DSM-Firewall - kein Zugriff per DLNA/UPNP auf die Musikbibliothek

[Curiosus]

Hallo Leute,

Ich hoffe, hier im richtigen Forum zu sein mit meiner Firewall-Problematik. Ich benutze eine DS218+ mit DSM 7.0.
Habe die DSM-Firewall aktiviert, da ich unter anderem auch von extern auf meine DS218+ zugreifen möchte. Hier geht es nun vor allem um den DLNA/UPNP Zugriff in meinem Heimnetzwerk auf Multimediadateien auf dem NAS. Auf dem NAS laufen die Audio-Station und der Medienserver.
In der Firewall habe ich die Ports für den DLNA/UPNP Medienserver freigegeben (siehe Dateianhang). Doch kann ich nicht mehr in der BubbleUPNP App von meinem Android-Smartphone auf meine DS218+ zugreifen. Dies gilt auch für andere DLNA/UPNP Apps. Der Medienserver wird dort nur angezeigt, wenn ich die Firewall deaktiviere.
Habe ich noch irgendwelche Ports, die noch geöffnet werden müssten, übersehen?

LG, Curio

 

[plang.pl]

Hi

Kannst du denn auf andere Dienste zugreifen, wenn die Firewall aktiviert ist? Die Regel ganz unten in deinem Screenshot mit "Alle blockieren" scheint mir hier der Übeltäter zu sein, da in DSM eine Verweigern-Regel immer über einer Zulassen-Regel steht (zumindest ist dies in der Dateiebene so, in der Firewall weiß ich es nicht, ist nur eine Vermutung). Einfach mal die letzte Regel löschen, da sowieso alles, was nicht explizit in der Firewall zugelassen ist, blockiert wird. Somit ist die Regel meines Wissens nach kontraproduktiv.

 

[Curiosus]

Danke für deine Gedanken, plang.pl.
Naja, in allen englischsprachigen Anleitungen ist genau dieses Vorgehen üblich. Die Firewall-Regeln werden von oben nach unten abgearbeitet. Die letzte Regel besagt, dass, wenn keine der vorherigen Regeln zutrifft alle Ports gesperrt sind. Genau, wie es sein soll.
In der Synology-Wiki zur Firewall habe ich gelesen, dass hier die default-Einstellung so ist, dass erst mal alle Ports offen sind (damit für Unerfahrene die Dienste auf jeden Fall erreichbar sind).

Außerdem hat sonst jede Schnittstelle noch die Option "Wenn keine Regel zutrifft - verweigern". Diese muss man aktivieren, wenn man die Regel nicht, wie ich, unter "alle Schnittstellen" angefügt hat.
Deshalb bin ich ziemlich sicher, dass meine Konfiguration korrekt ist.?

 

[the other]

Moinsen,
erfolgt der Zugriff aufs Medianarchiv ausschließlich aus dem eigenen Netz?

Die Reihenfolge ist eigentlich okay, so wie ich es sehe.
Wie isses, wenn du probeweise statt alle Schnittstellen nur LAN auswählst (oben rechts)?

 

[Curiosus]

@ the other
Die Problematik bezieht sich nur auf das eigene Netz.
Ich habe das Ganze schon über die LAN-Schnittstelle probiert. Leider mit dem selben Ergebnis.

 

[Fusion]

Dann scheitert es vielleicht nur an der Suche. Könnte man probieren, wenn die Client es unterstützt das letzte Medium nochmal abzuspielen, ohne dass man danach browsen muss. Und das dann einmal ohne, einmal mit Firewall.

Oder mal schauen, was Richtung bonjour / zeroconf noch zur Auswahl steht zum freischalten.
Die reden ja glaube multicast DNS über 5353 oder so.

 

[Curiosus]

Bonjour etc. hatten keinen Effekt.
Bei Portscans mit einer entsprechenden App auf dem Android-Phone konnte ich feststellen, dass die UDP-Ports stets als "blocked" erscheinen. So eben auch der Port 1900 für den Medienserver. Wie ist das möglich? Ich habe keine exotischen Einstellungen in meinem Netzwerk, sondern alles default-mäßig eingerichtet.
Bei den TCP-Verbindungen greift die Firewall, wie vorgesehen. Sie erscheinen im Portscan als open bzw. closed.

 

[Fusion]

Und 1900/udp wird in der Regel 'Nedienserver' auch geöffnet?
Wobei das auch von der ominösen Android abhängig sein kann. Kann die udp scans, und zuverlässig...

 

[Curiosus]

Das mit den geblockten UDP Ports scheint tatsächlich ein Problem des Portscanners auf dem Smartphone zu sein.
Aber langsam bin ich am Verzweifeln.
Ich habe die gleichen Firewalleinstellungen in einem anderen Netzwerk an einer DS111 mit DSM 6.2 ausprobiert. Leider mit dem exakt selben Ergebnis. die Android-BubbleUPNP App erkennt den Synology Medienserver im lokalen Netzwerk nicht. Bei deaktivierter Synology-Firewall gibt es keine Probleme mit der Erkennung.
Es müssen also noch irgendwelche Ports in der Syno-Firewall geben, die ich freigeben muss. Welche dass sind, kann ich leider nicht herausfinden. Selbst wenn ich in den Firewall-Einstellungen alle Anwendungen freischalte, erkennt BubbleUPNP den Syno-Medienserver nicht.
Wirklich keiner eine Idee?

 

[Fusion]

Mochte dlna/upnp noch nie. Deshalb auch nicht mein Spezialgebiet.

Man könnte den Netzwerkverkehr mit Nmap oder ähnlich mitschnüffeln.
Einfacher wäre eventuell einfach mal herzugehen und nicht Anwendungen sondern konkrete Ports zu nehmen.

Dann im Ausschluß oder Intervallschachtelung.
Bsp. Öffne Port Bereich tcp/udp 1024 bis 10000 > geht / geht nicht
10001 bis 20000 > geht / geht nicht.
Wenn du den gefunden hast der geht den Bereich halbieren und so weiter.
Könnte natürlich auch eine Kombination aus verschiedenen sein.

Ansonsten bleibt nix außer direkt synology mal zu fragen, sich tiefer in upnp einzulesen.

Bzw. Auf der Syno könnt man auch auf der Konsole mal 'netstat -an' aufrufen und mal schauen wo er so alles lauscht.

 

[the other]

Moinsen,
ist schon seltsam. Sind ja einige hier (ich nicht), die schon mit dsm 7 rumspielen, bestimmt auch Firewall und medienserver nutzen, und vielleicht auch ein paar, die zusätzlich noch deine App haben. Bislang aber nix vergleichbar doofes gelesen hier...
Auch komisch, dass es mit anderen Apps auch nicht geht und auch nicht auf der alten Version dsm.
Mal die Firewall Regeln gelöscht (sind ja auf dem Screenshot nicht sooo viele), Firewall deaktiviert, Neustart, Firewall an und neues Profil (mit denselben Regeln) erstellt?
Und sonst alles was @Fusion geschrieben hat bzgl. Analyse des netzverkehrs...

 

[Curiosus]

Vielen Dank für eure Anregungen.
@Fusion
Ähnliche Gedanken hatte ich auch. Habe die Ports mit Nmap gescannt. Leider fehlt mir das Wissen, um die Ausgaben richtig zu interpretieren und das Tool zielführend einzusetzen. Beim Upnp-Port1900 wird als Ergebnis "Filtered" angezeigt, was wohl so viel heißt, das er nicht getestet werden kann.
Auch deine Intervallschachtelung habe ich schon versucht. Ein verdammt langwieriger Prozess. Zumal neue Firewall-Einstellungen oft nicht sofort greifen und mitunter erst die DS218+ neu gestartet werden muss, um eine zuverlässige Reaktion auf den Smartphone-Apps zu erhalten.
Ich habe mehrere DLNA/UPNP Apps im Einsatz. Dies sind einmal die Naim-App (für meine Netzwerk-Musikanlage), die BubbleUpnp-App und Hi-fi Cast. Kurioserweise Hat die Hi-fi Cast App keinerlei Probleme mit der Erkennung des Syno-Medienservers, während insbesondere die Naim-App nur bei deaktivierter Firewall den Medienserver anzeigt.
Bei den Intervallversuchen zeigte sich, dass die BubbleUpnp-App bei Freischaltung der Quell-Ports 1000-5000 UDP den Medienserver plötzlich anzeigte, jedoch nicht die Naim-App. Weitere Eingrenzungen im Intervallverfahren sind mir allerdings nicht gelungen.

Das eine doch sehr logische Sache, wie Firewallregeln einrichten, plötzlich in einen Try-and-Error-Prozess ausarten, nervt mich mittlerweile enorm. Vor allem, wenn ich nicht mal die leiseste Idee habe, worin das Problem liegen könnte. Wie kann es sein, dass verschiedene DLNA-Apps auf die selben Firewall-Einstellungen unterschiedlich reagieren? Ich gehe doch recht in der Annahme, dass ich in der Fritzbox keine Freigaben erstellen muss für das lokale Netzwerk, oder?

@the other
Wie gesagt 3 verschiedene Apps mit unterschiedlichem Verhalten. Hi-fi Cast hat keine Erkennungsprobleme, die anderen schon. Das Verhalten ist reproduzierbar an einer anderen DS und mit anderen Smartphones.
Und ja, ich habe die Firewallregeln des öfteren komplett verworfen und neu aufgesetzt. Was leider nichts am frustrierenden Ergebnis änderte.
Habe auch versucht die relevanten Ports per Hand freizugeben und nicht über die Anwendungen. Auch hier mit dem selben Ergebnis.

 

[Fusion]

Das ist der Grund wieso ich das nicht mag.
Dlna ist zwar ein Standard, aber er ist nicht durchgehend spezifiziert. Es gibt praktisch einen Rahmen, aber wie das im Detail gefüllt wird ist dann teilweise wieder Herstellersache. Und man muss noch nicht mal den vollständigen Rahmen unterstützten, ein Teil reicht schon um dann als dlna certified zu gelten bzw das Logo benutzen zu dürfen.

Wenn du also 3 verschiedene Apps benutzt....

Also das was an standard zu dlna/upnp verfügbar ist durchzuwühlen ist das eine, und dann müsste man noch analysieren.. Jeden einzelne App. Ob die z.b. Spezielle broadcast schickt um die 'eigenen' Geräte zu finden (also Naim intern sozusagen), oder so Späße.
Ohne die Geräte und deutlich mehr Zeit sehe ich mich da nicht in der Lage dir ein passenden Testplan mit Anleitung zu verfassen.
Wie gesagt den 'netstat -an' mal mit mal ohne Medienserver um ganz konkret zu sehen welche Ports da aktiv werden. Nur die sind dann relevant, über 1900 hinaus.
Wenn es damit nicht geht liegt das Problem vermutlich eher auf der anderen Seite.

Ebenso die Portübersicht
https://www.synology.com/tr-tr/know...t_network_ports_are_used_by_Synology_services
Vielleicht findet Naim ja den Server, aber weil er ihn auf 50001 nicht durchsuchen kann zeigt er ihn nicht an.

Irgend so was phantastisches wird es schon sein.

 

[the other]

Moinsen,
also hier: Medienserver aktiv, Zugriff von diversen stationären und mobilen Clients per Sonos App, per Plex, VCLPlayer und anderen problemlos möglich mit aktiver Firewall (Ports für dlna/upnp Medienserver frei und Protokoll "alle" für bestimmte IPs...geht.
udp 1900
tcp 50001 und 50002