Photo Station Photostation Admin Anmeldung über Internet deaktivierbar?

Status
Für weitere Antworten geschlossen.

hook

Benutzer
Mitglied seit
24. Sep 2013
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Hallo,
habe dyndns eingerichtet und Port 80 fürs NAS im Internetrouter freigegeben. Somit ist die Photostation (und nur die, webstation ist im DSM deaktiviert) über das Internet erreichbar unter: <NameNAS>.<meineurl>/photo . Klappt alles wunderbar.
Vielleicht bin ich zu schizophren, aber wenn jemand die URL weiß und mein Admin Passwort, so kann derjenige alle Fotos löschen.
1. Kann man die Anmeldung des Admin Users AUS DEM INTERNET irgendwie blocken/deaktivieren? Im lokalen Netz unter <IP-Adresse-NAS>/photo soll es natürlich weiterhin gehen.
Ist dies nicht möglich:
2. Kann man den Photostation Admin unter DSM deaktivieren? Dann würde ich ihn nur bei Bedarf anwerfen...
Ist dies nicht möglich:
3. Dann müsste ich den Admin generell deaktivieren (ich glaube das geht, habe ich schon irgendwo gelesen). Damit ich nicht den Ast absäge, auf dem ich sitze: Wie müsste ich einen "normalen" DSM User einrichten, das der bei Bedarf admin DSM (und damit auch Photostation) wieder aktivieren kann?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
...kann alle Fotos löschen...
macht nichts, die hast du doch alle im Backup


aber der richtige Admin der DS braucht man bei der PS nur selten, und zwar wenn man zum Bsp von DSM Konten auf vernünftigerweise Photo Station Konten umstellt.
Dann kann man einen PS User anlegen und dem PS Admin Rechten geben. Der macht von jetzt an die interne Administration. Und welcher User sonst welche Alben administrieren soll kan man ja in den Eigenschaften der Alben ja festlegen.
Den PS Admin, oder eben den User mit admin Rechten in der PS kann man nicht so einfach von der DSM aus bearbeiten, PS ist ziemlich getrennt hier.
Der Administrator der PS braucht (soll) auch nicht admin heissen und Password kann auch komplex gewählt werden.

Den DSM Admin haben die viele Leute ganz disabled, andere geben dem sehr komplexe Passwörter.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Wenn du wirklich Port 80, also http Protokoll nach außen frei gibst hast du ganz andere Baustellen. Da kann man ggf. deine Passwörter unverschlüsselt mitlesen. Keine gute Idee.

Bitte bitte unbedingt auf https umdrehen und wenn nur 443 nach außen freigeben. (Wobei ich immer zu VPN Rate für Zugriff von außen).
Was passiert wenn du die url ohne /photos aufrufst? Kommt dann einfach nichts? Bitte auch nochmal kontrollieren.

Du kannst zwecks Login ja zB. 2 Faktor Auth machen.
Manche deaktivieren den „admin“ und machen einem zweiten myAdminXYZ.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
(Wobei ich immer zu VPN Rate für Zugriff von außen).

ja, aber wir haben uns nicht die DS gekauft um nachher drauf gehostete Webseiten mit Bildchen nur via VPN anzuschauen.
Das Forum hier wird auch nicht via VPN angezeigt ;-)
 

hook

Benutzer
Mitglied seit
24. Sep 2013
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Wenn du wirklich Port 80, also http Protokoll nach außen frei gibst hast du ganz andere Baustellen. Da kann man ggf. deine Passwörter unverschlüsselt mitlesen. Keine gute Idee.
Ok

Bitte bitte unbedingt auf https umdrehen und wenn nur 443 nach außen freigeben.
Brauche ich dann ein Zertifikat wegen https?

Was passiert wenn du die url ohne /photos aufrufst? Kommt dann einfach nichts? Bitte auch nochmal kontrollieren.

Was passiert wenn du die url ohne /photos aufrufst? Kommt dann einfach nichts? Bitte auch nochmal kontrollieren.
Dann kommt:
"Diese Seite funktioniert nicht <NAS>.<meineURL> hat keine Daten gesendet.
ERR_EMPTY_RESPONSE", sieht also OK aus.
 

hook

Benutzer
Mitglied seit
24. Sep 2013
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
...kann alle Fotos löschen...
macht nichts, die hast du doch alle im Backup
Ich gehöre tatsächlich zu den Menschen, die einmal die Woche ein automatische Backup auf USB Platte ziehen. Timebackup läuft auch. Trotzdem Datenwiederherstellung ist zeitfressend und nervig.
aber der richtige Admin der DS braucht man bei der PS nur selten, und zwar wenn man zum Bsp von DSM Konten auf vernünftigerweise Photo Station Konten umstellt.
Dann kann man einen PS User anlegen und dem PS Admin Rechten geben. Der macht von jetzt an die interne Administration. Und welcher User sonst welche Alben administrieren soll kan man ja in den Eigenschaften der Alben ja festlegen.
Den PS Admin, oder eben den User mit admin Rechten in der PS kann man nicht so einfach von der DSM aus bearbeiten, PS ist ziemlich getrennt hier.
Der Administrator der PS braucht (soll) auch nicht admin heissen und Password kann auch komplex gewählt werden.

Den DSM Admin haben die viele Leute ganz disabled, andere geben dem sehr komplexe Passwörter.

Also Vorgehen ist:
1. in PS von DS auf PS Konten umstellen.
2. in PS neuen PS Admin mit Rechten eines Admins aber mit abweichenden Namen anlegen
3. den PS "Admin" dann deaktivieren in PS (geht das???)
4. zusätzlich noch besser über port 443 freigeben

Alles richtig verstanden?
 
Zuletzt bearbeitet:

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
ja, aber wir haben uns nicht die DS gekauft um nachher drauf gehostete Webseiten mit Bildchen nur via VPN anzuschauen.
Das Forum hier wird auch nicht via VPN angezeigt ;-)

Ich bin verwirrt.
Wollte dir natürlich nichts vorschreiben.

Es ging mir um hooks Post. Zunächst mal klären was der Verwendungszweck ist. Privat mindestens https, vpn wäre noch vernünftiger.

Wenn es um andere Dinge geht, ja dann stellt man web oder photo oder was auch immer ins Netz.

Das Forum ist ja immerhin mittlerweile https :)
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Genau, Port 80 schließen, 443 öffnen.
Und die Schizophrenie wegen des admins... Also, das Problem hat man ja nun grundsätzlich, wenn man irgendetwas im Netz freigibt. Also: starke Passwörter und belastbare Backups.
 

hook

Benutzer
Mitglied seit
24. Sep 2013
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Jetzt habe ich die Portfreigabe 80 entfernt und 443 hinzugefügt. Ergebnis ist, dass es nicht mehr geht. Aber von vorne, was ich alles gemacht habe:
1. Strato ist mein dyndns Provider. Dort habe ich bei der subdomain <Netzwerkname mein NAS>.<meineurl> dyndns aktiviert.
2. Im DMS habe ich unter externer Zugriff DDNS mit eben jenen Zugriff aktiviert. Status ist normal "grün"
3. Auf dem Router fritzbox 7490 habe ich HTTP- Server (Port 80) freigeben für IPv4 und IPv6 für <Netzwerkname mein NAS>. Beide Lämpchen sind "grün".

Ergebnis: Erreiche Photostation unter <Netzwerkname mein NAS>.<meineurl>/photo aus dem Internet.

4. HTTP-Server (Port 80) auf fritzbox entfernt
5. HTTPS-Server (Port 443 auf fritzbox hinzugefügt. Lampen sind grün. Kann ich auch anpingen aus dem Internet unter <Netzwerkname mein NAS>.<meineurl>

Ergebnis: Erreiche Photostation unter <Netzwerkname mein NAS>.<meineurl>/photo NICHT mehr aus dem Internet.

Habe es auch mit
https://<Netzwerkname mein NAS>.<meineurl>/photo und
https://<Netzwerkname mein NAS>.<meineurl>:443/photo und
auch jeweils ohne /photo probiert.
Funktioniert alles nicht.
Habe versuchsweise auch dyndns auf fritzbox eingeschaltet und/oder (wahlweise beides oder auch einzeln) im DMS unter externer Zugriff/Routerkonfiguration den Port 443 eingerichtet. Verbindungstest ist auch erfolgreich (aber nur wenn gleichzeitig auch auf der fritzbox HTTPS (Port 443) eingerichtet ist.

Was mache ich falsch?
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Du musst für die Photostation https aktivieren.
Siehe zB. Screenshot hier. Einstellungen - Allgemein - "automatischer Redirect von http auf https".

Versuch zunächst mal, dass die Fotostation für dich im lokalen Netz per HTTPS und interner IP abgerufen werden kann. Dann kannst du dich um dyndns Zugriff von außen kümmern.
Klappt das schon?

Wer soll aller Zugriff bekommen? Evt. musst du dir auch ein LetsEncrypt Zertifikat ausstellen, damit du die Browser-Warnung nicht bekommst.
 

hook

Benutzer
Mitglied seit
24. Sep 2013
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Du musst für die Photostation https aktivieren.
Siehe zB. Screenshot hier. Einstellungen - Allgemein - "automatischer Redirect von http auf https".
Geht nicht, die Option ist ausgegraut. Also habe ich noch mal im DSM geschaut. Dort unter Netzwerk/DSM Einstellungen "HTTPS aktiviert" und "HTTP zu HTTPS umleiten (webstation und photostation ausgeschlossen". HSTS aus gelassen. So jetzt komm ich per https auf DSM (wenn ich eine Ausnahme akzeptiere wegen fehlenden ZertifikatI. In Photostation ist die Option aber IMMER NOCH ausgegraut. Was nun?

Versuch zunächst mal, dass die Fotostation für dich im lokalen Netz per HTTPS und interner IP abgerufen werden kann. Dann kannst du dich um dyndns Zugriff von außen kümmern.
Klappt das schon?
Geht nach all den Maßnahmen immer noch nicht: https://<lokaleIP>/photo

Wer soll aller Zugriff bekommen? Evt. musst du dir auch ein LetsEncrypt Zertifikat ausstellen, damit du die Browser-Warnung nicht bekommst.
Warnung kriege ich. Es sollen Drei User zugelassen werden über Internet/Synology photo station app, eigentlich kein allgemeiner Zugriff oder gar administrativer Zugriff. Deshalb wollte ich ja den admin über Internet aus haben. Bei fritzboxen geht sowas...
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Seltsam. Bist du mit dem normalen Admin Benutzer in der Photostation?
Bei mir ist das Feld leider nicht ausgegraut. Habe einen Admin Benutzer "myAdmin". Also sollte es grundsätzlich mit jedem Admin (Default "admin" oder andere myAdmins) möglich sein, das Feld zu ändern.

Ich weiß leider nicht, was hier die Vorbedingungen sind, damit das klappt.
Da muss ich raten. Evt. hängt es damit zusammen, dass du dir vorher ein eigenes Zertifikat besorgen musst, welches du dann für die Syno Dienste verwendest. Kommt mir aber auch seltsam vor. Für ein LE Zertifikat ist zB. hier eine Anleitung.

Wenn du das ganze mit HTTPS betreibst, macht es auch Sinn, dass du dir hier ein Zertifikat anforderst, um diese "Browser Warnung" nicht zu erhalten.
Ob es das Problem mit dem ausgegrauten Hakerl löst, musst du probieren.
 

hook

Benutzer
Mitglied seit
24. Sep 2013
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Also irgendwie macht das keinen Sinn. Wenn ich den Artikel richtig lese, muss ich, damit sich das Lets Encyryt Zertifikat alle 90 Tage erneuert, den Port 80 auflassen. Genau den will ich ja eigentlich schließen, bzw. wird mir zu geraten, was ich ja auch verstehe.
Achso habe eine DS210j mit DSM5.2-5967 Update 9 - DSM6 wird dafür nicht angeboten. Photostation ist 6.3-2978. Jedenfalls in DSM Systemsteuerung unter "Zertifikat" wird nichts mit "Lets Encrypt" angeboten, das Menue sieht auch leicht anders aus als in der Anleitung. Wahrscheinlich ist die "Lets Encrypt" Einbindung eine Neuerung in DSM6 ;-(.
Falls noch jemand eine Idee hat, wie man auf der photostation HTTPS einschaltet, nur zu.
Meine Lösung ist jetzt erstmal neuer Admin angelegt und Original Admin deaktiviert, photostation über HTTP, will ja nicht anders.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
ach so dSM5.x

ja, damals gab esnoch kein LetsEncrypt.

Es kommt etwas darauf an mit welchen Clients du die PS mit https erreichen willst.

Eine Möglichkeit ist, den Zertifikat aus der DS zu exportieren und dann in die Cleint Betriebssysteme oder Browser importieren.

Falls dies zu umständlich erscheint, einen Zeirtifikat kaufen, also einen von einer Certification Authority welche auch ihren Root Zertifikat in den meisten Betriebssystemen und Browsern hat.

Weitere Möglichkeit ist bei allen Browsern mit denen man es versucht die entsprechende Ausnahme zu erstellen.
 

hook

Benutzer
Mitglied seit
24. Sep 2013
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Das geht am Problem vorbei, weil ich HTTPS NICHT eingeschaltet kriege für die Photostation (DSM schon). Mit der Browserausnahme würde ich ja leben...
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Wenn du Lets Encrypt nicht verwenden kannst, hilft es dir leider nicht, aber die Anleitung ist veraltet. Zum Renew reicht Port 443.

Außerdem macht es einen Unterschied, was über Port 80 läuft. LE Erneuerung ist wohl egal, deine unverschlüsselten Passwörter eher nicht...
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
weil ich HTTPS NICHT eingeschaltet kriege für die Photostation (DSM schon).

Ich habe jetzt angeschaut auf meiner Museum DS. Die hat DSM 4.8 und PS 6.0

alles funktioniert bestens, nur habe ich da keinen LE, sondern einen selfsigned und mauss deshalb entweder die Zert installieren oder eine Ausnahme einfügen.

Die https (443) muss neben der Einstellung in der DSM auch in der PS eingeschaltet sein, so wie schon oben beschrieben.
Unter Settings/General gibt es Rubrike wo man die Ports für http und https eintragen kann. Nicht jeder hat dort die default Ports 80 und 443, welche drin sind müssen jedoch zu der DS weitergeleitet werden im Router.
In meinem Fall ist die Fritz etwas älter und damuss noch der Port für den internen Fritz Webserver geändert werden, weil der früher auch 443 war was zu Kollisionen führte.
Wenn ich nun eine Anfrage: https://meinedomain/photo rufe, werde ich aufgefordert eine Ausnahme im Browser anzulegen und von da an geht es.
 

hook

Benutzer
Mitglied seit
24. Sep 2013
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Vorab schon mal vielen Dank für Deine Mühen

Die https (443) muss neben der Einstellung in der DSM
Wo im DSM und für was? PS oder DSM oder beides? Wo macht man das für PS im DSM?

auch in der PS eingeschaltet sein, so wie schon oben beschrieben.
Unter Settings/General gibt es Rubrike wo man die Ports für http und https eintragen kann. Nicht jeder hat dort die default Ports 80 und 443, welche drin sind müssen jedoch zu der DS weitergeleitet werden im Router.
Verstehe ich nicht ganz, muss ich da also dediziert 80 (HTTP) und 443 (HTTPS) eintragen mindestens, Standardmäßig sind die ja leer und HTTP geht ja ohne Eintrag? Auf der Fritz ist 443 identisch wie 80 freigegeben.

In meinem Fall ist die Fritz etwas älter und damuss noch der Port für den internen Fritz Webserver geändert werden, weil der früher auch 443 war was zu Kollisionen führte.
Ich hab ne 7490, ist ja recht aktuell, muss ich mal schauen auf welchem Port die läuft.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
Wie schon erwähnt, unter Settings, General, Router die Ports eintragen

(in der PS)
 
Zuletzt bearbeitet:

hook

Benutzer
Mitglied seit
24. Sep 2013
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Gut, hab ich gemacht, es hilft nix. Schalter bleibt grau und HTTPS Zugriff geht nicht, HTTP geht. Ich hab mal ne Anfrage beim Support gestartet. Siehe auch Screenshot.
photo_station1.jpg

Und Port auf fritz.box ist frei
photo_station2.jpg
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat