DDNS, Reverse-Proxy und Zugriff via Browser und Desktopclients

Status
Für weitere Antworten geschlossen.

mckee14

Benutzer
Mitglied seit
12. Mai 2020
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen

Nach der Umstellung auf eine DS918+ bin ich die grundsätzliche Konfiguration am Überdenken. Da ich von Netzwerken keine Schimmer habe, kann mir hoffentlich jemand einen Tipp für die Konfiguration geben.

- keine eigene Domain vorhanden. Könnte bei Bedarf beschafft werden.
- DDNS eingerichtet inkl. SSL Zertifikat

Ich möchte so wenige Ports freigeben wie möglich.
Zugriff erfolgt
- über Browser (https) > DSM > Webapps (oder wie man das nennt, wenn man die Dienste über den DSM Desktop startet: Drive, Note, Chat, Kalender, Filestation, Photostation, Moments)
- über Handy-Apps (Drive, Note, Chat, Photostation, Moments)
- über die Desktopclients (Drive, Note, Chat)

Soweit ich das verstanden habe, müsste ich dazu alles via port 443 reinholen und dann intern via Reverseproxy verteilen, ist das soweit korrekt? Und würde das auch gehen für Programme wie den Drive Client, der weitere Ports haben will?
Der Zugriff soll möglichst sicher sein, die Nutzung/Einrichtung möglichst einfach. Die Konfiguration würde ich gemäss den Tipps entsprechend vornehmen.

Besten Dank und Gruss,
Marc
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Schau dir die erste Seite (Reverse Proxy ist auf der 2. Seite in Reiter - die 1. Seite hat einen anderen Namen fällt mir jetzt nicht ein) in Anwendungsportale (Systemsteuerung) an. Da sind viele installierte Dienste bereits verfügbar wie FileStation, NoteStation etc. - da bräuchtest du nur deine DDNS-Adresse dort hinterlegen.
Bei der zweiten Seite - also Reverse Proxy - kannst du dann weitere Dienste "manuell" einbinden - ebenfalls via DDNS möglich. Bitte dann auch die SSL-Zertifikate entsprechend konfiguieren --> Systemsteuerung - Sicherheit - Zertifikate - entsprechendes SSL-Zertifikat anklicken - und oben auf Konfiguieren gehen.

Die von dir angesprochene Port bei Drive ist nur für die Nutzung von Client-Tools am PC/Mac erforderlich --> 6690 via Router freigeben. Aber Drive via Web keine Port-Weiterleitung notwendig.
 

mckee14

Benutzer
Mitglied seit
12. Mai 2020
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
OK, bisher komme ich mit 2 Portweiterleitungen aus:
> 443 zu 443
> XXX zu XXX (DSM Anmeldung, standard ist 5001, geändert auf XXX)

Funktioniert alles, auch ohne Reverse Proxy.

1. Muss ich für den Drive Client zwingend einen weiteren Port aufmachen, oder kann man das intern via RP abfangen?
2. Ist es möglich die schon offenen Ports zu schliessen und das via RP abzufangen?

Mir ist nicht klar, wie die Diskstation den Traffic bekommt und intern routet.

Wie gesagt möchte ich so wenig Löcher nach aussen Präsentieren wie möglich.
Am liebsten wäre es mir, wenn ich gar keine Ports forwarden muss und die ganzen Dienste erreichbar sind über dienst.lustigername.synology.me, inklusive Anmeldung via Drive Client.

Geht das überhaupt? Ohne meine 2 offenen Ports sind schon mal die ganzen Dienste plus das DSM nicht verfügbar von aussen...
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Nein, das geht nicht. Auch ein Reverse Proxy muss ja irgendwie erreichbar sein.
sub.example.com landet ja nicht magisch auf deiner DS, kommt nicht am Router vorbei.
Ohne Ports geht nur via Relay Dienst ala Synology QuickConnect.

Drive Client braucht nur für den Sync den Port 6690, für den Zugriff via Mobile oder Browser nicht.
Kann man via Reverse Proxy probieren, weiß nicht mehr ob das ging in dem Fall.
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
AD 1) Nein, leider nicht möglich - also entweder 6690 via Client am PC/Mac oder eben Webbased via drive.ddns.com o.ä.
AD 2) Welche offene Ports hast du denn noch außer 443 und XXXX (für DSM Anmeldung) oder worauf bezieht sich deine Frage jetzt genau? Mit RP kannst du ja weitere Ports auf zB 443 lenken.

Wenn du gar keine Ports forwarden haben möchtest, nutze doch einfach den Synology-Dienst namens QuickConnect (quickconnect.to/<Name>)...? Lässt sich auch via DSM Oberfläche in Systemsteuerung einrichten.

Edit: @Fusion war schneller mit der Antwort ... ;) Sorry für ähnliche Posts.
 

mckee14

Benutzer
Mitglied seit
12. Mai 2020
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Aktuell sind offen:
443
XXX für DSM
YYY für Drive Sync

Funktioniert auch alles via DDNS
https://lustigername.synology.me löst auf nach ip:XXX, login DSM.
https://lustigername.synology.me/dienst bringt direkt die loginmaske für den dienst (photo, drive, notes etc) via eingetragener Alias im Anwendungsportal
Clients wollen je nach Client DDNS oder DDNS/dienst und funktionieren via HTTPS

Was ich wissen wollte, war
- kann man es anders konfigurieren und noch mehr ports schliessen? dass ich zb. nur noch https://ddns/dienst oder https://dienst.ddns eingeben muss und damit ALLES bedient wird, also photostation, kalender, chat, drive, DSM.
- geht es nicht ohne Port 443? Das ist doch ein standard-port für https, stört das nicht wenn der fix auf die DS forwarded ist?

Und kann man mit 3 offenen Ports im Router immer noch beruhigt schlafen? ;-)

Nachtrag: quickconnect möchte ich möglichst nicht verwenden: Ich weiss nicht genau, was da passiert, wer Datenhoheit hat und wie das mit der Geschwindikeit aussieht. Ich habe 100MBit upload zu Hause und möchte möglichst wenig davon verlieren, da ich oft 12MP grosse Fotos ziehe und PDFs mit mehreren 100mb öffne. Überträgt dieser Dienst die Daten, oder vermittelt er nur den Anfragenden an die DS?
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Verstehe ich nicht, du benutzt doch schon <https://ddns/dienst>, bist also schon beim NUR NOCH.
https ist aber Port 443, den versteckt der Browser nur bzw. setzt ihn automatisch im Hintergrund.
Offen sein muss er also trotzdem.

0 ports geht nur mit Relay. Und da hier keine direkte Verbindung möglich ist müssen die Daten über das Relay fließen.
Der Traffic war auf 10-20MBit/s begrenzt pro Nutzer, nehme nicht an, dass sich das grundsätzlich geändert hat.
Wenn QC und offene Ports zusammen kommen dient der Dienst nur als Vermittler und die Daten laufen direkt wenn irgend möglich.
Glasfaser? oder wo bekommt man 100MBit/s Upload?

Minimal wäre 1 Port für VPN und alles nur via VPN-Tunnel benutzen, der dann natürlich auf dem Endgerät dauern aktiv sein müsste wenn du ihn brauchst.

Edit:
Nachtrag. Ob du ruhig schlafen kannst, kannst nur du entscheiden. 100% sicher ist nur: Internetanschluss stromlos schalten. :)
 

mckee14

Benutzer
Mitglied seit
12. Mai 2020
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Vielen Dank, dann hat sich das soweit beantwortet: Entweder Quickconnect nutzen oder mit den offenen Ports leben.

Dass es 100% sicher nicht gibt ist mir klar, ich möchte bloss keine DAU-Fehler in der Umsetzung haben. Und wenn ich nach 2 Jahren dann erfahre, dass ich es besser anders gemacht hätte, dann beisse ich mir selbst in den A****, sowas wurmt mich dann immer ;-)

1GBit DL mit 100Mbit UL gibts von UPC via Kabel (Schweiz). Andere Anbieter rollen momentan gerade fibre (bis vors Haus) mit 1GB synchron aus.

Swisscom hat Pilotkunden mit 10GBit synchron am laufen... da ist dem Kollegen aber vor 3 Tagen der Router durchgebrannt, plötzlich hats geraucht und fertig wars mit Internet. Die Hotline meinte dann nur "ja, das hätten sie jetzt schon ein paar mal gemeldet bekommen".
Das alles für Privatanschlüsse, idiotischerweise gibts da dann keine feste IP dazu. Muss man erst mal drauf kommen, so viel upload anbieten ohne die Möglichkeit einer festen IP...
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat