Portweiterleitung nur für Dateifreigabe

[un1que]

Hallo,

ich möchte die DS so weit es geht absichern und wirklich nur das freigeben, was benötigt wird. Von außerhalb des Heimnetzes kommuniziere ich mit der DS per VPN-Tunnel zum Router, so brauche ich keine Portfreigaben zu erstellen.

Allerdings würde ich gerne die Dateifreigabe und -anforderung der DS für fremde Personen nutzen. Kann man explizit dafür einen Port öffnen? Denn bisher kenne ich das nur so, dass man nur den festgelegten https Port weiterleiten kann und über diesen die Dateifreigabe "mitläuft". Darüberhinaus ist dann aber auch die komplette DS aus dem Internet erreichbar, nicht nur der eine Dienst.

Gibt es also eine Einstellungsmöglichkeit dafür?

 

[ScottyC]

Hallo,

ja, die Dateifreigabe und -anforderung kannst du so realisieren.
Über Systemsteuerung -> Anwendungsportal kannst du der Dateifreigabe einen Port zuweisen und diesen gibst du am Router entsprechend frei.

VG

 

[Fusion]

DSM > Systemsteuerung > Anwendungsportal
Da kannst du Ports, Aliase, oder direkt benutzerdefinierte Domains vergeben
Musst mal probieren, bin mir grad nicht 100% sicher ob das mit den Ports und der Linkfreigabe bzw. der Link-Generierung sauber hinhaut, oder von Hand korrigiert werden muss.

 

[un1que]

Ähm, wo genau finde ich die Einstellungen für die Dateifreigabe? Ich habe dort unter Applikation nur die Audio, Download, File, Note und Video Station. Also müsste ich wenn, dann die komplette FileStation-Anwendung freigeben, richtig?

Die Link-Generierung klappt nicht, aber ich habe eine andere Stelle gefunden, wo ich das "nachbessern" kann. Systemsteuerung => Externer Zugriff => Erweitert: Hostname + https Port (dachte zuerst, dass das zum Ziel führen wird - klappte aber nicht).

 

[TheGardner]

Also wenn Du die Dateifreigabe für andere Nutzer freigeben willst, dann musst Du zwangsläufig die DS nach außen hin öffnen!
Ich hab mal hier aufgeschrieben, was bei mir dafür nötig ist:

- Systemsteuerung - Externer Zugriff - Erweitert (3x Felder mit Inhalt füllen, dabei vielleicht andere Ports verwenden als 5000 und/oder 5001)
- Systemsteuerung - QuickConnect - Erweitert - Haken bei Dateifreigabe
- Systemsteuerung - Netzwerk - DSM-Einstellungen - HTTP / HTTPS Ports (sollte schon aktiv sein)
- Systemsteuerung - Firewall - Ports für FileStation (5000/5001) erreichbar machen
- Router - Portweiterleitungen vom gewählten Port (außen) nach 5000/5001 (innen) einrichten

 

[un1que]

@TheGardner:
Man muss nicht die komplette DS nach außen hin öffnen, was man mit den Ports 5000 und 5001 eigentlich ja macht (siehe die Ratschläge mit dem Anwendungsportal weiter oben), sondern "nur" die File Station freigeben. Sehr schön finde ich das trotzdem nicht. Soweit habe ich das aber schon mal hinbekommen.

@all:
Habe ich das soweit richtig verstanden oder kann man die Freigabe noch weiter eingrenzen?
Hmm, trotzdem habe ich Zugriff auf die DS über die DS finder App!? DS get und photo hingegen sind richtigerweise ausgesperrt, komisch...

Im Laufe der Einrichtung sind bei mir noch 2 Fragen aufgetaucht:
1. Kann man irgendwo einstellen, dass der Dateidownload der freigegebenen Datei sofort nach dem URL-Aufruf startet (ohne auf den Button klicken zu müssen)?
2. Kann man in den Smartphone Apps (in meinem Fall iOS/Apple) solche Dateifreigaben einrichten oder muss man sich immer in das WebGUI einloggen? Mir kommt es so vor als war es früher möglich (zumindest das Bearbeiten der bereits erfolgten Freigaben).

 

[ScottyC]

Bei der DS App meldest du dich mit einem, auf der DSM eingerichteten User, an.
Mit der Dateifreigabe kann jeder, der den Link kennt, auf die entsprechende Datei zugreifen.
D.h. man kommt nur auf die Datei die du freigegeben hast, nicht aber auf die gesamte file station.

Zu deiner Frage 2:
Ich kenne nur den Weg über die GUI.

VG

 

[Fusion]

Prinzipiell hast du recht. Eine Anmeldung über DS Finder oder via Browser an der File Station wäre möglich, wenn man einen Benutzer und Passwort sein eigen nennt und die URL abändert.
Der geteilte Link alleine führt nur auf die freigegebenen Dateien/Ordner. Zusätzlich absicherbar via Passwort und zeitlicher Begrenzung.
Wenn du den Freigabe-Link weiter verschleiern willst, musst du auf QuickConnect ausweichen

Eine weitere Begrenzung geht einfach nicht, außer du verzichtest darauf. Der webserver der die Anfrage von außen entgegen nimmt und die Dateien ausliefert muss nun mal laufen.

Zu den letzten Fragen:
Direkter Download ist mir nicht bekannt
Ja, Freigaben können auch in DS File erstellt werden (zumindest unter Android, iOS kein Plan). Datei, drei Punkte Menü rechts daneben, Aktion "Freigabe", selbiges für ganze Ordner.

 

[un1que]

Ja, genau das meinte ich - ändert man den Link ab, dass nur die DDNS URL + Port stehen bleiben, hat man den Zugriff auf die DS im Sinne von Login-Seite (auch wenn nur auf die File Station). Bei Freigabe eines ganzen Ordners hat man oben rechts sogar gleich einen Login-Link. Kann man evtl. sogar alle Benutzeranmeldungen aus dem Internet sperren/verbieten, wohl nicht, nehme ich mal an? Dann wäre die Sache ja erledigt - man sähe zwar die Login-Seite, reinkommen würde man aber nicht.

QuickConnect kommt für mich gar nicht in Frage, ganz einfach, weil dann alles über fremde Server läuft (auch wenns Synology ist). Ich habe das lieber selber im Griff.

Zu den anderen Fragen:
zu 1. Ok, danke. Mir war nur so danach, dass ich vor einiger Zeit (wohl mit einem älteren OS) einen Foto-Archiv (.zip File) so freigegeben habe und davor noch ein wenig herumexperimentiert. Den konnte ich wohl direkt downloaden. Kann aber auch sein, dass ich mich irre und es war etwas anderes.
zu 2. Gut, Android scheint zu gehen, iOS habe ich auch gerade gefunden bzw. ist komischerweise erst jetzt/heute erschienen (evtl. nachdem ich die entsprechenden Einstellungen im Anwendungsportal gestern in der DS vorgenommen habe?). Drei-Punkte-Menü => Freigabe ist gestern nur das iOS eigene "Freigabezentrum" erschienen, jetzt läuft es richtig. Auch kann man es so erreichen: drei-Punkte-Menü => Eigenschaften => Freigabe.
*edit: Jetzt habe ich auch in den globalen Einstellungen der iOS App einen neuen Menüpunkt (den ich gestern noch vermisst habe): "Verwaltung geteilter Verknüpfungen", wo ich die Freigaben bearbeiten, löschen und die entsprechenden Links noch einmal kopieren kann.

 

[un1que]

Ich glaube, ich hab's gelöst!

(Zusätzlich zur "Freigabe" der File Station an einem anderen Port) einfach allen Benutzern, die auf die File Station zugreifen dürfen sollen, in den Einstellungen unter Applikationen den Zugriff nach IP einstellen. Dabei das Heimnetz Subnet auf die Freigabe-Liste und auf die Liste blockierter IPs die Subnetze 1.0.0.0/128.0.0.0 und 128.0.0.0/128.0.0.0 setzen. Schon wäre ein Zugriff aus dem Internet auch auf die File Station unterbunden.

Nur leider komme ich nach wie vor aus dem Internet in die DS finder App rein. Kann mir jemand sagen, ob auch dieser Zugang irgendwie abschaltbar ist?