Keine Verbindung über DS Apps von extern

[c0smo]

Jetzt wirds ja noch verwirrender.
Wieso meinst du, das du mit 80 und 443 auf der DSM Oberfläche landest, wenn doch diese Ports standardmässig für die Photostation sind? Ich lande bei diesen Angaben, mit http(s)://domain.de:80 oder 443 auf der PS nicht auf DSM.
Nur mit http(s)://domain.de:5000 oder 5001 komme ich auf DSM. Das sind die Standardports für DSM, die der TE ja auf 5055 und 5056 geändert hat. Folglich müssen diese weitergeleitet werden.

Das Szenario mit aktivierter Webstation würde ich jetzt mal außen vor lassen, da sie eh nicht aktiviert ist - sonst wirds ja noch komplizierter..

 

[Fusion]

Ja, ist halt auch kompliziert das Thema.

Wenn die Webdienste nicht aktiv sind und damit auch die Photo Station nicht hat Synology wohl zur "Vereinfachung" eine Umleitung auf den DSM aktiv. Jedenfalls im Auslieferungszustand.
Darüber hinaus hast du natürlich recht.
Nach deinen Angaben hat Synology ja wohl noch eine Umbiegung vorgenommen, dass du bei NICHT aktiver Web Station und AKTIVER Photo Station ohne die Angabe /photo auf der PS landest.

Deshalb sind auch so viele Probleme individuell, weil ein unterschiedlich installiertes Paket schon wieder alles über den Haufen werfen kann. Zu viele Sonderregelungen (verpackt in dutzende config Dateien für die beiden Webserver auf der DS)..

 

[c0smo]

Stimmt das ist kompliziert geregelt. Ich verstehe bis heute zb. nicht warum ich Port und Domainangaben in "Externer Zugriff" und "Netzwerk" habe. Mir erschließt sich der Unterschied nicht, wenn ich dort etwas ändere. Seis drum.. s läuft, mehr will ich nicht

Ich lande zwar ohne "/photo" in der Domain auf der PS, aber den Port muss ich sehr wohl angeben!

 

[illmaxon]

den dyndns Eintrag auf der DS habe ich nun entfernt. Diese besteht nun nur auf der Fritzbox und die Ports 5055/5056 werden an die DS weitergeleitet, sonst nichts.

auf der DS ist auch besondere keine Einstellung bis auf dass die Standardports auf 5055/5056 verweisen.
Also die Sache hört sich sehr verwirrend an. Ist wohl auch abhängig welche Pakete installiert sind.
Nun funktioniert wenigstens alles aber ich muss halt die PortNr ":5055" mitangeben sowohl als im Browser als auch in der DS Video App.

@c0smo: unter "externer Zugriff/erweitert" steht bei mir nichts drin. Du hattest auch geschrieben, dass wenn du nur "deinedomain.ddns.net" eingibst automatisch auf die DSM Oberfläche kommst. Stimmt das so?
Wie geht denn das ohne Port angabe? Die Fritz box weiß doch nicht was damit anfangen. Ich bekomme da im Browser immer die Meldung "Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden."

 

[c0smo]

Dann trag dort mal deine Domain ein und die geändereten Ports. Ich bin mir zwar nicht sicher, so wie ich oben schon geschrieben habe, was dieser Eintrag soll, aber ein Versuch ist es wert.
JA, ich komme auf die DSM Oberfläche ohne Portangabe, das sollte doch jetzt endlich klar sein aus meinen Beiträgen!

Schreibst du https mit in die Adresse? Hast du eine Umleitung von http auf https?

Wie das intern gehandelt wird, kann ich dir nicht sagen. Ich verwende auch den Standardport 5001. Wie es bei anderen Ports aussieht weiß ich nicht, dürfte aber eigentlich keine Rolle spielen. Probier es einfach mal aus!
Mein DDNS steht in DSM nicht im Router, aber ob das den Unterschied macht weiß ich auch nicht.

 

[illmaxon]

habe unter "externer Zugriff/erweitert" meine Domain und die geänderten Ports eingetragen, hat keine Änderung gebracht.
im internen Netz kann ich den Servernamen angeben und komme so auf die Oberfläche aber extern komme ich weiterhin nicht ohne die PortNr angabe drauf.
Habe http oder https in die Adresse mit eingetragen.

Eine Umleitung von http auf https habe ich nicht.

in der Firewall der DS habe ich die Ports der Video Station und der Ports 5055/5056 freigegeben.
Nun bekomme ich bei der Eingabe der Domain ohne PortNr eine weiße Seite und nicht mehr die Meldung dass die Seite nicht gefunden werden konnte.
Also kann ich das als kleinen Fortschritt verbuchen?

Es ist schon kurios, dass es keine eindeutige Anleitung gibt, die genau beschreibt was man machen muss damit die Sache funktioniert.

 

[c0smo]

Also ich kann mir das jetzt nur noch so erklären, das entweder im Router etwas falsch weitergeleitet wird, etwas mit den DDNS Einstellungen nicht passt (also die direkt beim Anbieter, selfhost usw.) oder das bei Änderung der Standardports (5055, 5056) generell die Portnr. mitangegeben werden muss.
Ich würde jetzt mal testen wie es sich verhält wenn du die Ports 5000, 5001 verwendest.

 

[Fusion]

@c0smo - unter Netzwerk gibst du die Ports an mit denen die DS selbst arbeitet. Unter Externer Zugriff jene, mit denen die DS von außen erreichbar ist. Dies ist nötig, damit die DS geteilte Links etc richtig generieren kann. Die Weiterleitung im Router ist dann z.B. 5656 -> 5001
Wenn man die Ports die unter Netzwerk stehen auch im Router weiterleitet, muß man unter Externer Zugriff NICHTS eintragen.

@illmaxon - wie weiter oben geschrieben, wenn du die Web Station (Systemsteuerung, Webdienste) NICHT aktiv hast und die 80/443 auf die DS weiterleitest sollte http://deinedomain.ddns.net bzw https://deinedomain.ddns.net auf die DSM Oberfläche umgeleitet werden. (von extern via Mobilfunknetz testen, nicht im WLAN).
Welche Pakete hast du installiert?

 

[illmaxon]

ich habe folgende Pakete installiert und sind am laufen:
-Antivirus Essential
-Cloud Station
-Audio/Photo/Video Station
-Java Manager
-Media Server
-JDownloader 2

Web Station ist (noch) nicht aktiviert. Habe es evtl. später mal vor.

1: in diesem Fall darf ich nur den Port 80 weiterleiten, da die Photo Station aktiv ist, richtig?

2: Die Audio/Video DS App sowie die DSM Oberfläche benutzen ja nur den http Port. D.h. nach Schritt 1 funktioniert der Zugriff über App/Browser ohne ortNr?

3: Es ist dann gar nicht möglich, obwohl c0smo sagte bei ihm funktioniert es, ohne diese Weiterleitung einen Zugriff auf die Oberfläche zu bekommen von extern ohne ortNr?

 

[Fusion]

Man kann eben nicht alles haben.

Port 80 ist für http, 443 für https. Empfohlen ist immer letzteres.

zu 1) Du musst 80 und/oder 443 weiterleiten, wenn du die Photo Station erreichen willst, ja.
http(s)://deinedomain.ddns.net/photo ist dann die Eingabe im Browser, in der App reicht deinedomain.ddns.net (http/https)
Eventuell führt dich auch http(s)://deinedomain.ddns.net direkt auf die Photo Station im Browser (Beobachtung von c0smo). Falls dies auch bei dir der Fall ist, funktioniert 2) wie gleich beschrieben NICHT.

zu 2) Die Apps und DSM verwenden http oder https, je nachdem, was man konfiguriert hat
Die Apps verwenden im Standard denselben Port wie der DSM (Systemsteuerung, netzwerk, DSM Einstellungen). Nur wenn man im Anwendungsportal andere Ports konfiguriert, werden diese zusätzlich benutzt.
Im Auslieferungszustand und bei Weiterleitung von Port 80 sollte http://deinedomain.ddns.net innerhalb der DS auf den DSM umgebogen werden.

zu 3) c0smo kommt ohne Portangabe NICHT auf sein DSM.
Wie er schon erwähnte, wäre hier ein Test interessant einmal mit 5000/5001 und einmal mit 5055/5056, wenn nur Port 80 weitergeleitet ist, ob http://deinedomain.ddns.net einmal auf dem DSM und das andere Mal auf der Photo Station landet.
Dann wären die beiden letzten Bemerkungen in 1) und 2) auch geklärt.

Das Mittel der Wahl um ohne Angaben von Ports auszukommen ist ein Reverse Proxy. Dieser wird allerdings erst mit DSM 6 besser in die GUI integriert sein (den genauen Umfang kenne ich noch nicht).
Beim aktuellen DSM 5.2 muss man sich auf der Kommandozeile mit den config Dateien eines der beiden web-server (system webserver ist in der GUI unter Systemsteuerung, Netzwerk, der user webserver unter Systemsteuerung, Webdienste) rumschlagen.
Vom Prinzip her funktioniert ein Reverse Proxy folgendermaßen.
Von außen ist ein Webserver nur unter Port 80 und/oder 443 erreichbar. z.B. http(s)://deinedomain.ddns.net
Ein weiterer Dienst der lokal ebenfalls auf einem webserver läuft und z.B. unter Port 5001 erreichbar ist kann dann über einen Alias/interne Umleitung aufgerufen werden, z.B. http(s)://deinedomain.ddns.net/dsm
Das geht wie gesagt aktuell nur zu Fuß und nicht in der GUI.

 

[c0smo]

Oh man.. Ich glaube ihr lest meine Beiträge nicht richtig..

Ich komme von überall und mit jeder Anwendung OHNE Portangabe auf DSM und deren Pakete, egal ob App oder Browser!

 

[Fusion]

@c0smo - in post #19 und #23 sprichst du aber von Ports die du angeben musst. Also jetzt mal zur endgültigen Klärung/Verständnis DEINES setups.

Audio/Video/Photo/File Station installiert - welche Einstellungen im Anwendungsportal? (port, alias, http, https)
Systemsteuerung - Web Station / Webdienste ist deaktiviert
Systemsteuerung - Netzwerk - DSM Einstellungen (deinedomain.ddns.net, port 5432, 5433, als Beispiel, abweichend vom Standard-Port)
Systemsteuerung - Externer Zugriff - keine Einträge
Portweiterleitung im Router für 80/443/5433? Oder noch andere?

Wie rufst du jetzt im Browser auf:
- Photo Station: URL ?
- Audio Station: URL ?
Oder loggst du dich im DSM ein (URL ?) und rufst dann dort die Anwendung auf?

In den Apps gibst du einfach überall deinedomain.ddns.net, benutzer, passwort und http/https ein?

 

[Fusion]

Ich glaube mir dämmert langsam wo ich dran vorbei gelesen habe. Vermutlich verwendest du Aliase. Dann muß ich zwar kein Port angeben, aber die aufrufende URL erweitern, die dann intern umgeleitet wird.

Um bei den Ports von @illmaxon zu bleiben ist die Konfiguration dann folgende:
Router: Portweiterleitung: 80/443/5055/5056 (wenn möglich nur 443/5056, also nur via https)
Webdienste deaktiviert, Photo/Audio/Video/File Station installiert
Systemsteuerung - Netzwerk - DSM Einstellungen (meinedomain.ddns.net, 5055, 5056)
Systemsteuerung - Anwendungsportal - Audio/File/Video ein Alias anlegen und "Umleiten von" anklicken.

Aufruf im Browser ist dann:
https://meinedomain.ddns.net/alias
also z.B.
https://meinedomain.ddns.net/audio
https://meinedomain.ddns.net/file
https://meinedomain.ddns.net/video
https://meinedomain.ddns.net/photo
Den DSM erreichst du dann mit
https://meinedomain.ddns.net (die Adresszeile sollte sich nach Aufruf automatisch zu https://meinedomain.ddns.net:5056/webman/index.cgi ändern)

In den Apps reicht dann meinedomain.ddns.net, Benutzer/Passwort, http/https (kann ich aber gerade nicht testen)

Denke mal, das ist jetzt hoffentlich die Auflösung und die Lösung für @illmaxon

 

[Klassikfan]

Ich häng mal meine Frage dran. Bin grad ein kleinwenig genervt.

Folgende Situation: NAS läuft an der Fritzbox mit einer MyFritz-Adresse als DynDNS. Klappt soweit auch.
Nun hab ich gestern erste DS-Apps auf Smartphone und Tablet installiert. Hauptsächlich DS-Cloud und DS-Note. Da hab ich die QuickConnect-ID eingegeben - und alles lief prima. Da hier aber Syno in der Mitte sitzt, ist das nicht ganz das, was ich eigentlich haben wollte - ich will meine Daten ja für mich haben.

Aber hier stoße ich auf ein Problem, das typisch ist - niemand verrät mir, wie ich es anstellen muß. Auch die ziemlich guten Anleitungen von Syno selbst schweigen sich aus:

WELCHE Adresse, welchen Pfad, und welchen Port hat die jeweilige Software auf dem NAS?

Es wäre prima, wenn man eine Datenbank darüber angelegt würde, die den Nutzern diese Informationen übersichtlich präsentiert.

Ich hab jetzt zB. für DS-Cloud den Pfad https://DynDNS:5001/homes/NAME/CloudStation benutzt und bekomme nur eine Fehlermeldung: "Prüfen Sie die Einstellungen des Netzwerkes..."

Was ist falsch? Wie lauten die passenden Pfade, die man eingeben muß, wie die Ports etc. pp.? Und zwar für DS Cloud und DS Note - aber bitte auch gern für die anderen Apps. das wäre sehr, sehr, sehr, sehr hilfreich. So weiß ich nämlich nicht, was ich falsch mache, und Computer sind ja doof. Die machen nur, was man ihnen sagt. Wenn man aber nicht weiß, WAS man ihnen sagen muss...

 

[Fusion]

Gibt's alles schon. Und oft muss man einfach nur genau lesen.
Wenn du an einer bestimmten Anleitung hängst, dann poste den Link und sag uns, wo es hängt.

Quickconnect ist auch nicht so wild wie es sich anhört. Synology hat auch ein finanzielles Interesse daran, dass die Daten NICHT über ihre Server laufen.
https://global.download.synology.co...tePaper/Synology_QuickConnect_White_Paper.pdf
Mit DSM 6 wird es dann auch anscheinend eine Option geben dies explizit einzustellen, dass der Service nur für den Verbindungsaufbau genutzt wird.
Ein klein wenig Vertrauen braucht man dann immer noch, oder man nimmt es halt selbst in die Hand und nimmt einen anderen DDNS

zu Ports
https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services
z.B. DS Cloud
https://www.synology.com/de-de/knowledgebase/Mobile/help/DScloud/Android
In den Apps musst du niemals einen Pfad eingeben. Es reicht IP oder Hostname oder DDNS Name, evtl. der Port (DSM oder Applikation), Benutzer/Passwort, http/https.
z.B. DS Note
https://www.synology.com/de-de/knowledgebase/Mobile/help/DSnote/Android

Wenn du Standard-Ports verwendest, muss man die in der App auch nicht angeben

 

[Klassikfan]

Aha.... Danke für den Link! Findet sich sowas in den FAQs?

Und wenn an einem Port nix dran steht, ist es inner (nur) HTTP, ja? Also müßte ich jetzt in der Fritzbox für die Cloudstation Http 6690 aufmachen, und dann solllte es laufen?

 

[Fusion]

Heißt erstmal, dass es keine Unterscheidung gibt, ob verschlüsselt oder nicht, oder dass nicht http als Übertragunsprotokoll zum Einsatz kommt. Die Weiterleitung in der Fritte ist ja nur der Port und das Protokoll (TCP, UDP).
Cloud Station ist 6690 TCP.
Im Cloud Station Client auf dem Desktop kann man auswählen, ob man SSL will oder nicht.
DS Cloud auf dem Smartphone verwendet denke ich immer SSL (man hat auch keine http/https Auswahl wie bei anderen Apps). Aber sicher kann ich es nicht sagen, benutze ich nicht.

 

[Klassikfan]

Also muß ich jetzt in der FritzBox keinen Http(s)-Server für MyFritz und den Port 6690 einrichten, es genügt, die reine Portfreigabe? Ich hab das jetzt nämlich bei jedem der freigegebenen Ports (5001, 5006, 8443) getan. Deshalb frug ich ja nach Http oder Https.

Diesen Teil der Materie durchschaue ich nämlich noch nicht so recht. Kann man eine Grundfreigabe eines Gerätes (her der NAS) per MyFritz einrichten, und die verwendeten Ports sind dann egal, so lange die Portfreigabe an sich vorhanden ist? Oder öffne ich dann ein Einfallstor?

 

[Fusion]

Die Fritzbox richtet ja nicht wirklich einen http(s)-server ein. Die Auswahl in der Liste dient nur dem Vorausfüllen der Felder bzw. zeigt sie gar nicht erst an, weil die Werte dann fix sind.
Verwende einfach immer den Eintrag "Andere Anwendungen" und vergib als "Bezeichnung" einen dir eingängigen Namen (der ist frei wählbar).
Wichtig ist dann nur Protokoll, Port(s) und Zielrechner.

Ob nachher auf den Ports verschlüsselt gesprochen wird oder nicht, ist für die Portweiterleitung komplett egal.
Wenn ich per https z.B. auf 5001 anklopfe muss dort halt ein Dienst laufen der drauf antwortet.

Eine "grundfreigabe" gibt es erstmal nicht. Das würde einer DMZ, demilitarized zone, entsprechen. Der Rechner/Server hat darin uneingeschränkten und ungeschützten Zugriff aufs Netz (braucht also auch keine Portfreigaben, weil eh alle Ports direkt erreichbar sind). Also praktisch wie wenn deine DS direkt im Internet mit einer öffentliche Adresse erreichbar wäre. Das willst du denke ich nicht.

Edit: Ergänzungen.

 

[Klassikfan]

Ist irgendwie nicht so wirklich einfach. Und die Logik beibt auch auf der Strecke. So hab ich jetzt unter portfreigabe den 6690 freigegeben, aber KEINE MyFritz-Freigabe mit dem 6690 eingerichtet. dort stehen nach wie vor nur 5001, 5006 und 8443 drin. Und trotzdem hat DS-Cloud jetzt per myFritz.net:6690 eine Verbindung herstellen können. Hat die Porteingabe in der MyFritz-Freigabe überhaupt einen Sinn?