Toggle sidebar

DS918+ nicht mehr erreichbar (intern/extern)

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Ich hoffe ich überlade diesen Post nicht schön langsam, aber ich habe gerne möglichst alles dokumentiert und geklärt - zumindest sofern möglich.


Nochmal ein Update zur eigentlichen Fehlersuche
Der Reset Modus 1 hat ja wie bereits erwähnt das Problem behoben, Symptombekämpfung soll aber nicht das Ende der Fahnenstange sein. Die Ursache zu kennen wäre schon nett.

Firewall
War deaktiviert, diese sollte also den Zugriff grundsätzlich erlaubt haben.

Auto Block
War aktiviert, hat aber bei Tests von einem alten Handy aus gezeigt, dass ich dann 1) per Mail informiert worden wäre und 2) die Blocklist entsprechend um einen Eintrag ergänzt worden wäre (letzter Eintrag: 2021). Beides war nicht der Fall.

Kontosperre
Weder das verknüpfte Synology-Konto, noch der Benutzer mit welchem ich auf den Server zugreifen wollte scheinen gesperrt / deaktiviert gewesen zu sein (mal abgesehen davon, dass ich ja nicht mal zum Login kam - das Thema also Benutzer-unabhängig sein sollte).

Router-Settings
Vor dem Reset führte ich einen Export der aktuellen Settings durch und habe eine paar Monate alte Sicherung geladen um Probleme seitens der FritzBox auszuschließen. Das Problem bestand auch mit alten Settings.


Antworten auf Offenes

Ronny1978 schrieb:
@Aequita : Was passiert denn, wenn du mit dem Smartphone netzintern https://ipdesnas : 5001 eingibst?
Zum Vergrößern anklicken....
Das gleiche: Timeout
Ich habe es von intern (WLAN) und extern (4G) mit den von mir definierten, sowie mit den Standardports versucht.

Brettsegler schrieb:
Jetzt aber unbedingt nachschauen ob verschlüsselt oder nicht! Und ggf. die .key Datei gut weglegen…
Zum Vergrößern anklicken....
Danke für die Erinnerung! :)
 
Hmmmmm, I guess so?
Firewall wieder aktiviert (kA weshalb ich die mal deaktiviert und dann vergessen hätte).
Gibt's hier best-practice Vorschläge für ein Setup welches dennoch von außen erreichbar sein sollte?
 
Wenns geht VPN über den Router nutzen
Wenn nicht keine Standardports freigeben, den Reverse Proxy nutzen, automatische Blockierung und Geo-Blocking / Blockscript aktivieren. Sichere Passwörter und 2FA ist klar.
 
  • Like
Reaktionen: nasinterested und Ronny1978
Danke für die Info.
Dann bin ich grundsätzlich ja garnicht so verkehrt unterwegs.
Reverse Proxy muss ich mir mal ansehen. 0 Plan.
 
[exponierter Host - Ports vom IPv4-Router weitergeleitet]
Aequita schrieb:
Hmmmmm, I guess so?
Zum Vergrößern anklicken....
bitte nicht machen. Auch Nicht-Standard-Ports sind eine Gefahr wenn man z.B. SMB-Ports "öffnet". Dass die niemand findet, weil man denkt, man hat die versteckt, ist ein Irrglaube.

Die best practice ist VPN. Das gibt es heute in Einfach - Fritzbox oder Docker-Container mit fertigen Images, die nur etwas Anpassung per Anleitung benötigen. Wireguard, Tailscale.

Es gibt auch "Cloud"-Lösungen, die das Öffnen und Weiterleiten von Ports auf das NAS selbst unnötig machen.

Reverse Proxy hat auch Anleitungen und gute Produkte, ist für mich aber nichts (ich bevorzuge VPN). Ich würde sagen, ist deutlich komplexer als die Wireguard-Einrichtung mit der Fritzbox.
 
Nur noch einmal aus meiner Sicht ein paar Erläuterungen, auch für Neulinge, die nur Mitlesen. Ja, VPN ist immer die sicherste Variante. Jedoch gibt es Konstellationen, wo VPN nur über großen/größeren Einrichtungsaufwand möglich ist und somit ein Reverse Proxy die bessere Variante ist. Beispiele sind:

- Home Assistant extern erreichbar machen: Ja, das geht auch mit VPN. Aber wenn man dann noch Android Auto nutzt und das dann wegen der VPN Verbindung meckert, muss man weitere Einstellungen tätigen. Das geht mal mehr mal minder einfach/gut. Und wenn dann mehrere Geräte betroffen sind, ist es einfacher mit einem Reverse Proxy und eine SSL Zertifikat von Lets Encrypt zu arbeiten. Außerdem funktionieren, meines Wissens jedenfalls, bestimmte Automationen nicht. Garagentor öffnen, bei Zoneneintritt, aber nur, wenn mit Android Auto verbunden, zum Beispiel.
- ecoDMS: Sobald das Steuerbüro auf die Rechnungen zugreifen soll/darf, wird VPN schon wieder schwierig und ist vom Steuerbüro und deren IT abhängig.
- Jellyfin: Mein Sohn studiert außerhalb und auch mein Bruder und mein Onkel greifen auf die Filme von Jellyfin mittels Android TV oder einem FireTV zu. Hier habe ich keine Lust, 3 zusätzliche Netzsegmente zu steuern (mittels LAN-LAN Kopplung) oder irgendwelche VPN Apps auf den Geräten zum Laufen zu bringen.

Es gibt mit Sicherheit Lösungen, aber die sind meiner Meinung komplizierter, wie ein Reverse Proxy der ordentlich eingerichtet ist. Bitte versteht mich nicht falsch: Ich bin Verfechter von Sicherheit, aber es muss auch ohne IT Studium umsetzbar sein. Mein Sohn greif zum Beispiel per VPN auf mein NAS zu, welche die Ordner als Netzlaufwerke bereitstellt. Ich nutze VPN, um auf bestimmte kritische Infrastrukturen zuzugreifen. Aber manchmal muss man auch Strukturen schaffen, dass weniger affine Mitmenschen, wenn man das möchte, zugreifen können, ohne das man jedes Mal Hilfestellung leisten muss.

Das sind aber nur meine Gedanken. Portweiterleitung versuche ich soweit es geht zu vermeiden. Dort wo VPN sinnvoll und einfach umsetzbar ist, wird auch die Wireguard VPN der OpnSense genutzt. Tailscale ist eine Alternative, aber da ist man wieder von einem externen Dienst abhängig. Und wie dann die Durchsatzraten bei 3 gleichzeitigen Videostreams sind, müsste man auch erst testen - habe ich noch nicht gemacht.
 
  • Like
Reaktionen: plang.pl
Hallo Kollegen!

Erstmal erneut ein herzliches Dankeschön für alle Inputs und eure Expertise - ich hoffe ihr hattet einen guten Start ins neue Jahr.
Ich hatte nach den Feiertagen nun endlich Zeit mich etwas in das Thema Reverse Proxy einzulesen.

Zum genaueren Verständnis - bevor ich mein Setup schlechter dastehen habe als aktuell - jedoch noch ein paar Unklarheiten bei welchen ich mir noch etwas Hilfe erbitte:
  1. Reverse Proxy ... auf NAS-Seite, richtig?
    Ich hätte hierfür eine sehr verständliche Anleitung gefunden - kann ich mich an dieser orientieren?
    https://mariushosting.com/synology-how-to-use-reverse-proxy-on-dsm-7/
  2. Ist dies auch mit einer Synology-Domain möglich?
    Kann [XYZ].synology.com einfach ergänzt/angegeben werden?
  3. Muss hierfür am Router nicht Port 443 an das NAS weitergeleitet werden?
    Bin ich mit zufällig gewählten, selbst definierten Ports welche offen sind nicht besser bedient als mit diesem Standard-Port?
  4. Plex - Meine Eltern (bzw. ich selbst wenn unterwegs) greifen auf den Plex-Server am NAS zu.
    Muss die neue Adresse hier irgendwie bekannt gemacht werden oder ist die Weiterverwendung einfach möglich?
Ronny1978 schrieb:
- Jellyfin: Mein Sohn studiert außerhalb und auch mein Bruder und mein Onkel greifen auf die Filme von Jellyfin mittels Android TV oder einem FireTV zu. Hier habe ich keine Lust, 3 zusätzliche Netzsegmente zu steuern (mittels LAN-LAN Kopplung) oder irgendwelche VPN Apps auf den Geräten zum Laufen zu bringen.
Zum Vergrößern anklicken....
 
1. Ja kannst DU
2. Ja jederzeit
3. Ja wenn das ganze von Außerhalb genutzt wird, Nein wenn VPN/Wireguard im Einsatz ist
4. Muß zb. so aussehen -> plex.xxxxxx.synology.me

Denk daran die Anwendungen einem Wildcardzertifikat von LE zuzuordnen. Falls die noch nicht vorhanden ist, zuvor beantragen. (Anleitung für das WildCard Zertifikat findest Du auch bei Marius oder in der Synology KB welche ich verwenden würde. Die iest recht ordentlich)
 
  • Like
Reaktionen: Aequita
Darf ich euch nochmal um Unterstützung bitten?
Offenbar reichen meine Fähigkeiten nicht, aus einen Reverse Proxy ordentlich einzurichten (oder wie man im Fachjargon so schön sagt, bin ich einfach zu blöd dazu).

Als ersten PoC wollte ich Synology Drive umstellen.

Aktuelles Handling:
Port-Forwarding auf der Fritz-Box für die IP des Servers von extern (z.B. Port 12345) nach intern (6690).
Server-Angabe am Synology Drive Client: meine.synology.adresse:12345.
Funktioniert soweit.

Parallel dazu habe ich nun folgendes umgesetzt und eigentlich erwartet, dass dies funktionieren würde:
Port-Forwarding auf der Fritz-Box für die IP des Servers von extern (443) nach intern (443).
Reverse Proxy Eintrag "Drive":
* Source: HTTPS / drive.meine.synology.adresse / 443 / Enable HSTS
* Destination: HTTPS / localhost / 6690

Bei Angabe von drive.meine.synology.adresse am Drive Client meckert dieser jedoch, dass die Verbindung fehlgeschlagen sei.
Übersehe/vergesse ich etwas?
Habe ich etwas grundsätzlich falsch verstanden?
 
Ich glaube der Drive Client stellt sich da oft "bockig". Bitte mal versuchen

drive.meine.synology.adresse und den Port :443

mitgeben.
 
Ich weiß nicht, wie der letzte Stand war. Aber meiner war, dass sich der Drive Port 6690 nicht umbiegen lässt
 
  • Like
Reaktionen: Ronny1978
plang.pl schrieb:
Drive Port 6690 nicht umbiegen lässt
Zum Vergrößern anklicken....
Das meinte ich mich "bockig". Ich hatte den Port 443 schon mal mitgegeben, aber da wird, glaube ich, immer wegen dem Zertifikat gemeckert.

Letztendlich habe ich den Port in meiner Firewall dann doch weitergeleitet und mich der Synology DDNS Adresse zusätzlich bedient.
 
Drive geht nicht über Proxy nur über Portfreigabe im Router auf 6690
 
Okay, ich dachte, ich hätte es schon mal über : 443 hinbekommen, aber vielleicht war das auch eine andere Synology App.
 
Zuletzt bearbeitet von einem Moderator:
  • Like
Reaktionen: ctrlaltdelete
Ich weiß nicht, wie das beim Drive-Client aussieht. Auch wenn ein Client nicht explizit die Einstellung eines Ports ermöglicht, kann man oft trotzdem einen geänderten Port verwenden, wenn man den beim Servernamen anhängt. Ich sehe hier bei Drive den Desktop-Client von außerhalb auf Port 443 zu zwingen (sofern überhaupt möglich) ein anderes Problem: Dann funktioniert die Weboberfläche und die mobilen Clients nicht mehr. Jedenfalls nicht über den gleichen Domainnamen.
 
Danke für euren Input - dann habe ich mir ja das richtige Beispiel für erste Tests ausgesucht -.-'
Drive bleibt also am Router von custom-port zu 6690.

Das gleiche Problem habe ich aber auch bei der normalen DSM ...
Einstellungen -> Login Portal -> DSM -> Web Services -> DSM port (HTTPS): 12345
Reverse Proxy:
* Source: HTTPS / dsm.meine.synology.adresse / 443 / Enable HSTS
* Destination: HTTPS / localhost / 12345

Zertifikat wird immer das gleiche verwendet (meine.synology.adresse)
Dann sollte ich grundsätzlich via dsm.meine.synology.adresse zugreifen können, oder nicht?
Ich bekomms nicht gebacken :<
 
Das ist m.E. doppelt, weil das Login Portal auch "nur" einen Proxyeintrag erzeugt.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten