Chat - ohne Port 5001?

[servilianus]

Hallo zusammen,
ich nutze Synology Chat. Dieser läuft ja bekanntermaßen über den Port 5000/5001. Leider ist das genau der Port, mit dem man auch die Anmeldemaske der DSM via http/https erreichen würde. Ich möchte jedoch die Synology DSM-Oberfläche überhaupt nicht gern ins Netz stellen. Ich habe sämtliche Anwendungen bereits auf VPN umgestellt, doch VPN ist ja für Chat mit Smartphones witzlos. Daher meine Frage: Gibt es eine Möglichkeit, Chat weiter ohne VPN zu betreiben, jedoch ohne dass man mit https://meineipadresse:5001 auf die DSM-Oberfläche kommt?

 

[Uwe96]

Warum ist VPN mit Smartphone witzlos?
Zum Chat kann ich leider nichts sagen da ich das nicht nutze.

 

[servilianus]

Weil Du bei Chat keine Benachrichtigungen bekommst, wenn Du Dich nicht jedesmal per VPN einwähltst. Du rufst ja auch nicht Deine Email per VPN auf dem Smartphone ab. Chat läuft ja sozusagen immer im Hintergrund.

 

[NSFH]

Nutzer benötigen keinen Zugriff zum DSM, den kannst du im Nutzerprofil verbieten aber Chat erlauben.

 

[servilianus]

Das stimmt, dann gehts aber auch nicht im LAN. Ich möchte eigentlich, dass die WEB-Oberfläche der Synology gar nicht öffentlich / im WAN aufrufbar sein soll - aber die Chat-Funktion trotzdem möglich ist. Lässt sich der Chat-Port irgendwie "umbiegen"? So wie ich das sehe bin ich gezwungen - wenn ich Chat mobil verwenden will - den 5001-Port im Router weiterzuleiten. Ich finde es irgendwie fahrlässig von Synology, dass Anwendungen wie Chat, Audiostation etc. ausgerechnet den WEB-GUI-Port verwenden bzw. sie sich diesen teilen.

 

[ottosykora]

für mich tönt es wie:
ich will alle Daten auf meinem Smartphone bestens schützen, aber Whatsap will doch verwenden

oder
ich will mein Netzwerk total abschirmen, aber auf Alexa will ich nicht verzichten

etc...

 

[servilianus]

Darum geht es nicht und das ist nicht die Antwort auf meine Frage. Es geht darum, den WEB-GUI-Zugriff auf die Synology nicht zu ermöglichen, aber trotzdem die Chat-Funktion zu erhalten, bzw. vice versa.

 

[Uwe96]

Ja, aber das kannst du doch pro Nutzer untersagen. Ist das nicht genau das was du willst?

 

[blurrrr]

Im Anwendungsportal lässt sich nichts konfigurieren? Alternativ den Chat in einem VDSM laufen lassen, "löst" das Problem dann nicht, aber verlagert es halt.

 

[servilianus]

Danke für den Hinweis, evtl. wäre VDSM eine Lösung.

 

[NSFH]

Verstehe das Problem noch immer nicht. Selbst wenn du 5001 (kann man als externen Port im Router auch verändern) nutzt kannst du im Nutzer- oder Gruppenprofil für diese Nutzer die App DSM deaktivieren und Chat aktivieren. Dann haben diese auch keinen Zugriff auf die GUI.

 

[servilianus]

Hallo, also ich versuche das Problem nochmal klarer zu machen: Selbst wenn ich allen Nutzern die DSM-Berechtigung entziehe, so erscheint doch, sobald ich irgendwo auf der Welt "https://meine-ip-Adresse:5001" eingebe, meine Synology mit deren Anmeldemaske. Klar: Weil die 5001 der WEB-Port der Synology ist (und den kennt auch jeder). Der aber zusätzlich auch noch der Port für Applikationen wie Chat + Audiostation ist.

Ich hingegen würde Chat gerne nutzen wollen, ohne den Web-Port (also die 5001) nach außen hin freizugeben.

Außerdem: Wenn ich den Nutzern den DSM-Zugriff sperren - was möglich wäre - können sie überhaupt nicht mehr auf die DSM - auch nicht mehr im eigenen LAN.

Schließlich: Natürlich könnte ich im Router den externen Port 5001 auch ändern (z.B. auf die 50001 z.B.), nur gibt es in der Chat-App meines Wissens keine Möglichkeit, einen anderen Port als die 5001 zum Zugreifen einzustellen. So wie ich das sehe, ist in der Chat-App die 5000/5001 als Zugriffsport fest verdrahtet.

So wie ich das sehe, geht es nicht anders, als a) die 5001 nicht weiterzuleiten, dann geht aber Chat nicht (oder nur per VPN), oder b) die 5001 aufzumachen, dann habe ich aber ein Loch in meine Firewall gebohrt.

 

[Penthys]

Anwendungsportal hat @blurrrr doch bereits erwähnt. Dort Aliasnamen für meine.domain/chat oder Benutzerdefinierte Domain für irgendwas beliebiges, das aber natürlich auf deinen Server verweisen muss, wie zB chat.meine.domain aktivieren und Ports deaktiviert lassen. Funktioniert prima ohne irgendwelche Verrenkungen.

 

[Flessi]

Systemsteuerung > Anwendungsportal > chat > Bearbeiten > Benutzerdefinierten Port aktivieren

 

[servilianus]

Ja, wunderbar, das geht, z.b. die 20001, diese im Router weiterleiten, stattdessen die Weiterleitung 5001 dort löschen. In der Chat-App Smartphone dann meine-ip-adresse:20001 hinterlegen.
Wenn ich die im Browser eingebe, komme ich schonmal nicht mehr auf die "normale" DSM-Oberfläche, sondern (nur noch) auf die Chat-Anmeldemaske. Problem insoweit gelöst, danke!

 

[MikeDill]

Weil Du bei Chat keine Benachrichtigungen bekommst, wenn Du Dich nicht jedesmal per VPN einwähltst. Du rufst ja auch nicht Deine Email per VPN auf dem Smartphone ab. Chat läuft ja sozusagen immer im Hintergrund.

Hi,
da es bei mir erst vor kurzem Aktuell war. Wieso probierst du nicht VPN on Demand aus? Benachrichtigungen kommen auch an. Dann brauchst du gar keine Ports nach außen freigeben. ?

 

[servilianus]

Ist richtig, wäre auch eine Lösung, dies einzurichten.

 

[NGC-PeGaSuS]

Jahre später

Leute, würde gerne den Chat auf Quick Connect weiterleiten, wer weiss was

Chat für Gäste "Öffentlicher Kanal "

Nach : https://kb.synology.com/de-de/DSM/help/Chat/chat_managing_channels?version=7

Externe Gäste zu einem Kanal einladen:​

1. Klicken Sie in der Registerkarte Allgemein der Kanaleinstellungen auf das Symbol Einladen.
2. Klicken Sie in der Registerkarte Gast auf die Schaltfläche Hinzufügen, um Gäste einzuladen.
3. Ein Assistent führt Sie durch die Erstellung eines Gastkontos.

Der Benutzer GUEST ist "deaktiviert" hat im Unternehmens Bereich "rein gar nichts zu suchen"

Wie kann ich dann als Gäste-Verwalter nu den Gast einbinden ???
denn vom Handy "smartphone" im Webbrowser test meinHostname.quickconnect.to/chat#channels/18
lande ich auf die Benutzer Anmelde Seite der DSM !

Grund der GUEST DEAKTIVIERUNG :
Alle Benutzer kommen nur mit 2FA in den etwailigen Apps hinein !!!

 

[sarmingsteiner]

@servilianus Falls es noch hilft: Du kannst auch die Ports für die DSM-Verwaltung ändern (unter Systemsteuerung - Anwendungsportal).

 

[Heimi75]

Ich habe eine Umleitung über Reverse Proxy eingerichtet und das funktioniert problemlos bei fast allen Synology-Apps. Die einzigen beiden Apps, bei denen das nicht geht, sind DS Audio und DS Video. Warum, weiss ich aber auch (noch) nicht. Kann das jemand allenfalls erklären? Ich mache sonst ein Ticket bei Synology auf. Mal schauen.