Quickconnect ID und DDNS, ich kapiere es einfach nicht...

Status
Für weitere Antworten geschlossen.

adriling

Benutzer
Mitglied seit
11. Nov 2014
Beiträge
59
Punkte für Reaktionen
0
Punkte
0
Hallo, ich würde meine DS413j gerne so einrichten, dass ich Dateien für Andere freigeben kann. Dazu benötige ich DDNS habe ich mittlerweile herausgefunden. Mein erster Versuch mit Strato war leider nicht erfolgreich, irgendwie bekomme ich das nicht zum laufen, egal was ich eingebe, die Authentizierung wird verweigert.
Dann bin ich auf MyDS und die Quickconnect ID gestoßen und habe mir die entsprechend eingerichtet, leider scheint dies aber auch nicht den gewünschten Erfolg zu bringen. Wenn ich nun eine Datei freigebe wird weiterhin die interne IP Adresse und nicht der Quickconnect ID Pfad als Link angezeigt?
Ich habe auch versucht, Synology als DDNS einzurichten, aber mir wird unter MyDS leider kein DDNS-Hostname angezeigt bzw. weiß ich nicht, was ich dort im DSM unter Hostname / synology.me eintragen soll?

Wäre prima, wenn mich hier jemand einmal aufklären bzw. auf den richtigen Weg bringen könnte.

Besten Dank und Gruß,
adrian
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Eigentlich benötigst Du nur eines von beiden, um von extern auf Deine DS zugreifen zu können.
Der Favorit dafür ist eine dynamische Domain - kurz DDNS. Im Gegensatz zu einer richtigen Domain ist das eine Subdomain eines entsprechenden Anbieters (neben Synology gibt es zahlreiche andere kostenfreie Anbieter wie bspw. selfhost.de), die einen Serverdienst anbieten, die einen bestimmten Namen (eben Deinen DDNS-Namen) mit der regelmäßig wechselnden IP-Adresse Deines Anschlusses in das weltweite DNS-Netz einspeist (das sind die Server, bei denen angefragt wird, wenn man die IP-Adresse zu einer Domain haben möchte). Wichtig ist dabei, dass Du im Router entsprechende Ports, auf denen Du mit Deiner DS reden willst (also bspw. Port 80 für den Webserver der Photostation) an die DS weiterleiten musst.
QuickConnect ist dagegen eine "Krücke" - letztlich geht es darum, dem User eine Möglichkeit zu geben, ohne Portweiterleitungen im Router von außen an seine DS zu kommen. Dafür redet die DS regelmäßig von sich aus mit einen Serverdienst bei Synology - und fragt dort nach, ob jemand sie sprechen möchte. Wenn Du also Deine DS sprechen möchtest, erfährt Deine DS über diesen Dienst davon und es wird eine vermittelte Verbindung hergestellt. Warum funktioniert das ohne Portweiterleitung? Nun, weil alle Datenpakete, die von außen an den Router gelangen, dort verworfen werden - es sei denn, sie kommen auf einem Port, der an ein Gerät weitergeleitet wird (wie bspw. bei DDNS), oder aber sie wurden von einem Gerät im LAN angefragt. Da bei QuickConnect die DS ja von sich aus regelmäßig beim Synology-Server anfragt, ist diese Kommunikation ja aus dem LAN angefragt worden - womit also keine Portweiterleitung vonnöten ist. Wie man schnell merkt, können Schädlingen diese Technik durchaus für ihre Zwecke nutzen - was aus sicherheitstechnischer Sicht das Ganze obskur aussehen läßt.

Daher die Empfehlung:
mach das Ganze über eine DDNS. Gute Anbieter sind wie gesagt selfhost.de oder auch freedns.afraid.org (die neben IPv4 auch IPv6 exzellent beherrschen).
Den DDNS-Namen trägst Du dann unter 'Hostname' im Blatt 'Erweitert' unter 'Externer Zugriff' (zu finden in der Systemsteuerung) ein. Damit dürften Deine Probleme der Vergangenheit angehören.
 

adriling

Benutzer
Mitglied seit
11. Nov 2014
Beiträge
59
Punkte für Reaktionen
0
Punkte
0
Hallo, danke für die ausführliche und verständliche Antwort, prima. Ich habe daraufhin noch einmal alle Varianten zu Strato ausprobiert und endlich die Lösung gefunden, Benutzer muss identisch mit der DDNS Domain sein. Hier einmal ein kurzer Test, ob die Datei zu sehen/laden ist: http://adriling.de:5000/fbsharing/OlKGJjKN

Die DDNS habe ich jetzt direkt im DMS und nicht im Router angelegt, muss ich jetzt dort für die Photo Station noch etwas einrichten bzw. Port freigeben?

Danke schön noch einmal, adrian
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Für die Photo Station musst Du den Webdienst aktivieren - das ist der User-Apache, über den u.a. auch die Photo Station läuft. Standardmäßig geht das über Port 80, wenn Du https für den Webdienst aktivierst, auch über Port 443. Diese Ports müssen dann im Router an die DS weitergeleitet und in der DS-Friewall (so sie denn aktiviert ist) freigegeben werden.
 

t_heinrich

Benutzer
Mitglied seit
12. Sep 2014
Beiträge
117
Punkte für Reaktionen
1
Punkte
18
@Frogman: vielen Dank für die Erklärung, mir war der Unterschied auch nicht ganz klar und der Einfachkeitshalber habe ich auch QuickConnect eingerichtet.

Statt nun aber etliche Portweiterleitungen zu setzen, ist es doch sicherlich deutlich sicherer und auch einfacher an seinem Router ein VPN-Zugang zu setzen.
Dann brauche ich keine von den beiden Diensten (in meinem Fall habe ich einen VPN Zugang über den FritzBox DDNS Service) und trage nur die internen Parameter ein.
Das Einzige was schade ist (und weswegen ich den DDNS Service von Synology parallel weiterlaufen lassen würde) das die Funktion Heartbeat beim FritzBox DDNS Service nicht vorhanden ist.


Oder spricht etwas gegen diese Kombi?

Gruß Thomas
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
..., ist es doch sicherlich deutlich sicherer und auch einfacher an seinem Router ein VPN-Zugang zu setzen.... Oder spricht etwas gegen diese Kombi?
Das ist eine gute und sichere Alternative, ja. Und gegen die Kombination mit einem DDNS-Dienst spricht nichts - Du brauchst ja immer einen, egal von welchem Anbieter (AVM, Synology oder einen der Alternativen), weil Du die IP ermitteln musst.
 

adriling

Benutzer
Mitglied seit
11. Nov 2014
Beiträge
59
Punkte für Reaktionen
0
Punkte
0
Hatte jemand schon einmal testen können, ob mein Link etwas weiter oben funktioniert, müsste zu einem Word mit Testtext führen? Danke Euch, adrian
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
Hatte jemand schon einmal testen können, ob mein Link etwas weiter oben funktioniert, müsste zu einem Word mit Testtext führen? Danke Euch, adrian

also bei mir geht es nicht bis jetzt


aber bei dir ist je wohl der Port 5000 nicht an die DS weitergeleitet, also wird das wohl nichts.
 

t_heinrich

Benutzer
Mitglied seit
12. Sep 2014
Beiträge
117
Punkte für Reaktionen
1
Punkte
18
Das ist eine gute und sichere Alternative, ja. Und gegen die Kombination mit einem DDNS-Dienst spricht nichts

Das klingt doch schon mal gut.
Mit Kombination meinte ich, dass ich zZ zwei DDNS Dienste parallel laufen habe.
Auf der FritzBox läuft der Dienst von AVM und auf der Synology nun der von Synology.
Eigentlich ist letzterer ja überflüssig - bis auf das er dieses praktische Feature "Heartbeat" hat.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Nein, Du kannst auch mehr als einen Dienst laufen lassen.
 

phuture303

Benutzer
Mitglied seit
15. Jul 2012
Beiträge
65
Punkte für Reaktionen
0
Punkte
6
QuickConnect ist dagegen eine "Krücke" - letztlich geht es darum, dem User eine Möglichkeit zu geben, ohne Portweiterleitungen im Router von außen an seine DS zu kommen. Dafür redet die DS regelmäßig von sich aus mit einen Serverdienst bei Synology - und fragt dort nach, ob jemand sie sprechen möchte. Wenn Du also Deine DS sprechen möchtest, erfährt Deine DS über diesen Dienst davon und es wird eine vermittelte Verbindung hergestellt. Warum funktioniert das ohne Portweiterleitung? Nun, weil alle Datenpakete, die von außen an den Router gelangen, dort verworfen werden - es sei denn, sie kommen auf einem Port, der an ein Gerät weitergeleitet wird (wie bspw. bei DDNS), oder aber sie wurden von einem Gerät im LAN angefragt. Da bei QuickConnect die DS ja von sich aus regelmäßig beim Synology-Server anfragt, ist diese Kommunikation ja aus dem LAN angefragt worden - womit also keine Portweiterleitung vonnöten ist. Wie man schnell merkt, können Schädlingen diese Technik durchaus für ihre Zwecke nutzen - was aus sicherheitstechnischer Sicht das Ganze obskur aussehen läßt.

Na, da sage ich auch mal "danke" – endlich hab ich das verstanden :)
 

adriling

Benutzer
Mitglied seit
11. Nov 2014
Beiträge
59
Punkte für Reaktionen
0
Punkte
0
@ottosykora: So, habe das in der FritzBox einmal eingerichtet, also Port 5000 an Disk Station weitergeleitet. Funktioniert es jetzt mit der Datei?

Danke für die Mühe, cheers adrian
 
Zuletzt bearbeitet:

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
bingo!

jetzt geht es prima.

So als nächstes mache das gleiche mit dem Port 5001 und dann kannst du den 5000 wieder wegnehmen. Man kann auch Anfragen auf Port 5000 zum Bsp an den 5001 leiten. Port 5000 ist nicht verschlüsselt und das könnte ein Sicherheitsrisiko werden. 5001 benutzt dann SSL und ist somit sicherer. Da jedoch die SSL Zertifikate nicht bei einer CA registriert sind, erscheinen sie dem Browser als 'nicht vertrauenswürdig'. User müssen dann halt bestätigen dass sie wissen was sie tun im Browser.
 

adriling

Benutzer
Mitglied seit
11. Nov 2014
Beiträge
59
Punkte für Reaktionen
0
Punkte
0
Danke, das ist ja schon einmal gut!

Das mit dem Port habe ich jetzt leider nur halb verstanden. An der Fritzbox habe ich bisher eingestellt:
von Port 5000 bis Port 5000
an DiskStation
an Port 5000

Was sollte da nun stehen?
von Port 5000 bis Port 5001?
an Port 5001?

Oder anders? Und muss ich an der DS noch etwas wegen dem Port 5001 ändern/ einstellen?

Herzlichen Dank, adrian
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Von Port 5001 bis 5001 an Port 5001 (und den Port 5000 möglichst gar nicht weiterleiten).
 

adriling

Benutzer
Mitglied seit
11. Nov 2014
Beiträge
59
Punkte für Reaktionen
0
Punkte
0
Ok, ist gemacht. In dem DS Link steht aber immer noch '5000' drin, das funktioniert trotzdem? Hier gleich noch einmal der Link zum Testen: https://adriling.de:5001/fbsharing/D1jCSiV6

Oder müsste ich da manuell die 5000 durch die 5001 in dem Link ersetzen?
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ersetzen auf 5001 und vorne https statt http. Kürze aber besser oben in Deinem Post mal den Link, oder sollen da jetzt Dutzende User zugreifen? ;)
 

adriling

Benutzer
Mitglied seit
11. Nov 2014
Beiträge
59
Punkte für Reaktionen
0
Punkte
0
Ich habe den Link oben einmal geändert, funktioniert er? Ein kurzer Test wäre sehr nett!

Und da kann gerne jeder darauf zugreifen, ist nur ein Word mit kurzem Text, welches ich extra zum Testen hier erstellt habe :)
 

g202e

Benutzer
Mitglied seit
07. Jun 2009
Beiträge
2.293
Punkte für Reaktionen
0
Punkte
82
Weder der obere noch der neue Link funktioniert! Dass der obere nicht funktioniert ist klar, wenn du die Weiterleitung geändert hast.
Der "neue" Link auf https-Port 5001 bringt jedenfalls "kann keine Verbindung zu dem Server unter adriling.de:5001 aufbauen".
Ich vermute einfach mal, dass der Port "Syno-intern" für den DSM reserviert ist(?)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat