig "drinnen" und "draußen" sein kann .... ich erstatte Bericht!

magick
24.08.2009, 12:49
Am besten http und https aktivieren und dann von der Firma aus schauen, was geht. Dazu 5000 und 5001 durchleiten.

jahlives
24.08.2009, 12:57
Will ich also meineBox aus der Firma administrieren,muss ich http offen lassen, was ich eigentlich nicht will.
Und wieso leitest du in diesem Fall nicht Port 443 auf Port 5001 weiter? Dann gehen die https Verbindungen zur Verwaltung der DS über den default Port für https. Könnte aber trotzdem sein, dass eine gute Schutzsoftware den Portwechsel 443 auf 5001 erkennt und blockiert. Den meisten Proxies ist das aber relativ egal.

magick
24.08.2009, 13:01
Weil ich bisher zu faul war :-) Ehrlich gesagt vergess ich es immer und denke erst dran, wenn ich in der Firma bin und mein Passwort im Klartext über die Leitung schicken muss.

longo
24.08.2009, 13:21
Hi,

habe gerade noch etwas gesehen, das Steffi in einem früheren Beitrag gepostet hatte (http://www.synology-forum.de/showthread.html?t=6619), und das für mich auch wichtig sein könnte (siehe Ausgangspunkt dieses Thread hier ganz oben) - er schrieb "zuerst: den dns dienst bitte nur auf einem gerät eintragen und benutzen. vorzugsweise im router."

Ich habe den DNS-Dienst voller Begeisterung natürlich sowohl für den Router als auch für die DiskStation aktiviert .... auch nicht so gut, oder?

magick
24.08.2009, 13:57
Du meinst den DynDNS-Client, nicht den DNS-Dienst. Letzteres setzt Anfragen nach xxx.yyy.de in die entsprechende IP-Nummer um und gibts weder auf der DS noch auf deinem Router. Der bietet sich zwar normalerweise als Nameserver ann, aber leitet das
auch nur an den Provider weiter.

DynDNS sollte nur einmal konfiguriert werden. Es hat prinzipiell keine besondere Auswirkung, wenn mans mehrfach konfiguriert, da es immer dieselbe externe IP-Adresse ist, die aktualisiert wird, aber DynDNS-Server mögen es nicht, permanent mit Anfragen bombardiert zu werden.

Matthieu
24.08.2009, 15:55
Achtung: Es wurden schon Nutzer abgemahnt von Anbietern auch inkl. temporärer Sperrung des Accounts. Anbieter können zwischen verschiedenen Clienten unterscheiden. Wenn jetzt mehrere Updaten wird von einem Problem ausgegangen und entsprechend reagiert.

MfG Matthieu

jahlives
24.08.2009, 17:02
Grundsätzlich sollte DynDNS am Router konfiguriert werden, weil es der Router sofort mitkriegt wenn seine externe IP wechselt. Die DS muss dazu immer eine externe Webseite aufrufen und funzt sicherlich nicht so schnell wie der Router.

longo
25.08.2009, 10:16
Hallo alle,

so, ich habe jetzt mal das https im DiskManager freigeschaltet (war tatsächlich noch nicht der Fall gewesen) und jede Menge Portweiterleitungen eingerichtet, wie hier zu sehen:

http://www.vonklenze.de/bilder/Portweiterleitungen.jpg

Die ersten beiden Portweiterleitungen (auch Port 80) sind für meine Webcam, die ich auch nach wie vor anstandslos erreichen kann. Deshalb ist weiter unten auch die Portweiterleitung auf Port 80 (HTTP-Server) für die DS-109 erstmal NICHT angehakt. Ich kann doch einen weiteren Port (z.B. 81) dafür einrichten und öffen, wenn ich Photostation oder Webstation nutzen will?

Wie Ihr seht, habe ich für http-Zugriff (Port 5000) noch nichts eingerichtet, wollte es natürlich erstmal über eine sichere https-Verbindung versuchen. Leider bekomme ich immer noch keinen Zugriff auf den Disk-Manager: Der Browser meckerte bei der Eingabe von https://meinname.dyndns.org:5001 über das fehlende/gefährliche Zertifikat, das ich dann aber hinzugefügt habe - dann kommt aber nix mehr außer der Netzwerk-Zeitüberschreitung. Jemand eine Idee? Das verwunderliche ist auch, dass mein Bruder gestern Abend von seinem Rechner aus mit der https-Adresse durchaus Zugriff bekommen hat. Von meinem Bürorechner hier aus bekomme ich übrigens ohne weiteres Zugang z.B. zu anderen https-Seiten, etwa Online-Banking. :confused: Das verwirrt mich ....

Der FTP-Zugriff auf die Diskstation mit FTP-Programm funktioniert bestens, da habe ich aber keine SSH-Verbindung. Sollte ich aber besser, oder? Außerdem ist die Download-Rate bescheiden, maximal ca. 40 KB/s. Wie gesagt, ich bin Newbie und habe jetzt das allererste Mal eine FTP-Verbindung von außen hergestellt, vielleicht ist das ja ganz normal mit der Transferrate, weil auf der anderen Seite kein Mörder-System steht?

magick
25.08.2009, 10:26
Du kannst mit den Port machen was Du willst. Der Port der aussen ist muss auch nicht dem inneren entsprechenden. Also

Extern 81 -> intern 80

ist kein Problem.

Das mit dem Timeout ist allerdings merkwürdig, da der Zertifikatsfehler ja auf einen Zugriff schliessen lässt, allerdings hast Du auch den Standardport 443 freigegeben. Sicher das deine Firma https Zugriffe auf nichtstandardports nicht unterbindet?

40Kb/s Donwload in welche Richtung? Auf deine DS oder von deiner DS?
Der Up/Donload dürfte nur von deiner DSL-Leitung limitiert sein und die hat ja bekanntlich einen deutlich kleineren Upload als Download.

longo
25.08.2009, 10:35
Hm,

was mir dazu jetzt noch einfällt (eventuell bringe ich einfach im Dreieck Router - IP-Kamera - DS-109 was durcheinander):

Ich hatte für meinen Router (Fritzbox) einen Fernwartungs-Zugriff eingerichtet. Unter der https-Adresse https://meinname.dyndns.org (ohne irgendwelche Doppelpunkt-Zusätze) konnte ich bislang immer aus der Ferne auf die Fritzbox zugreifen.

Da ich den "normalen" https-Zugriff auf Port 443 "freimachen" wollte (für die DS-109), habe ich gestern Abend noch - was bei der Fritzbox möglich ist - einen anderen Port dort angegeben, nämlich 400 (und natürlich in der Firewall freigegeben). Aber nun kann ich unter https://meinname.dyndns.org:400 dennoch nicht die Fritzbox erreichen. Und die DS-109 ja auch nicht .... :confused:

Ehrlich gesagt ist mir der Unterschied zwischen https-Port 443 und 5001 nicht ganz klar .... und vielleicht habe ich da ja was "blockiert"?

longo
25.08.2009, 10:40
40Kb/s Donwload in welche Richtung? Auf deine DS oder von deiner DS?
Der Up/Download dürfte nur von deiner DSL-Leitung limitiert sein und die hat ja bekanntlich einen deutlich kleineren Upload als Download.

von meiner DS ins Büro. ADSL2+ ..... weil ich am Dorfrand wohne, komme im Download noch ca 12.000 Kbit/s an, Upload sollten so ca. 700 Kbit/s möglich sein ....

longo
25.08.2009, 13:45
So, jetzt habe ich eben einen Freund gebeten mal auf die Webseite mit der Adresse https://meinname.dyndns.org:5001 zu gehen, und siehe da, der kommt zum Synology-Anmeldefenster durch, was mir hier verwehrt bleibt. Das legt ja den Schluss nahe, dass meine Firma https-Zugriffe auf Nichtstandardports blockt ....

Hm, was kann man da machen? Geht auch der 443er-Port, um auf den DiskStation-Manager zu kommen? Oder wenn ich nur http-Zugriff nehme, ist der mit einem kryptischen 20-stelligen Passwort dann sicher? Was meint Ihr?

magick
25.08.2009, 13:57
http ist schonmal inhärent unsicher, weils im Klartext übertragen wird.
Du kannst im Router extern 443->intern 5001 setzen, das müsste gehen. Dann ist allerdings der andere https-Server auf 443 weg, von dem Du erzählt hast.

longo
25.08.2009, 14:04
Hallo, ich versuche das mal mit 443-->5001 und schaue dann, was passiert, und berichte es hier natürlich. D A N K E! Und die Netzwerkfuzzis hier frage ich auch mal ....

longo
26.08.2009, 11:31
So, mit Portweiterleitung 443-->5001 klappt der https-Zugriff auf die DiskStation. Dafür ist halt der alternative Zugriff auf den Router über Port 400 nicht möglich ....wahrscheinlich sperren die Netzwerker hier alles, was nicht "Mainstream" ist.

goetz
26.08.2009, 14:13
Hallo,
eine Möglichkeit gäbe es noch wenn in der Firma ssh erlaubt ist.
Lege 443 wieder auf die Fritzbox, leite Port 22 an Port 22 der DS weiter.
In der Firma machst Du eine ssh Verbindung zur DS auf und tunnelst Port 5000 oder 5001 (da es eine verschlüsselte Verbindung ist kann auch Port 5000 verwendet werden, der wird aber nicht in der Fritzbox dach außen weitergeleitet).
Starte putty, gib bei Host Name den dynnds-Namen deiner DS ein, erweitere links SSH, klick Tunnels, gib als Source port 5000 oder 5001 ein, gib bei Destination localhost:5000 oder localhost:5001 ein, klick Add, klick links Session, gib bei Saved Sessions einen eindeutigen Namen an und klick Save.
Nun kannst Du Open klicken und es wird eine ssh verbindung mit Deiner DS hergestellt. Öffne deinen Browser und gib http://localhost:5000 oder https://localhost:5001 ein. Jetzt solltest Du auf Deiner DS sein.

Gruß Götz

jahlives
26.08.2009, 14:15
Wird denn ssh erlaubt sein, wenn schon https Zugriffe auf Ports != 443 geblocked werden? Ich habe da meine Zweifel... ;)

longo
26.08.2009, 14:46
Tja, der Thread ist ja schon länger, eingangs hatte ich meinen Newbie-Status erwähnt .... und das klingt jetzt doch reichlich kompliziert. Die Firma sit 'ne Uni und die haben hier bestimmt einiges geblockt weil es hier 'ne Menge Studis und Mitarbeiter gibt die Uni-Leitungen für wer weiß was genutzt haben (die Staatswanwaltschaft ist hier nicht unbekannt, über die Jahre gesehen).

Ich komme ja mit der 443-->5001-Umleitung immerhin per https auf die Disk Station. Was mir momentan noch Probleme bereitet ist der sichere Zugriff von Außen auf die DS per FTP, ist'n anderer Thread http://www.synology-forum.de/showthread.html?t=7954.

DANKE!

goetz
26.08.2009, 15:02
Hallo,
daran ist nichts kompliziert. Alles was Du brauchst ist putty und einen offenen ssh Port (22).
Unter Linux geht das sogar mit einer einzigen Zeile

ssh root@[Dynnds-Name] -L 5000:localhost:5000

Gruß Götz