Seite 2 von 2 ErsteErste 12
Ergebnis 11 bis 20 von 20
  1. #11
    Anwender Avatar von Nightlover
    Registriert seit
    29.03.2016
    Beiträge
    516

    Standard

    Zitat Zitat von Fusion Beitrag anzeigen
    Was ist eigentlich Document Viewer? Der Syno Text Editor?
    Nein mit Document Viewer können unterschiedliche Dokumente, von Microsoft Office bis OpenOffice, mühelos und schnell angezeigt werden. Mit einem verschlüsselbaren Link können Sie Dokumente sogar auf einfache Weise freigeben.

    Night
    Router: RT2600ac | SRM 1.1.7-6941-1
    NAS-Büro: DS1815+* 6GB | DSM 6.2-23739 | 30 TB | BTRFS | SHR | 1 TB | L/S-Cache
    DX513 1 | 16 TB | BTRFS | SHR
    DX513 2 | 16 TB | BTRFS | SHR
    UPS: ACP BR1200GI
    NAS-Privat: DS2415+* 16GB | DSM 6.2-23739-1 | 48 TB | BTRFS | SHR | Hot Spare | 2 TB | L/S-Cache
    UPS: ACP BR1200GI
    Backup: DS715 2GB | DSM 6.2-23739-1 | 20 TB | BTRFS | SHR | Hot Spare
    DX513 | 50 TB | BTRFS | SHR
    UPS: ACP BR550GI

  2. #12
    Anwender
    Registriert seit
    06.04.2013
    Beiträge
    8.502

    Standard

    @nightlover - ja, ist mir bei der Durchsicht von DSM 6 Paketen auch gekommen. Unter DSM 5 war das ja noch view in gdocs etc.
    Synology Tech Support | Feature request
    Site 0: DS1812+ 3GB 6.2.1-U4 | 2*3/6*6TB WD Red (SHR-1 + Basic) | DS415+ 8GB 6.2.1-U4 | 4*10TB Ironwolf (Basic)
    Site 1/2/3: DS216+II 8/8/1GB 6.2.1-U4 | 2*3/4/3TB WD Red (SHR1)
    USV APC BK650EI | UPS Pro 900 | Net UMBW 400/40 | FB 6490 (IPv4/v6 Dual-Stack) | Unifi US-8/16 PoE
    Streaming NUC Plex (1.13.9 (hw)) | AFTV (Plex/Kodi 17.6) | Inverto Sat>IP IDL400s, TVMosaic tv server | Raumfeld (C2, M, One), CCA Multi-Room | KDL-55W905A

  3. #13
    Anwender
    Registriert seit
    15.04.2016
    Beiträge
    58

    Standard

    Zitat Zitat von Unipac Beitrag anzeigen
    Ich habe eine DS216+ mit DSM 6.0. Dazu einen User mit dem ich die Administration machen möchte und auch von überall zugreifen, daher den externen Zugriff via Internet aktiviert. Klappt auch super.
    Dann habe ich einen weiteren User, der nur via LAN auf Shares der DS zugreifen soll. Doch auch dieser User kann sich via Webfrontend über's Internet anmelden.
    Ich versuche mich zur Zeit an einer ähnlichen Konstellation.
    Meine Frage: Gibst du das komplette DSM Frontend frei (also http Port 5000 oder https Port 5001) oder speziell nur den FileManger?
    Kommt halt darauf an, was du alles aus der Ferne administrierst... wenn du nur Zugriff auf die Dateien haben möchtest, würde ja der FileManger langen.

    So habe ich es jetzt aktuell bei mir gelöst:
    Im Anwendungsportal für den FileManger den benutzerdefinierten Port aktiviert, und nur diesen Port für den Zugriff von außen freigeschaltet (Beim Einloggen über das Webfrontend geht dann nur der FileManger auf, sonst nichts... keine Menüs, nur der reine FileExplorer)
    Anschließend allen Nutzern, die erst gar nicht auf den FileManager per WebGui zugreifen sollen (sondern nur SMB) diese Rechte in der Benutzersteuerung (Applikationen) entzogen.
    Somit kann sich über das von außen erreichbare Webfrontend des FileManagers nur der User einloggen, dem ich die Rechte gelassen habe.
    Alle "internen" SMB User dürfen sich nicht einloggen.

    Wenn du nun jedoch mit deinem Admin-User auch auf Systemsteuerung etc. zugreifen möchtest, funktioniert das ganze natürlich nicht mehr...
    Synology RS815+ - DSM 6.0.1 [7393-2]

  4. #14
    Anwender
    Registriert seit
    08.05.2015
    Beiträge
    490

    Reden Geht nicht gibt es nicht & Sicherheit geht vor

    Grundsätzlich würde ich davon Abstand nehmen die DS direkt über das Internet verfügbar bzw. erreichbar zu machen. Die Vergangenheit hat gezeigt dass selbst bei größter Sorgfalt seitens Synology die DS bzw. der DSM durch Fehler oder Hacks für Unbefugte erreichbar sein kann. Der Standart Port zur Weboberfläche ist ziemlich bekannt und stellt für sich keine wirkliche Hürde dar.

    Ausgenommen davon natürlich die extra dafür vorgesehenen Anwendungen wie Audio Station oder Photo Station.

    Ich denke man muss sich entscheiden: Sicherheit ODER Komfort

    Ich habe für mich entschieden dass mir Sicherheit vor allem anderem vorgeht. Dazu gehört für mich:

    • Ändern der beiden Standart Ports der Weboberfläche auf etwas weit weg von 5000 und 5001.
    • Zwangsumleitung von http Aufrufen auf https.
    • Die Automatische Blockierung aktivieren.
    • Die Firewall aktivieren.
    • Wenn SSH benötigt wird dann auch diesen Port ändern.
    • Anlegen eines Benutzers der nur eine einzige Freigabe hat: VPN Zugang und nicht der Gruppe der Administratoren angehört.
    • Einrichten eines VPN Zuganges.

    Damit kann sich nur der für diesen Zweck erstellte VPN-Benutzer bei dem VPN-Server anmelden. Ist dies geschehen kann man sich mit dem Administrator Account an der DS anmelden und nach Herzenslust administrieren. Klingt erstmal kompliziert, wenn eine VPN Verbindung erstmal auf dem Client eingerichtet ist, beschränkt sich der Aufwand auf die eigentliche Anmeldung mit dem Admin-Account an der DS.

    Sollen bestimmte Benutzer ebenfalls Zugriff von Extern erhalten, dann können diese ebenfalls die Freigabe zur Anmeldung am VPN-Server erhalten.

    Wenn jemand bei seiner Firewall oder Router, aus welchen Gründen auch immer, alles außer http und https sperrt, wird auch die nötigen Ports zur Weboberfläche der DS sperren. Insofern würde es eh keine Rolle spielen ob der Zugang zur DS direkt oder über VPN geregelt ist, da dann beides nicht funktioniert.

    Grundsätzlich muss ich den Clients in meinem Netzwerk ein gewisses Verrauen entgegen bringen. Kann ich dies nicht weil es da z.B. den experimentierfreudigen und neugierigen Filius gibt, muss ich weitere Maßnahmen treffen das diesem z.B. durch geeignete Software der Zugang zur Weboberfläche verweigert wird.

    Ich würde aber sagen, mit ein bisschen Aufwand lässt sich auch mit einer DS von Synology nahezu jede Zugangsregelung verwirklichen ohne Kompromisse in der Sicherheit eingehen zu müssen. Ein geht nicht gibt es nicht.

    In diesem Sinne,
    BigRonin

  5. #15
    Anwender
    Registriert seit
    15.04.2016
    Beiträge
    58

    Standard

    Grundsätzlich stimme ich dir vollkommen zu, auch ich würde einen Admin-Zugriff auf meine Syno nicht ohne VPN freigeben.
    Ich nutze zwar nicht die VPN-Funktion der Syno direkt, aber ich muss mich erst einmal in mein Netzwerk einwählen, bevor ich auf die DSM-Seite komme!
    Solange ich mich jetzt in meinem internen Netzwerk bewege, sehe ich aber keine zwingende Bewandtnis, die Standardports zu ändern!?
    Wenn ich in meinem Router keine Ports nach außen freigegeben habe, bleibt der Rest ja intern und dann ist es egal, ob SSH auf 22 oder 2222 läuft... Ähnlich verhält es sich mit den anderen Ports.

    Ich selbst war auf der Suche nach einer gelegentlichen, komfortablen Zugriffsmöglichkeit auf bestimmte Dateien für Externe.
    Dafür bot sich der FileManger an, und da man ihn ohne zusätzliche DSM-Oberfläche direkten über einen Port aufrufen kann, wird der Zugriff auf die Administrations-DSM Seite unterbunden.
    Das dieser Port von außen nicht der Standardport der Syno ist, sondern von einem beliebig hohen "Außenport" auf den richtigen internen Port geforwarded wird, versteht sich von selbst
    Auch wird dieser Port bei mir nicht immer freigeschaltet sein, sondern nur, wenn er gebraucht wird. Ansonsten ist alles dicht und von außen die Syno unsichtbar.
    Synology RS815+ - DSM 6.0.1 [7393-2]

  6. #16
    Anwender
    Registriert seit
    11.05.2016
    Beiträge
    21

    Standard

    Mein Router kann leider kein VPN, daher muss das die DS selbst tun. Aus der Firma geht via Proxy kein VPN (was auch sinnvoll ist), daher wollte ich ja die Adminoberfläche freigeben aber eben reglementieren.
    Für Cloud Station muss ich ja auch einen weiteren Port freigeben... bin mir noch nicht sicher wie ich das in Zukunft lösen werde. Ich vertraue aber auch mal auf Syn dass hier in der Loginthematik keine üblen Schnitzer drin sind die es einfach machen von außen zuzugreifen.

    Einen Ansatz finde ich aber gut der hier so ähnlich genannt wurde: VPN aktiv, externer Zugriff nicht erlaubt. Wenn ich das brauche kann ich ja via Handy VPN auf die DS machen und dann den externen Zugriff bedarfsorientiert aktivieren.

    Den externen Port habe ich natürlich geändert im Router damit nicht zumindest sofort klar ist was es ist wenn man auf 5000/5001 scannt gezielt.

  7. #17
    Anwender
    Registriert seit
    02.01.2009
    Beiträge
    401

    Standard

    Hi gibt's dazu eigentlich mit DSM 6.2 Änderungen?

    Habe jetzt wegen let's encrypt Port 80 & 443 offen, darüber geht per sslh auch noch webdav und ssh sowie openVPN, soweit auch so gut.

    Webdav hat nur ein user, der in sein home kommt, dort liegen die Dateien zum externen sync.

    Dabei bin ich halt gestolpert, jeder User der DS kann sich ja jetzt von aussen anmelden... da habe ich auch das Problem mit den Passwörtern der eigentlich nur internen User.
    VPN ist gut und schön, klar auch wunderbar sicher, aber wie schon oben geschrieben setzt es einen Client vorraus, der nicht überall drauf ist oder kann.

    Diskusionsgrundlage:

    Was soll jetzt noch nach aussen für Handy und Co:
    • wiki (web) - sollte kein Problem sein, da syno unabhängig
    • Calendar - abhängig von DS User
    • carddav - abhängig von DS User
    • Note - abhängig von DS User
    • ???


    Wie könnte man die Abhängikeit geschickt auflösen? Meine Idee ist, extra User für extern Zugriff mit starkem PW, aber wie verbindet man den User mit schlechtem PW, damit dieser dann auch auf seine Shares/Kalender/Note zugreifen kann? Dieser Zugriff erfolgt per Win10 Netzwerk, da bekomme ich den WAF nicht hin, sich am PC mit was Cryptischem einzuloggen. (auch wenn es sicher sinnvoll wäre)

    Anstelle von Caldav und Carddav könnte ich auch wieder auf Baikal gehen, habe ich ja jetzt auch laufen, aber die intere Webseite von Calendar hat der leider nicht. Bleibt aber immer noch Note und ggf. noch interressanter DS Dienst.
    MfG
    linuxdep(endent)

    DS414 mit 3x 4TB ST4000DM000-1F2168 im Raid5, DSM5.2 (letzter Stand)
    new - DS918+ mit 3x 4TB im Raid5, aktuelle DMS Software soll die DS414 ablösen wegen Dockernutzung


    (zu Verkaufen) DS410 (RAM Upgrade auf 1GB) und DS-207+

  8. #18
    Anwender
    Registriert seit
    11.06.2017
    Beiträge
    584

    Standard

    Für LE wäre nur Port 80 notwendig.
    RT2600AC, DS416play (3x 3TB WD Reds, SHR1)

  9. #19
    Anwender
    Registriert seit
    02.01.2009
    Beiträge
    401

    Standard

    Zitat Zitat von tproko Beitrag anzeigen
    Für LE wäre nur Port 80 notwendig.
    ja, aber ich will ja von draussen drauf, also https (443)
    MfG
    linuxdep(endent)

    DS414 mit 3x 4TB ST4000DM000-1F2168 im Raid5, DSM5.2 (letzter Stand)
    new - DS918+ mit 3x 4TB im Raid5, aktuelle DMS Software soll die DS414 ablösen wegen Dockernutzung


    (zu Verkaufen) DS410 (RAM Upgrade auf 1GB) und DS-207+

  10. #20
    Anwender
    Registriert seit
    11.06.2017
    Beiträge
    584

    Standard

    Das passt auch, aber so wie dein Post verfasst ist, könnte man meinen, für LE wird 80 und 443 benötigt.
    Und leider geistert das hier im Forum noch immer öfters rum, aber es stimmt nicht (mehr).

    Um hier Missverständnisse vorzubeugen, wollte ich es einfach kurz reinschreiben
    RT2600AC, DS416play (3x 3TB WD Reds, SHR1)

Seite 2 von 2 ErsteErste 12

Ähnliche Themen

  1. Photostation für bestimmte User sperren
    Von erzwodezwo im Forum Photo Station und Blog
    Antworten: 6
    Letzter Beitrag: 27.04.2016, 13:35
  2. Benutzer über Internet sperren, im lokalen Netz erlaubt
    Von futuretom im Forum Installation und Konfiguration allgemein
    Antworten: 1
    Letzter Beitrag: 06.03.2015, 00:10
  3. Cloud Station / Bestimmte Rechte für bestimmte Benutzer
    Von kleincrossi im Forum Cloud Station
    Antworten: 14
    Letzter Beitrag: 15.05.2014, 10:32
  4. sabnzb für Benutzer sperren
    Von paolee im Forum Andere 3rd Party Anwendungen
    Antworten: 1
    Letzter Beitrag: 23.08.2011, 08:42
  5. Benutzer Zugriff auf Mailstation sperren
    Von vore im Forum Mail Station
    Antworten: 7
    Letzter Beitrag: 18.04.2011, 20:29

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •