DSM 6.x und darunter Wie vorgehen, wenn zwei Geräte Port 5001 benötigen?

[Busta2]

Hallo

Meine VoIP-Anlage muss über Port 5001 von extern erreichbar sein. (Nervig, da darüber auch die Management Konsole erreichbar ist, leider momentan nicht anders konfigurierbar.)


Wie gehe ich denn jetzt vor, wenn auch die Synology darüber erreichbar sein will? Nebenbei, ist das nicht auch bei der Synology kritisch, wenn die DSM direkt von außen erreichbar ist?!
In der File Station kann man wohl einen anderen Port konfigurieren, aber CMS, Drive, Moments, Note Station, DS cam, DS file, DS finder sind wohl darauf angewiesen. Wie kann ich da vorgehen?

Edit: Gilt natürlich auch für 80 und 443 für Let's Encrypt, bin nicht sooo happy, dass ich die freigeben soll.

Wäre Quick Connect eigentlich eine Alternative oder bringt das in dem Fall nichts? idomix meint bei einer iPv4 ist Let's Encrypt sinnvoller als Quick Connect.

 

[Kurt-oe1kyw]

Variante 1:
externer Port 123456 umleiten auf interne IP VoIP Anlage Port 5001
externer Port 098765 umleiten auf interne IP Diskstation Port 5001

Variante 2:
DSM Port im DSM einfach abändern:
DSM > Hauptmenü > Systemsteuerung > Externer Zugriff > Register "Erweitert" > DSM (HTTPS): "Wunschport für DSM aussuchen" > rechts unten auf "Übernehmen" klicken.

Bei Variante 1 musst du dann in den Apps den entsprechenden Port mit angeben, also zB xxxxxxx.synology.me:098765 der läuft durch die Routerumleitung dann ja wieder auf :5001 auf deiner DS auf.

 

[ottosykora]

5001 ist ja nur für DSM Zugang, das kann auf sonst was gesetzt werden oder im Router einen anderen Port zu der DS:5001 leiten. Viele Leute nehmen nach aussen einen anderen Port, eben wegen ein wenig Verschleierung.

----------
kurt halt schneller

 

[Busta2]

Danke .... ich bin ein Held.... der DSM Port war sowieso schon geändert.

Die Fragen bleiben aber sonst trotzdem bestehen:
1) Kann ich den Port auch für die anderen Dienste wie DS cam ändern?
2) Würdest du die freigeben? Falls nicht, wie machst du das?
3) Deine Variante 1 habe ich auch schon überlegt, nur funktioniert das denn? In den VoIP Clients kann ich nicht konfigurieren, dass sie jetzt einen anderen Port verwenden sollen, somit schätze ich, dass das schief geht? Kann ich das in den DS Apps konfigurieren?

Edit: Danke auch an dich ottosykora. Gibt es eigentlich eine 'Regel' welche Ports sicherer sind? Als ich den DSM Port vor ein paar Tagen geändert habe, habe ich einfach 500x genommen. Gut so oder besser etwas anderes?

 

[Kurt-oe1kyw]

Gibt es eigentlich eine 'Regel' welche Ports sicherer sind?

JA, alle die geschlossen und gesperrt sind

 

[Busta2]

Naja, eventuell ist es sicherer für DSM einen Port zu verwenden, unter dem man in der Regel keine kritischen Anwendungen findet?

Die File Station scheint mir immer den gleichen Port wie das DSM zu verwenden. Das lässt sich also wohl doch nicht trennen.

 

[Puppetmaster]

Der Port ist nur eine Zahl. Kritisch ist die Anwendung dahinter. Wenn die eine (dir unbekannte) Lücke aufweist, ist ziemlich egal, welcher Port davor liegt.
Also ob nun das Fenster im Wohnzimmer oder im Badezimmer oder im Schlafzimmer offen steht, das ist dem Einbrecher ziemlich wumpe.

PS: die Filestation hört standardmäßig auf die Ports 7000/7001.

 

[Nomad]

Bei DSM rät der eingebaute Sicherheitsberate den Port zu ändern. So gesehen sehe ich keine Notwendigkeit, diese auf dem Standardport laufen zu lassen.

Ansonsten, am besten alles verrammeln und nur die Ports zugänglich machen die man unbedingt braucht.

Oder gleich VPN? Synology bietet ja einen gut konfigurierbaren VPN Server an.

 

[Busta2]

Sicher? Ich habe nichts geändert und die Links der Filestation laufen auf 5001.

VPN: Ja, würde mich auch mal interessieren, ob HTTPS oder VPN die sinnvollere Variante ist. Da meint auch jeder was anderes.

 

[Puppetmaster]

Sicher?

Hm, nein, offenbar hat Synology das in der jüngeren Vergangenheit geändert.
Aber du solltest für Anwendungen wie die FileStation einen eignen Port vergeben können. Bzw. sind ja auch aliase möglich.

 

[Busta2]

Kannst du mir erklären wie? Ich finde das nicht.

 

[Puppetmaster]

Der Punkt im DSM hieß mal Anwendungsportal. Nicht, dass das auch geändert wurde...

 

[ottosykora]

nein, ist in meiner 218+ mit 6.2 immer noch am gleichen Ort.

Drin ist auch für Filestation der Port 7000/7001 eingetragen, per defaoult, ich habe es nicht reingeschrieben


Dann ist bei mir noch Downloadstation drin, auch da ist der Port immer noch 8000/8001

 

[Busta2]

Super, vielen Dank! Den Menüpunkt habe ich bisher immer übersehen.

Welche Ports gebt ihr dann in der Firewall frei?

 

[ottosykora]

Welche Ports gebt ihr dann in der Firewall frei?

na die welche man halt braucht

(ich selber habe die FW der DS eigentlich nur mal kurz für Versuche verwendet, ist immer off sonst)

 

[Busta2]

Sorry, ich meinte die WAN Firewall, nicht die der DS. (Sprich welche Ports leitet ihr weiter. Wo überwiegt für euch der Nutzen das Risiko) Letztere hab ich aktiv, aber einiges offen, was sicher nicht in der Internetfirewall freigegeben wird.

 

[ottosykora]

wie schon gesagt, diejenigen die man für die Arbeit braucht muss man halt weiterleiten, alle anderen zu.

Zum Bsp haltet man normalerweise den Port 22 für SSH und 23 für Telnet zu, aber wenn man was schnell auf der Konsole machen will, dann man es doch aufmachen müssen.

Will man auf DSM von aussen, dann muss man eben den Port aufmachen welcher dann zu der DS geleitet wird und DSM Zugang anspricht.
Will jemand FTP haben , dann muss er eben die FTP Ports und die Passivports dazu auch durchlassen.

Da kann dir niemand sagen was du brauchst, du musst zuerst wissen was du tun willst mit der DS und welche Dienste du von aussen erreichen willst.
(Port = Dienst)