Keine Verbindung über DS Apps von extern

[illmaxon]

Hi ALL,

ich habe ein sehr kurioses Problem.

Über den Browser komme ich auf die LoginSeite der Synology, obwohl ich den Port in der Adressleiste nicht angegeben habe.

Das was auf einmal nicht mehr funktioniert, ist der Login über die DS Apps.
Als Adresse gebe ich "dyndnsname.ddns.netortNr" ein, Benutzer und Kennwort. Dann kommt immer die Meldung, dass keine Verbindung aufgebaut werden konnte und die IP der Synology prüfen soll.

Vor ein paar Tagen hat noch alles wunderbar funktioniert, jetzt verstehe ich die Welt nicht mehr.
Rechte sind vorhanden, Standardports (5000,5001) hatte ich verändert aber auch angepasst, in meinem Heimnetzwerk kann ich mich über die Apps einloggen geht nur über extern nicht.

Hatte schon einen Freund via Teamviewer drauf, er wusste auch nicht weiter.

Hättet ihr evtl. hilfreiche Ideen?

 

[c0smo]

Über extern kannst du die Portnummer in der Adresse weglassen, das macht die App automatisch.
Sind denn alle Ports im Router weitergeleitet und in DSM freigegeben? Nicht nur 5001, der nur für die Oberfläche zuständig ist, sondern auch die anderen für Filestation und co.?

 

[Fusion]

@c0smo - das geht sowohl als auch, je nach Einstellung im DSM. z.B. die Filestation läuft auch via 5001, egal, ob ich ihr noch einen custom port 7001 zuweise oder nicht. Über den DSM Port läuft es immer.

@illmaxon - was hast du für einen Router?
Stimmt die public IP des Routers mit der IP von dyndnsname.ddns.net überein?

 

[c0smo]

Das meinte ich nicht.
Er hat geschrieben "Als Adresse gebe ich "dyndnsname.ddns.netortNr" ein" Dort muss er die Portnummer weglassen, sonst kommt keine Verbindung zustande.

 

[Fusion]

@c0smo - also bei mir ist das kein Problem, allerdings nutze ich auch nicht mehr den Standard-Port wie z.B. 5001 für DSM. Von daher könntest du recht haben. Ich hab z.B. DSM auf 59876 und im Anwendungsportal 59875 für die Audio Station. Wenn ich DS Audio von extern aufrufe kann ich einen der beiden Ports verwenden. Einen von beiden muss ich aber in DS Audio angeben.

@illmaxon hat zudem nicht exakt geschrieben, ob er die DSM Ports oder die Ports unter Systemsteuerung - Anwendungsportal gemeint hat, als er geschrieben hat "Standardports (5000,5001) hatte ich verändert aber auch angepasst" und ob sich das "angepasst" auf Portweiterleitungen oder sonst was bezieht.

 

[c0smo]

Ich nutze keinen der Standardports, egal bei welcher Anwendung. Muss aber bei der Anmeldung über die Apps keinen Port angeben, falls doch bekomme ich einen Login Fehler. Komisch das bei dir die Anmeldung mit Portangabe funktioniert.
Na egal, jetzt muss sich mal der TE äußern!

 

[Fusion]

In der Tat merkwürdig, weil ohne Port klappt bei mir gar nix. Benutzt du eine klassische DDNS Adresse, oder quickconnect DDNS? Oder die App hat den Port beim ersten Mal gespeichert.
Woher soll die App denn den Port wissen, wenn du keinen Standard Port benutzt und die App noch nie Kontakt zur DS hatte? Komisch.

 

[c0smo]

Eine ganz klassische Adresse, kein quickconnect.
Gerade mal getestet, selbst wenn ich den Port zb für DS Video ändere, bekomme ich sofort eine Verbindung ohne neue Portangabe. Sowohl intern als auch extern.

 

[Fusion]

Frage, ist bei dir die Web Station aktiv oder nicht?

 

[c0smo]

Nein ist nicht aktiv.

 

[Fusion]

ok, das erklärt es vermutlich. Solange diese nicht aktiv ist, werden alle Anfragen auf den verwendeten Standard-DSM Port umgeleitet.

 

[c0smo]

Blöde Frage, aber irgendwie finde ich den Punkt nicht mehr zum aktivieren Webstation. Hat sich da in der Beta RC was geändert?

 

[Fusion]

Komme mir ja langsam blöd vor mit dem Thread-Hijack.

Ich glaube die Web Station könnte ab DSM 6 in ein eigenes Paket gewandert sein. Andernfalls war sie unter Systemsteuerung - Webdienste.

 

[c0smo]

Vielleicht bringts den TE ja weiter, dann wars nicht ganz umsonst!

Hast recht, gibt jetzt ein WebStation Paket..

 

[illmaxon]

Hallo und vielen Dank für eure zahlreichen Ideen.

Ich versuche mal die Fragen zu beantworten:

1- Habe auf Synology -> Netzwerkeinstellung -> DSM Einstellung -> die Standardports geändert (HTTP 5055 / HTTPS 5056)

2- Habe eine FritzBox 7490 und auf der habe ich die neuen HTTP/HTTPS Ports an die DS weitergeleitet, keine weiteren Ports.

3- auf der DS Externer Zugriff -> DDNS -> habe ich wie bereits auf meinem Router die dyndns Daten eingetragen. Sonst habe ich in der Firewall keine Portangaben drin, da der Punkt "Wenn keine Regel zutrifft" auf Zugriff erlauben steht. Sonst ist nichts erwähnenswertest...

4- Wie gesagt, es hatte davor bereits auch funktioniert.

Nun habe ich die DS mal neugestartet -> hat nichts gebracht

Habe die Fritzbox über die Oberfläche neugestartet -> und siehe da es funktioniert auf einmal wieder!!!
(obwohl ich zuvor den Stecker der Fritzbox mal gezogen hatte, hatte es nichts gebracht)

Ich muss nun aber, wie in meinem ersten Beitrag bereits erwähnt, hinter meine dyndns Adresse immer die ":5055" PortNR mitangeben sonst geht es weder über den Browser noch über die APP.

Wie kann ich es einrichten, dass ich diese Portangabe weglassen kann.

Also, dass es über den Browser funktioniert muss ich doch in den Portfreigaben,
- den Port 80 für HTTP auf die 5055 zur DS
- den Port 443 für HTTPS auf die 5056 zur DS weiterleiten oder?

Wie funktioniert es für die APP?

 

[Fusion]

Wieso hast du DDNS in der Fritte UND in der DS eingetragen. EIN Gerät welches die aktuelle IP aktualisiert reicht, und der Router ist da die bessere Wahl.

Wenn du Webdienste (Web Station) nicht aktiv hast werden alle Anfragen auf die Standard-DSM Ports umgebogen.
Falls die Web Station aktiv ist brauchst du die zusätzliche Portangabe, weil 80/443 dann für Photo Station und Websites benutzt werden.
Wenn du in diesem Fall die Ports 80/443 auf die DSM Ports umleitest sind alle Dienste, die auf Web-Dienste/Web Station basieren nicht mehr erreichbar.

Es gibt hier keinen Unterschied zwischen Browser und App.

 

[c0smo]

Ich versuche mal die Fragen zu beantworten:

1- Habe auf Synology -> Netzwerkeinstellung -> DSM Einstellung -> die Standardports geändert (HTTP 5055 / HTTPS 5056)

Siehe letzter Punkt

2- Habe eine FritzBox 7490 und auf der habe ich die neuen HTTP/HTTPS Ports an die DS weitergeleitet, keine weiteren Ports.

Was ist mit den Ports die für die Apps verwendet werden oder für die Photostation? Diese müssen auch weitergeleitet werden, egal ob Standardports oder benutzerdefinierte verwendet werden! Sonst funktioniert der Zugang von extern nicht!
80 auf 80 für http und 443 auf 443 für https muss im Router weitergeleitet werden, damit die PS funktioniert, egal ob Anwendung oder App.

3- auf der DS Externer Zugriff -> DDNS -> habe ich wie bereits auf meinem Router die dyndns Daten eingetragen. Sonst habe ich in der Firewall keine Portangaben drin, da der Punkt "Wenn keine Regel zutrifft" auf Zugriff erlauben steht. Sonst ist nichts erwähnenswertest...

Wie bereits Fusion schrieb, ein Eintrag ist völlig ausreichend. Wenn er in der FritzBox steht, wird der Wechsel der IP schneller regestriert. Wobei ich keinen Unterschied feststellen konnte, da dies meist Nachts geschieht. Mein Eintrag steht in DSM.
Wieso steht deine Firewall auf "Zugriff erlauben"? Dann kannst du sie auch ganz ausschalten! Du solltest alle Ports von Apps und Anwendungen in der Firewall aktivieren die du benötigst um von extern darauf zuzugreifen - und wirklich nur die - und dann auf "Wenn keine Regel zutrifft, Zugriff verweigern"" stellen! Nur so macht das Sinn.

4- Wie gesagt, es hatte davor bereits auch funktioniert.

Nun habe ich die DS mal neugestartet -> hat nichts gebracht

Habe die Fritzbox über die Oberfläche neugestartet -> und siehe da es funktioniert auf einmal wieder!!!
(obwohl ich zuvor den Stecker der Fritzbox mal gezogen hatte, hatte es nichts gebracht)

Ich muss nun aber, wie in meinem ersten Beitrag bereits erwähnt, hinter meine dyndns Adresse immer die ":5055" PortNR mitangeben sonst geht es weder über den Browser noch über die APP.

Redest du hier von der Browsereingabe oder von den Benutzerdaten in irgendeiner App?
Kann es sein das du eine Umleitung von http auf https hast und dann in der Browsereingabe das https vor der Domainangabe weglässt?

Wie kann ich es einrichten, dass ich diese Portangabe weglassen kann.

Bei Apps oder im Browser? Bei Aufruf von DSM oder geht es um andere Anwendungen? Anwendungen wie zB. die Videostation können über den Browser nur über die Portangabe oder ein von dir definiertes Kürzel (zB. video) direkt aufgerufen werden. Dann würde die Eingabe etwa so aussehen: http(s)://domain.de:6007 oder http(s)://domain.de/video
Das ist nur bei Anwendungen nötig, nicht bei dem Aufruf der DSM Oberfläche! Diese sollte ganz normal über http(s)://domain.de aufgerufen werden - Vorraussetzung dafür, alle Firewallregeln und Portweiterleitungen stimmen

Also, dass es über den Browser funktioniert muss ich doch in den Portfreigaben,
- den Port 80 für HTTP auf die 5055 zur DS
- den Port 443 für HTTPS auf die 5056 zur DS weiterleiten oder?

Wieso 80 auf 5055? Das sollte eher 5055 auf 5055 und 5056 auf 5056 stehen! Wobei vermutlich 5055 für http ist? Bei einer Umleitung von http auf https brauchst du diesen Port nicht weiterleiten und kannst ihn auch in der Firewall deaktivieren!
Wenn du Port 80 auf 5055 umleitest wird vermutlich deine Photostation lahmgelegt, genauso bei 443 für https.
Wenn die Photostation die Standardports verwendet, musst du 80 auf 80 und 443 auf 443 umleiten und diese dann auch in den Firwallregeln freigeben!

Wie funktioniert es für die APP?

 

[illmaxon]

so nach und nach gehen mir weitere Lichter auf
Denn ich bin ja ein Neuling auf diesem Gebiet mit der Synology und das Wissen, dass ich bis jetzt habe, waren Infos und Tips von Freunden die bereits seit Jahren eine DS besitzen.
Darum habe ich in die Fritzbox und meine DS die dyndns eingetragen, weil meine Freunde es auch so hatten.

Das mit der Portweiterleitung damit der Aufruf über den Browser am PC ohne PortNr funktioniert habe ich auf Youtube von iDomix. Das stimmt dann so auch nicht? Sonst lege ich wie von C0smo beschrieben meine Photostation lahm.

5055 steht für http.
Auf der Fritzbox habe ich die Weiterleitung von 5055 auf 5055 zur DS ja auch drin stehen.

Nun für mein Verständnis:
Das bedeutet doch, wenn ich auf "meinedomain.ddns.net:5055" über den Browser zugreife, dann weiß er doch was er damit anfangen soll und leitet diesen weiter und wenn ich jetzt nur "meinedomain.ddns.net" eingebe, dann weiß er doch nicht was zu tun ist, deswegen habe ich den http Port 80 auf die 5055 verwiesen, wie es iDomix in seinem Video beschrieben hat, das schien mir einleuchtend.

So wie ich es nun verstanden habe muss ich den Port 80 in der Fritzbox auf den DS Port 80 weiterleiten und in der Firewall freigeben, damit die ":5055" Angabe weggelassen werden kann.

Heißt das also, wenn ich in der Firewall der DS nichts definiert habe, wird es weiterhin nicht funktionieren obwohl "Wenn keine Regel zutrifft" auf Zugriff erlauben steht ?

Sorry, dass ich etwas länger brauche zum Verstehen, denn ich wurde bis jetzt wie es aussieht auch mit falschen Infos belehrt.

PS: meine Web Station ist nicht aktiv

 

[c0smo]

uiui.. jetzt verteh ich nix mehr. Einmal schreibt du leitest 5055 auf 5055, dann weiter unten leitest du 80 auf 5055.

Also grundsätzlich gilt: Die DSM Oberfläche kann ohne Portangabe erreicht werden. Nur die Anwendungen benötigen einen Port oder ein Kürzel.

Ich geh jetzt mal von meinem Status Quo aus. Webstation deaktiviert! DSM ohne Portangabe erreichbar, intern und extern. Alle anderen Anwendungen entweder über Port oder Kürzel, über den Browser. Über die App ist alles ohne Portangabe erreichbar, intern und extern. Http wird umgeleitet auf https, deshalb ist keine Portweiterleitung für 80 oder 5000 notwendig!
Im Router werden Ports weitergeleitet deren Anwendungen von extern erreichbar sein sollen. Sprich 5001 (55056 bei dir) auf 5001 (DSM Oberfläche), 443 auf 443 (ist für https der Photostation) und dann die jeweils abgeänderten Ports der einzelnen Anwendungen.

Zum Punkt Firewall: Deaktiviere sie anfangs und konfiguriere deine Anwendungen und Portweiterleitungen, dann teste alles von intern und extern. Wenn es funktioniert schalte die Firewall ein und teste erneut. Falls ein Dienst nicht erreichbar sein sollte, gebe die dementsprechenden Ports in der Firewall frei. Wenn alles läuft, setze auf "Wenn keine Regel zutrifft, Zugriff verweigern".


Edit:/
Was steht bei dir unter "externer Zugriff/erweitert"? Sind dort Portanangaben gemacht bzw. Domainangaben?
Port 80 musst du nur auf 80 umleiten, wenn deine Photostation über http erreichbar sein soll! Für DSM ist nur 5000(http) und 5001(https) zuständig.

Schaust du mal hier --> https://www.synology.com/de-de/knowledgebase/DSM/tutorial/General/What_network_ports_are_used_by_Synology_services

 

[Fusion]

Also nochmal zusammengefasst:

Ist Web Station (Webdienste) NICHT aktiv und Port 80/443 sind an die DS weitergeleitet:
Browser:
http://meinedomain.ddns.net synonym zu http://meinedomain.ddns.net:80 landet auf der DSM Oberfläche
https://meinedomain.ddns.net synonym zu https://meinedomain.ddns.net:443 landet auf der DSM Oberfläche
App:
meinedomain.ddns.net mit http oder https reicht für die Verbindung.
Alternativ kann man NUR den gewählten DSM Port weiterleiten und 80/443 zu lassen. Der Port ist dann aber zwingend in den URLs anzugeben, damit Browser und App wissen, auf welchem Port sie sich mit dem DSM verbinden sollen.
Dienste wie Audio Station etc, die über dem DSM/System-Webserver laufen sind dann innerhalb des DSM benutzbar, oder über einen gesetzten Alias, oder in den Apps.
Dienste wie Photo Station etc, die auf dem User-Webserver laufen sind weder im Browser und (denke) auch nicht via App erreichbar, weil eben 80 oder 443 zu sind.

Ist die Web Station aktiv MUSS 80 und/oder 443 an die DS weitergeleitet werden, damit die Webseiten oder auf Webdiensten aufbauende Dienste (z.B. Photo Station) erreichbar sind.
Browser
http://meinedomain.ddns.net synonym zu http://meinedomain.ddns.net:80 landet auf der Web Station
http://meinedomain.ddns.net/photo synonym zu http://meinedomain.ddns.net:80/photo landet auf der Photo Station, wenn diese installiert ist
https://meinedomain.ddns.net synonym zu https://meinedomain.ddns.net:443 landet auf der Web Station
https://meinedomain.ddns.net/photo synonym zu https://meinedomain.ddns.net:443/photo landet auf der Photo Station, wenn diese installiert ist
Will man auf die DSM Oberfläche muß der Port dafür ebenfalls weitergeleitet werden, also xxxx -> xxxx, oder xxxx -> 5001, je nachdem welche Ports man extern benutzen will und welche man im DSM eingestellt hat (persönlich habe ich mir 1:1 Weiterleitungen angewöhnt)
App:
meinedomain.ddns.net:dsm-port mit http oder https, je nachdem welche Ports man im Router für den DSM weitergeleitet für mit/ohne SSL hat.

Will man einzelne Dienste getrennt erreichbar machen, z.B. die File Station für einen Nutzer der sonst keine Rechte hat und dem ich auch keinen Zugriff auf die DSM Oberfläche geben will muß man im Anwendungsportal einen eigenen Port definieren (der Alias löst aktuell noch auf den Standard DSM Port auf, den ich ja nicht verraten will).
Dann ist die File Station z.B. unter https://meinedomain.ddns.net:7001 erreichbar. Der gewählte Port muss ebenfalls weitergeleitet sein.
In der App ist es wie gehabt beim vorherigen Fall meinedomain.ddns.net:dienst-port mit http oder https, je nachdem welche Einstellungen man im Anwendungsportal getroffen hat.

Die http -> https automatische Weiterleitung die sich an zwei Stellen in der Systemsteuerung findet würde ich erstmal weglassen (verkompliziert auch Fehlersuchen) und lieber gleich nur https Dienste nach außen anbieten und von denen so wenig wie möglich.