DS 218+ Über FritzBox 7490 mit DynDNS - Verständnisfrage

[NAS-]

Hallo,

ich habe die 218+ fuer uns als Familie angeschafft und soweit eingerichtet. Mein Ziel war es die DS ueber das Internet erreichbar zu haben. QuickConnect wollte ich dabei nicht nutzen. Ich denke als Laie das eine eigene Loesung besser ist. Nach dem Motto die Daten muessen nicht ueber den Anbieter laufen...

Meine Ausstattung:

Telekom Anschluss
FritzBox 7490
Zufaellig ein Webhosting Paket bei all-inkl mit DynDNS kostenfrei

Konfiguration:

Fuer die DS218+ folgende Ports freigegeben:
5000-5001
80
443

Bei all-inkl folgende Konfiguration:

Webseite fuer die Familie registriert
DynDNS erstellt: diskstation.familienseite.de


Rufe ich jetzt die feste IP von all-inkl auf leitet diese mich zu https//:diskstation.familienseite.de:5001 —> perfekt!

Ich moechte gerne dazu lernen und wissen warum jetzt folgendes nicht funktioniert:

Rufe ich jetzt https//:diskstation.familienseite.de:5000 auf —> Safari kann die Webseite nicht oeffnen. Warum? Ich meine ich finde es gut das 5000 und somit ohne SSL nicht funktioniert aber der Port 5000 ist doch frei in der Fritzbox. Oder liegt es daran das https vorweg und die 5000 sich zum Schluss aufhebt?

Wenn ich die IP der DS218+ im gleichen WLAN bzw. Netzwerk daheim Aufrufe —> dann macht der Browser daraus automatisch: https:// 192.168.178.40:5001 (warum?) und die Fehlermeldung: Diese Verbindung ist nicht privat —> Details einblenden —> Zertifikat anzeigen —> dann erscheint dort das Zertifikat von meinem Hoster (all-inkl).

Ist das normal oder habe ich etwas falsch eingestellt?

 

[goetz]

Hallo,

Oder liegt es daran das https vorweg und die 5000 sich zum Schluss aufhebt?

so ist es, http://<..>:5000 oder https://<..>:5001.
Wenn Du die IP der DS aufrufst so kann das Zertifikat nicht greifen da es auf einen Namen ausgestellt ist und Du diesen Namen nicht aufrufst.

Gruß Götz

 

[NAS-]

Danke für die Erklaerung. Dann habe ich nichts falsch gemacht. Soll ich denn das Zertifikat erlauben und auch über diesen Weg auf die DS zugreifen oder besser nicht.

Abschließend:

Greife ich jetzt über das freie Internet auf die feste IP (von all-inkl.) zu dann erscheint auch die Fehlermeldung, das dass Zertifikat für diskstation.familienseite.de ausgestellt ist und nicht für IP xx.xxx.xxx.xx

Auch richtig? Und kann ich dann dennoch über diesen Weg auf die DS zugreifen oder sollte ich es besser lassen und immer über diskstation.familienseite.de Zugriff darauf nehmen?

 

[Fusion]

Wofür hast du dir denn die Adresse diskstation.familienseite.de geholt, wenn du dann doch über die IP zugreifen willst?
Der Zugriff via IP wird immer eine Zertifikats-Warnung ausspucken, da die Zertifikate auf einen Namen ausgestellt sind.
Nur wenn du auch diesen Namen verwendest verschwindet die Warnung.
Die Verbindung ist in jedem Fall sicher verschlüsselt per SSL (https)

Und was das "besser lassen" angeht. Der Zugangsweg funktioniert so und so bzw ist vorhanden, ob du ihn nun benutzt oder nicht.

Ich würde eher überlegen, ob der DSM (5001) überhaupt von außen zugänglich sein muss. Im Normalfall muss er das nämlich nicht.
Da kann man Dienste auch via (80)/443 erreichbar machen, oder über eigenen Ports, oder gleich nur via vorgelagertem VPN Zugriff.
Hängt alles vom Besucherpublikum ab, wer was wie (komfortabel oder mit erhöhtem Risiko behaftet) erreichen können soll.

 

[goetz]

Hallo,
den Zugriff über die IP kannst Du erlauben, die Verbindung ist trotzdem verschlüsselt, der Fehler ist eben, daß das Zertifikat auf den Namen x.y.z ausgestellt wurde und Du über die IP zugreifst die nicht x.y.z heißt. Über IP, auch über das Internet, bekommst Du immer eine Fehlermeldung, das Zertifikat gilt für einen Namen.

Gruß Götz

 

[NAS-]

Die URL zeigt auf die IP weil ich mir die URL besser merken kann. Und die. Familie hat es auch einfacher.

Klar kann ich auch statt der 5001 eine andere nehmen, habe mir angelesen das ein Port Scanner das aber sofort merkt. Sicher, ich möchte es gerne so sicher wie möglich. Daher habe ich mich viele viele Stunden als Laie von der Familie abgeseilt um das umzusetzen. Ich möchte die Daten möglichst sicher wissen.

 

[Fusion]

Ja, das habe ich mir schon gedacht. Ist ja auch der Sinn des "Telefonbuchs" DNS für das Netz.
Da du das extra eingerichtet hast würde ich es auch so benutzen (ohne Warnmeldungen) anstatt der IP. In der Sicherheit gibt es wie gesagt keinen Unterschied.

Natürlich "könnte" ein Portscanner das merken, wenn er denn wollte. Es kostet aber mehr Zeit, und Zeit ist Geld.
Nach jedem beliebigen Dienste auf jedem freien Port zu suchen sehe ich eher bei gezielteren Angriffen, wo Zeit dann weniger wichtig ist (aus dem Grund ist eine Portverlegung auch kein explizites Sicherheits-Feature).
Bei großflächigen IP Scans nach möglichen Zielen wird meistens nicht mit allen Ports (0-65535) gesucht, sondern vielleicht mit den 100 bekanntesten (Standard Server/Webdienste, NAS-Hersteller, etc).
Von daher ist es doch "nett", wenn man nicht bei jedem beliebigen Suchlauf über IPs auf dem Radar auftaucht.

Die Sicherheit steht und fällt mit einem guten Passwort und möglichen Lücken in den Webanwendungen (DSM, oder direkt die Audio/Video Station etc) selbst.
Daran läßt sich auch nur noch indirekt etwas verbessern, indem man z.B. die Anzahl der Login-Versuche stark begrenzt oder Geo-IP Sperren in der Firewall setzt.
Das reduziert wie die Portverlegung allerdings nur die Sichtbarkeit/Erreichbarkeit nach außen, die Sicherheit wird nur indirekt erhöht durch Reduzierung der Wahrscheinlichkeit.

Es ist alles eine Abwägung zwischen Sicherheit und Komfort. Je komfortabler es sein soll (größerer Nutzerkreis, der ohne weitere Mittel (außer einem Web-Browser) auf Dienste zugreifen können soll) desto exponierter und mit mehr Risiko behaftet.

Bei Einzelnutzung oder wenigen Personen kann man über die Verwendung von VPN nachdenken.
Damit exponiert man nur einen Dienste (VPN server) nach außen. Andere Dienste können erst genutzt werden wenn der VPN Tunnel aufgebaut ist.
Damit reduziert man das Risiko auf Sicherheitslücken im vpn Server oder den davon verwendeten Komponenten (SSL Bibliothek etc).

Eine andere Eskalationsstufe wäre die Verwendung einer separaten DS für Daten die von außen zugänglich sind (ohne VPN) die dann auch im lokalen Netz abgeschottet sein muss.
Sensiblere Daten liegen dann auf der "internen" DS, die dann natürlich auch nicht direkt von außen erreichbar sein darf. Maximal durch ein VPN Zugang auf dem Router ins LAN, wenn nötig.
Um mal eine grobe Visualisierung zu geben: Kalender, Kontakte, Webseiten, Galerien etc die man öffentlich oder per Zugangsberechtigung im Netz verfügbar macht auf die exponierte DS.
Verträge, Urkunden, private(re) Photos oder andere sensiblere Informationen auf die interne DS.

Mancher mag das paranoid empfinden, ich denke die meisten Leute sind nicht paranoid genug.
Muss jeder für sich entscheiden, was "möglichst sicher" bzw. "sicher genug" für ihn ist.

Nachtrag:
Persönlich will ich dort auch noch hin (kleine 1-2 bay für extern).
Aktuell habe ich eine Mischung. Ich habe zwar alles auf einer DS, die auch exponierte Dienste anbietet, aber sensiblere Daten habe ich nur in verschlüsselten Ordnern (die ich auch nur bei Bedarf einhänge) oder in verschlüsselten Containern (wie z.B. veracrypt oder boxcryptor oder ähnlich). Alle Daten die offen (also bei einem Einbruch in die DS mit möglicher Rechte-Eskalation-Sicherheitslücke lesbar wären) auf der DS liegen sind weniger kritisch unangenehm wäre es aber teilweise trotzdem (z.B. Familienfotos, sind zwar normal unverfänglich, aber muss ja trotzdem nicht jeder sehen).
Der Komfort ist leider ein kleiner Teufel....

 

[NAS-]

Ja, das habe ich mir schon gedacht. Ist ja auch der Sinn des "Telefonbuchs" DNS für das Netz.
Da du das extra eingerichtet hast würde ich es auch so benutzen (ohne Warnmeldungen) anstatt der IP. In der Sicherheit gibt es wie gesagt keinen Unterschied.

Genau. Bequemlichkeit.

Natürlich "könnte" ein Portscanner das merken, wenn er denn wollte. Es kostet aber mehr Zeit, und Zeit ist Geld.
Nach jedem beliebigen Dienste auf jedem freien Port zu suchen sehe ich eher bei gezielteren Angriffen, wo Zeit dann weniger wichtig ist (aus dem Grund ist eine Portverlegung auch kein explizites Sicherheits-Feature).
Bei großflächigen IP Scans nach möglichen Zielen wird meistens nicht mit allen Ports (0-65535) gesucht, sondern vielleicht mit den 100 bekanntesten (Standard Server/Webdienste, NAS-Hersteller, etc).
Von daher ist es doch "nett", wenn man nicht bei jedem beliebigen Suchlauf über IPs auf dem Radar auftaucht.

Einverstanden. Gibt es eine Anleitung die für ein Familienvater ohne IT Ausbildung das erklärt? Meine Überlegung sagt mir das ich der Synology irgendwo in den Einstellungen mitteilen muss das diese nicht mehr unter 5001 erreichbar sein soll sondern zwischen 0-65535? Dann muss ich in der Fritzbox aus 5001 dann zb. 3455 machen?

Die Sicherheit steht und fällt mit einem guten Passwort und möglichen Lücken in den Webanwendungen (DSM, oder direkt die Audio/Video Station etc) selbst.

Die PW sind so speziell das ich die in meiner App habe. Und was die Software angeht muss der Hersteller seine Hausaufgaben gemacht haben bzw. dran bleiben. 100% wissen wir alle gibt es nicht.

Daran läßt sich auch nur noch indirekt etwas verbessern, indem man z.B. die Anzahl der Login-Versuche stark begrenzt oder Geo-IP Sperren in der Firewall setzt.
Das reduziert wie die Portverlegung allerdings nur die Sichtbarkeit/Erreichbarkeit nach außen, die Sicherheit wird nur indirekt erhöht durch Reduzierung der Wahrscheinlichkeit.

Diese Geo-IP Sperre muss ich mir mal ansehen. Mir genügt Deutschland + Urlaubsländer.

Es ist alles eine Abwägung zwischen Sicherheit und Komfort. Je komfortabler es sein soll (größerer Nutzerkreis, der ohne weitere Mittel (außer einem Web-Browser) auf Dienste zugreifen können soll) desto exponierter und mit mehr Risiko behaftet.

Absolut. Daher möchte ich Qick Connect z.B nicht nutzen.

Bei Einzelnutzung oder wenigen Personen kann man über die Verwendung von VPN nachdenken.
Damit exponiert man nur einen Dienste (VPN server) nach außen. Andere Dienste können erst genutzt werden wenn der VPN Tunnel aufgebaut ist.
Damit reduziert man das Risiko auf Sicherheitslücken im vpn Server oder den davon verwendeten Komponenten (SSL Bibliothek etc).

Hört sich interessant an. Die Umsetzung wird für mich nicht machbar sein.

Eine andere Eskalationsstufe wäre die Verwendung einer separaten DS für Daten die von außen zugänglich sind (ohne VPN) die dann auch im lokalen Netz abgeschottet sein muss.
Sensiblere Daten liegen dann auf der "internen" DS, die dann natürlich auch nicht direkt von außen erreichbar sein darf. Maximal durch ein VPN Zugang auf dem Router ins LAN, wenn nötig.
Um mal eine grobe Visualisierung zu geben: Kalender, Kontakte, Webseiten, Galerien etc die man öffentlich oder per Zugangsberechtigung im Netz verfügbar macht auf die exponierte DS.
Verträge, Urkunden, private(re) Photos oder andere sensiblere Informationen auf die interne DS.

Mancher mag das paranoid empfinden, ich denke die meisten Leute sind nicht paranoid genug.
Muss jeder für sich entscheiden, was "möglichst sicher" bzw. "sicher genug" für ihn ist.

Und genau daran habe ich auch schon gedacht! Das werde ich wohl auch so machen.

Nachtrag:
Persönlich will ich dort auch noch hin (kleine 1-2 bay für extern).
Aktuell habe ich eine Mischung. Ich habe zwar alles auf einer DS, die auch exponierte Dienste anbietet, aber sensiblere Daten habe ich nur in verschlüsselten Ordnern (die ich auch nur bei Bedarf einhänge) oder in verschlüsselten Containern (wie z.B. veracrypt oder boxcryptor oder ähnlich). Alle Daten die offen (also bei einem Einbruch in die DS mit möglicher Rechte-Eskalation-Sicherheitslücke lesbar wären) auf der DS liegen sind weniger kritisch unangenehm wäre es aber teilweise trotzdem (z.B. Familienfotos, sind zwar normal unverfänglich, aber muss ja trotzdem nicht jeder sehen).
Der Komfort ist leider ein kleiner Teufel....

Hier denken wir ziemlich gleich. Die Ordner habe ich alle verschlüsselt. Letztendlich greifen dort nur meine Frau und ich über die iPhones mit der App darauf zu.

Ich wollte 140GB Daten von der TimeCaple in die ersten Ordner übertragen. Nur leider hat die DS nur die Ordner angelegt. Die Dateien dazu nicht. Da muss ich jetzt mal Tante Googel befragen.

Danke für deine gute Erklärungen und Ausführungen. Bin da sehr dankbar für.

 

[Kurt-oe1kyw]

Meine Überlegung sagt mir das ich der Synology irgendwo in den Einstellungen mitteilen muss das diese nicht mehr unter 5001 erreichbar sein soll sondern zwischen 0-65535?

Ich glaube du hast generell ein Verständnisproblem unter :5001 ist u.a. die DSM Bedienoberfläche erreichbar. Es gibt noch dutzende andere Ports welche für die DS erreichbar sind, kommt drauf an was du laufen und nutzen möchtest.
Aber wie schon erklärt wurde, musst du wirklich als Administrator von Aussen auf die DSM Bedienoberfläche?
Falls ja dann auch gut, schau mal hier:

DSM > Hauptmenü > Systemsteuerung > Externer Zugriff > Register "Erweitert" > die 3 Felder ausfüllen > Übernehmen. (Wenn die Felder leer sind dann hast du 5000 und 5001 standardmässig).

ABER bitte schau dir auch die Liste von Synology <klick> an, nicht das du einen Port erwischt welcher für andere Dienste auf der DS reserviert ist!

 

[Fusion]

Ports kannst du zwischen 1024 und 65535 wählen. Das schließt die meisten für Standard-Dienste definierten Ports aus. zwischen 50000 und 65535 ist es ziemlich einsam.
Die Liste von Synology hat Kurt schon geposted (damit schließt man schon mal eventuell Port-Konflikte auf der Syno selber aus).
Hier noch als Ergänzung der Verweis auf andere standardisierten (offiziell und inoffiziell) belegten Ports
https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports

Dann kannst du entweder auf der Syno alles lassen wie es ist und in der Fritzbox eine Weiterleitung ala 11111 > 5001 auf die DS einstellen.
Hier kommt dann auch der Punkt von Kurt ins Spiel unter Systemsteuerung > Externer Zugriff > Erweitert.
Das brauchst du allerdings nur, wenn du geteilte Links erstellst oder ähnliches, damit die Syno dabei den richtigen externen (ihr unbekannten) Port in die URL schreibt.
Wenn du das nicht brauchst musst du auf der Syno wie gesagt gar nichts dazu einstellen.

Willst du die Portweiterleitung 1:1 vornehmen als 11111 > 11111 auf die DS leiten, muss die DS natürlich mit dem DSM auch unter 11111 auf Anfragen lauschen.
In dem Fall stellst du dies um unter Systemsteuerung > Netzwerk > DSM Einstellungen und änderst dort die Standard-Ports.

Welche der beiden Möglichkeiten du verwendest musst du selber austesten. Persönliche Vorliebe ist die 1:1 Weiterleitung. Dann muss ich zwar auch extern die Ports teilweise angeben, aber ich habe dann intern wie extern die gleichen Ports in den Adressen (und es funktioniert mit IPv4 und IPv6).

Eine weitere Möglichkeit, wenn man nur Port 80/443 offen haben will, sind benutzerdefinierte Domains.
Für den DSM wäre das unter Systemsteuerung > Netzwerk > DSM Einstellungen. Als Hostname dort meine.dynDNS.de eintragen. Und auch die http-https Umleitung aktivieren.
In der Fritzbox braucht es dann nur die 80/443 als 1:1 Weiterleitung an die DS setzen.
Der DSM ist dann extern via https://meine.dynDNS.de erreichbar.
Allerdings ist jetzt dieser Hostname für den DSM blockiert. Du erreichst also z.B. via https://meine.dynDNS.de nicht mehr die Web Station.
Will man via benutzerdefinierten Domains eben mehrere Dienste erreichen (Systemsteuerung > Anwendungsportal > Anwendungen, oder Reverse Proxies, oder Web Station vHosts) braucht man mehrere dynDNS oder idealerweise eine eigene Domain (bei der man Subdomains via CNAME Eintrag im DNS auf die dynDNS verweist) .
Im letzten Fall kann man via dienst1.domain.de, dienst2.domain.de etc verschiedene Dienste erreichbar machen.

Auch der Zugang via VPN ist kein Hexenwerk, das schaffst du auch, wenn du willst. Aber man muss sich halt mal 1-2 Stunden damit beschäftigen.
In deinem Fall bietet sich z.B. ein das VPN auf der Fritzbox zu nutzen. Damit kannst du relativ einfach von mobilen Geräten oder laptops ein VPN zu deiner Fritzbox aufbauen und bist dann mit einem verschlüsselten Tunnel mit deinem LAN verbunden, so als wäre das Gerät bei dir zu Hause im LAN/WLAN. Auch alle Zugriff auf die DS funktionieren dann wie zu Hause, auch über lokale IPs.

Nicht entmutigen lassen, wenn hier geballte Information aufschlägt und ich auch hin und her springe. Mit der Zeit wächst das Verständnis.
Und wenn du zu einzelnen Punkten nicht weiterkommst und auch nichts im Netz findest kannst ja hier im Forum wieder nachfragen mit Infos was du machen willst, wo du gerade hängst, etc.
Eins nach dem anderen....