Photo Station Photostation Erreichbarkeit (Ports und Redirects)

[hglathe]

Hallo,

folgende Situation und Problem:
Habe eine Synology Station hinte reinem Router.
Der Router leitet Port 443 (https) von Außen nach innen an die Synology Port 5001 weiter.

Von Netzwerken wie z.B. dem Arbeitsplatz aus sind Ports wie 5000 oder 5001 u.v.m. gesperrt. Nun möchte ich aber auch mal auf die Photostation zugreifen können. Das aber unbedingt auch via https-Verschlüsselung, sonst brauch ich ja gar kein Passwort zu verwenden.

Frage:
Gibt es mittlerweile eine elegante Lösung für soetwas?
Z.B. eine öffentlich erreichbare SubDomain die im Synology konfiguriert ist und die ebenfalls auf Port 5001 wie der Synology Manager läuft und dann bei Anfragen zum Synology Port 80 oder 443 intern redirected?

Danke und Gruß...

 

[Ap0phis]

Zufällig gerade vor ein paar Tagen wurde einen neue Firmware veröffentlicht, für die es ein VPN-Zusatzpaket gibt. Viel eleganter und zugleich einfacher geht es imho nicht.

 

[hglathe]

OK verstehe - für mich persönlich ein gangbarer Weg - aber:
Ist aber keine elegente Lösung, wenn man mal auch anderen Personen in anderen Umgebungen dann auch noch die https URL zu seiner PhotoStation geben möchte.

 

[Ap0phis]

Ok, aber was ist dann an der üblichen Art unelegant? ... Domain mit Portangabe und entsprechende Portweiterleitung zur DS

 

[hglathe]

Versteh ich nicht. Wie gesagt. Einzig in Frage kommender Port raus aus externem Netzwerk hin zum Router ist 443. Der Router mappt auf 5001 und gibt das ans NAS weiter. Das it für mich der einzig gangbare Weg zum NAS mit Management-View, AudioStation. Aber eben PhotoStation geht nicht.

 

[Ap0phis]

Na dann solltest du deine Portweiterleitung einfach ändern, und den 443 nicht auf die 5001, sondern auf den 443 zur DS/Photostation leiten.
Den Port 5001 leitest du dann auf die DS durch.
Mit ht tps://deineddomain:5001 kommst du dann auf dein Webinterface und ohne Portangabe auf die Photostation.
Also so, wie es eigentlich üblich ist.

 

[Matthieu]

Ich würde die PhotoStation nicht über https nutzen. Die zusätzliche Sicherheit ist dort IMHO nicht so sehr notwendig und normale Nutzer irritiert die Zertifikat-Warnung viel mehr. Lieber Port 80 und https

MfG Matthieu

 

[jahlives]

Auch die Performance gerade bei grossen Daten ist bei https nicht gerade das Wahre

 

[Ap0phis]

Klar, da habt ihr wohl recht.
Aber ausser dem Port 80 -> 80 und einem "s" weniger ändert das ja nichts am Prinzip.

... oder doch. Er kann ja dann Port 443 weiter für´s Administrieren verwenden.

 

[hglathe]

Hi,

ja, klingt vielleicht etwas paranoid, aber wozu dann ueberhaupt noch Passwörter?

Oben stand auch was von: ich soll 5001 auf 5001 lassen und 443 auf 443 leiten für die PhotoStation.

Nun aber nochmal mein absoluter Must Have UseCase:

Zugriff aus Firmennetz - wo nur Port 80 und 443 nach Außen hin offen ist.
Ich will grundsätzlich nur verschlüselte Verbindungen die mir eine sogenannte "Sicherheit" bieten - also jedenfalls mehr als das Klartext-Geraffel ueber Port 80.
Und ich will die ManagementOberfläche, AudioStation etc... aber auch die PhotoStation.

Geht soetwas mittlerweile mit SuDomains VHosts oder irgendeiner anderen Redirect-Lösung?

Ich frage so BlackBox-mäßig, da ich mittlerweile seit fast 4 Jahren im Jahresabstand diese Frage erneut an Synology-Nutzer stelle. Mir ist es irgendwie ein Rätsel, wieso die PhotoStation nicht stärker integriert ist oder man die Option zu einer stärkeren Integrierung hat.

Performance etc. ist da insgesamt erstmal zweitrangig...

VG / Helko

 

[Matthieu]

Die PhotoStation muss nicht über Port 443 verschlüsselt laufen - das Sicherheitsrisiko ist mehr als nur überschaubar. Selbst wenn es einen Angriff auf die Verbindung gäbe, müsste derjenige erst einmal dazwischen kommen und dann aus wer weiß wie viel Traffic die richtigen Pakete filtern. Also 80->PhotoStation und 443->5001->DSM dürften absolut genügen, nur keine Panik. Aber so wie du das genau möchtest ist es nicht möglich. Wenn du aber eh nur als admin zugreifst, schau dir mal seit DSM 3.1 die Bildansicht an. Man kann im Dateibrowser ein Bild wählen und es direkt über "Vorschau" anzeigen lassen.

MfG Matthieu

 

[jahlives]

Hi,
ja, klingt vielleicht etwas paranoid, aber wozu dann ueberhaupt noch Passwörter?

Weil Passwörter keinen entscheidenden Einfluss auf die Performance haben. SSL aber schon ;-)
Mit nur 2 offenen Ports hast du ein Problem mit mehr als 2 Diensten. DSM (Oberfläche), Audiostation und Photostation sind drei Anwendungen und jede will einen Port für ihre Dienste. Du könntest z.B. den Port 80 an 5001 weiterleiten. Dann hättest du den DSM. Dann müsstest du dich entscheiden welchen der verbleibenden Dienste du erreichen willst. Beide gehen dann nicht.
Du brauchst eine Lösung die über einen Port viele Ports erreichen kann. Das schreit frömlich nach VPN, am besten OpenVPN. Schau dir das mal im Wiki an, es gibt zwar mittlerweile ein Paket von Synology, aber die ipkg Version ist flexibler einzurichten. Dann leitest du den externen Port 443 (udp) oder 80 (udp) an den udp Port 1194 deiner DS mit OpenVPN weiter. Es voila kannst du auf alles zugreifen (klar musst du dir noch einen OpenVPN Client installieren, aber das ist nicht viel mehr als klick-and-forget)
Wenn du dich für OpenVPN entscheidest dann würde ich wärmstens die ipkg Version empfehlen. Den Zugriff auf OpenVPN kannst du sehr genau steuern und mit Zertifikaten ist es so sicher wie es nur sein kann
Mit OpenVPN hättest du immer noch einen Port frei für eine öffentliche Anwendung z.B. die Photostation

 

[Matthieu]

Spät am Abend ... Port 80 an 5001 wird wohl kaum was bringen, denn http an einen https-Port dürfte der Browser nicht mitmachen. Und die AudioStation braucht auch keinen eigenen Port

MfG Matthieu

 

[hglathe]

Hi nochmal...

ich bin froh, dass SSL einen gewissen Einfluss auf die Performance hat - so ist das mit der Cryptography und Sicherheit Dann aber ein Passwort - egal für wie "wichtig" man ein Passwort in Bezug auf einen Dienst hält - über eine Klarsichtverbindung Port 80 zu schicken, kommt doch in etwa dem gleich, dass ich mich an den EC Automaten stelle und per menschenhörbarer Akustik die Pin an den Automaten übertrage (Sprachinterface). Der Sinn des Passwortes ist in gewisser Weise völlig ad absurdum an dieser Stelle.

Ich wollte nun auch nicht über einen logischen Deadlock in Bezug auf insgesamt nur ein Port und mehrere Dienste hier in der Diskussion führen. Vielmehr interessiert es mich, ob nun irgendwie die Möglkichkeit besteht, elegant z.B. für unterschiedliche Dienste, unterschiedliche SubDomains vom NAS ausgehend anbieten zu können.

Also z.B. photo.myDomain.de
oder management.myDomain.de
oder git.myDomain.de
oder svn.myDomain.de
oder ajaxterm.myDomain.de

etc. etc. etc.

Geht sowas? Alles von aussen über https erreichbar?

Danke und Gruß, Helko

 

[Matthieu]

Das wären dann Virtual Hosts, die ersetzen aber nicht den Zugriff über verschiedene Ports; da bitte nicht zwei Dinge vermischen. Aber ich sag dir es wird viele geben die werden das mit https nicht schnallen und gar nicht auf die Seite kommen.
Mit dem Vergleich hast du jetzt angefangen
Der hinkt insofern, dass dort jeder umstehende Unfreiwillig Teil des ganzen wird. Das ist aber nicht der Fall bei http. Es ist mehr als würde sich jemand gezielt zwischen dich und den Automaten stellen und alles abfangen was ihr wechselt - als würde jemand beim Pin eingeben neben dir stehen und dir auf die Finger starren.

MfG Matthieu

 

[hglathe]

Gebe Dir Recht, mein Beispiel kam einem Broadcast in die nähere Umgebung gleich. Bei meiner Befürchtung mit http ist das nicht so. Dennoch habe ich da kein Vertrauen und werde auf keinen Fall mein(e) Passwörter über so einen Kanal schicken. Deshalb kannst Du argumentieren wie Du möchtest - ich gehe diesen Weg auf keinen Fall ;-)

Deswegen aber auch mein Versuch die Diskussion in eine andere Richtung der Lösungsmöglichkeiten zu lenken. Ich bin mir dabei dem Unterschied von Ports und VHosts Virtual Hosts bewusst Ich wollte nur wissen, ob es mit dem Synology NAS nun relativ ohne Nervenverlust möglich ist, durch die SubHost-Geschichten einen unterscheidbaren Zugriff - wie oben beispielhaft verdeutlicht - auf z.B. die Management-Ebene des NAS oder die PhotoStation zu bekommen?

Nocheinmal... nur Port 443 ist für mich möglich, deshalb bitte keine Vorschläge mehr mit Mappings und das Öffnen weiterer Ports

Viele Grüße.

 

[jahlives]

Spät am Abend ... Port 80 an 5001 wird wohl kaum was bringen, denn http an einen https-Port dürfte der Browser nicht mitmachen

du weisst schon, dass man einfach https vornedran schreibt und es dann geht? Beim Port 443 musst du ja auch https schreiben, sonst haut dir der Browser resp der Server einen Fehler raus.
Das mit der audiostation wusste ich ned. Ich habe gemeint die würde Port 9000 brauchen

 

[Matthieu]

Aber wenn man https davor schreibt, springt er doch gleich auf Port 443, oder?

MfG Matthieu

EDIT: Ah jetzt weiß ich was du meinst. Aber da muss man dann explizit ":80" angeben.

 

[jahlives]

Genau das setzt einfach den Port :80 + https als Schema voraus

 

[hglathe]

Durch zusätzlich geladene Module namens mod_proxy_* direkt im NAS-eigenen-Apache konnte ich zusammen mit der aktivierten VirtualHost-Funktion im NAS-Management-UI
einen Zugriff auf wichtige Services per SubHosting realisieren.

Subversion via:
https://svn.myWorldWideUniqeURL.de/

NAS Oberfläche via:
https://nasui.myWorldWideUniqeURL.de/

Photo Station via:
https://webservices.myWorldWideUniqeURL.de/photo/

Blog via:
https://webservices.myWorldWideUniqeURL.de/blog/

etc...

Klappt hervorragend und alles via https mit Port 443.

Danke für die Tipps und Grüße,
Helko