DSM 6.x und darunter DSM Version: 6.2.3-25423
- Ersteller stulpinger
- Erstellt am
Alle DSM Version von DSM 6.x und älter
- Status
- Mitglied seit
- 05. Sep 2012
- Beiträge
- 3.242
- Punkte für Reaktionen
- 586
- Punkte
- 174
Ein direktes Zertifikat für IP Adressen ist mir auch nicht bekannt. Aber man kann sehr wohl IP Adressen im SAN (subject alternative name) aufnehmen. Somit besteht die Möglichkeit die lokale IP Adresse der Diskstation einzutragen und der Browser ist zufrieden.
Ob Letsencrypt dies zulässt ist mir nicht bekannt. Jedoch habe ich dies selbst schon bei "selbst signierten" Zertifikaten in der Vergangenheit so gehandhabt.
--luddi
- Mitglied seit
- 10. Mai 2015
- Beiträge
- 9.139
- Punkte für Reaktionen
- 1.778
- Punkte
- 314
für die automatische Verlängerung vom LE Zertifikat muss entweder Port 443 (sichere Verbindung) und oder Port 80 zugänglich sein. Es muss also nicht zwingend Port 80 sein, du kannst auch nur 443 nehmen.
Aber wenn jemand sicher gehen will, dann kann er ja die Standardport 443/80 kurz vor der manuellen Verlängerung öffnen und nach erfolgreicher Verlängerung wieder Schließen.
DKeppi
Benutzer
- Mitglied seit
- 01. Apr 2011
- Beiträge
- 3.208
- Punkte für Reaktionen
- 63
- Punkte
- 114
Bei mir hat das bisher leider immer nur mit geöffnetem Port 80 automatisch funktioniert,
Port 443 habe ich sowieso offen wegen meiner Homepage aber das reichte nie.
Hat sich da in letzter Zeit was geändert?
Port 443 habe ich sowieso offen wegen meiner Homepage aber das reichte nie.
Hat sich da in letzter Zeit was geändert?
Genauso ist es bei mir auch, wenn 80 nicht offen ist geht gar nicht. Mit oder ist da nichts.
Und das bedeutet man muss immer einen Wecker stellen, andere Software Häuser bekommen es sauberer automatisch über 443 hin.
So zumindest mein Wissensstand.
Email Benachrichtigung schaue ich nochmal. Vielleicht habe ich auch immer Manuel zu früh aktualisiert.
- Mitglied seit
- 04. Jan 2012
- Beiträge
- 5.385
- Punkte für Reaktionen
- 1.199
- Punkte
- 234
Im Router (dein Bild) muss der Port 80 / 443 natürlich auf die DS zeigen (Let's Encrypt muss deine Domain prüfen). Auch die Firewall (DSM) muss meines Wissens für den Port offen sein.
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.137
- Punkte für Reaktionen
- 898
- Punkte
- 424
Die Portweiterleitungen oder Freigaben bitte ENTWEDER in der Routerkonfiguration der DS ODER im Router machen, aber nicht hier und da rumwerkeln.
Wie @geimist meinst würde ich da den Router bevorzugen und auch die Portöffnung via uPnP abschalten.
Wie @geimist meinst würde ich da den Router bevorzugen und auch die Portöffnung via uPnP abschalten.
Ist das hier so richtig? weil hatte mal probleme weil ich mal auf DSM und Fritzbox was gemacht hatte, jetzt mache ich es direkt auf der Fritzbox, aber so wie auf dem Bild ist es richtig?
und sind solche Ports Öffnungen auch sicher?
und sind solche Ports Öffnungen auch sicher?
Anhänge
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.137
- Punkte für Reaktionen
- 898
- Punkte
- 424
Ja, die Freigabe ist so in Ordnung.
Ports sind nicht sicher oder unsicher.
Jeder geöffnete Port stellt ein Risiko dar bzw. eventuelle Sicherheitslücken in den Anwendungen die auf diesen Ports lauschen und antworten.
Deshalb würde ich allseits bekannte Ports wie 5000/5001 niemals nach außen öffnen. Da sucht einfach jeder Schwachstellen-Scanner zuerst nach Synologys, wenn mal eine Lücke da ist.
Ports sind nicht sicher oder unsicher.
Jeder geöffnete Port stellt ein Risiko dar bzw. eventuelle Sicherheitslücken in den Anwendungen die auf diesen Ports lauschen und antworten.
Deshalb würde ich allseits bekannte Ports wie 5000/5001 niemals nach außen öffnen. Da sucht einfach jeder Schwachstellen-Scanner zuerst nach Synologys, wenn mal eine Lücke da ist.
Na hoffentlich war das ungeprüfte Zertifikat dann nicht eines von einem MITM-Angreifer.
Aber Ports 5000-5006 braucht man doch um auf der Synology drauf zuzugreifen oder kann man alle Ports weglassen?
Weil wenn ich die Ports lösche kann ich mit der Drive App nicht drauf zugreifen.
Auch habe ich webDAV damit ich mit der Scanner App alles direkt hochladen kann.
Und kann man diese Ports ändern wenn ja was muss man einstellen?
Weil wenn ich die Ports lösche kann ich mit der Drive App nicht drauf zugreifen.
Auch habe ich webDAV damit ich mit der Scanner App alles direkt hochladen kann.
Und kann man diese Ports ändern wenn ja was muss man einstellen?
Aber Ports müssen aber sein um drauf zuzugreifen oder zb wegen der myds.me Adresse
Und die Ports ändern kann beliebig irgendeine sein?
Und wie ändere ich Port 80 und 443? Ist dieser nur wegen der Zertifikat wichtig?
Und die Ports ändern kann beliebig irgendeine sein?
Und wie ändere ich Port 80 und 443? Ist dieser nur wegen der Zertifikat wichtig?
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.137
- Punkte für Reaktionen
- 898
- Punkte
- 424
Das kommt drauf an wer alles mit der DS arbeitet.
Bei einzelnen oder wenigen kann man das z.B. per VPN mit dem Router machen und dann die DS nur "lokal" ansprechen, ohne sie nach außen direkt zu öffnen.
Will man aber auch Nutzer ohne VPN zugreifen lassen etc muss eben mehr offen sein.
Für öffentlich "bestätigte" Zertifikate wie Lets Encrypt muss eben 80/443 offen sein, weil darüber geprüft wird ob die Zertifikatsanfrage von jenem System kommt, welches auch unter den Domainnamen im Zertifikat erreichbar ist.
Überall wo man benutzerdefinierte Domains setzen kann, kann man diese Anwendungen "huckepack" auf 80/443 betreiben, also alle über die normalen Webserver Ports. Unter Systemsteuerung > Anwendungsportal eben für diverse Anwendungen von Synology oder per Reverse Proxy für andere Web-Anwendungen. Unter Systemsteuerung > Netzwerk > DSM Einstellungen auch für den DSM (Frage: braucht man das, oder reichen ausgewählte Anwendungen?)
webDAV Server kann man einen anderen port in den Einstellungen setzen, nur 80/443 geht glaube nicht.
Und wenn es nur wegen webDAV und dem Zertifikat ist, macht man sich halt eine Erinnerung in den Kalender und aktiviert/deaktiviert die Ports alle 2-3 Monate, wenn man ein aktualisiertes Zertifikat holt und man sonst die DS darüber nicht erreichen können muss.
Bei einzelnen oder wenigen kann man das z.B. per VPN mit dem Router machen und dann die DS nur "lokal" ansprechen, ohne sie nach außen direkt zu öffnen.
Will man aber auch Nutzer ohne VPN zugreifen lassen etc muss eben mehr offen sein.
Für öffentlich "bestätigte" Zertifikate wie Lets Encrypt muss eben 80/443 offen sein, weil darüber geprüft wird ob die Zertifikatsanfrage von jenem System kommt, welches auch unter den Domainnamen im Zertifikat erreichbar ist.
Überall wo man benutzerdefinierte Domains setzen kann, kann man diese Anwendungen "huckepack" auf 80/443 betreiben, also alle über die normalen Webserver Ports. Unter Systemsteuerung > Anwendungsportal eben für diverse Anwendungen von Synology oder per Reverse Proxy für andere Web-Anwendungen. Unter Systemsteuerung > Netzwerk > DSM Einstellungen auch für den DSM (Frage: braucht man das, oder reichen ausgewählte Anwendungen?)
webDAV Server kann man einen anderen port in den Einstellungen setzen, nur 80/443 geht glaube nicht.
Und wenn es nur wegen webDAV und dem Zertifikat ist, macht man sich halt eine Erinnerung in den Kalender und aktiviert/deaktiviert die Ports alle 2-3 Monate, wenn man ein aktualisiertes Zertifikat holt und man sonst die DS darüber nicht erreichen können muss.
Zertifikat könnte ich ja noch Manuel machen das wäre kein großes Problem. Wichtiger ist dabei nur Drive das das funktioniert. Und dafür müsste ich aber Ports Freihafen rein richtig?
Über VPN habe ich auch eine Möglichkeit aber das ich öfters draufzugreifen ist es mir anderes besser dass es dort sofort funktioniert.
Und HTTPS ist ja auch sicherer oder und Ports kann ich dann beliebig wählen.
Über VPN habe ich auch eine Möglichkeit aber das ich öfters draufzugreifen ist es mir anderes besser dass es dort sofort funktioniert.
Und HTTPS ist ja auch sicherer oder und Ports kann ich dann beliebig wählen.
- Mitglied seit
- 06. Apr 2013
- Beiträge
- 14.137
- Punkte für Reaktionen
- 898
- Punkte
- 424
Bei Drive kommt es darauf an. Der Zugriff per App oder Web-Interface kann auch per 443 laufen z.B.
Einzig wenn der Desktop Client mit Sync zum Einsatz kommen soll ist Port 6690 zwingend.
Mit IPv4 kann man es mit Portumleitung noch verschleiern, mit IPv6 oder IPv4/IPv6 muss man direkt Port 6690 öffnen, da man diesen auf der DS selbst nicht ändern kann.
https bzw. ssl ist eine Transportverschlüsselung. Ohne würde ich sowieso nie zugreifen wollen, weil sonst der gesamte Datenstrom unverschlüsselt durchs Internet läuft.
Das hat aber nichts mit der Sicherheit der DS oder der benutzen Anwendung zu tun.
Einzig wenn der Desktop Client mit Sync zum Einsatz kommen soll ist Port 6690 zwingend.
Mit IPv4 kann man es mit Portumleitung noch verschleiern, mit IPv6 oder IPv4/IPv6 muss man direkt Port 6690 öffnen, da man diesen auf der DS selbst nicht ändern kann.
https bzw. ssl ist eine Transportverschlüsselung. Ohne würde ich sowieso nie zugreifen wollen, weil sonst der gesamte Datenstrom unverschlüsselt durchs Internet läuft.
Das hat aber nichts mit der Sicherheit der DS oder der benutzen Anwendung zu tun.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
