Guten Tag,
ich habe mir vor ein paar Tagen eine DS218+ zugelegt. Diese war bisher nur im LAN verfügbar. Nun bin ich gerade dabei die DS auch Über das Internet verfügbar zu machen. Als Modem/Router habe ich eine Fritz!Box 6490 im Einsatz. Ich habe schon nach diversen Tips im Forum gesucht und diese auch befolgt. Ich wollte kurz einmal vorstellen was ich bisher gemacht habe und euch im Rückmeldungen bitten, ob ein Schritt davon aus eurer Sicht nicht sinnvoll war und ob ihr noch weitere Schritte unternehmen würdet. Mein aktuelles Setup sieht also wie folgt aus:
Für den Zugriff habe ich mir bei bei einem DynDNS Anbieter eine Weiterleitung nas.dyndns.tld auf meine IP besorgt, die von der Fritz!Box versorgt wird. Weiterhin nutze ich meine eigene Domain domain.tld für den Zugriff. Hier habe ich im DNS einen CNAME Eintrag für die Subdomain sub.domain.tld angelegt der auf nas.dyndns.tld verweist. Weiterhin habe ich in der Fritz!Box eine Portweiterleitung für den Port 443 auf die DS hinzugefügt.
In der DS habe ich wiederum folgende Einstellungen vorgenommen:
Was mich am aktuellen Setup noch stört sind drei Dinge:
Weiterhin habe ich mich gefragt, ob es überhaupt nötigt ist den Port 55551 und somit die DSM nach außen verfügbar zu machen, da ich diesen Zugriff auch über mein VPN durchführen könnte. Mir ist nur wichtig, dass ich über meine Domain nachher z.B. Drive und die Video Station nutzen kann - und diese verwenden die gleichen Ports wie die DSM. Oder lassen sich diese über das Anwendungsportal anpassen? Weiterhin ist es für diesen Zugriff sicher sinnvoll dedizierte Nutzer zu nutzen, die nur Zugriff auf die entsprechende App wie z.B. Drive haben?
Vielen Dank bereit!
Gruß
Torben
ich habe mir vor ein paar Tagen eine DS218+ zugelegt. Diese war bisher nur im LAN verfügbar. Nun bin ich gerade dabei die DS auch Über das Internet verfügbar zu machen. Als Modem/Router habe ich eine Fritz!Box 6490 im Einsatz. Ich habe schon nach diversen Tips im Forum gesucht und diese auch befolgt. Ich wollte kurz einmal vorstellen was ich bisher gemacht habe und euch im Rückmeldungen bitten, ob ein Schritt davon aus eurer Sicht nicht sinnvoll war und ob ihr noch weitere Schritte unternehmen würdet. Mein aktuelles Setup sieht also wie folgt aus:
Für den Zugriff habe ich mir bei bei einem DynDNS Anbieter eine Weiterleitung nas.dyndns.tld auf meine IP besorgt, die von der Fritz!Box versorgt wird. Weiterhin nutze ich meine eigene Domain domain.tld für den Zugriff. Hier habe ich im DNS einen CNAME Eintrag für die Subdomain sub.domain.tld angelegt der auf nas.dyndns.tld verweist. Weiterhin habe ich in der Fritz!Box eine Portweiterleitung für den Port 443 auf die DS hinzugefügt.
In der DS habe ich wiederum folgende Einstellungen vorgenommen:
- Zwei-Faktor-Authentisierung aktiviert
- Automatische Blockierung von IP-Adressen aktiviert
- Die Firewall aktiviert und alles geblockt außer Anfragen aus Deutschland auf Port 443
- Über Let'sEncrypt ein Zertifikat für sub.domain.tld erstellt
- Die Ports des DSM auf 55550 und 55551 geändert
- Im Reverse Proxy einen Eintrag für sub.domain.tld:443 angelegt, der auf localhost:55551 verweist
Was mich am aktuellen Setup noch stört sind drei Dinge:
- Wenn ich die DS über eine Adresse, die der Reverse Proxy nicht kennt (sprich https://nas.ddnss.de), oder die IP direkt aufrufe, macht die DS automatisch einen Redirect auf https://nas.ddnss.de:55550. Ich möchte, dass in dem Fall einfach kein Redirect passiert und der Port somit nicht ersichtlich wird.
- Weiterhin würde ich gerne den Port 80 öffnen und auf die DS weiterleiten um dort den automatischen Redirect auf HTTPS zu nutzen. Hier habe ich das Problem, dass die DS bei einem sauberen Aufruf über http://nas.ddnss.de zwar einen Redirect auf HTTPS macht, aber leider nicht auf Port 443, sondern auf den internen Port 55551.
- Weiterhin habe ich bei 2. logischerweise das gleiche Problem wie bei 1.
Weiterhin habe ich mich gefragt, ob es überhaupt nötigt ist den Port 55551 und somit die DSM nach außen verfügbar zu machen, da ich diesen Zugriff auch über mein VPN durchführen könnte. Mir ist nur wichtig, dass ich über meine Domain nachher z.B. Drive und die Video Station nutzen kann - und diese verwenden die gleichen Ports wie die DSM. Oder lassen sich diese über das Anwendungsportal anpassen? Weiterhin ist es für diesen Zugriff sicher sinnvoll dedizierte Nutzer zu nutzen, die nur Zugriff auf die entsprechende App wie z.B. Drive haben?
Vielen Dank bereit!
Gruß
Torben
Zuletzt bearbeitet: