Toggle sidebar

Internes Port-Forwarding DS und Router (5000 & 80 auf andere Ports)

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
H

Haus-DJ

Benutzer
Registriert
14. Jan. 2015
Beiträge
15
Reaktionspunkte
0
Punkte
1
Hallo liebe Community,

nach intensiver Internet-Recherche und Einlesen/Ausprobieren frage ich nun die Experten um Rat :)

Folgendes macht mir zu schaffen:
Ich habe eine DS215J an einer Fritzbox 6360 (kein lite, also feste IP4 Adresse vom Kabelbetreiber) und habe die Ports 80, 443, 5000, 5001 sowie 6690 freigegeben intern im Router. Weiter habe ich in der Fritzbox den DDNS über Selfhost laufen. In der DS selbst habe ich nur QuickConnect aktiviert für die mobilen Apps. Funktioniert soweit alles ohne Probleme beim Zugriff von innerhalb bzw. außerhalb vom eigenen Netzwerk. Ich habe zwar eine QuickConnect ID für die Apps, jedoch trotzdem zusätzlich die Ports im Router offen, da sonst ja sämtlicher Verkehr über die Rely Server in der UK geht, wenn die Ports nicht offen wären (siehe auch: http://blog.synology.com/?p=2283) - falls sich mal jemand gefragt hat, wie Quick-Connect ohne offene Ports an die Disk Station kommt :) :)

Weiter habe ich in der DS die HTTPS Weiterleitung aktiviert, sprich wenn man über HTTP kommt wird man direkt an HTTPS weitergeleitet (gibt es ja als Einstellung in der DS selbst)

Womit ich nicht ganz happy bin ist der offene Port 5000 und 80. Die werden bei einem Port Scan auch rot markiert als pot. Risiko. Diese möchte ich gerne intern in meiner Fritzbox umleiten auf z. B. einen nicht genutzten 5-stelligen Port xxxxx (bevor es wieder eine Diskussion gibt: ich weiß, dass ist Pseudo-Sicherheit und bringt eigentlich nichts, aber ich habe ein extrem starken Passwort und möchte einfach bei Standard Scans nicht bei diesen Ports als offen gezeigt werden, das ist alles). Per VPN möchte ich nicht zugreifen.

Wie stelle ich das interne Port umleiten im Router ein, damit das funktioniert? Wenn ich in der Fritzbox z. B. sage, Port xxxxx (mein neuer, der nach außen gezeigt werden soll) an Port 5000, dann läuft die DDNS-Anfrage ins leere, findet die DS nicht mehr (Anmerkung: ich gebe dem Namen keinen Port mit, also nur bspw. meineNAS.selhost.eu)
Wenn ich zwei Regeln mache, ala: Port 5000 an Port xxxxx als eine Regel und dann die zweite Regel Port xxxxx an Port 5000 geht es auch nicht, gleiches Problem wie gerade genannt.

Nur wenn ich die DDNS mit Portnummer eingeben, wird es weitergeleitet, also meineNAS.selhost.eu:xxxxx)

Was muss ich denn wie einstellen, damit die Ports 80 und 5000 nach außen hin nicht mehr als offen gezeigt werden, ich aber trotzdem ganz normal mit der Adresse meineNAS.selfhost.eu an meine DS rankomme? Oder muss ich dann grudnsätzlich immer den Port mitgeben, von dem aus auf die 5000 umgeleitet wird, wenn ich die Adresse in den Browser eingebe?

Vielen Dank für Eure Hilfe bzw. Tipps. Vielleicht stehe ich nach all dem Lesen einfach auch nur auf dem Schlauch *g*

Gruß
Alex
 
Was willst Du denn auf Port 80 machen, was Du nicht auch auf 443 machen kannst? Gleiche Frage auch für Port 5000 und 5001?
 
Haus-DJ schrieb:
Womit ich nicht ganz happy bin ist der offene Port 5000 und 80. Die werden bei einem Port Scan auch rot markiert als pot. Risiko. Diese möchte ich gerne intern in meiner Fritzbox umleiten auf z. B. einen nicht genutzten 5-stelligen Port xxxxx (bevor es wieder eine Diskussion gibt: ich weiß, dass ist Pseudo-Sicherheit und bringt eigentlich nichts, aber ich habe ein extrem starken Passwort und möchte einfach bei Standard Scans nicht bei diesen Ports als offen gezeigt werden, das ist alles).
Zum Vergrößern anklicken....
Von der Begrifflichkeit her - er werden nicht die internen Ports umgeleitet, sondern die externen, d.h. bspw. ein externer Port 80 kann auf einen internen Port x umgeleitet werden (es geht dabei immer um ankommende Datenpakete). Port 5000 sollte man gar nicht nutzen, da unverschlüsselt, hier immer den 5001 oder einen anderen, den man ja einstellen kann im DSM. Und dann nochmal nachdenken, ob man den DSM-Zugang wirklich extern braucht - für File Station & Co. lassen sich auch eigene Ports einstellen. Port 80 - nun ja, der ist soweit eigentlich umkritisch, den kannst Du auch mit einer Rewrite-Regel lokal auf der DS auf https schicken. Blöd ist halt, wenn Leute Deine Dienste wie bspw. die Photo Station besuchen wollen, dabei aber das https vergessen - dann bekommen die alle eine Fehlermeldung zu sehen.
 
Ich dachte, das sind Standard Ports, die freigegeben werden müssen zwecks Verbinung z. B. von der Video Station oder der Photo Station+ (hier geht es bspw. nicht über HTTPS, wenn man Videos schauen will, nur per HTTP, demnach z. B. Port 5000). Sonst würde der traffic ja wieder über den Rely Server gehen, wenn der Port nicht offen ist.

Oder sehe ich das falsch?
 
Welcher Port tatsächlich für die Datenübertragung genutzt wird, hängt vom Dienst und seiner Konfiguration in Deinem DSM ab, wie auch in dem von Dir zitierten Blog-Artikel geschrieben wird, Zitat: "Port forwarding? All this sounds rather neat and easy, but might leave you with two questions, namely which ports are used, and how does QuickConnect get away with port forwarding when you spent a long afternoon learning how to do this? The ports remain the same as those used by the application by default: in the case of DS cloud, it’s 6690.".
 
Danke für die Antworten von Euch.

Ich habe jetzt mal die Ports 5000 sowie 80 als Forwarder aus der Fritzbox rausgelöscht und jetzt genau geht das ganze Konstrukt über die DDNS nicht mehr: meineNAS.selhost.eu als Eingabe im Smartphone (nicht im lokalen Netz per WLAN verbunden) sowie auch im Heimnetz am Rechner (per WLAN im eigenen Netz) finden die Einsteigsseite der DS nicht mehr - keine Verbindung. Was muss ich denn machen, dass ich per DDNS auf meine DS zugreifen kann, ohne jedoch den Port 5000 im Router zu forwarden?
 
Die Ports weiterleiten, auf denen die Dienste laufen. Port 443 ist für https, alle anderen findest Du im Anwendungsportal in der Systemsteuerung bzw. kannst sie dort festlegen. Und wie gesagt - wenn Du Leuten bspw. Deine Photo Station anbieten willst und ihnen die Eingabe ohne https zugestehen willst, musst Du auch Port 80 weiterleiten und das lokal auf Port 443/https umschreiben bzw. in den Einstellungen für die Webdienste die Umleitung von http auf https aktivieren.
 
Vergib am besten für alle Anwendungen, die benötigst eigene Ports.
Die Standard Ports brauchst du dann nicht mehr.
Diese neuen Ports dann freigeben und im Router freigeben. Wenn die Photostation z.B. auf 9876 liegt dann einfach Port Forwarding von 9876 auf "IPSYNO":9876.
Externer Zugriff geht dann auch über "externeIP":9876 in den DS-APPS.

Gruß
 
Hallo zusammen,

hab's für mich jetzt gelöst, und der Port Scan ist grün :) Funktioniert sowohl aus dem Heimnetz als auch dann außerhalb.

Danke und Gruß
Alex
 
Fein.
Wäre noch feiner, wenn du uns wissen lässt, WIE du es denn gelöst hast; vielleicht können andere User davon profitieren.
 
Klar, gerne.

Eigentlich ganz simpel. Ich war so festgfahren auf mein QuickConnect bzw. die DDNS Adresse ohne Port Angabe, was aber total egal ist, demnach:

- hab' ich zwei neue 5-stellig Ports xxxxx jeweils intern in der Fritz Box auf 80 und 5000 gelinkt (dies war nötig wegen der PhotoStation, die den Port 80 benutzt und HTTPS nicht kann sowie der Video Station, die sonst bei mir Mobil unter HTTPS nichts abspielt, demnach den 5000er benötigt)
- hab'ich in allen Mobilen Apps auf allen Endgeräten die QuickConnect ID ersetzt durch die DDNS mit entsprechener Port-Angabe, wenn nötig (also myNAS.selfhost.eu:xxxxx - nur nei DS Photo und DS Video, sonst reicht die normale DDSN Adresse völlig aus)
- Um auf die Admin Konsole zu kommen (wie gesagt, ich habe die HTTPS Weiterleitung in der DS aktiviert, habe ich einfach in den mobilen Geräten ebenfalls die entsprechende DDNS+Port eingegeben und dann eine Verknüpfung zum Startbildschirm erstellt. So bekommt man ebenfalls ein schönes DSM Icon mit dem Link+Port und kann direkt auf den Server. Beim Laptop analog, wenn außerhalb des eigenen Heimnetzes.

So sind beim generellen Port Scan alle standardports sauber :)

Und nochmals - ich weiß: wenn jemand alle Ports scant, findet man auf die neuen, aber zumindest ist es jetzt nicht offensichtlich mit 80 und 5000 :)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten