Ergebnis 1 bis 7 von 7
  1. #1
    Anwender
    Registriert seit
    07.02.2009
    Beiträge
    24

    Standard FTP: Port intern vergeben: Problem

    Hallo,

    mir wurde hier in diesem Forum vor kurzem schon einmal geholfen (zum Thema Festplattenwechsel) und weil ich noch immer ein Newbie bin, melde ich mich jetzt frecherweise mit einem neuen Problem.

    Ich möchte über das Internet auf meinen Synology DS 213+ zugreifen können bzw. meinem Bruder im Ausland den Zugang zu bestimmten Dateien ermöglichen. Dazu habe ich in meinem Fritzbox 7490 eine bereits vorhandene DDNS-Adresse hinterlegt und für den Synology eine Portfreigabe eingerichtet (FTP, Port 21). Beim Abspeichern wurde unter "Port extern vergeben" automatisch (ohne mein Zutun) zusätzlich den "Bereich" 63747 bis 63747 abgespeichert. Im FTP Client (Filezilla) habe ich dann letzten Endes (durrch Trial and Error) die richtige Einstellung gefunden: mit ddns.myxxxx.nl:63747 und mit deim richtigen Benutzernamen und Passwort kam eine Verbindung zustande. Alles wunderbar, ich froh, mein Bruder froh.

    Jetzt, nach einigen Tagen funktioniert die Verbindung allerdings nicht mehr. Wie ich festgestellt habe, liegt es einfach daran, dass der "Bereich" 63747 bis 63747 sich (widerum ohne mein Zutun) geändert hat in 63871 bis 63871 (siehe beiliegendes Bild). Leider habe ich keine Ahnung weshalb und wieso, und noch weniger, wie man darauf reagieren soll.

    Ich hatte hier im Forum mehrfach gelesen, dass man die DDNS Adresse besser im Router hinterlegt, auch wenn der Synology NAS hierfür auch eine Möglichkeit bietet. Ich hoffe, ich habe das richtig verstanden.

    Mir ist klar, dass dieses Problem den meisten von euch fast lächerlich erscheint, aber ich weiß einfach nicht, wo ich die Lösung suchen muss, trotz Recherche in diesem Forum.

    Vielen Dank.
    Angehängte Grafiken Angehängte Grafiken

  2. #2

    Standard

    Letztlich wurde der Port verschleiert, da auf der FB selbst ein FTP-Service läuft, der bereits TCP-Port21 verwendet (Unter Internet->Freigaben->Fritz!Box-Dienste läßt sich diese Option FTP/FTPS deaktivieren). Das Port 21 keine Verwendung findet ist auch garnicht schlimm, da so allzu neugierigen Fremden nicht sofort der Dienst hinter Port 63871 offenbar wird (Port21 ist definiert für ausschließlich ftp).

    Besser wäre es aber, wenn ihr daran arbeiten würdet in Zukunft nicht mehr unverschlüsselt Daten über das Internet auszutauschen. FTP ist dazu bspw. ein zu altes, und zudem sehr unsicheres Protokoll. Besserung bietet hier ftps, webdav oder VPN. Alle diese genannten Verfahren profitieren von einem Schlüssel-Zertifikat, dass du einrichten und mit deinem Bruder austauschen müsstest.

    Im besten Fall verbindet sich dein Bruder in Zukunft etwa über VPN mit deinem Netzwerk. Dabei handelt es sich um einen verschlüsselten LAN-to-LAN Tunnel, der ermöglicht dass sich dein Bruder in deinem Netzwerk "bewegen" kann
    Geändert von ClearEyetemAA55 (29.10.2019 um 00:03 Uhr)

  3. #3
    Anwender
    Registriert seit
    07.02.2009
    Beiträge
    24

    Standard

    Hallo ClearEyetemAA55,

    herzlichen Dank für deine Erläuterungen. Ich habe den FTP-Server in meinem FritzBox jetzt deaktiviert. Außerdem habe ich die FTP-Freigabe für den Synology gelöscht und stattdessen erst einmal eine SFTP-Freigabe erstellt. Dafür habe ich im Fritzbox Port 22 für meinen Synology freigegeben und bei "Port extern gewünscht (IPv4)" eine beliebige fünfstellige Zahl festgelegt. Ich hoffe, dies war so richtig. Jedenfalls funktioniert der Filezilla Zugriff auf meinen Synology damit problemlos. Mit WebDav und VPN werde ich mich dann später beschäftigen: besonders die VPN-Einrichtung scheint mir für einen Newbie nicht ganz einfach zu sein. Sollte ich diese eher im Fritzbox einrichten, oder lieber den VPN-Server vom Synology-Paket verwenden? Es geht mir letzten Endes nur um den Austausch von Dateien (Videos, Photos), die auf dem Synology lagern.

    Eine Frage habe ich noch: darf ich davon ausgehen, dass die von mir vergebene fünfstellige zusätzliche Portnummer für die SFTP Verbindung unveränderlich ist, so dass in einem FTP Client wie Filezilla zukünftig keinerlei Änderungen mehr vorgenommen werden müssen??

    Vielen Dank!
    Geändert von greydutch (29.10.2019 um 09:38 Uhr)

  4. #4
    Anwender
    Registriert seit
    06.04.2013
    Beiträge
    9.644

    Standard

    Ja, die Zuweisung ist fest, solange du nicht Automatiken laufen hast die da rein pfuschen Z.B. einem Gerät erlauben per upnp die Portfreigaben selbst zu setzen.
    Synology Tech Support | Feature request
    Site 0: DS1812+ 3GB 6.2.2-U2 | 2*3/6*6TB WD Red (SHR-1 + Basic) | DS415+ 8GB 6.2.2-U2 | 4*10TB Ironwolf (Basic)
    Site 1/2/3: DS216+II 8/8/1GB 6.2.2-U2 | 2*3/4/3TB WD Red (SHR1)
    USV APC BK650EI | UPS Pro 900 | Net UMBW 400/40 | FB 6490 (IPv4/v6 Dual-Stack) | Unifi US-8/16 PoE
    Streaming NUC Plex (1.16.4 (hw)) | AFTV (Plex/Kodi 17.6) | Inverto Sat>IP IDL400s, TVMosaic tv server | Raumfeld (C2, M, One), CCA Multi-Room | KDL-55W905A

  5. #5

    Standard

    Hallo auch greydutch,

    zunächst einmal: Die Umstellung auf SFTP war ein sehr guter Schritt. Ich freue mich, dass die Kommunikation nun wieder läuft.
    Und, Fusion hat es bereits erläutert, auch eine maskierte Portfreigabe ist in aller Regel statisch.


    Nun, der Austausch von sequenziellen Daten (also größeren, zusammenhängenden Informationen wie Bilder, Videos) ist auch über VPN kein Problem.
    Der erreichbare Datendurchsatz hängt zum einen von der Verschlüsselungsleistung des VPN-Servers ab. Zum anderen aber auch vom verfügbaren Upload der Internetanbindung.
    Den höchsten Datendurchsatz - trotz des Overheads infolge der VPN-Verschlüsselung - erhält man dabei in aller Regel, wenn die Fritzbox den DDNS-Dienst hostet, während der VPN-Server auf der Diskstation aktiviert ist. Die Verschlüsselungsleistung einer DS213+, mit Freescale MPC8544E, 2x 1.067GHz und integrierter 256bit AES-Verschlüsselung, ist der der Fritzbox in aller Regel weit voraus.

    Wurde erstmal eine VPN-Verbindung zwischen Client (Bruder) und Server (Diskstation) erfolgreich aufgebaut ist FileZilla bzw. SFTP eigentlich nicht mehr notwendig. Es können fortan direkt über das smb-Netzprotokoll Daten, durch den verschlüsselten VPN-Tunnel, übertragen werden. Es schadet allerdings nicht, SFTP auch weiterhin zu verwenden. Man sendet dann eben bereits vorab per SFTP verschlüsselte Informationen durch einen nochmals verschlüsselten VPN-Tunnel.

    Zum Abschluss sei gesagt, dass das Einrichten von VPN-Verbindungen nicht wesentlich schwieriger ist, als etwa das von SFTP. Es ist meist der geänderte Gebrauch von Fachbegriffen, der Anfangs verwirrt.
    Bsp. OPENVPN:
    1) DDNS Dienst bzw. MyFritz auf der Fritzbox einrichten (hier bereits vorhanden)
    2) Portfreigabe für OVPN auf der Fritzbox erstellen (UDP-Port 1194 zur Diskstation)
    3) VPN-Server auf der Diskstation, aus dem Paketzentrum, installieren
    4) Freigabe in der Synology-Firewall für die Anwendung OPENVPN einrichten (Schnittstelle VPN; UDP-Port1194 bzw. Anwendung OPENVPN)
    5) Einen Benutzer in DSM anlegen, der VPN Berechtigungen hat und kein Administrator ist. (Nur notwendig, falls nicht bereits ein Benutzerkonto in DSM für deinen Bruder besteht)
    6) Optional kann ein Schlüsselzertifikat für die DDNS-Adresse angelegt und für die Nutzung bei VPN-Verbindungen konfiguriert werden (Darüber weisst sich fortan der VPN-Server gegenüber dem Client während desVerbindungsaufbaus aus, so dass der Client die Sicherheit hat über den DDNS-Dienst auch auf den richtigen Server verwiesen worden zu sein)
    7) Den OVPN-Server auf der Synology einrichten (Password bestimmen, Benutzer authorisieren usw.) und anschließend das Konfigurationsprofil exportieren
    8) Das heruntergeladene Konfigurationsprofil zwischenzeitlich entpacken, um einmalig die .conf-Datei anzupassen (ddns-Addresse in der Dritten Zeile als Ziel-IP eintragen)
    8) Konfigurationsprofil und VPN-Zugangsinformationen (Benutzername und Passwort) über getrennte Wege mit dem Client austauschen (Profil zB per Email, Benutzername und PW telefonisch).
    9) VPN-Profil am Client übernehmen und die Verbindung initiieren


    Noch der Hinweis: Das in 6. ausgestellte Schlüsselzertifikat kann entweder von einer beglaubigten Zertifikatsstelle stammen, oder selbstsigniert sein. Letzteres hat den Vorteil das die Verfallsdauer in aller Regel länger ist, während beglaubigte Zertifikate häufig nur 3-9Monate bestehen (oder kostenpflichtig sind). Eventuell bietet der bereits eingerichtete DDNS-Provider aber auch kostenlos ein Zertifikat an?

    Hoffe ich habe erstmal nichts vergessen...

  6. #6
    Anwender
    Registriert seit
    07.02.2009
    Beiträge
    24

    Standard

    Hallo ClearEyeTem55,

    vielen Dank für diese ausführliche Erläuterung, wie man eine VPN-Verbindung einrichtet. Ich kann nicht behaupten, dass ich gleich alles auf Anhieb verstanden habe, werde mich da aber schrittweise herantasten und es dann hoffentlich demnächst hinbekommen! Tatsächlich bietet mein Provider (All-Inkl), nicht nur DDNS sonder auch ein kostenloses Zertifikat an. Ich habe dort schon seit vielen Jahren ein Konto für mein Wordpress-Blog und ein Zertifikat ist tatsächlich auch im Service enthalten.

    Vielen herzlichen Dank noch einmal für die Hilfe, ich weiß es zu schätzen!

  7. #7

    Standard

    Passt schon. Hast ja sehr ruhig und konzentriert dein Problem vorgetragen. Da schreibt man dann eben auch mal den einen oder anderen Satz mehr als Antwort

Ähnliche Themen

  1. Antworten: 5
    Letzter Beitrag: 06.07.2019, 21:57
  2. Antworten: 7
    Letzter Beitrag: 09.01.2015, 13:02
  3. FTP oder File Station Rechte vergeben für Unterverzeichnisse
    Von cappy_45 im Forum Benutzer, Gruppen, gemeinsame Ordner
    Antworten: 7
    Letzter Beitrag: 17.02.2009, 11:30
  4. FTP nur intern
    Von lionatwork im Forum FTP-Server
    Antworten: 2
    Letzter Beitrag: 27.07.2008, 07:34
  5. Quota bei FTP Zugriff vergeben
    Von staticip im Forum FTP-Server
    Antworten: 0
    Letzter Beitrag: 02.02.2008, 16:18

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •