DSM 6.x und darunter Externer Zugriff via Port 80 und 443

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

AureusPhoenix

Benutzer
Mitglied seit
25. Jul 2013
Beiträge
23
Punkte für Reaktionen
0
Punkte
0
Hallo liebe Leute,
ich habe mal eine kurze Frage: Ist es irgendwie möglich die DS via Port 80 und/oder 443 von außen zu erreichen ohne eine Weiterleitung im Router von 5000 und 5001 einzurichten?

Das Problem ist das folgende: Ich hab auf Arbeit so nen doofen Proxy, der den Zugang über 5000 und 5001 blockiert. Um das zu lösen hatte ich zunächst in meiner Fritzbox Port 80 auf 5000 und 443 auf 5001 umleiten lassen. Dummerweise funktioniert damit aber die Zertifikatserneuerung nicht mehr und ich will das nicht ständig hin und her stellen. Port 80 und 443 sind an sich offen da ich die für die PhotoStation brauche. Also müsste es doch möglich sein, damit auch das normale Webinterface zu erreichen, oder?

Vielen Dank im Voraus.

Beste Grüße
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Systemsteuerung > Netzwerk > DSM Einstellungen >benutzerdefinierte Domain

Oder

Systemsteuerung > Anwendungsportal >Reverse Proxy

Sind deine beiden Optionen den DSM via Domain-Namen auf Port 80/443 zu erreichen
 

AureusPhoenix

Benutzer
Mitglied seit
25. Jul 2013
Beiträge
23
Punkte für Reaktionen
0
Punkte
0
Hey, großartig. Das funktioniert. Hab es über die benutzerdefinierte Domain gemacht und dort einfach nochmal meine Domain eingetragen. Keine Ahnung, was das genau im Hintergrund tut aber solange es funktioniert ist das nebensächlich :)

Gäbe es irgendwelche Vorteile stattdessen Reverse Proxy zu verwenden?

Und wo wir gerade dabei sind ... Könnte ich damit auch irgendwie 6690 durch diesen doofen Proxy-Server auf Arbeit durch bekommen. Aktuell geht die Drive Synchronisation nämlich nur während ich mit nem VPN zu meiner alten Uni verbunden bin.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Hoffe das ist mit Betrieb abgesprochen bzw in einer Betriebsvereinbarung geregelt... Will es nur erwähnen, den Ärger bekomme ich ja nicht.

Benutzerdefinierte Domain setzt einfach einen Hostnamen der via 80/443 lauscht und intern auf die DSM Anwendung leitet.
Vorteile sehe ich beim Reverse Proxy keine.
Jede benutzerdefinierte Domain kannst du nur einmal benutzen innerhalb des DSM. Wenn du mehrere brauchst brauchst du auch subdomains (DNS CNAME Alias) oder weitere DYNDNS die auf deinen Anschluss zeigen.

Per reverse proxy kannst probieren auf localhost 6690 zu leiten. Weiß aber grad nicht mehr ob das ausgereicht hatte, da dies nur ein http proxy ist.
 

AureusPhoenix

Benutzer
Mitglied seit
25. Jul 2013
Beiträge
23
Punkte für Reaktionen
0
Punkte
0
Ich glaub nicht, dass das Probleme gibt. Es ist ja nicht so, dass ich am internen Netzwerk was ändern würde. Und selbst wenn, bekäm ich vermutlich auch nur ein Augenzwinkern.
Keiner mag diesen Proxy. Der wird nämlich von der Uni vorgegeben und die Institutsadmins müssen die Probleme damit ausbaden. Selbst Sachen wie Spotify, externe Email-Anbieter (SMTP und IMAP), sowie System-Updates werden durch das Ding blockiert.

Vielen Dank nochmal für deine Hilfe. Das mit dem 6690 Port probier ich demnächst mal aus.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
An der Uni mag das 'entspannter' sein. Wollte es auch nur erwähnen. Je nach Arbeitgeber und geltenden Vereinbarungen kann das von irrelevant bis zur fristlosen Kündigung reichen denke ich. Wenn man sich z.b. Durch einen nicht genehmigten vpn Tunnel ransomware oder ähnliches einfängt und xxxx€ Schaden verursacht.
Wie gesagt, wollte es nur erwähnt haben.

Für das Web-Interface von drive kann man eine Domain setzen. Für den Sync Kontakt weiß ich es wie gesagt nicht mehr. Vermute es ging nicht, sonst hätte ich den bei mir nicht offen, aber teste es ruhig noch mal.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Ich würde das auch mit Vorsicht genießen. Zumindes in der Privatwirtschaft bekommst du in der Regel eine Policy in die Hand gedrückt, die du zu unterschreiben hast, wenn du einen unterschriebenen Arbeitsvertrag bekommen möchtest.
Darin sind dann auch so Dinge wie der Zugriff auf externe Netze etc. geregelt.

Bsp: bei uns kannst du aus dem Firmennetz per Proxy auch keinen Mailhoster aufrufen. Argument: wenn die Mitarbeiter ihre privaten Mails auf Firmenhardware lesen, öffnen sie Malware wie z.B. emotet Tür und Tor.
Daher ist ein solcher Schutz durchaus gerechtfertigt.
 

AureusPhoenix

Benutzer
Mitglied seit
25. Jul 2013
Beiträge
23
Punkte für Reaktionen
0
Punkte
0
Das Ding ist aber, dass das mit den Mails schon keinen Sinn mehr ergibt, wenn man die File-Anhänge übers Web-Interface runter laden und öffnen kann. Außerdem neigt man dann in dringenden Fällen dazu private Angelegenheiten über die dienstliche email-Adresse zu regeln. Auch nicht die beste Lösung. Leider wird viel zu häufig der dümmste anzunehmende User angenommen, statt die Leute in Sachen IT-Sicherheit weiterzubilden. Was VPN angeht gebe ich euch natürlich recht. Das könnte in der Privatwirtschaft problematisch werden.

Was Regelungen im Arbeitsvertrag angeht ... ich kann meinen nicht mal lesen, da der auf Französisch ist :)
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Das Ding ist aber, dass das mit den Mails schon keinen Sinn mehr ergibt, wenn man die File-Anhänge übers Web-Interface runter laden und öffnen kann.

Eben deshalb wurde der Zugriff auf private Postfächer ja auch unterbunden.
Außerdem neigt man dann in dringenden Fällen dazu private Angelegenheiten über die dienstliche email-Adresse zu regeln.

Was aber meist schon im Vorfeld ausgeschlossen wird. Wenn du es trotzdem tust, guckst du hinterher ggf. schön blöd aus der Wäsche.

Was Regelungen im Arbeitsvertrag angeht ... ich kann meinen nicht mal lesen, da der auf Französisch ist :)

Ist nicht relevant, sofern du den trotzdem unterschrieben hast... ^^
 

AureusPhoenix

Benutzer
Mitglied seit
25. Jul 2013
Beiträge
23
Punkte für Reaktionen
0
Punkte
0
Eben deshalb wurde der Zugriff auf private Postfächer ja auch unterbunden.

Sind bei euch Google Mail und alle anderen freien email-Anbieter blockiert? SMTP und IMAP lassen sich einfach blockieren. Aber für die Mail-Anbieter musst du ja jeden einzeln in eine Block-Liste packen, damit man via Browser nicht drauf kommt.

Was aber meist schon im Vorfeld ausgeschlossen wird. Wenn du es trotzdem tust, guckst du hinterher ggf. schön blöd aus der Wäsche.

Dazu müsste der Arbeitgeber die Emails mitlesen. Ich bin mir nicht sicher, ob das überhaupt erlaubt ist. Egal was im Vertrag geregelt wird. Das zählt schließlich unter Postgeheimnis.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Sind bei euch Google Mail und alle anderen freien email-Anbieter blockiert?

Genau das. Der Proxy verweigert zu allen mir bekannten Postfächern die Verbindung über http/https.

Dazu müsste der Arbeitgeber die Emails mitlesen. Ich bin mir nicht sicher, ob das überhaupt erlaubt ist. Egal was im Vertrag geregelt wird. Das zählt schließlich unter Postgeheimnis.

Nicht unbedingt. Das Postgeheimnis mag für DEIN Postfach gelten, sofern du aber ein fremdes Postfach nutzt, sieht das anders aus. Dein Firmenpostfach gehört dir auch nicht.
Und sei dir mal sicher: wenn es der AG darauf anlegt, wird er immer einen Weg finden dir da ans Bein zu pinkeln. Im Mailserver ist z.B. offiziell geloggt, woher eine Mail kam. Sind das private Mailadressen wird es sich wohl kaum um dienstliche Mails handeln.
 

AureusPhoenix

Benutzer
Mitglied seit
25. Jul 2013
Beiträge
23
Punkte für Reaktionen
0
Punkte
0
Echt hart. Dann hoffe ich mal, dass Toilettenpausen nicht von der Arbeitszeit abgezogen werden :). Bei so einem Arbeitgeber würde ich ehrlich gesagt nicht arbeiten wollen. Bzw. wäre ich schneller wieder aus der Firma verschwunden als mir irgendwer kündigen könnte. Sowas geht meiner Meinung nach einfach nicht. Man muss seinen Mitarbeiten auch ein wenig Vertrauen entgegen bringen. Es ist schließlich kein Sklavenverhältnis sondern eine Partnerschaft. Wenn meine Heizung im Winter kaputt ist, muss es mir möglich sein fix ne Mail an den Hausmeister zu schreiben.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Das Schöne ist ja, dass man sich immer aussuchen kann, mit wem man zusammenarbeitet. Ich empfinde es jetzt z.B. auch nicht als Nachteil, meine privaten Mails auf meinem Phone zu lesen und nicht über die Firmenhardware. Privates und Dienstliches sollten schon strikt getrennt werden, sonst gibt es nur Probleme.
Hast du etwa kein Smartphone? Ich kenne keinen Mitarbeiter, der zwingend auf die bereitgestellte Hardware zurückgreifen muss, um private Kontaktpflege zu betreiben.

Und: solltest du einmal in deinem Traumunternehmen gelandet sein und einen dich unterstützenden Kollegen haben, der 80% seiner Zeit damit verbringt, seinen privaten Kram zu regeln, dann denkst du vielleicht auch noch einmal anders über diese Thematik. ;)
 

AureusPhoenix

Benutzer
Mitglied seit
25. Jul 2013
Beiträge
23
Punkte für Reaktionen
0
Punkte
0
Smartphone ist natürlich ne Option. Aber es ist einfach lästig. Ob ich 10 Minuten auf m Smartphone tippe oder 2 Minuten am Rechner sind schon ein Unterschied.

Was den Kollegen angeht, der auf Arbeit private Sachen macht ... zwei meiner früheren Kollegen kamen mehrere Monate kaum noch auf Arbeit (wurden weiter voll bezahlt) und haben mal fix nebenbei ne Firma gegründet. Das war etwas exzessiv. Aber sonst seh ich da kein Problem, solange es im überschaubaren Rahmen bleibt.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Ob ich 10 Minuten auf m Smartphone tippe oder 2 Minuten am Rechner sind schon ein Unterschied.

Ganz genau. Im ersten Fall teilst du deine privaten Daten einfach mit dem Rest der Welt im zweiten Fall kompromittierst du ggf. ein ganzes Firmennetzwerk.

Aber lass mal gut sein. Ich wünsche Dir jedenfalls noch viel Erfolg für's weitere Berufsleben. ^^
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat