SABnzbd per DDNS erreichbar machen (via HTTPS)?

[Neana]

Hallo liebe Boardies

Um meine Synology komfortabler zu verwalten, habe ich in meiner DS den Synology-DDNS- Dienst eingerichtet, und kann nun mit der erstellten Domain per HTTPS auf meine DS zugreifen. In meiner Fritzbox habe ich die Portweiterleitung auf Port 5001 (Range 5000-5001) eingerichtet.
Das funktioniert auch gut.
Jetzt habe ich auf meiner DS einen 3rt Party-Downloadmanager (SABnzbd) installiert, auf das ich im lokalen Netzwerk zugreifen kann (Port 8080).
Soviel zum IST-Zustand

Jetzt würde ich gerne über meine DDNS-Domain per HTTPS auf dieses Programm zugreifen, um auch von unterwegs ohne VPN komfortabel dieses Programm zu verwalten. In dem Programm kann ich HTTPS aktivieren.
Wie mache ich das am besten, und geht das überhaupt? Muss ich in meiner FritzBox dafür eine zusätzliche Portweiterleitung auf 8080 anlegen?

Währe für Hilfe dankbar.
LG, Neana

 

[JohneDoe]

Such mal im Forum nach Reverse Proxy. Das war schon sehr oft ein Thema hier.
Ich würde dir empfehlen die NAS nicht über 5000/5001 ins Internet zu stellen. Du wirst auf jeden Fall Besucher bekommen. Vor allem wieso überhaupt HTTP?

 

[Janüscht]

Nutze lieber die VPN‑Verbindung, am besten mit WireGuard in der Fritz!Box. Diese ist sehr einfach und schnell einzurichten. Portfreigaben musst du dann nicht mehr machen, um auf deine Geräte zuzugreifen. Mit WG-Tunnel für Android oder der iOS-WireGuard-App kannst du die Geräte so einstellen, dass beim Verlassen des heimischen Netzwerkes (WLAN) die Verbindung automatisch aktiviert wird. Aber auch das dauerhafte Aktivieren fällt kaum auf und hat nur einen geringen Akku-Verbrauch. Auf den Desktops gibt es natürlich auch passende Anwendungen. Eine VPN-Verbindung ist unbedingt einer Freigabe vorzuziehen! Eine Freigabe sollte man nur einrichten, wenn es anders nicht möglich ist! Alles andere ist fahrlässig, erst recht, wenn man nicht weiß, was man da genau macht. Eine Alternative wäre eventuell noch Tailscale, welches auf WireGuard basiert und über einen Relayserver läuft. Ich ziehe aber eine direkte WG‑VPN‑Verbindung vor.

 

[Neana]

Danke für die Warnungen. Eine Reverse Proxy- Regel hatte ich eingerichtet (Quelle Port 443 / Ziel Port 5001). Brauche ich dafür überhaupt die Portweiterleitung?
Sollte ich generell die automatische Porfreigabe für die Syno in meiner FritzBox abschalten?

VPM nehme ich mir dann jetzt Mal vor. Greife ich dann mit der DDNS-Domain auf meine Synology zu?

 

[Janüscht]

Brauche ich dafür überhaupt die Portweiterleitung?

Du musst dann den Port 443 am Router öffnen und auf der DS weiterleiten.

Sollte ich generell die automatische Porfreigabe für die Syno in meiner FritzBox abschalten?

Unbedingt! Portfreigaben solltest du immer manuell machen!

Greife ich dann mit der DDNS-Domain auf meine Synology zu?

IP oder Hostname, wie du es auch im Netzwerk machst. Letztendlich ist dein Netzwerk ja nur für das jeweilige Gerät erweitert worden. Du bist dann immer mit deinem Netzwerk verbunden, auch wenn du extern bist. Einfacher geht ein externer und sicherer Zugriff nicht. Vergiss die Freigabe, wenn es nur um User deines Haushalts geht. Mit einer Freigabe solltest du dein System noch ein bisschen sicherer machen: Zertifikat, Firewall mit Geoblock, Update Blocklist von @geimist, als Anfang. Beim WG-VPN brauchst du nur einen QR-Code scannen und fertig ist das Ganze! Natürlich können die anderen Einstellungen trotzdem nicht schaden, ordentlich einzurichten.

 

[JohneDoe]

Eine VPN-Verbindung ist unbedingt einer Freigabe vorzuziehen! Eine Freigabe sollte man nur einrichten, wenn es anders nicht möglich ist! Alles andere ist fahrlässig,

Das ist deine Meinung. Dem zweiten Teil stimmte ich dir zu, aber wenn man weiß, was man da tut, dann ist das auch kein Problem.
Du solltest nicht alles so verallgemeinern. Ich habe seit Jahren diverse Dienste von außen erreichbar. Ich verwende ein wildcard DNS und nur wildcard Zertifikate, damit Bots die URLs nicht kennen. Ich hab ein Monitoring laufen und ich habe keine Besucher auf den Diensten. Die Bots kommen nur mal ab und zu auf die Hauptdomain. Werden da aber direkt durch Crowdsec geblockt. Also nicht alles direkt verallgemeinern und verteufeln, was man anders sieht. Diesen absoluten Aussagen sind doch wirklich zielführend......

Eine Reverse Proxy- Regel hatte ich eingerichtet (Quelle Port 443 / Ziel Port 5001). Brauche ich dafür überhaupt die Portweiterleitung?

Wenn du alles über den Reverse Proxy laufen lässt, dann musst du nur 443 weiterleiten. Das ist der Vorteil davon.

 

[Neana]

Vielen Dank euch. Der große Netzwerk-Profi bin ich ja nun nicht, und hab jetzt auch keine Muße, mich in die Materie reinzuknien

Mein Gedanke war, die Syno mit HTTPS abzusichern. Wenn ich das Gerät per IP im lokalen Netzwerk Aufrufe (oder per QuickConnect) geht HTTPS ja nicht, weil die Browser das nicht akzeptieren.
Aber wenn ich das ganze mit VPN mache, brauche ich diese Absicherung ja nicht unbedingt, und im lokalen Netzwerk ja auch nicht, oder?

Hab jetzt erstmal die Porfreigaben im Router wieder gelöscht und nehme mir morgen VPN vor

 

[Janüscht]

Diesen absoluten Aussagen sind doch wirklich zielführend

Fängst du denn auch bei dir selbst an? Abgesehen davon: Was haben ein Wildcardzertifikat und eine Wildcarddomain mit Bot-Anfragen zu tun und warum soll das besser sein? Das weißt du wohl selbst nicht so genau. Auch gibt es diese "versteckten" Subdomains nicht wirklich. Letztendlich antwortet immer der Nginx-Webserver von Synology. Das reicht schon aus bei einer Schwachstelle, um das System zu infiltrieren. Ich halte deine Antwort genauso für sinnfrei wie einen "geheimen" Port. Das sind die Weisheiten vieler User und was so alles in den Foren und Blogs verbreitet wird. Gerne kannst du es so betreiben, weil du auch im schlimmsten Fall selbst betroffen bist. Wenn deine (Sub‑)Domain dann noch von den großen Suchmaschinen indiziert worden ist, wird es noch einfacher.

Ob Crowdsec besser ist, muss jeder selbst für sich entscheiden. Das ist auch eine Glaubensfrage, wie bei Cloudflare. Fail2ban wäre auch noch eine Methode, um den Zugriff zu beschränken. Außerdem ist nicht jede Bot-Anfrage gleich ein Hackerangriff. Ich bleibe bei meiner Aussage, dass VPN immer die beste und bevorzugte Verbindungsmethode für den privaten Zugriff ist. Ich mache das auch seit sehr vielen Jahren, auf unterschiedlichen Systemen und OS. Was hier so alles als erfahren durchgeht …

Du hast deine Meinung und ich meine. Der User hat jetzt die Möglichkeit, sich anhand der Vorschläge zu informieren und sich dann zu entscheiden.

 

[Janüscht]

Aber wenn ich das ganze mit VPN mache, brauche ich diese Absicherung ja nicht unbedingt, und im lokalen Netzwerk ja auch nicht, oder?

Nicht unbedingt, was aber nicht heißt, dass man es nicht machen kann. Ich nutze für alle Anwendungen, Geräte und Dienste eine eigene Subdomain. Natürlich ist da auch ein Zertifikat gleich dabei, da viele Angriffe aus dem heimischen Netzwerk stammen, z. B. durch einen Trojaner. Das heißt aber nicht, dass es immer so ist. Im Normalfall ist im Netzwerk nichts verschlüsselt. Wer mehr Erfahrung hat, kann das aber auch nachbessern, um die Sicherheit zu erhöhen. Zusammengefasst: Alles kann – nichts muss, sofern es netzintern ist!

 

[JohneDoe]

Was haben ein Wildcardzertifikat und eine Wildcarddomain mit Bot-Anfragen zu tun und warum soll das besser sein? Das weißt du wohl selbst nicht so genau. Auch gibt es diese "versteckten" Subdomains nicht wirklich.

Aha... Und wie kommst du an die Domains? Die tauchen nirgendwo auf. Die kannst du nur raten... Wenn du eine Methode kennst, dann würde ich diese gern hören.

Letztendlich antwortet immer der Nginx-Webserver von Synology.

Bei mir läuft nichts auf der Synology und auch kein Nginx. Ich kann also sehr genau steuern was geantwortet wird oder eben gar nicht.

Wenn deine (Sub‑)Domain dann noch von den großen Suchmaschinen indiziert worden ist, wird es noch einfacher.

Ja und wie soll das passieren, wenn ich die nicht öffentlich poste? Und die richtigen Header sende? Dann wird nichts indexiert. Ich mein das jetzt ernst. Wie kommst du an die Subdomains? Du hast btw 2 oder 3 Versuche bevor du geblockt wirst. Du kannst sie nicht im DNS auslesen und auch nicht am Zertifikat. Und auch nicht auf crt.sh. wenn das geht, dann sag mir bitte wie. Das wird ich sehr gerne wissen...

Ob Crowdsec besser ist, muss jeder selbst für sich entscheiden. Das ist auch eine Glaubensfrage, wie bei Cloudflare. Fail2ban wäre auch noch eine Methode, um den Zugriff zu beschränken.

Das eine schließt dich das andere nicht aus. Crowdsec ist doch quasi wie Fail2ban, nur dass du die Bans von den anderen Usern auch bekommst. Und dass du drei listen abonnieren kannst....

 

[Neana]

wie machst Du das mit den (Sub-)Domains über VPN?

PS: Muss ich dafür auf der DS den DNS-Server installieren, um damit lokale Domains anzulegen?

 

[Janüscht]

wie machst Du das mit den (Sub-)Domains über VPN?

Eigenen DNS-Server (Adguard Home mit Unbound hyperlocal)

Bei mir läuft nichts auf der Synology und auch kein Nginx.

Soviel Möglichkeiten gibt es ja aufgrund der Einschränkungen bei Synology nicht. Auch ein anderer Reverse Proxy basiert ja auf einem bekannten Webserver. Anders geht es wohl kaum. Du empfiehlst hier einem unerfahrenen User etwas, was du also selbst nicht so einsetzt? Interessant. Dann wundert es mich doch stark, warum du denn überhaupt ein Synology-NAS nutzt und nicht auf eine bessere Alternative oder einen Eigenbau zurückgreifst und somit die ganzen Gängelungen und den alten Softwarestand umgehst. Das sollte doch dann kein Problem sein!

 

[JohneDoe]

Als Erstes. Beantwortest eigentlich auch Rückfragen? Wieso gehst du auf die Domains ein, wie du die herausbekommen kannst. Wenn du sowas behauptest, dann wären auch Belege gut. Ich kenn da keinen Weg....

Auch ein anderer Reverse Proxy basiert ja auf einem bekannten Webserver.

Natürlich, aber in diesem Fall habe ich viel mehr Kontrolle...

Du empfiehlst hier einem unerfahrenen User etwas, was du also selbst nicht so einsetzt?

Ich habe das nie empfohlen. Ich habe doch sogar geschrieben, dass ich bei einem unerfahrenen User dir zustimmen würde.

Dann wundert es mich doch stark, warum du denn überhaupt ein Synology-NAS nutzt und nicht auf eine bessere Alternative oder einen Eigenbau zurückgreifst und somit die ganzen Gängelungen und den alten Softwarestand umgehst. Das sollte doch dann kein Problem sein!

Weil es nun mal da ist? Ich würde mir nie wieder ein Synology NAS kaufen. Bei mir ist das NAS nur Fileserver.

 

[Neana]

OK, AdGuard home ist mir zu frickelig. AdBlocking mach ich mit NextDNS.
Ich Versuche mich mal, in den Syno DNS-Server einzuarbeiten.

 

[Janüscht]

Da ist nichts frickelig. Mit ein bisschen Hilfe muss man nur einen Ordner ins Docker-Verzeichnis kopieren und anschließend ein neues Projekt erstellen. Dort wählt man den Namen des Projektes und den kopierten Ordner aus und du drückst zweimal „Weiter“ und schon laufen beide Container. Dann noch den Upstream-Server anpassen, ggf. die Fritz!Box als weiteren Server eintragen, und wer noch mag, kann ein paar Filterlisten auswählen. Schwupps, läuft alles ohne Werbung oder Tracking. Der Synology-DNS-Server ist wesentlich komplizierter.

In Adguard nutze ich eine Wildcard-Umschreibung für die selbst gehosteten Dienste. Die Filter gelten dann auch extern und blockieren dann auch Werbung in den Mobilphones usw.