Firewall und Ports

[HSV-Steph]

Hallo Leute, ich brauche nochmal Eure Hilfe. Dank eines anderen Threads von gestern habe ich nun zum ersten mal die Synology-Firewall verstanden (Danke an NSFH!).

Ich habe nun in der Firewall die folgenden Dienste auf zulassen (aus Deutschland) gestellt:
- DSM-Oberfläche, File-Station, Audio-Station, ...: HTTPS, Port 3XXXX (hab ich im NAS vom Standardport geändert). Der Port ist auch im Router weitergeleitet, um z. B. von außen auf die Web-Oberfläche zu kommen oder DS Audio zu nutzen.
- Web-Station, Photo-Station, Web Mail: HTTPS, Port 443. Auch dieser ist für z. B. die Nutzung von DS Photo von außen im Router weitergeleitet.
- Mac-Dienst: AFP, Port 548. Auch im Router weitergeleitet, damit ich auch von außen per Finder Zugriff habe.
- FTP-Dateiserver: FTP, Port 8021. Den brauche ich intern zum FTP-Upload der Aufnahmen meiner Sicherheits-Kameras (Netatmo). Der Port ist aber im Router dicht.
- ALLE anderen Ports / Dienste habe ich auf "verweigern" (weltweit) gesetzt.

Soweit prima, ich komme nun von außen auf alle gewünschten Dienste.

ABER: Im internen Netz zu Hause habe ich Probleme. Ich kann zwar auch hier auf alles zugreifen, aber nur noch per ip:
"192.xxx.x.x:3XXXX"

Was nicht mehr funktioniert, ist z. B. der Zugriff über "DSM-DiskStation".

Frage: Welche Ports / Dienste muss die Firewall noch zulassen, damit im internen Netz folgendes funktioniert:

1) Web-Zugriff auf die NAS-Oberfläche per "DSM-DiskSation.local"
2) Finder-Zugriff per "afp://DSM-Diskstation.local
3) Und ebenso internen Zugriff auf die DS -Apps (DS-Photo, DS-File, DS-File, DS-Audio)

Sorry für die für Euch vielleicht trivialen Fragen...

Danke und Gruß
Stephan

 

[HSV-Steph]

Ach so, hier noch der Screenshot:

 

[NSFH]

AFP über Internet zuzulassen ist grob fahrlässig! Das muss raus und D durch dein lokales LAN ersetzt werden. Die Weiterleitung im Router auf AFP löschen!
Der Port für DSM etc muss lokal nicht geändert bleiben und kann auf 5001 stehen bleiben, nur der im Router nach Aussen zeigende Port sollte die 3xxxx haben und auf die 5001 weitergeleitet werden.
DSM über Internet zugänglich zu machen kann man tun, sollte man aber eher nicht machen.
FTP ist nur für dein lokales LAN? Dann nimm D raus und setze dort die IP der Überwachungscam ein.
Die letzte Regel alles zu blocken ist unnötig, wenn du den Haken im Definitionsfenster ganz unten setzt und alles nicht Genehmigte damit verweigerst. Dafür ist diese Funktion da.
Verteile das Sammelsurium von vielen Diensten in einer Zeile auf jeweils eine eigene Zeile je Dienst. Dann hast du eine vernünftige Übersicht und kannst präziser Freigaben einrichten.

 

[HSV-Steph]

Danke!

AFP über Internet zuzulassen ist grob fahrlässig! Das muss raus und D durch dein lokales LAN ersetzt werden. Die Weiterleitung im Router auf AFP löschen!

Ok. Ich würde halt schon gern extern vom Finder aus zugreifen. Ist WebDav da sicherer?
Nachfrage: Wenn Deutschland durch mein lokales LAN ersetzen, was genau muss ich eintragen? Single Host oder Subnetz? Die IP des Routers? Und wenn Subnetz, dann die 255.255....?

Der Port für DSM etc muss lokal nicht geändert bleiben und kann auf 5001 stehen bleiben, nur der im Router nach Aussen zeigende Port sollte die 3xxxx haben und auf die 5001 weitergeleitet werden.

Gut, aber es ist ja egal, ob ich den Port direkt im NAS änder und im Router dann eine Weiterleitung von 3xxxx auf 3xxxx mache oder den Port im Router lasse und die Router-Weiterleitung von 3xxxx auf 5001 mache. So wie aktuell eingestellt ist es mir irgendwie "übersichtlicher".

FTP ist nur für dein lokales LAN? Dann nimm D raus und setze dort die IP der Überwachungscam ein.

Schwierig, die IP´s der 3 Kameras werden per DHCP zugeteilt. Anderes Thema. Dadurch, dass FTP im Router NICHT frei ist, fühle ich mich an der Stelle sicher genug

Die letzte Regel alles zu blocken ist unnötig, wenn du den Haken im Definitionsfenster ganz unten setzt und alles nicht Genehmigte damit verweigerst. Dafür ist diese Funktion da.

Den Haken gibt es nicht unter "Alle Schnittstellen", nur bei "LAN". Daher die Regel am Schluss.

Verteile das Sammelsurium von vielen Diensten in einer Zeile auf jeweils eine eigene Zeile je Dienst. Dann hast du eine vernünftige Übersicht und kannst präziser Freigaben einrichten.

Ich habe exakt eine Zeile pro Dienst


Bleibt meine Ursprungsfrage des Threads: Warum kann ich lokal nicht mehr über "DiskStation.lokal" zugreifen, weder im Browser, noch im Finder?

 

[NSFH]

nur auf die Schnelle:
AFP über Internet ist offen, das ist wie SMB über Internet eine mittlere Katastrophe.
Klar ist da WebDav die bessere Alternative wenn über HTTPS realisiert.
Wenn du AFP nutzen willst dann nur via VPN.

Wenn du den Zugang für bestimmte Dienste nur auf das LAN beschränken willst dann mit deiner Ip 192.168.x.0 und Subnet 255.255.255.0 oder direkt mit der IP des Gerätes. Am Router musst du gar nichts einstellen.

In der Firewall unter LAN die Blockieren Regel zu aktivieren ist korrekt, mehr brauchst du nicht!
Warum du nicht mehr auf DiskStation.local zugreifen kannst? Keine Ahnung was du noch alles verstellt hast? Da fehlt Input.

 

[HSV-Steph]

Danke und auch nur noch kurz:

In der Firewall unter LAN die Blockieren Regel zu aktivieren ist korrekt, mehr brauchst du nicht!

Ok. Ich habe mein paar Regeln ("zulassen") ja unter "alle Schnittstellen" angelegt. Die letzte "verweigern" nehme ich nun raus und setze dafür bei "LAN" den Blockieren-Haken, also sieht das dann so aus:



Dadurch ist gewährleistet, dass die Firewall nichts durchlässt, außer den Diensten, die ich unter "alle Schnittstellen" freigemacht habe. Das funktioniert, weil die Regeln unter "alle Schnittstellen" Priorität haben. Richtig verstanden?

Warum du nicht mehr auf DiskStation.local zugreifen kannst? Keine Ahnung was du noch alles verstellt hast? Da fehlt Input.

Nun ja, wenn ich die "verweigern"-Regel weglasse, funktioniert es ja. Also scheint noch irgendein / mehrere Ports benötigt zu werden, die durch die Firewall müssen. Ich finde da nirgendswas zu, welche das sein könnten. 5000 für den Webzugriff vielleicht? 80 für Photo? Aber was ist mit dem Finder, außer dem 548 gibts da doch nix, oder?

 

[NSFH]

Übrigens ist AFP ein Auslaufmodell, SMB ist state of the art. AFP muss für dein lokales LAN freigeschaltet sein, dann geht auch der Finder.
Gleiches gilt für DSM und Filestation explizit für LAN freischalten. Wenn du per HTTP auf die Syno zugreifen willst muss auch Port 80 in der Firewall für das LAN offen sein.

 

[HSV-Steph]

Schade, AFP ist deutlich schneller als SMB...

Ist denn der Zugriff "Diskstation.local" ein HTTP-Zugriff?

Der Finder geht ja, aber halt auch nicht mehr über "afp://diskstation.local", sondern nur noch über IP...

 

[dany]

Hallo HSV-Steph

Ok. Ich würde halt schon gern extern vom Finder aus zugreifen. Ist WebDav da sicherer?

Sicher ist eigentlich nichts. Du wirst nie 100%ige Sicherheit haben. Ich kann dir nur empfehlen das du dich von "Aussen" nur per VPN z.b. OpenVPN zugreifst.
Ich würde NIE das Webinterface der NAS ins Web stellen, egal was du (geo-) Filterst.

Ich streame seit Jahren meine Musik über VPN und

zu deinem DiskStation.lokal Problem:
- Kannst du per IP mit deinem Browser oder Finder zugreifen?
- Ich kenne jetzt Mac's nicht im Detail, aber soweit ich das noch im Kopf habe braucht es einen Bonjour Service.
- DNS Server einrichten, dann kannst du auch bequem einen Namen definieren und alle Geräte in deinem Netzwerk.

Im Infocenter auf der NAS kannst du kontrollieren welche Protokolle zugriff haben

Gruss Dany

 

[NSFH]

Für AFP muss man keinen DNS Server einstellen!

AFP ist aktiviert und auch in der Firewall explizit für das LAN freigegeben?

 

[HSV-Steph]

Hi Dany,

ja, per IP kann ich zugreifen, also mit "afp://192.xxx.x.x:3XXXX" aber leider nicht mehr mit "afp://diskstation.local". Gleiches gilt für den Webbrowser...

Bonjour-Service ist noch ein Stichwort, danke! Aber auch das würde ja den nicht-funktionierenden lokalen Web-Zugriff erklären, oder?

 

[HSV-Steph]

AFP ist aktiviert und auch in der Firewall explizit für das LAN freigegeben?

Nicht explizit für LAN, sondern für "Alle Schnittstellen". Das beinhaltet doch LAN, oder? Würde ja ebenfalls nicht den nicht-funktionierenden Web-Zugriff erklären.

 

[NSFH]

Quell IP Deutschland ist nicht dein LAN!
Die Geo Einschränkung D brauchst du nur dort, wo Zugriffe aus dem Internet erfolgen, sonst nicht.

 

[HSV-Steph]

Das ist schon klar, die Einstellungen hab ich inzwischen geändert. Trotzdem ist auch mein LAN in Deutschland, und das sollte nicht den Zugriff verhindern, oder?

 

[Puppetmaster]

Das ist schon klar, die Einstellungen hab ich inzwischen geändert. Trotzdem ist auch mein LAN in Deutschland, und das sollte nicht den Zugriff verhindern, oder?

Anscheinend ist hier gar nichts "klar". Die Einschränkung auf D blendet natürlich dein lokales Netz aus, denn nach IP-Range ist das nicht in Deutschland (du könntest dein Heimnetz ja auch in Spanien oder Frankreich mit derselben IP-Range betreiben).
Ich find's immer gruselig, wenn man an einer Firewall und Portfreigaben so herumbastelt mit der Meinung, etwas sicherer zu machen. Mir scheint, hier wird erstmal ein Scheunentor aufgemacht (SMB/AFP über Internet) und dann mit Gaffa Tape versucht, das Loch zu schließen.

 

[NSFH]

Ich wäre hier normalerweise schon längst ausgestiegen, wenn die Fehler nicht so haarsträubend wären.....
@TE: Warum meinst du schreibe ich etwas in FETT? Und wenn du in meine Aussagen immer etwas Neues reininterpretierst wird das nie was, wie zB mit deiner IP-Range, die nicht D ist.....

 

[c0smo]

Mir ist auch nicht ganz klar, wie DSM diesen Regelbaum überhaupt zulassen konnte. Er hat sich ja quasi selbst ausgesperrt ohne die Regel mit den lokalen IP's. Bei mir kam dann sofort eine Meldung, dass die Regel ungültig sei. Aber ich konfiguriere auch alles unter LAN1 - hängt das damit zusammen?

 

[HSV-Steph]

Danke schön an alle, ich lass es an der Stelle gut sein...

 

[NSFH]

DSM lässt seit einiger Zeit Regeln, mit denen man sich aussperrt nicht mehr zu.
Das Abarbeiten der Regeln in der Firewall läuft in der Reihenfolge "Alle Schnittstellen" dann "LAN" > ... usw ab.
Findet sich da an beliebiger Stelle ein Treffer ist alles andere was danach kommt obsolet.

 

[HSV-Steph]

So, nun noch abschließend die Lösung auf mein Ursprungsproblem "warum kann ich im internen Netz nicht über diskstation.local zugreifen", bzgl. der Firewall Einstellungen und Ports (wenn auch nur für die Nachwelt, die ggf. per google hier landet.):

1) Die Firewall muss alles intern benötigte auch intern durchlassen. Also entweder die Quell-ID´s auf "alle" stellen oder per IP des Netzes einschränken. Deutschland ist FALSCH, das habe ich hier gelernt, dafür auch Danke! Ich dachte halt, mein interner IP-Bereich ist für Deutschland reserviert und erkennbar, dies war eine Fehlannahme eines Laien, was man nun von mir aus auch als "gruselig" und "haarsträubend" bezeichnen kann.

2) Die Ports 5000 (für Web-Oberfläche, DS-Finder, Audio, usw.) und 80 (für Photo-Station usw.) müssen in der Firewall auf sein (intern, siehe 1). Diese Frage hatte ich hier mal gestellt, leider keine Antwort erhalten.

3) Finder-Zugriff per "diskstation.local": Der entscheidende Hinweis kam von Dany: Der Bonjour Dienst muss intern durchgelassen werden, dann klappts! Danke!!!

Ich habe jetzt alle Firewall-Regeln komplett im Bereich LAN angelegt und unten den Haken gesetzt "Wenn keine Regel zutrifft: Zugriff verweigern". Diesen Haken gibt es NUR im Bereich LAN, nicht bei "alle Schnittstellen".

Die Ports 3xxxx (geänderter HTTPS-Port 5001), 443 (Photo) und 5006 (WebDAV) habe ich auf Deutschland begrenzt und im Router weitergeleitet.

Die Ports 5000 (HTTP), 80 (Photo), 5353 (Bonjour), 548 (AFP), 445 (SMB) und meinen eigenen FTP-Port habe ich auf meinen internen IP-Bereich beschränkt und NICHT im Router weitergeleitet.

Viele Grüße
Steph