DS218+ hinter Fritz!Box 6490 so sicher wie möglich ins Internet bringen

[Honigbaum]

Guten Tag,

ich habe mir vor ein paar Tagen eine DS218+ zugelegt. Diese war bisher nur im LAN verfügbar. Nun bin ich gerade dabei die DS auch Über das Internet verfügbar zu machen. Als Modem/Router habe ich eine Fritz!Box 6490 im Einsatz. Ich habe schon nach diversen Tips im Forum gesucht und diese auch befolgt. Ich wollte kurz einmal vorstellen was ich bisher gemacht habe und euch im Rückmeldungen bitten, ob ein Schritt davon aus eurer Sicht nicht sinnvoll war und ob ihr noch weitere Schritte unternehmen würdet. Mein aktuelles Setup sieht also wie folgt aus:

Für den Zugriff habe ich mir bei bei einem DynDNS Anbieter eine Weiterleitung nas.dyndns.tld auf meine IP besorgt, die von der Fritz!Box versorgt wird. Weiterhin nutze ich meine eigene Domain domain.tld für den Zugriff. Hier habe ich im DNS einen CNAME Eintrag für die Subdomain sub.domain.tld angelegt der auf nas.dyndns.tld verweist. Weiterhin habe ich in der Fritz!Box eine Portweiterleitung für den Port 443 auf die DS hinzugefügt.

In der DS habe ich wiederum folgende Einstellungen vorgenommen:

1. Zwei-Faktor-Authentisierung aktiviert
2. Automatische Blockierung von IP-Adressen aktiviert
3. Die Firewall aktiviert und alles geblockt außer Anfragen aus Deutschland auf Port 443
4. Über Let'sEncrypt ein Zertifikat für sub.domain.tld erstellt
5. Die Ports des DSM auf 55550 und 55551 geändert
6. Im Reverse Proxy einen Eintrag für sub.domain.tld:443 angelegt, der auf localhost:55551 verweist

Sind aus eurer Sicht noch weitere Schritte sinnvoll? Apps der DS wollte ich über Aliase zugänglich machen, sprich https://sub.domain.tld/alias, bzw. über weitere Subdomains und Einträge im Reverse Proxy.

Was mich am aktuellen Setup noch stört sind drei Dinge:

1. Wenn ich die DS über eine Adresse, die der Reverse Proxy nicht kennt (sprich https://nas.ddnss.de), oder die IP direkt aufrufe, macht die DS automatisch einen Redirect auf https://nas.ddnss.de:55550. Ich möchte, dass in dem Fall einfach kein Redirect passiert und der Port somit nicht ersichtlich wird.
2. Weiterhin würde ich gerne den Port 80 öffnen und auf die DS weiterleiten um dort den automatischen Redirect auf HTTPS zu nutzen. Hier habe ich das Problem, dass die DS bei einem sauberen Aufruf über http://nas.ddnss.de zwar einen Redirect auf HTTPS macht, aber leider nicht auf Port 443, sondern auf den internen Port 55551.
3. Weiterhin habe ich bei 2. logischerweise das gleiche Problem wie bei 1.

Ich habe zu Problem Nr. 2 bisher nur eine Lösung über Apache gefunden: https://blog.golimb.com/2017/07/14/synology-reverse-proxy/ - was vermutlich auch Problem 1 lösen würde. Früher gab es anscheinend mal eine Einstellung in der DS, um diese direkt über die Ports 80 und 443 zugänglich zu machen. Gibt es hier aktuell noch andere Wege?

Weiterhin habe ich mich gefragt, ob es überhaupt nötigt ist den Port 55551 und somit die DSM nach außen verfügbar zu machen, da ich diesen Zugriff auch über mein VPN durchführen könnte. Mir ist nur wichtig, dass ich über meine Domain nachher z.B. Drive und die Video Station nutzen kann - und diese verwenden die gleichen Ports wie die DSM. Oder lassen sich diese über das Anwendungsportal anpassen? Weiterhin ist es für diesen Zugriff sicher sinnvoll dedizierte Nutzer zu nutzen, die nur Zugriff auf die entsprechende App wie z.B. Drive haben?

Vielen Dank bereit!

Gruß
Torben

 

[Honigbaum]

Hallo zusammen,

also Problem 2. habe ich gelöst, in dem ich sowohl im Router als auch in der Firewall Port 80 freigeben habe - nach einem Neustart erfolgt der Redirect nun auch auf 443 und nicht mehr 55551.

Jedoch habe ich mit meinem aktuellen Setup noch das Problem, dass ich mit der DS Video App keine Verbindung zur DiskStation sowohl bekomme - sowohl nicht im LAN als auch von extern.

 

[Fusion]

Wenn du mit Reverse Proxies oder benutzerdefinierten Domains arbeitest brauchst du nur Port 80/443, der DSM Port muss nicht nach außen zur Verfügung stehen!

Benutzerdefinierte Domains kannst du einfach unter Systemsteuerung > Anwedungsportal > Anwendung eintragen.
z.B. video.domain.de oder drive.domain.de.
Diese Domains müssen halt per CNAME ebenfalls auf deine dynDNS zeigen und port 80/443 muss auf deine DS geleitet sein. Mehr braucht es nicht.
Bei Drive geht dies nur für das Web.Interace. Willst du auch einen Drive-Sync Client verbinden musst du irgendwie auf Port 6690 kommen.
Also bei direkter 1:1 Weiterleitung von 6690 reicht drive.domain.de dann aus, oder wenn du einen anderen Port umleitest z.B. drive.domain.de:10003

Im LAN hast du vermutlich probleme mit Hairpin-NAT / NAT-Loopback so dass Anfragen an video.domain.de vom Router verworfen werden.
Kannst probieren entweder domain.de im DNS Rebind Schutz der Fritzbox einzutragen, oder einen lokalen DNS Server zu installieren (z.B. auf der DS), oder halt via IP:<port> gehen.
Oder auf dem Client in der "Hosts" Datei einen Eintrag anzulegen.

 

[Honigbaum]

Moin Fusion,

vielen Dank für deine Antwort. Da habe ich mich missverständlich bzw. falsch ausgedrückt: ich habe natürlich nur Port 80/443 nach außen freigegeben und nicht den DSM Port.

Mit den Domains bin ich so wie von dir beschrieben vorgegangen. Danke für die Hinweis zu Drive - so weit bin ich noch nicht gekommen, aber ich werde es im Hinterkopf behalten.

Mit NAT-Loopbacks habe ich komischerweise keine Probleme, selbst ohne irgendwelche Ausnahmen für den DNS-Rebind Schutz in der Fritzbox zu definieren - da war ich auch verwundert.

 

[Kaldra]

also Problem 2. habe ich gelöst, in dem ich sowohl im Router als auch in der Firewall Port 80 freigeben habe - nach einem Neustart erfolgt der Redirect nun auch auf 443 und nicht mehr 55551.

Hi,

was genau hast du hier eingestellt? Ich habe exakt dasselbe Problem. Bei folgenden Einstellungen:

Fritzbox:
Port 80 -> 5000
Port 443 -> 5001

In der DiskStation die automatische Umleitung auf HTTPS aktiviert.

Wenn ich jetzt über https://meinedomain.de zugreife, funktioniert alles.
Wenn ich aber http://meinedomain.de versuche, werde ich weitergeleitet auf https://meinedomain.de:5001

Wie bekomme ich das Problem behoben?

 

[servilianus]

genau das willst du doch? Du hast doch in der DiskStation durch die automatischen Umleitung angegeben, dass alle Anfragen über http:// auf https:// weitergeleitet werden? (by the way, was unter Sicherheitsaspekten ja ohnehin zu bevorzugen ist...)

 

[synfor]

Klar will er das. Schau dir aber mal seine Portfreigaben an, dann erkennst du das Problem.

 

[Kaldra]

Also keine Ahnung wieso, aber mittlerweile hat sich das Problem scheinbar von selbst gelöst:

http://meinedomain.de leitet sauber auf https://meinedomain.de weiter, anstatt auf https://meinedomain.de:5001 ins Leere zu laufen.