QuickConnect und Portfreigaben

Status
Für weitere Antworten geschlossen.

HSV-Steph

Benutzer
Mitglied seit
27. Nov 2012
Beiträge
197
Punkte für Reaktionen
1
Punkte
16
Hallo zusammen,

ich erreiche meinen NAS von außen zur Zeit per DDNS über einen Selfhost-Account. Aus 2 Gründen möchte ich nun gerne auf QuickConnect umstellen.

Grundsätzlich sind ja erstmal keine Portfreigaben notwendig. Allerdings läuft der komplette Datenverkehr ohne Portfreigaben wohl über die Synology-Server, damit dieser direkt laufen kann, sind Portfreigaben ja wohl doch ganz nützlich und ratsam. Das ist jedenfalls das, was ich nach längerer Forum-Recherche rausgefunden habe, schonmal danke dafür!

Ich nutze (und möchte weiterhin nutzen) folgende Zugriffe von außen:
- Zugriff über den Browser auf die DSM-Oberfläche
- iPhone-Apps (Audio, Video, Photo, File)
- dafür aktuell freigegebene Ports: 5001, 5006, 443 (alle manuell im Router freigegeben). Damit komme ich über Selfhost wunderbar klar.

Nun meine Fragen:

1) Wenn ich die Portfreigaben so lasse und in den Einstellungen der Synology nix ändere außer QuickConnect zu aktivieren, ist mein NAS dann so eingestellt, dass der Datenverkehr (nach dem Login) NICHT über dritte Server läuft?

2) Muss ich bei den QuickConnect-Einstellungen den Punkt "Portweiterleitungsregeln automatisch erstellen" anklicken oder nicht, weil ich ja die Portfreigaben schon manuell eingerichtet habe?

3) Mindestens für die Video-Station scheinen noch Ports zu fehlen, jedenfalls meckert die App, dass aus Performancegründen dringend zu Portfreigaben geraten wird. Kann mir jemand sagen, welche das wären? Die Videos laufen so auch nicht über die App...

4) Die DDNS-Einstellung im Menüpunkt "externer Zugriff" kann ich doch ignorieren, oder? Genauso wie die Routenkonfiguration in diesem Menü, oder? Also hier muss ich bei Beidem nix einstellen, wenn ich nur QuickConnect aktiviere habe und meine Portoegeln manuell im Router vorgenommen habe, oder? Meinen bisherigen Selfhost-Account habe ich hier auch nicht eingetragen...


Danke schonmal, viele Grüße
Steph
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
.... Allerdings läuft der komplette Datenverkehr ohne Portfreigaben wohl über die Synology-Server, damit dieser direkt laufen kann, sind Portfreigaben ja wohl doch ganz nützlich und ratsam. Das ist jedenfalls das, was ich nach längerer Forum-Recherche rausgefunden habe, schonmal danke dafür!
Nicht ganz - der Kanal läuft nur dann über Synology-Server, wenn Dein Router keine offenen Ports hat und auch kein hole punching unterstützt.
1) Wenn ich die Portfreigaben so lasse und in den Einstellungen der Synology nix ändere außer QuickConnect zu aktivieren, ist mein NAS dann so eingestellt, dass der Datenverkehr (nach dem Login) NICHT über dritte Server läuft?
Prinzipiell ja. Doch der Vorteil, die Verbindung auch hinter weitreichend gesperrten Firewalls aufzubauen, erreichst Du damit nicht.
2) Muss ich bei den QuickConnect-Einstellungen den Punkt "Portweiterleitungsregeln automatisch erstellen" anklicken oder nicht, weil ich ja die Portfreigaben schon manuell eingerichtet habe?
Nein.
3) Mindestens für die Video-Station scheinen noch Ports zu fehlen, jedenfalls meckert die App, dass aus Performancegründen dringend zu Portfreigaben geraten wird. Kann mir jemand sagen, welche das wären? Die Videos laufen so auch nicht über die App...
Die siehst Du auch in der Synology-Firewall. Hast Du die aktiviert?
4) Die DDNS-Einstellung im Menüpunkt "externer Zugriff" kann ich doch ignorieren, oder? Genauso wie die Routenkonfiguration in diesem Menü, oder? Also hier muss ich bei Beidem nix einstellen, wenn ich nur QuickConnect aktiviere habe und meine Portoegeln manuell im Router vorgenommen habe, oder? Meinen bisherigen Selfhost-Account habe ich hier auch nicht eingetragen...
Der Eintrag dienst bspw. der Generierung von Links in der File Station. Wenn Du das nicht brauchst, dann brauchst Du nichts eintragen.
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.729
Punkte für Reaktionen
145
Punkte
129
Warum willst du vom "sicheren" ddns zum "unsicheren" quickconnect wechseln? Wenn du dich schon soweit auskennst dass du eine DDNS und die Portweiterleitungen gemacht hast, dann würde ich dabei bleiben.
Zu den Punkten
1. Nein, du kannst überhaupt nicht beeinflussen wie die Daten laufen.
2. Der Haken geht nur wenn du upnp, Routerkonfig etc. ein der DS und dem Router eingerichtet hast, ansonsten brauchst du ja die Portfreigaben nicht. Macht Quickconnect mit der Abrissbirne und Vorschlaghammer
3. DS Video läuft über 5000 oder 5001 wobei ich dir gerade nicht sagen kann ob man wie bei der Photostation separat in der Video station https aktivieren muss, damit es geht.
4. Ja kannst du ignorieren.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Zu 3) Bezüglich Ports
https://www.synology.com/de-de/knowledgebase/faq/299

Zu 1) Vermutlich frei von Relay-Server laut
http://blog.synology.com/?p=2283
https://global.download.synology.co...tePaper/Synology_QuickConnect_White_Paper.pdf

Zu 2) Denke das kannst du aus lassen

Zu 4) Kannst ebenfalls ignorieren. Ist ja nur für den Fall, dass der Router via uPnP eingestellt werden soll und die Diskstation das DDNS handeln soll. Ersteres mache ich lieber von Hand, damit ich einen Überblick habe (und nicht eventuell irgendeine Software Löcher im Router öffnet von denen ich nichts weiß) und letzteres mache ich direkt im Router. Quick Connect läuft ja jetzt über den Synology-DDNS.
 
Zuletzt bearbeitet:

HSV-Steph

Benutzer
Mitglied seit
27. Nov 2012
Beiträge
197
Punkte für Reaktionen
1
Punkte
16
Hallo Leute und vielen Dank erstmal für die super schnellen Rückmeldungen!

Die siehst Du auch in der Synology-Firewall. Hast Du die aktiviert?

Die hab ich aktiviert. Da sehe ich aber nix weiter, außer meinen Eintrag, das ich den FTP-Dateiserver gesperrt habe…

DS Video läuft über 5000 oder 5001 wobei ich dir gerade nicht sagen kann ob man wie bei der Photostation separat in der Video station https aktivieren muss, damit es geht.

Ich habe nix gefunden, um irgendwie etwas direkt in der Video-Station zu aktivieren. Würde ja auch keinen Sinn machen, da der Zugriff über Selfhost ja funktioniert.

Da der Zugriff über Selfhost funktioniert, aber nicht über QuickConnect: Kann es sein, dass das etwas mit Zertifikaten zu tun hat? Ich erinnere mich dunkel, dass ich seinerzeit ein Selfhost-Zertifiakt erstellt habe, dieses findet man auch unter „Systemsteuerung / Sicherheit / Zertifikat“… ?

Warum willst du vom "sicheren" ddns zum "unsicheren" quickconnect wechseln? Wenn du dich schon soweit auskennst dass du eine DDNS und die Portweiterleitungen gemacht hast, dann würde ich dabei bleiben.

Irgendwie habe ich lieber Systeme am laufen „aus einer Hand“. Daneben gibt es aber 2 echte Gründe:
Ich muss einmal im Monat meinen Selfhost-Account wieder aktivieren, weil er sich auf inaktiv schaltet (ich weiß, das könnte ich durch ein Post-ID-Verfahren lösen…)
Meine Frau kommt nicht klar damit, dass sie im internen Netz andere Login-Daten für die iPhone-Apps nehmen muss als von außen… :)
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.729
Punkte für Reaktionen
145
Punkte
129
Meine Frau kommt nicht klar damit, dass sie im internen Netz andere Login-Daten für die iPhone-Apps nehmen muss als von außen… :)
Wenn dein Router Nat-loopback kann dann kannst du auch intern die Domain benutzen.
Wegen den Zertifikaten kann ich dir nichts sagen, dazu benutze ich die Video station zu wenig (und vor allem aktuell nicht extern) Ich habe zwar ein Zertifikat von startssl damit aber bis jetzt nirgends Probleme. Warum es über Quickconnect nicht geht ? Da mir Quickconnect viel zu unsicher ist habe ich das abgestellt und beschäftige mich auch nicht mehr groß damit. Bei mir läuft alles über DDNS, gut ich habe eine feste de domain bei selfhost, da ich auch darüber maile.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Meine Frau kommt nicht klar damit, dass sie im internen Netz andere Login-Daten für die iPhone-Apps nehmen muss als von außen… :)
Da würde ein lokaler DNS-Server bspw. auf der DS helfen.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.729
Punkte für Reaktionen
145
Punkte
129
Auch in dem Blog wird nur behauptet dass wenn eine direkte Verbindung möglich ist, die benutzt wird. Ich kann das aber weder sehen noch beinflussen. Wenn das System sagt nee das geht nicht, dann läuft es über synology und auch darüber werde ich nicht informiert. Also auch wenn alle Ports von Hand göffnet worden sind und ich prinzipiell vom internet aus erreichbar bin (ip4 und co) dann kann es trotzdem sein dass es über synology läuft, weil vielleicht die gegenstelle ip6 hat oder die Firewall nicht mitspielt etcpp. Deshalb bleib ich bei meiner Aussage.
 

HSV-Steph

Benutzer
Mitglied seit
27. Nov 2012
Beiträge
197
Punkte für Reaktionen
1
Punkte
16
Aber komisch ist das doch mit der Video-Station, oder? Per Selfhost funktioniert es sowohl über den Browser wie auch über die iPhone-App.

Über QuickConnect sagt mir der gleiche Browser "Das Video konnte nicht wiedergegeben werden, weil sein Format nicht von Ihrem Browser oder dem VLC Plug-In unterstützt wird", die iPhone-App sagt (so aus dem Gedächtnis) "es geht zwar, aber aus Performance-Gründen wird dringend zu Portfreigaben geraten".
 

HSV-Steph

Benutzer
Mitglied seit
27. Nov 2012
Beiträge
197
Punkte für Reaktionen
1
Punkte
16
Aber komisch ist das doch mit der Video-Station, oder? Per Selfhost funktioniert es sowohl über den Browser wie auch über die iPhone-App.

Über QuickConnect sagt mir der gleiche Browser "Das Video konnte nicht wiedergegeben werden, weil sein Format nicht von Ihrem Browser oder dem VLC Plug-In unterstützt wird", die iPhone-App sagt (so aus dem Gedächtnis) "es geht zwar, aber aus Performance-Gründen wird dringend zu Portfreigaben geraten".

Ich habe es gerade nochmal übers iPhone versucht, jetzt gehts komischerweise... Erscheint mir so, dass gestern der Stream über Dritte lief und nun direkt...

Das ist mir auch alles zu unsicher, da gebe ich heavy schon recht. Ich wüsste gerne, wie die Technik im Hintergrund funktioniert, und da scheinbar nie wirklich feststeht (oder man es jedenfalls nicht mitbekommt) wie der Datenverkehr läuft, werde ich vorerst bei der Selfhost-Variante bleibe...

Danke an Alle!!
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Auch in dem Blog wird nur behauptet dass wenn eine direkte Verbindung möglich ist, die benutzt wird. Ich kann das aber weder sehen noch beinflussen.
Über Portfreigaben, die Du per Hand einrichtest oder über UPnP öffnen läßt, kannst Du das schon beeinflussen. Dass Du darüber informiert wirst, habe ich ja auch nicht behauptet. Es gab irgendwo auch jemand, der das mit Wireshark verifiziert hat.
 

latti

Benutzer
Mitglied seit
18. Okt 2009
Beiträge
76
Punkte für Reaktionen
0
Punkte
6
Warum willst du vom "sicheren" ddns zum "unsicheren" quickconnect wechseln? Wenn du dich schon soweit auskennst dass du eine DDNS und die Portweiterleitungen gemacht hast, dann würde ich dabei bleiben.

Stehe hier vor dem selben Problem, wäre aber daran interessiert, was mit "unsicher" gemeint ist?

Der Grund für ein Wechsel von DDNS zu Quickconnect ist Cloud Station Drive. Da ich gerne möchte, dass automatisch erkannt wird, ob ein User im LAN oder WAN ist, und entsprechend die Daten keine Ehrenrunde über das Internet machen, obwohl ein User im selben LAN wie die DS sitzt.

Nach Frogmans Posts und der Lektüre des Whitepapers zu Quickconnect (Englisch) sehe ich eigentlich keine zusätzliche Angriffsfläche als solches. Die für mich erkennbare Gefahr ist, dass wenn die benötigten Ports nicht ordnungsgemäss konfiguriert/geöffnet sind, die Daten über die Relais Server von Synology laufen. Dies heisst, dass ich die Daten einerseits aus meiner Hand geben könnte und dass der Dienst allenfalls nicht sehr robust läuft, wegen Ausfallzeiten des Synology Dienstes.

Wenn ich aber alles so belasse, wie ich es eingerichtet habe mit benötigten Portfreigaben, sollte eigentlich alles laufen wie bisher, wenn ich Quickconnect aktiviere. Mit dem einzigen Unterschied das ich nun die "Server location detection (LAN/WAN detection)" aktiv habe, wie Synology die automatische Erkennung LAN/WAN nennt.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Wie an diversen anderen Stellen diskutiert höhlt QuickConnect die NAT-Firewall des Routers aus. Das Konzept, dass die Kommunikation aus dem LAN heraus initiiert wird, ist mit Vorsicht zu genießen - schlichtweg weil Du nicht kontrollieren kannst, wer dort mit wem redet. Es ist nicht ausgeschlossen, dass dieser Kommunikationskanal mißbräuchlich verwendet wird, selbst ohne Wissen von Synology. Es gibt ähnliche Mechanismen anderer Hersteller, bei denen allesamt gleiche Bedenken angebracht sind. Der interessierte Leser findet dazu im Netz reichlich Lesestoff wie bspw. dieses.
 

latti

Benutzer
Mitglied seit
18. Okt 2009
Beiträge
76
Punkte für Reaktionen
0
Punkte
6
Danke Frogman

Hatte das Aushöhlen nicht korrekt begriffen. Dachte das sei mehr oder weniger UPnP Portöffnerei, die da betrieben wird. Nach weiterer Lektüre wurde mir klar, dass ich das eigentlich auch nicht wirklich bei mir zu Hause rumbohren haben möchte.

Dann werde ich wohl weiter bei meiner Lösung bleiben und mich mal in das Thema IP-Rebinding einlesen, denn wie ich glaube mich zu erinnern, sollte dies ebenfalls eine Art LAN/WAN detection bieten können.
 

latti

Benutzer
Mitglied seit
18. Okt 2009
Beiträge
76
Punkte für Reaktionen
0
Punkte
6
Habe mir nun doch noch einmal etwas Gedanken gemacht und die Einstellungen auch nochmal angesehen (Screenshot, leider ausgegraut).

Ich kann also den Relais-"Dienst" deaktivieren. UPnP Portöffnerei ebenfalls. Zudem kann ich Quickconnect nur für Dienste aktivieren, die ich wirklich brauchen will und die Ports sauber im Router freigegeben habe.

Bildschirmfoto 2016-05-19 um 10.36.03.jpg

Dass der Dienst kompromittiert werden kann und ohne Wissen von Synology missbräuchlich verwendet werden könnte bin ich mir nun bewusst. Nach meinem Verständnis sehe ich aber erst in einem solchen Fall eine Gefahr. Oder allenfalls ein Programmierfehler, welcher den Dienst Amokbohren lassen würde. Im Alltag wäre der Haupthaken wohl primär mögliche Downzeiten, des Dienstes.

Nehme ich zudem in die Rechnung auf, dass die DS, wo ich das umsetzen möchte, als Dropbox Ersatz/Nachfolger für einen Verein herhalten soll, relativiert sich die ganze Geschichte nochmals. Denn die Daten waren bereits "ausser Haus" und sind generell unkritisch. Zudem würde für diesen Dienst die Ports sauber geöffnet am Router, also würde ich Quickconnect primär als DDNS Alternative verwenden.

Was ich bisher gelernt habe ist, dass es wirklich eine Gratwanderung betreffend von Sicherheitsaspekten ist, Dienste der DS freizugeben. Wichtig ist mir aber einfach zu verstehen, was geschieht oder geschehen kann. UNd hierzu habe ich hier im Board wirklich schon sehr viel lernen können.
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat