Toggle sidebar

Firewall Quickconnect

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

A

alexmosel

Benutzer
Registriert
20. Dez. 2009
Beiträge
30
Reaktionspunkte
0
Punkte
6
Habe eben mal die Firewall eingerichtet, dort nur einen Dienst freigegeben...
Ist es richtig dass via Quickconnect von aussen das NAS trotzdem erreichbar ist ? Auch CMS geht problemlos....wird die Firewall für die Quickconnect Geschichte ignoriert ?

Den Rsync erreicht man sehr wohl nicht wenn in Firewall gesperrt...aber Webinterface über QC geht...obowhl nicht freigegeben
 
Theoretisch kannst auch QC in der Firewall sperren.

Aber eingehend klappt ja sowieso nur das was du in deinem Router weitergeleitet hast.
 
alexmosel schrieb:
dass via Quickconnect von aussen das NAS trotzdem erreichbar ist ?
Zum Vergrößern anklicken....
so genau ist es wörtlich nicht richtig

Wenn es keine direkt Verbindung gibt, dann geht die Kommunikation nur als Antwort auf eine outbound zum QC Server. Das ist dann eher Angelegnheit für den Router und das zu filtrieren kann kompliziert sein da nicht von vorne bekannt ist welcher inbound Port da Rolle spielt, respektive das ändert ja dauernd.
 
Naja aber ich habe jetzt natürlich meinen internen IP Range freigegeben bei alle Adapter und bei LAN 1 wo das Netzwerkkabel angeschlossen ist nur den rsync-port dementsprechend dürfte ja bei Quick Connect nicht funktionieren tut es aber
 
Kannst das mal in nem Screenshot zeigen?
Das ist vermutlich leichter.
 
alexmosel schrieb:
dürfte ja bei Quick Connect nicht funktionieren tut es aber
Zum Vergrößern anklicken....
wie schon erklärt
QC wird via Antwort auf deinen ausgehenden Anruf angeliefert und das muss dein Router durchleiten. Würde er das nicht tun, kannst du aus deinem Netzwerk auch keine Webseiten besuchen zum Bsp.
 
Wenn QC aktiviert ist, dann meldet sich deine DS dauernd via ausgehendes Verkehr bei dem QC Server. Wenn dieser etwas an deine DS mitzuteilen hat, dann wird es als Antwort auf diese von deiner DS gestartete Anfrage erfolgen
 
  • Like
Reaktionen: Tommes und Benie
Frage ist halt eher was er erreichen will.
 
War nur eine generelle Frage zur Firewall weil wenn man Dienste sperrt und die dann zum Schluss via quickconnect erreichbar sind ist das ja irgendwie Pupes
 
Irgend etwas muß ja offen sein wenn man einen Dienst von außerhalb nutzen will, wie soll es anderst gehen?
 
alexmosel schrieb:
wenn man Dienste sperrt und die dann zum Schluss via quickconnect erreichbar sind
Zum Vergrößern anklicken....
das ist ja der ultimative Zweck von QC!

also wenn du es nicht verwenden willst, dann musst du es nicht einschalten


Vielleicht musst du dir mal etwas nachlesen wie so ein Router funktioniert als Vermittler zwischen einem Client (mit einer ausgehenden Anfrage) und einem Server (Antworkt auf diese Anfrage) funktioniert. NAS-Router, Router-Server, Server-Router, Router-NAS, all das geht automatisch und muss vorhanden sein, sonst funktioniert gar nichts mehr. Die IP welche hier nur temorär verwendet werden , sind dynamisch zugeteilt.

Direkt mit QC kann nichts erreicht werden in deiner NAS, die ruft selber von sich aus und holt sich die Traffic von dem Server.
 
  • Like
Reaktionen: Benie und Tommes
Daher müsste Quick Connect eigentlich auch Quick and Dirty Connect heißen, da hier die Verbindung, dank des QC Relay-Servers durch die Firewall gebombt wird…man nennt das Verfahren auch „Hole Punching“. Und wie @ottosykora schon sagte, dein Synology NAS baut eine Verbindung zum QC Relay-Server auf und ist damit „established“, so das auch eingehende Anfragen zugelassen werden. Wenn nun jemand deine QC-DDNS eingibt, dann wird er zunächst an den Relay-Server geleitet, der wiederum die Anfrage an dein Synology NAS weiterleitet. Somit müsstest du den eingehenden Datenverkehr des Relay-Servers blockieren (inbound), jedoch würde QC dann überhaupt nicht mehr funktionieren. Von daher ist es besser, einen „richtigen“ DDNS-Dienst in Anspruch zu nehmen. Ich persönlich halte von QC nämlich ziemlich wenig.

Only my two cents

Tommes
 
  • Like
Reaktionen: ThomasD. und Benie
QC ist ja auch praktisch... und vor allem einfach. Das erkauft man sich jedoch mit einer gewissen Unsicherheit und dem komischen Gefühl im Bauch, das alle Anfragen über einen Synology eigenen Server laufen. Will man das?
 
Das spiel ist ganz einfach, Tür auf -> kannst reinkommen, Tür zu -> mußt drausen bleiben. 🤷‍♂️
 
Tommes schrieb:
das alle Anfragen über einen Synology eigenen Server laufen.
Zum Vergrößern anklicken....
Ach egal was, alles läuft über irgendwelche Server, da gibt es ganz andere die an unseren Inhalten interessiert sind, wo die Masse ungeniert und offen damit umgeht.

Da habe ich zu Synology noch mehr Vertrauen.
 
  • Like
Reaktionen: ThomasD.
  • Haha
Reaktionen: Benie
alexmosel schrieb:
ich fand qc für das cms ganz praktisch
Zum Vergrößern anklicken....
viele Leute würden es auch praktisch finden gar kein Passwort zu verwenden etc, einfache Handhabung und Sicherheit müssen eben Kompromiss finden


ja, es ist sehr praktisch, viele Leute sind darauf angewiesen weil der Anschluss hinter CarrierNAT liegt oder so was.
Da sind dann mehrere Router hintereinender und alle lassen Antworten auf ausgehende Anfragen an externe Server zu. Ohne diese Funktionen würde ja Internet wohl zusammenbrechen oder nutzlos werden.

QC macht nicht viel anderes als es auch andere 'via Vermittlung' Systeme machen, Bsp TeamViewer oder ähnliches.

Es sind auch die gleichen Mechanismen im Spiel wenn man einfach mit einem Browser dieses Forum aufruft. Es wird ein Antwort Port festgelegt und wenn die Antwort von dem entfernten Server ankommt, dann wird es auch korrekt an den anrufenden Client weitergeleitet. Das geht alles automatisch.


Ja, es gibt auch Möglichkeiten eine direkte Verbindung mit Hilfe des QC Servers auszuhandeln, dann fliessen die nachfolgenden Daten direkt,also nicht über den Server.
Das versucht die QC Software natürlich, so eine Verbindun gist dann auch etwas schneller. (holepunch)
Aber wenn es nicht geht, dann muss eben alles, also nicht nur Vermittlung, sondern auch der ganze Traffic über den Server laufen.


Das alles muss nicht per se ein Sicherheitsproblem sein. Die Verbindungen laufen ja normal verschlüsselt wie sonst alles zwischen Cleints und Servern im Internet.
Wenn du dieses Forum aufrufst, dann sendest du vermutlich eine Anfrage an Port 443 des Forumservers. Und wie kommt die Antwort zurück auf deinen Bildschrim?
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten