DSM 6.x und darunter custom domain ohne port nummer für DSM und drive links

[lueromat]

Hi,
hab über meinen webhoster nen DDNS service eingerichtet und kann mein DSM jetzt unter sub.domain.com erreichen. Allerdings hab ich da ein ein paar probleme:

1. es wird immer die port nummer drangehängt: sub.domain.com:1234
2. ich kann den DSM nur über https://sub.domain.com erreichen, aber nicht über https://www.sub.domain.com
3. bei den drive file sharing links ist die port nummer auch immer dabei

kann mir da jemand weiterhelfen?

 

[NormalZeit]

1. Wie hast Du die Port-Weiterleitung auf Deinem Router eingerichtet?
2. www.sub.domain.com ist eine sub.sub.domain.com. Musst Du am DNS bei Deinem Provider passend einrichten.
3. Siehe Antwort zu Frage 1

 

[lueromat]

1./3. auf dem router selbst habe ich nichts eingestellt - hab nur unter External Access > Rounter configuration weiterleitung für ports 443, 5001 und 6690 für die built-in applications eingerichtet

2. okay, hab mir schon gedacht das das serverseitig ist. allerdings gab es da bei meinem DDNS provider keine option. muss ich dann im DNS so einen A-record erstellen?

 

[NormalZeit]

Dann schau mal auf Deinem Router (welcher ist das?) nach, was dort unter Freigaben eingestellt ist.

Und deaktiviere dort auch gleich mal UPnP, damit reist Du Dir sonst ungewollt Lücken auf ohne das zu wissen. Freigaben sollten immer aktiv selber auf dem Router eingerichtet werden (!) und nicht per External Access.

Woher weisst Du eigentlich, dass dort immer :1234 als Port angehängt wird? Wie hast Du das genau getestet?

Erreichst Du über Port 5001 von extern die Oberfläche vom DSM? Auch nicht gut und ein weiteres Einfallstor für Bösewichte.

Zum DNS Deines Providers kann ich Dir nicht wirklich weiterhelfen, das wird bei jedem anders gehandhabt. Welcher Provider ist das? Vielleicht wissen da andere mehr dazu.

 

[lueromat]

router ist von comhem (schwedisches fabrikat - wohne hier im norden). upnp ist deaktiviert. ansonsten ist da ist nichts eingetragen, aber das kann ich ändern - also besagte port regeln im DSM rausnehmen und stattdessen gleich im router weiterleiten?

habe im router pro regel 4 ports: local start port, local end port, external start port, external end port. hab das ewig nicht gemacht...ist dann zb 443 externer start und end port, und dann ein port meiner wahl (unter Network > DSM settings einzustellen?) bei den beiden local ports?

ertappt - ist 5001, nicht 1234. aber den kann ich ja ändern wie oben beschrieben?

provider ist OVH


besten dank schonmal für deine hilfe

 

[NormalZeit]

habe im router pro regel 4 ports: local start port, local end port, external start port, external end port. hab das ewig nicht gemacht...ist dann zb 443 externer start und end port, und dann ein port meiner wahl (unter Network > DSM settings einzustellen?) bei den beiden local ports?

Normalerweise hast Du einen externen Port (z.B. 55123) der auf einen internen Port (z.B. 5001) weitergeleitet wird. Auf jeden Fall muss an dieser Stelle auch eine interne IP-Nummer angegeben werden wohin dann die Datenpakete gehen sollen.

Den Router von Dir kenne ich nicht. Vielleicht kannst Du einen Screenshot von dieser Stelle machen und wir helfen Dir weiter, wo was einzutragen ist.

Was willst Du denn auf Deiner Synology von extern erreichbar machen?

upnp ist deaktiviert.

Kann ich mir nicht vorstellen, dann hätte es bei den Einstellungen im DSM eine Fehlermeldung geben müssen wenn diese nicht an den Router geschickt werden können.

provider ist OVH

Hier im Süden unbekannt. Da kann ich Dir leider nicht helfen.

 

[lueromat]

oh ja upnp war aktiv - hätte sonst ja auch tatsächlich nicht funktioniert

Was willst Du denn auf Deiner Synology von extern erreichbar machen?

tja schon DSM admin funktionen, drive und drive shared links, aber an sich gerne auch photo-video gedöns...wie riskant ist das? ich bin auf der suche nach einem kompromiss aus sicherheit und nutzbarkeit. dafür hab ich mir das teil gekauft...



so sieht das bei mir aus. local IP ist wohl die NAS IP. schätze local port wäre dann zb beides 5001, und extern beides irgend ein beliebiger port den ich dann auch im DSM eintrage?

OVH ist ein grosser anbieter aus Frankreich. recht günstig, aber mittel-toller service...

 

[NormalZeit]

tja schon DSM admin funktionen, drive und drive shared links, aber an sich gerne auch photo-video gedöns...wie riskant ist das? ich bin auf der suche nach einem kompromiss aus sicherheit und nutzbarkeit. dafür hab ich mir das teil gekauft...

Je mehr Sachen Du nach draußen frei zugänglich machst, umso leichter wird Dein NAS – und in der Folge auch Dein gesamtes internes Netz – angreifbar.

Wenn Du das nur für Dich selber (und/oder weitere Familienmitglieder) zugänglich machen willst, würde ich Dir eher dazu raten das ganze über VPN zu realisieren. VPN dann bevorzugt auch direkt auf dem Router.

Ja, bei „Local IP“ trägst Du die interne IP von Deinem NAS ein. Und wenn Du darüber das DSM erreichbar machen willst (wovon ich nochmal abrate), dann bei „Local Start Port“ und „Local End Port“ jeweils die 5001, beim „External Start Port“ und „External End Port“ z.B. die 55123. Dann kannst Du von außerhalb über https://sub.domain.com:55123 das DSM erreichen. So wäre von außerhalb wenigstens der Standard-Port 5001 nicht ansprechbar. – Security through Obscurity.

Protokol „TCP“ ist OK, bei „Description“ eine für Dich nachvollziehbare Beschreibung und „Enabled“ natürlich auf On umstellen.

schätze local port wäre dann zb beides 5001, und extern beides irgend ein beliebiger port den ich dann auch im DSM eintrage?

Nein, im DSM wird der externe Port nicht eingetragen. Hier gilt der interne Port. Der Router reicht die ankommen Pakete für Port 55123 intern an Port 5001 weiter.

Nachtrag: Eigentlich ist Dein Thread Titel „custom domain ohne port nummer für DSM ...“ schon unglücklich gewählt, denn ohne Port Nummern funktioniert das Internet nicht. http läuft über Port 80, https über 443, usw.

 

[lueromat]

Wenn Du das nur für Dich selber (und/oder weitere Familienmitglieder) zugänglich machen willst, würde ich Dir eher dazu raten das ganze über VPN zu realisieren. VPN dann bevorzugt auch direkt auf dem Router.

ok ist ja womöglich kein riesen-aufwand. aber wenn ich dateien mit anderen teilen möchte (eben zB über shared-links vom drive client), brauchen die dann auch eine VPN verbindung?

ohne Port Nummern funktioniert das Internet nicht.

das ist mir schon klar, aber die müssen ja nicht in der URL stehen? wie eingangs beschrieben stehen die nach wie vor in den URLs mit denen ich über meinen DDNS das DSM aufrufe, und auch in den shared links die ich mit dem drive client in windows erzeuge

 

[NormalZeit]

das ist mir schon klar, aber die müssen ja nicht in der URL stehen?

Wenn Du von den Standard Ports abweichst schon. http wird halt normalerweise immer über Port 80 abgewickelt, da kümmert sich der Browser im Hintergrund darum, genauso wie https über Port 443 läuft.

Wenn Du aber wie im obigen Beispiel das DSM über Port 55123 erreichbar machst, muss in der URL der „neue“ Port 55123 mit angegeben werden: https://sub.domain.com:55123

aber wenn ich dateien mit anderen teilen möchte (eben zB über shared-links vom drive client), brauchen die dann auch eine VPN verbindung?

So lange Du für diese Dienste nicht einen direkten Zugriff per Portweiterleitung anlegst schon.

 

[lueromat]

Ja, bei „Local IP“ trägst Du die interne IP von Deinem NAS ein. Und wenn Du darüber das DSM erreichbar machen willst (wovon ich nochmal abrate), dann bei „Local Start Port“ und „Local End Port“ jeweils die 5001, beim „External Start Port“ und „External End Port“ z.B. die 55123. Dann kannst Du von außerhalb über https://sub.domain.com:55123 das DSM erreichen. So wäre von außerhalb wenigstens der Standard-Port 5001 nicht ansprechbar. – Security through Obscurity.

ok ich hab nun erst im dsm die router configuration per upnp erst deaktiviert, und dann im router selber upnp deaktiviert. dann hab ich die ports eingetragen, und nun kann ich das DSM über https://sub.domain.com:port erreichen.

allerdings funktionieren nun sowohl das loopback von sub.domain.com per DNS server als auch mein drive client nicht mehr - es kann keine verbindung zu sub.domain.com im drive client hergestellt werden. hatte den dns server eingerichtet um zuhause das nas direkt über das lan anzusprechen (nach dieser anleitung https://zeitfresser.net/nat-loopback-probleme-durch-eigenen-dns-server-loesen-how-to/). hab ich da nun etwas übersehen?

EDIT: alles gut, funktioniert doch

 

[lueromat]

also, ich sehe ein das wenn ich über DDNS auf mein DSM zugreife i) bei sub.domain.com der port am ende stehen muss und ii) das ganze sicherheitstechnisch nicht optimal ist. habe mal kurz nach einer VPN lösung geschaut, aber mir ist nicht ganz klar wie das dann läuft - kann ich dann nach korrekter einrichtung über sub.domain.com aufs DSM zugreifen?

drüber hinaus bleibt diese frage bestehen:

3. bei den drive file sharing links ist die port nummer auch immer dabei

ich werde mein NAS häufig brauchen um mit anderen (hauptsächlich kollegen, bin in der forschung tätig) dateien und ordner zu teilen, aber auch zu empfangen. ich hatte mir vorgestellt das ich da wie bei nextcloud (meiner bisherigen lösung auf privatem webspace) saubere links teilen kann ohne das informationen zu ports sichtbar sind. ist das irgendwie möglich?

ich hatte dazu schon in der drive admin console unter Settings > Others die option "Customize sharing links => Customized domain" gefunden. Heisst das dass ich zB die Subdomain share.domain.con einrichten kann, und dann dort eintrage - oder verstehe ich das falsch?