Portforwarding oder Zugriff umschreiben?

Status
Für weitere Antworten geschlossen.

morritza

Benutzer
Mitglied seit
03. Sep 2009
Beiträge
45
Punkte für Reaktionen
0
Punkte
0
Moin,
nach längerer Suche, hab ichs jetzt aufgeben müssen mir selber eine Antwort zugeben und muss euch um Rat fragen:

Ich möchte meine DS über https (Port 443) übers Internet ansprechen können, also bevorzugt Filestation und Audiostation (erstmal zweitrangig, Webman kann ich ja per .htaccess sperren).

Eine Lösung wäre das Portweiterleiten: ich weiss leider nicht wie ich auf* der DS nen Portweiterleite, ist ja nicht das selbe wie Portfreigabe.
*wählt sich selbst ein

Gefundene Lösung:
1. Dienste stoppen
2. Config files ändern
Pfad: /usr/syno/apache/conf/extra
“httpd-ssl.conf-sys” öffnen und beide Vorkommen von “5001? mit “443? ersetzen
“httpd-ssl.conf-user” öffnen und beide Vorkommen von “443? mit “8443? ersetzen
3. Dienste wieder starten
-:mad:-Problem: Nach neustart des Apaches ist wieder die alte Config mit Port 5001 in der conf-sys, also kein Zugriff auf 443 möglich. Zugriffsrechte sind in Ordnung: root und rwx auf die configs.

weiter Lösung angeschaut: "Tunnel nach Hause" hier im Forum.

Wie geht es jetzt erstmal am schnellsten?
Ich hoffe ich habe hier im Forum nichts übersehen, was mir die Lösung verraten könnte.

Gruß Moritz
 
Zuletzt bearbeitet:

Supaman

Benutzer
Mitglied seit
26. Jan 2007
Beiträge
1.447
Punkte für Reaktionen
0
Punkte
62
> Wie geht es jetzt erstmal am schnellsten?
birnen-methode: ebenfalls im boot prozess die beiden dateien mit deinen versionen überschreiben (z.b. in /etc/rc oder als nummer 99 der shell scripts) , zur not per cron tab :)
 

morritza

Benutzer
Mitglied seit
03. Sep 2009
Beiträge
45
Punkte für Reaktionen
0
Punkte
0
puh, Neuland :)

in welcher Datei find ich denn die Config Angabe für den apache? Oder vertu ich mich da grad ganz arg?
 

morritza

Benutzer
Mitglied seit
03. Sep 2009
Beiträge
45
Punkte für Reaktionen
0
Punkte
0
Man mich regt das voll auf, dass nach jedem Neustart wieder Port5001 drin ist.
Die Lösung ist doch so nah, irgend nen Haken muss es doch geben warum er die Config jedesmal überschreibt. Beim Starten wird die richtige Config auch angegeben aber irgendwie nach dem Laden der Config, kommt irgendwas was diese überschreibt :confused:
 
Zuletzt bearbeitet:

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Leider werden die Porteinstellungen etwas unkonventionell via Start-Skripte gesetzt: Schau dir mal die beiden S97apache-Skripte an. Dort werden die Portnummern aus der /etc/synoinfo.conf herausgelesen und bei Bedarf gesetzt. D.h. Änderungen alleine in den /usr/syno/apache/conf/-Dateinen bringen es nicht. Man muss auch diese Start-Skripte verstehen und ggf. leicht modifizieren.

Itari
 

morritza

Benutzer
Mitglied seit
03. Sep 2009
Beiträge
45
Punkte für Reaktionen
0
Punkte
0
Danke für den Hinweis! Es tut sich was, kann die Oberfläche nicht mehr erreichen, auch nicht aus dem LAN ABER es tut sich was!
Werd nach der Arbeit gleich ma weiter machen :)
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Danke für den Hinweis! Es tut sich was, kann die Oberfläche nicht mehr erreichen, auch nicht aus dem LAN ABER es tut sich was!
Werd nach der Arbeit gleich ma weiter machen :)

Wenn 2x der gleiche Port in der Konfigurationsdatei steht, kommt das vor. War auch das Problem bei meinem Init_3rdparty.spk, weil im Start-Skript alle 'Listen'-Zeilen rigoros substituiert werden. Mach am besten eine Leerstelle vor deine 'Listen'; das stört nicht weiter den Apache, löst aber die Substitution nicht aus.

Itari
 

morritza

Benutzer
Mitglied seit
03. Sep 2009
Beiträge
45
Punkte für Reaktionen
0
Punkte
0
PHP:
#Listen 443
nur mit nem Leerzeichen wollt er es nicht nehmen.

Per LAN auf https://ip:443 geht.

Übers Internet gehts leider noch nicht;
"(Fehlercode: ssl_error_rx_record_too_long)"
der Fehler scheint ja bekannt zu sein, hab leider kein Zertifikat oder gibt es ne andere Lösung?
 
Zuletzt bearbeitet:

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Und wieso belässt du es bei der DS nicht auf Port 5001 und leitest am Router den Port 443 auf Port 5001 der DS weiter? Dann musst du nix an den DS Configs rumspielen. Einzige Änderung wäre am Router zu machen und diese Anpassung würde auch durch eine neue Firmware nicht überschrieben.
 

morritza

Benutzer
Mitglied seit
03. Sep 2009
Beiträge
45
Punkte für Reaktionen
0
Punkte
0
Die DS wählt sich selbst ein, ich weiss nicht wo ich Portweiterleitung einrichte, das ist der einzige Grund :(
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Die DS wählt sich selbst ein, ich weiss nicht wo ich Portweiterleitung einrichte, das ist der einzige Grund :(
Die Portweiterleitung wird normalerweise im Router aufgesetzt. Dort sollte es ein Menu geben (z.B. Virtual Server oder Port-Forwarding)
 

morritza

Benutzer
Mitglied seit
03. Sep 2009
Beiträge
45
Punkte für Reaktionen
0
Punkte
0
Die DS hängt bei mir direkt am DSL-Modem Bzw. geht das Modem ins Switch, dann wählt sich die DS per PPOE ein und mein PC selber über Wähl-Verbindung.
Bekomme so auch 2 IPs vom ISP. Muss man dann am Modem das Portforwarding einrichten? Also kann die DS das nicht selbstständig? Gibts keine conf dafür?
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Wenn du keine Router dazwischen hast (ein äußerst seltener Fall, deswegen sind die Posts hier alles von falschen Voraussetzungen ausgegangen), dann machst natürlich keine Portweiterleitung, sondern konfigurierst deine Dienste auf die Ports, die du haben möchtest. Manchmal ist das einfach, weil es im DS-Manager vorgesehen ist; manchmal muss man in die Konfigurationsdateien.

Mit netstat -an kannst auf der Kommandozeile jederzeit dir die offenen Ports anschauen.

Itari
 
Zuletzt bearbeitet:

morritza

Benutzer
Mitglied seit
03. Sep 2009
Beiträge
45
Punkte für Reaktionen
0
Punkte
0
Dann hab ich mich nicht korrekt ausgedrückt, entschuldigt bitte.

"Eine Lösung wäre das Portweiterleiten: ich weiss leider nicht wie ich auf* der DS nen Portweiterleite, ist ja nicht das selbe wie Portfreigabe.
*wählt sich selbst ein"
dachte damit wäre es klar.

Okay Netstat zeigt mir an das 443 nicht 'Listening' ist.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Auf der DS kannst du einen Port mit der neusten Firmware und der darin enthaltenen Firewall (ipTables) machen. Leider geht das nicht im DSM, da dies von Synology nicht vorgesehen wurde. Müsste sich aber manuell umsetzen lassen (z.B. http://www.hackorama.com/network/portfwd.shtml)
 

underdog

Benutzer
Mitglied seit
28. Okt 2009
Beiträge
11
Punkte für Reaktionen
0
Punkte
0
War denn der Weg, den 443 Port "öffentlich" zumachen, der richtige? Oder wie stell ich das an

Dein DSL
Vergibt dein DSL die IP adresse an den DS und deinen PC
Wenn ja dann kannst du alles am DSL-Modem einstellen
Port Weiterleitung oder Virtueller Server.
Die Ip adresse des DS angeben und den port 443 und 5001
am DS die Firewall setzen für extern ( nur 443 und 5001 ) erlaubt.
IP Sperre am DS einrichten nach 5 Fehlversuchen innerhalb 60 minuten IP Sperren
 

morritza

Benutzer
Mitglied seit
03. Sep 2009
Beiträge
45
Punkte für Reaktionen
0
Punkte
0
Das Modem hat normal keine Web-Oberfläche, daher könnte ich da "normal" nichts eintragen.
Von daher müsste ich sowas auf der DS einrichten über "Iptables" wovon ich aber bis jetzt keine Ahnung habe. Hab mir schon paar Grundlagen dafür angeschaut und auch nen Generator gefunden aber kein Erfolg.
 

Anhänge

  • Unbenannt.jpg
    Unbenannt.jpg
    24,8 KB · Aufrufe: 40

underdog

Benutzer
Mitglied seit
28. Okt 2009
Beiträge
11
Punkte für Reaktionen
0
Punkte
0
Das Modem hat normal keine Web-Oberfläche, daher könnte ich da "normal" nichts eintragen.
Von daher müsste ich sowas auf der DS einrichten über "Iptables" wovon ich aber bis jetzt keine Ahnung habe. Hab mir schon paar Grundlagen dafür angeschaut und auch nen Generator gefunden aber kein Erfolg.

Ok deine DS erhält eine externe IP Adresse.

Bedeutet dass du diese nur über extern ansprechen kanst, also über die externe vom ISP vergeben IP Adresse respektive über Dyn DNS

Ohne bsondere einstellung ist bei der DS alles offen. Sobald du bei der DS den Dienst aktivierts erhältst du zugang, solange dein Modem diesen port weiterleitet!

wählst du dann deine.dyndns.adresse: 5000 kommst du auf die Weboberfläche.
ist http eingerichtet kommst du über http://deine.dyndns.adresse
auf deine Webseite
mit :7000 auf das webverzeichniss usw.
Nur hast du so alles offen
du musst dann die FW einrichten und alle nicht benötigten ports schliessen
und den Blokierschutz einrichten.
Richte für alle privat benutzten dienste https ein also :5001 oder :7001

Damit dies aber funktioniert muss dein Modem alle Ports weiterleiten!
Tut es wahrscheinlich auch!

Mein Tip
besorge dir einen Router mit Firewall und Wlan. 1gb Technologie.
richte da sauberes Port Forwarding ein und zusätzlich die Firewall und Blockierschutz auf der DS
Deiner Sicherheit zuliebe.
Eine DS die direkt am Netz hängt mit rudimentären Schutzmechanismen ist ein gefundenes fressen.
Lass Telnet port 23 GESCHLOSSEN
wenn dan gehe über Port 22 SSH auf die Konsole der DS

PS Mit der neuesten Firmware hast du auf der Weboberfläche die möglichkeit die Firewall ( IP-Tables ) einzustellen.

Falls du eine Screenshot möchtest mit Konfigurationsbeispiele, dann melde dich

cu Andy
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat