Port für Video Station

Status
Für weitere Antworten geschlossen.

OdinsAuge

Benutzer
Mitglied seit
12. Nov 2015
Beiträge
362
Punkte für Reaktionen
30
Punkte
34
Hallo,

Die Video Station nutzt doch den selben Port wie DSM (default 5000 und 5001). Wenn ich die Ports für DSM ändere (Netzwerk -> DSM_Einstellungen) dann ändert sich auch der Port für die Video Station.
Das heißt, möchte ich die Video Station von außerhalb erreichen, muss ich den Port freigeben und somit ist auch DSM von außerhalb erreichbar.
Selbiges gilt für Firewall-Rules. Ich musste eine Regel für den Port manuell anlegen (der geänderte DSM-Port wird im Firewall-Manager in der Anwendungsauswahl für DSM richtig angezeigt, für die Video Station wird weiterhin der alte Port angezeigt).
Dadurch kann ich den Zugriff auf DSM aber nicht einschränken, weil ich dadurch auch die Video Station einschränke.

Gibt es eine Möglichkeit das besser abzusichern bzw. zu umgehen?
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.597
Punkte für Reaktionen
1.173
Punkte
254
Was heißt einschränken? Komplett unterbinden?

Du könntest den Port der VS ändern und im Router eine Umleitung auf 5001 bereitstellen. Damit sollte 5001 weiterhin von aussen geschlossen sein. Beim Zugriff auf die VS über DS Video muss dann hinter die IP/Domain der neue Port mit angefügt werden.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
möchte ich die Video Station von außerhalb erreichen, muss ich den Port freigeben

DSM > Hauptmenü > Systemsteuerung > Anwendungsportal > Register Anwendung > Zeile Videostation markieren > Bearbeiten > neues Fenster > Register Allgemein > Benutzerdefinierten Port (HTTPS) aktivieren - such dir eine freie Portnummer nach belieben aus. > OK

siehe Beitrag über mir:
Zugriff dann über https://ddns:ausgesuchte_portnummer

Im Router dann Port extern auf Port intern IP-nr deiner DS leiten.
Beispiel: portnummer 9001 und die DS fixe IP 192.168.1.100 dann
https://ddns:9001
im Router muss dann port extern 9001 auf 192.168.1.100 intern Port 9001 weiterleiten

Achtung: https://ddns:9001/video >> Fehlermeldung "es tut uns leid, die von ihnen gesuchte Seite konnte nicht gefunden werden"
Also unbedingt ohne /video aufrufen, nur https://ddns:9001
So bist du vollständig vom DSM 5001 getrennt.

Anmerkung:
Das Anmeldefenster schaut dann ähnlich aus dem DSM Fenster, ABER rechts unten hast du das Icon der Videostation eingeblendet! Du meldest dich also nur in der Videostation an!

videostation_direktanmeldung_dsm_maske.jpg

Probier mal.
 
Zuletzt bearbeitet:

OdinsAuge

Benutzer
Mitglied seit
12. Nov 2015
Beiträge
362
Punkte für Reaktionen
30
Punkte
34
@c0smo ich erstelle normalerweise immer Firewall-Regeln um dort den Zugriff auf DSM nur für einige bestimmte Rechner im LAN zu erlauben.

@Kurt, toll danach hab ich gesucht, Anmelden über die App läuft, allerdings hab ich jetzt folgendes Problem:

Ich aktiviere die Firewall und füge die VideoStation als als Regel hinzu: also Ports: VideoStation, Quell IP: alle, zulassen.
DIe dort aufgeführten Ports sind, wie schon erwähnt die Standard-Ports, die selbst festgelegten sind nicht aufgeführt.
Mit aktiver Firewall kann ich mich nicht verbinden. Also eine manuelle Regel hinzufügen: Port: der von mir gewählte, QuellIP alle, zulassen.
Jetzt geht das Anmelden in DS Video.
Allerding sobald ich ein Video zu meinem TV streamen möchte, versucht dieser den Stream zu laden, dannach kommt aber: "Die ausgewählte Datei wird derzeit nicht unterstützt"
Schalte ich die Firewall ab, geht das streamen.

Wisst ihr vielleicht ob ich noch eine weitere Ausnahme hinzufügen muss?

Edit: Hab noch einen kleinen Test gemacht, ich hab alle Ports wieder auf Standard gestellt (DSM und VS).
Ich muss trotzdem den StandardPort (5001) manuell in der Firewall freigeben, damit die Anmeldung klappt. Ich hab meine DS vor einigen Tagen neu aufgesetzt, davor musste ich das nicht machen, da ging das einfach mit der auswählbaren Anwendungsregel in der Firewall.
Streamen kann ich auch mit den Standardports nicht sobald die Firewall aktiv ist.
 
Zuletzt bearbeitet:

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
sri, da hab ich wohl Glück gehabt bei mir läuft es mit aktiver Firewall ohne das ich etwas geändert hätte oder eingetragen.
Aber da muss sich jemand dazu äußern der/die sich mit der Firewall besser als ich auskennt.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.597
Punkte für Reaktionen
1.173
Punkte
254
Port 5000 aufmachen
 

OdinsAuge

Benutzer
Mitglied seit
12. Nov 2015
Beiträge
362
Punkte für Reaktionen
30
Punkte
34
@c0smo, Das wars. Kannst du mir sagen warum Port 5000? Mit meinen Einstellungen läuft die Videostation auf 9007 und 9008. Wenn ich die nicht in der Firewall hab kann ich mich nicht anmelden, geb ich die frei kann ich mich anmelden aber nicht streamen und erst wenn ich 5000 freigebe kann ich auch streamen.

Sidenote: sobald ich den DSM http port von 5000 auf was anderes stelle gehts wieder nicht.
Jetzt bin ich wieder da wo ich angefangen hab, ich kann DSVideo nicht nutzen wenn ich die DSM-Nutzung einschränke.
 

Anhänge

  • fire.JPG
    fire.JPG
    21,4 KB · Aufrufe: 143

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.597
Punkte für Reaktionen
1.173
Punkte
254
Zuerst mal.. Warum 9007 und 9008? Einer langt doch, entweder http oder https. 5000 wird nur intern zum streamen verwendet. Solange der im Router nicht offen ist, bleibt DSM über http (5000) von aussen gesperrt, genauso 5001.
So wie das jetzt verstanden habe, soll DSM grundsätzlich von aussen nicht erreichbar sein, d. h. es muss auch nicht 5000, 5001 im Router offen sein. Lediglich DS Video muss offen sein, also 9007 oder 9008.
In der DS Firewall muss also 5000, 9007 bzw 9008 aktiviert sein und natürlich die gesonderten Ports für die VS inkl Medienserver. Das wars.

Für eine gezieltere Einschränkung von 5000, also http für DSM, müssen dann IP Regeln für's interne Netz herhalten. Allerdings können diese gesperreten IP's dann vermutlich nicht mehr streamen im lokalen Netz.


Edit/
Was auch einen Versuch Wert wäre. DSM komplett auf andere Ports legen, zb. 6100, 6101. Dann nur 5000, 9007 bzw 9008 + die gesonderten Ports in der DS Firewall aufmachen. Eigentlich sollte dann DSM weiter eingeschränkt sein, wie du es dir vorstellst und die VS ist komplett getrennt davon.
Aber das sind nur Gedankenspiele.. ;)
 
Zuletzt bearbeitet:

OdinsAuge

Benutzer
Mitglied seit
12. Nov 2015
Beiträge
362
Punkte für Reaktionen
30
Punkte
34
Das mit dem Port zum streamen ist wirklich sehr seltsam und noch dazu schwer herauszubekommen, zumal er ja in den Firewall-Optionen nicht für die VS aufgelistet ist.

Ich hatte 9007 und 9008 drin da ich einfach mal alles was die VS betrifft freigegeben habe um zu testen. Das was du vorschlägst hab ich schon durchgetestet. Sobald ich den DSM auf andere Ports lege, ändert sich auch der Port fürs Streaming, genauergesagt der http Port.
Den 5000er bzw den DSM http Port hab ich nur für den TV bzw dessen IP freigegeben, somit kann ich dorthin streamen, das ist momentan auch der einzige Streaming Client. Übrigens gibt man den Port nicht frei kann man trotzdem noch die VS im Browser öffnen und dort Filme streamen.

Ich danke dir nochmal für den Hinweis zum 5000er Port, ich glaube da wär ich nie drauf gekommen.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.597
Punkte für Reaktionen
1.173
Punkte
254
Ich begreife die Sache mit dem 5000er auch nicht wirklich. Hatte vor 2 Jahren die selben Probleme wie du, Thema streamen zum TV, daraufhin kam der Tipp vom Support. Seitdem ist der bei mir offen, zumindest im lokalen Netz.
 

rumknapser

Benutzer
Mitglied seit
02. Mai 2013
Beiträge
329
Punkte für Reaktionen
6
Punkte
24
Hallo,

um vielleicht noch etwas Verwirrung in diesen Post zu bringen, was die Portnummern angeht (und natürlich hoffent auf eine Auf- oder Erklärung),
zitiere ich hier von der Synology Webseite:

What network ports are used by Synology services?

Please refer to the following list:

[...]

Packages


Type : Video Station

Port Number: 1900 (UDP), 5000 (HTTP), 5001 (HTTPS), 9025-9040,
5002, 5004, 65001 (for using the HDHomeRun network tuner)

Protocol:TCP/UDP
Nochmal als Screenshot:
Bildschirmfoto 2018-09-08 um 18.36.56.jpg

Was ich nicht verstehe, sind die Ports ungleich 5000 und 5001.

Also, warum und wofür Port 1900 genutzt wird?
Oder 5002 ?
Und aus welchem Grund gibt es die Range 9025-9040 ?
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
mal abgesehen davon das es in deinem screenshot eh schon steht und erklärt wird :)

1900 = der Zugangsport für das User Datagram Protocol (=UDP)
5002 = für HDHomeRun Netzwerkgeräte, das können digitale TV Tuner usw. sein
9025-9040 ist eine Definition eben für die Videostation wird von manchen Synologyanwendungen genutzt aber auch wieder von digitalen Mediengeräten im eigenen Netzwerk.
 

rumknapser

Benutzer
Mitglied seit
02. Mai 2013
Beiträge
329
Punkte für Reaktionen
6
Punkte
24
Danke!
Erklärend finde ich den Screenshot nicht wirklich, dann schon eher deine erweiterte Beschreibung der Gründe für die offenen Ports.

Bis auf die Ports 5000+5001 scheinen die Ports bloß für die interne Kommunikation zuständig zu sein, bei mir jedenfalls sind sie noch nie nach außen hin offen gewesen.
Und in keinem Erklärbärvideo oder einer Anleitung zur Einrichtung der VS wurden die überhaupt erwähnt. Deswegen fand ich diese zusätzliche Nennung so rätselhaft :) Vor allem, wozu der UDP-Port benötigt wird....
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat