Photo Station Hilfe zum Aufruf der Photostation

[Lupolux]

Servus an alle,
nachdem ich nun jeden Tag.....stundenlang.....gelesen, ausprobiert, gelesen...ausprobiert usw. ich nun doch nicht weiterkomme, muß ich eure Hilfe in Anspruch nehmen. Bitte helft mir, ich kann meine Zeile, die ich als Webseite zum ausprobieren geschrieben habe, über die öffentliche ip und dann eben über die gemachte Webadresse aufrufen. Ich denke mal, das der Weg nur intern bleibt.
Genauso mit der Fotoseite. Ich kann sie aufrufen.
Meine Nachbarin gebeten, die Adressen mal aufzurufen, geht wohl nicht.
Ich hab nun schon überall gelesen, verschiedenes verstellt, im Router eingegeben, nix...
Ich nutze XP SP3, DSM 3.0 auf DS111, Fritz!Box 7170
Ich bin absoluter Laie in diesen Sachen, bitte helft mir so, das ich es verstehen kann. Bitte. ich versuche mal Bilder von den Einstellungen des Routers, der Portfreigaben und der DS hochzuladen. weis nicht ob das klappt. bis gleich

Gruß erst mal

Lutze

 

[ReMi]

1. In der Fritzbox den Port 80 weiterleiten. Dürfte dann in der FritzBox etwa so aussehen.
"HTTP-Server TCP 80 IP-Diskstation 80"
2. Die momentane, öffentliche IP von der FritzBox Startseite notieren.
3. Zur Nachbarin gehen
4. von dort http://momentaneIP/photo aufrufen
5. sich bei der Nachbarin bedanken.
6. die öffentliche IP ändert sich bei den meisten DSL-Providern täglich. Daher sollte man an einen DynDNS Dienst nachdenken. Dies ist im Wiki erklärt.
http://www.synology-wiki.de/index.php/Zugriff_auf_die_Synology-Dienste_über_Internet

 

[Lupolux]

Servus ReMi,
jo, so hab ichs auch gemacht, sie hat so und so probiert. Also über öff. IP, und über den DynDNS Namen, also die Webadresse.

Konnte nicht gefunden werden, zeigts an

Fehlt da doch noch irgendeine Portweiterleitung?

Gruß

 

[ReMi]

Ich habe auf meiner 7270 nur den einen Port freigegeben. Hast du irgendwas an der Firewall der DS eingestellt?

 

[Lupolux]

ich glaube, manche Einträge sind doppelt

 

[ReMi]

Ich habe in der DS gar keine Firewall Regeln gesetzt. Ich vertraue der FritzBox, weiß aber auch nicht ob dies richtig ist.

 

[Lupolux]

Hm, möchte die Firewall schon gerne eingeschaltet lassen. Irgendwie muß es ja gehen.....
________________________________________________________________________

Wie ist das eigentlich mit dem Standby? WOL gibts ja bei mir nicht (DS111) Wenn die DS nach 15min in den Stanby geht und nach 30min wird die Webseite aufgerufen, dann müßte doch die DS aufwachen ? Oder müßte man das standby dann auch deaktivieren?

Gruß

 

[Lupolux]

@ReMi

hast du in der Fritz!Box bei Einstellung der IP's der angeschlossenen Geräte, diese festgemacht, also den Rechnern immer diesselbe IP zugewiesen, oder ist da noch eine andere Einstellung, weil ich gelesen habe, das man die IP fest vergeben soll.
Gruß

 

[Trolli]

Wie ist das eigentlich mit dem Standby? WOL gibts ja bei mir nicht (DS111) Wenn die DS nach 15min in den Stanby geht und nach 30min wird die Webseite aufgerufen, dann müßte doch die DS aufwachen ? Oder müßte man das standby dann auch deaktivieren?

Mit WOL kann man eine ausgeschaltete DS über einen Netzwerkbefehl einschalten. Das hat nichts mit dem Hibernation-Modus der DS zu tun.
Über Hibernation geht die DS in einen Ruhezustand, aus dem sie natürlich bei einem Zugriff direkt wieder aufwacht.

 

[Super-Grobi]

Moin Lupolux ,

Hm, möchte die Firewall schon gerne eingeschaltet lassen. Irgendwie muß es ja gehen.....

Naja, das geht auch schon (auch wenn es nichts bringt, außer wenn Du die vermuteten Angreifer in Deinem localen Netz vermutest)...
Aber, um die Sache erst mal einfach zu gestalten, machst Du sie aus (kein Sicherheitsverlust).
Dann hast Du schon mal eine Fehlerquelle weniger.

Die FB hat ein funktionierendes Loopback-Device.
Das bedeutet, Du brauchst Deine Nachbarin nicht bemühen (jedenfalls nicht dafür)
und kannst Das direkt von daheim probieren mit der öffentlichen IP, oder dem DDNS Namen.
Wenn es da klappt, klappts auch mit..., ähhh, bei der Nachbarin...

Immer Schritt für Schritt, nicht immer alles auf einmal.


p.s. Bei den ganzen Portfreigaben auf Deiner FB, brauchst Du wegen der Firewall auf Deiner DS keine schlaflosen Nächte haben....
Die solltest Du eher wegen der FB haben...... So wenig Freigaben wie möglich, so viele wie notwendig.

Wenn Du die für Dich wichtigsten Dienste am laufen hast, dann solltest Du dir über andere Portnummern (also das verwenden von nicht Standardports) Gedanken machen.

Wenn Du die wirklich ALLE benötigst, würde ich mich an Deiner Stelle mal über DMZ informieren, macht in dem Fall aus meiner Sicht dann mehr Sinn, um das interne Netz da zu schützen.... (Wikipedia weiß Bescheid)
VPN, SSH, https sind auch so Schlagworte die einem hilfreich sein können um eine Verbindung von Außen nach Innen sicher zu bekommen

Grüße
Jörg

 

[Lupolux]

Moin Lupolux ,



Naja, das geht auch schon (auch wenn es nichts bringt, außer wenn Du die vermuteten Angreifer in Deinem localen Netz vermutest)...
Aber, um die Sache erst mal einfach zu gestalten, machst Du sie aus (kein Sicherheitsverlust).
Dann hast Du schon mal eine Fehlerquelle weniger.

Die FB hat ein funktionierendes Loopback-Device.
Das bedeutet, Du brauchst Deine Nachbarin nicht bemühen (jedenfalls nicht dafür)
und kannst Das direkt von daheim probieren mit der öffentlichen IP, oder dem DDNS Namen.
Wenn es da klappt, klappts auch mit..., ähhh, bei der Nachbarin...

Immer Schritt für Schritt, nicht immer alles auf einmal.


p.s. Bei den ganzen Portfreigaben auf Deiner FB, brauchst Du wegen der Firewall auf Deiner DS keine schlaflosen Nächte haben....
Die solltest Du eher wegen der FB haben...... So wenig Freigaben wie möglich, so viele wie notwendig.

Wenn Du die für Dich wichtigsten Dienste am laufen hast, dann solltest Du dir über andere Portnummern (also das verwenden von nicht Standardports) Gedanken machen.

Wenn Du die wirklich ALLE benötigst, würde ich mich an Deiner Stelle mal über DMZ informieren, macht in dem Fall aus meiner Sicht dann mehr Sinn, um das interne Netz da zu schützen.... (Wikipedia weiß Bescheid)
VPN, SSH, https sind auch so Schlagworte die einem hilfreich sein können um eine Verbindung von Außen nach Innen sicher zu bekommen

Grüße
Jörg

Hallo Jörg,
serh schön, endlich mal was konkretes....

(erst mal was anderes, die Zeit des Forums geht wohl 15min vor...)

so, ok werde mich dann heute dran setzen, nun muß ich erst mal raus, was tun. Einiges Verstanden, Firewall der DS ausschalten,ok. Für alle anderen Begriffe, muß ich dann erst mal bei Wiki anrufen..... wie gesagt wird dann erst nachmittag.

Der Zugriff von intern, wie schon geschrieben, hatte aber geklappt, sowohl mit der öff. IP als auch mit der WEB adresse, deshalb von draussen, bei der Nachbarin getestet.

ok, danke erst mal, bis Nachmittag

Gruß Lutze

 

[ReMi]

@ReMi

hast du in der Fritz!Box bei Einstellung der IP's der angeschlossenen Geräte, diese festgemacht, also den Rechnern immer diesselbe IP zugewiesen, oder ist da noch eine andere Einstellung, weil ich gelesen habe, das man die IP fest vergeben soll.
Gruß

Hallo,
die Diskstation hat bei mir eine feste IP. Diese hab ich in der DS (Bedienfeld->Netzwerk->Schnittstelle) eingetragen (.10). Die Fritzbox verteilt per DHCP bei mir an Notebook usw. Adressen zwischen (.20 bis.200).
Gruß Rene

 

[Lupolux]

So, soso, nunhab ich Firewall der DS deaktiviert, auch PPPoe, und es funzt, bei mir.
Weiterleitungen der FB nun alle deaktiviert, bis auf 80 zu 80. UND... es geht
spassenshalber den 80ger mal deaktiviert, geht nix, wieder aktiviert und es geht. Von ausserhalb weis ichs noch nicht.
DMZ .....eine Wissenschaft für sich, hab zwar noch zwei Router hier stehen, ob die das abba mitmachen weiß ich nicht. Für mich klingts jedenfalls kompliziert.
VPN klingt interessant,der Artikel ist jedenfalls schön beschrieben und nicht zu kompliziert (für mich).
SSH sieht wieder kompliziert aus, aber sicherer als nichts.
https hab ich nun gelesen über Port 443. Muß ich den nun so: 443 ->443 weiterleiten oder von 80 -> 443 ?

Gruß Lutze

 

[Super-Grobi]

Moin Lutze,

Weiterleitungen der FB nun alle deaktiviert, bis auf 80 zu 80. UND... es geht

Na wunderbar.

DMZ .....eine Wissenschaft für sich

Das Prinzip dahinter ist eigentlich recht einfach, und besagt einfach, dass ein eigenes Netzsegment für Geräte gibt.
Wenn keiner zwischen den Netzen routet, kann auch keiner da ausbrechen. Man kann dann die DMZ nach draußen für viele Sachen öffnen, und
für den Zugriffe aus dem eigenen Netz nur einen, gut geschützten Zugang machen. Dann hat man in der Richtung nur ein kleines (Sicherheits)Loch.

Grad geguggt, ich dachte die FB hätte da irgendeine eingebaute Unterstützung für, aber ich kann's nicht finden....
Das hab ich irgendwie falsch abgelegt gehabt....

Da müsste man dann wirklich mit mehreren Routern arbeiten, oder sich einen olen der das kann.
Aber ich gehe mal davon aus, dass Du ja auch nicht so ein riesen Loch benötigst, und dann eine DMZ auch völlig übertrieben ist.

https hab ich nun gelesen über Port 443. Muß ich den nun so: 443 ->443 weiterleiten oder von 80 -> 443 ?

443 -> 443 wäre es.

Es kommt auch immer sehr drauf an von wo man da zugreifen möchte. Viele Firmennetze beschränken die Ports mit den man rausgehen kann/darf
auf einige wenige. Da hilft nur probieren und Anfang dann einfach auch den Router von außen zugreifbar machen. So kann man dann von außen auch die Portweiterleitungen im Router anpassen. Wenn dann alles klappt, macht man den Routerzugang wieder dicht...

Und dann rughig mal probieren ob Du den eingehenden Port auf etwas nicht Standardmäßiges umbiegen kann, also z.B 1334 -> 443 oder den 80er auf 1888->80
damit man die Scriptkiddies von der Wade bekommt ;-)

Und unbedingt dran denken Auto-Blocker einschalten und Logeinträge "connection" ab und an prüfen!

Grüße
Jörg

 

[Lupolux]

servus Jörg
danke für deine Ausführung. Hab Mitleid mit mir, komm eben mit manchen Sachen nicht soo mit und muß eben immer wieder mal Wiki anrufen.......und du meinst, wenns bei mir geht, sollte der Zugriff von Aussen auf meine Bilder möglich sein? von 443 -> 443 ok, wozu braucht man dann noch 80->80 ? habe auch markiert http automatisch zu https umleiten, was heißt denn das nun e i n f a c h ausgedrückt? Brauch ich dann den 443 nicht mehr und nur noch den 80 ?
""Wenn alles klappt,macht man den Routerzugang wieder dicht"" : heißt das dann alle Portweiterleitungen schliessen , oder wie?
"" den eingehenden Port auf nicht Standartmäßiges umbiegen"" wenn man mir das auf hochdeutsch erklärt versteh ich es vielleicht . . . 80 auf 1888->80 ?

Sorry, n' haufen Fragen, komm aus ner anderen Sparte und muß mich hier da nu so einarbeiten.

Gruß Lutze

 

[Super-Grobi]

Hi Lutze

Hab Mitleid mit mir, komm eben mit manchen Sachen nicht soo mit und muß eben immer wieder mal Wiki anrufeen

Keine Panik, die DS rennt ja nicht weg

wozu braucht man dann noch 80->80

der Port 80 ist historisch der normale http-Zugang, 443 der für https.
Wenn https über 443 funktioniert, benötigst Du den 80 nicht mehr wirklich und könntest ihn zu machen.
https hat halt den Vorteil, dass auch die Passwörter nicht mehr unverschlüsselt über die Leitung gehen.

habe auch markiert http automatisch zu https umleiten, was heißt denn das nun e i n f a c h ausgedrückt? Brauch ich dann den 443 nicht mehr und nur noch den 80 ?

Den Teil hab ich auch nie kapiert, da muss Dir jemand mit mehr Ahnung als ich es habe helfen....

Wenn alles klappt,macht man den Routerzugang wieder dicht"" : heißt das dann alle Portweiterleitungen schliessen

Das war bezogen auf Deinen Router, die Fritzbox, nicht auf Dein NAS.
In der Fritzbox bist Du ja jetzt häufig am wirbeln, weil Du da die Ports anpasst und wat weiß ich.
Und da man ja versucht einen Zugang von Außerhalb zu DS einzurichten wäre es ja praktisch wenn man während dieser Einrichtungsphase auch von Außen auf die Fritzbox zugreifen könnte um die Ports zur DS zu verstellen. Und das kann man natürlich auch machen.
Aber, das ist natürlich wieder ein potentieller Angriffspunkt, denn man dann nur solange bestehen lässt, bis das alles läuft, dann kann man den Zugang zur Fritzbox von außen wieder zu machen.

wenn man mir das auf hochdeutsch erklärt versteh ich es vielleicht

Also die Standardports sind die Standradports, weil hinter festgelegten Portnummer festgelegte Dienste zu finden sind.
hinter 80 ein Webbrowser
hinter 21 ein FTP Server
hinter 23(?) ein Telnet Server

Da das eine festgelegte Zuordnung ist, die per default eigentlich immer voreingestellt ist, werden bei Portscans auch immer genau diese
Ports von den "Pösen Purschen" geprüft ob da denn was ist. Und wenn man das nicht ändert, ist da halt auch was.
Und deshalb macht es durchaus Sinn, diese Default-Ports NICHT zu benutzen und in einen Portbereich zu verschieben der bei den Scans i.A.
nicht gescannt wird. Da es (2 hoch 16) -1 mögliche Ports gibt, kann das schon echt dauern, bis man die 65Tausendkeks da durchgescannt hat.
Ergo macht das keiner. Die Scannen alle nur die Standardports ab.
Wenn man sich also oberhalb von 1024 und unterhalb der 65Tausend bewegt ist die Chance unentdeckt zu bleiben ziemlich gut....
Das ist keine echte Sicherheit, aber es hält das Log mit den missglückten Einwahlversuchen schön klein

Sorry, n' haufen Fragen, komm aus ner anderen Sparte und muß mich hier da nu so einarbeiten.

Kein Ding, ist mein Hobby


Grüüüße

[Edit V3.0]
Bei der Verwendung von anderen Ports, muß dann natürlich auch der Aufruf entsprechend angepasst werden.
Angenommen Du hast die DDNS Adresse meinetolleDS.noip.com ergattert und möchtest einen Webbrowser der z.B. jetzt auf der vorhin genannten 1888 läuft erreichen. dann mußt Du im Browser ein freundliches
http://meinetolleDS.noip.com:1888
entippen!

Beim ftp dann im jeweiligen Programm eintragen, oder auch so im IE hinten angeben ftp://meinetolleDS.noip.com:2121
Halbwegs klar?
dat wird schon

 

[Lupolux]

so ok, Versuch...
a l s o ... wenn ich das über https laufen lassen will u n d nen anderen Port
mit https://meinetolleDS.no-ip.org:1888 dann muß ich muß ich in der FB eine Portweiterleitung von 1888 auf 443 einstellen ??

 

[Super-Grobi]

Jepp, so der Plan ....

 

[Lupolux]

ich bin fassungslos dann werd ich die Sache mal angehen...

UUnd: natürlich noch was... bei meiner hammerharten 1000der DSL-Leitung, macht sich das stark bei mir beim schnorcheln bemerkbar, wenn jemand auf die DS zugreift?

uund: gibts was, das einem anzeigt(Desktopf), wenn auf die DS zugegriffen wird oder sieht man das nur im Protokoll der Systeminformation der DS?


wann kann ich eigentlich nen Avatar einstellen..

 

[Super-Grobi]

Du solltest überlegen in der FB einzustellen, dass alle verbindungen von Außen zur DS niedrig Priorisiert sind.
Internet-> Priorisierung->Hintergrundanwendung->Neue Regel-> IP oder Name der DS eintragen

uund: gibts was, das einem anzeigt(Desktopf), wenn auf die DS zugegriffen wird oder sieht man das nur im Protokoll der Systeminformation der DS?

Ist mir nicht bekannt.

wann kann ich eigentlich nen Avatar einstellen..

noch 188 Beiträge von Dir entfernt

Grüße