Externer Zugriff über HTTPS

[zura]

Guten Abend,

das ist mein erstes Beitrag hier und am Anfang möchte alle sie begrüßen. Ich bin aus Georgien und sorry falls ich etwas nicht verständlich schreiben werde.

Mein problem ist, kann Verbindung über htpps nicht herstellen. Netzintern scheint alles in Ordnung zu sein. Egal, Interne-IP, Ext-IP, Domain - alles tip-top.

Externer Zugriff über https geht leider nicht. CONNECTION_TIMED_OUT. Für kurze Zeit fenster ist leer und weiß und danach kommt o.g. Meldung. Mit dem Apps, DS File z.B. ohne https funktioniert alles super und schnell, mit https - geht nicht. Mit dem Quickconnect funktioniert, ist aber zu langsam.

Model 1515+ DSM 7.1.1
Router Draytek Vigor 2920 (80, 443, 5000 und 5001 sind geöffnet)

Wo soll ich Fehler suchen?

 

[plang.pl]

Port 80 solltest du nicht öffnen. Port 5000 und 5001 sollte man auch nicht ins Netz hängen.
Da wirst du unzählige Anmeldeversuche haben.
Wenn dein Router VPN kann, wäre es besser, wenn du dich von extern damit verbinden könntest.
Wenn er das nicht kann, vergib nach extern einen anderen Port. Zum Beispiel 50000. Der muss dann intern auf den Port 5001 der DS gehen.

Und du musst prüfen, ob du eine öffentliche IPv4 Adresse hast. Dafür mal im Router schauen, wie die externe IPv4 aussieht und die ersten beiden Blöcke hier posten.

PS: Willkommen im Forum!

 

[zura]

Danke für so schnelle Antwort. Port 80 habe geöffnet um SSL Zertifikat zu bekommen. Künftig mochte DS auch als Web-Server nutzen.
IP ist V4 und statisch. Seit 10 Jahren hat nicht geändert. 31.146.xxx.xxx
Mit port 50000 werde sofort versuchen
Danke

 

[plang.pl]

Webserver hat auf der DS nichts verloren. Die DS ist ein File-Server und kein Webserver.
Kannst du die DynDNS-Adresse per ping erreichen? Und kannst du mit nslookup prüfen, ob die Adresse auf die korrekte IP auflöst?

 

[zura]

Wie interessant, 50001 habe zu 5001 umgeleitet und es funktioniert. Danke

 

[plang.pl]

Ok. Sehr gut. Technisch gesehen macht das aber keinen Unterschied. Nur kann halt nicht jeder sofort erkennen, dass da eine DS dahinter ist. Auf Port 5001 gehen diverse Bots los und versuchen sich anzumelden. Wenn deine DS ohne VPN im Netz ist, ist GeoBlocking in der Firewall + Block-Script für IP-Adressen und 2FA Pflicht. Automatische Blockierung sollte klar sein.

 

[zura]

OK, werde berücksichtigen und DS als web/mail server nicht nutzen.

Mit dem Dyndns besteht kein problem. Ping geht.

Was soll ich mit dem Port nr. 5000 und 443 machen?

 

[plang.pl]

5000 zumachen. Was hast du für einen Dienst, der die DynDNS-Adresse bereitstellt? Wenn du den Synology-Dienst nimmst, brauchst du für die Zertifikate keinen Port zu öffnen. Ansonsten muss Port 80 offen sein. Den kann man aber auch nur alle 3 Monate öffnen, wenn das Zertifikat verlängert werden muss.

 

[zura]

Wie soll ich dem App erklären dass https nun über 50001 geht? Mit dem Browser geht es https://dyndns:50001.

Danke für deine Hilfe, ich bin ein Newbie.

 

[zura]

5000 zumachen. Was hast du für einen Dienst, der die DynDNS-Adresse bereitstellt? Wenn du den Synology-Dienst nimmst, brauchst du für die Zertifikate keinen Port zu öffnen. Ansonsten muss Port 80 offen sein. Den kann man aber auch nur alle 3 Monate öffnen, wenn das Zertifikat verlängert werden muss.

Als DynDNS nutze freedns.afraid.org und habe ein separates domain angehängt

Apps funktionieren auch mit dem Port 8001.

Warum geht 5001 zu 5001 nicht - ist noch unklar für mich, ist aber ziemlich egal (8001 und 50001 => 5001 sind OK)

 

[plang.pl]

acme.sh kann auch freedns. Da könntest du dir ohne Ports zu öffnen, ein Wildcard-Zertifikat holen, wenn du das brauchen kannst.

 

[zura]

Warum geht 5001 zu 5001 nicht - ist noch unklar für mich, ist aber ziemlich egal (8001 und 50001 => 5001 sind OK)

Ne, völlig egal ist leider nicht.

DS File kennt port 8001 und es funktioniert
DS Video, DS Chat und DS Photos kennen nut port 5001

 

[plang.pl]

Du musst nur den Port in der URL mit angeben