Separater Port für das Teilen von Links

[C0mm4nd3r]

Hallo zusammen,

gibt es eine Möglichkeit, dass man für das Teilen von Links der File Station einen separaten Port verwendet?

Zustand jetzt:
Derzeit ist der Port 5001 in meinem Router nach Außen geöffnet. Diese Portfreigabe wird für das Teilen von Links benötigt.
Beispiel-Link: https://meinedomain:5001/fbsharing/g3aF4VQl
Lässt man jedoch hinten einen Teil weg, kommt man direkt auf die Anmeldemaske der Synology.
Beispiel-Link: https://meinedomain:5001

Zustand soll:
Über den Freigabelink soll nur der Dateidownload ermöglicht werden, jedoch kein Zugriff auf die Anmeldemaske der Synology.

Habt ihr eine Idee wie ich das umsetzen kann?

Grüße

 

[Fusion]

Was bringt dir ein seperater Port. Dann kann ich bei dem Link immer noch kürzen und den Port ändern und komme immer noch auf deine Anmeldemaske.

Sinn würde das nur machen, wenn für das Sharing ein seperater Port verwendet werden könnte und der DSM Port zudem auf einen anderen, zufälligen und nicht 5001 lautenden Port gesetzt würde.
Ok, das war jetzt die Gold-Waage.

Die DS scheint aber hier immer den DSM Port zu nehmen, egal wie der lautet. Auch wenn die File Station z.B. auf 7112 gesetzt ist, lautet der Share-Link auf 7253, wenn ich den statt 5001 für den DSM nehmen würde.

Im Moment sehe ich nicht, wie man das "ausplaudern" des DSM Ports unterbinden könnte.

 

[C0mm4nd3r]

Sinn würde das nur machen, wenn für das Sharing ein seperater Port verwendet werden könnte und der DSM Port zudem auf einen anderen, zufälligen und nicht 5001 lautenden Port gesetzt würde.
Ok, das war jetzt die Gold-Waage.

Das war die Idee. Man kann unter Systemsteuerung > Externer Zugriff > Erweitert einen zusätzlichen, anderen Port als der Zugriff auf das DSM konfiguieren. Mit diesem Port (Bsp.: 1234) werden dann auch die Links erstellt. Leider funktionieren diese dann nicht (trotz Portweiterleitung)

 

[Fusion]

Kann ich nicht nachvollziehen.

Wollte gerade schon schreiben, dass ich es nicht testen kann , weil ich aus dem Firmennetz nicht auf den von mir dort eingestellten DSM Port verbinden kann, aber ich habe ja das Smartphone dabei.

Unter Externer Zugriff - Erweitert - DSM (https) - Port 12345, Hostname lautet auf "sub.domain.tld"
Router Port Weiterleitung Port 12345 auf die DS an intern Port 5001
DSM - Admin eingeloggt, FileStation, Rechts-Klick auf Datei, Geteilte Verknüpfung erzeugt (https://sub.domain.tld:12345/fbdownload/abcedefg)
Die URL auf dem Smartphone in Chrome eingegeben und die Datei wurde direkt heruntergeladen.

 

[C0mm4nd3r]

Danke erstmal fürs Testen.

Mit genau der gleichen Vorgehensweise funktioniert es leider bei mir nicht.
Aber würde das überhaupt was bringen? Wenn du jetzt https://sub.domain.tld:12345 eingibst, bist doch wieder auf der Anmeldemaske?

 

[Fusion]

Ja, eben. Das habe ich ja oben gemeint. Eventuell etwas verklausuliert ausgedrückt.
Die DS nimmt für die Geteilten Verknüpfungen immer ihren öffentlichen/WAN seitigen DSM Port.

Nur wenn da eine Trennung möglich wäre könnte man den DSM Port zumindest "verschleiern" (ich kann ja auch einfach alle Ports durchprobieren, ob irgendwo was antwortet).

 

[C0mm4nd3r]

Hmm dann bleibt echt nur der Weg über QuickConnect?
Wobei dort alle Daten über Synology übertragen werden, oder wird nur die Verbindung darüber aufgebaut?

Du siehst es aber auch als sicherheitskritisch, den Port 5001 nach Außen zu öffnen?

 

[Fusion]

Ein Risiko ist leider immer dabei. Ich habe nach außen hin wie gesagt einen anderen Port gemappt, den man nur durch absuchen aller Ports finden würde, also eher nur bei gezielten Angriffen. Direkt 5001 auf 5001 würde ich auf keinen Fall machen.

Will man nun die Funktion Geteilte Verknüpfung benutzen muß man wohl in den sauren Apfel beißen, dass die Kontakte (man konnte da ja noch irgendwie Einschränken mit wem man die Links teilt, und evtl. keine perma-links erzeugen) auf die DSM Maske kommen können, wenn sie dir URL manipulieren. Solange die Anzahl der Anmeldeversuche begrenzt ist mit anschließender Blockade für eine gewisse Zeit könnte das ein Kompromiss sein.
Verbleibendes Risiko ist eben noch, falls im Web-Server der DS ein Sicherheitsloch auftaucht, das ausgenutzt werden könnte. Das trifft dann aber auf alle Dienste zu die nach außen zugänglich sind.

QuickConnect (und damit keinerlei offene Ports im Router) ist ja nur für die eigene Benutzung, bzw. alle angelegten Benutzer auf der DS, eine Alternative. Fürs Fremd-Teilen hilft das ja nix.
Meines Wissens läuft da nur der Verbindungsaufbau via Synology. Die eigentliche Verbindung nachher ist direkt. Aber da lege ich meine Hand nichts ins Feuer für.

Ich benutze z.B. noch owncloud für das Datei-Sharing, wobei das Risiko da auch wieder bei Web-Server Lücken liegt. Ports 80/443 brauchen nicht geraten zu werden, weil eh bekannt Allerdings läuft dieser Apache ja mit anderen Rechten. Dürfte für das System also weniger kritisch sein, als wie wenn der Sys-Apache auf dem der DSM läuft attackiert wird.

 

[C0mm4nd3r]

Ich habe es jetzt mit QuickConnect getestet. Das ist auch fürs Fremd-Teilen geeignet. Es erzeugt dir einen Link (z.B.: https://gofile.me/Xc2f32/pqOa0Udg) welcher beim Download keine Benutzerdaten erfordert.
Allerdings ist der Download sehr langsam. Ich habe es mit einer 100 MB Datei getestet. Download via QT durchschnittlich 60 kb/s über meine TLD 530 kb/s. Dies war dann auch der maximale Wert der Leitung. Es hat für mich den Anschein, als ob auch die Datei über die Server von Synology übertragen wird. Anders kann ich mir diese langsame Übertragung nicht erklären.
Dies wäre theoretisch eine Alternative allerdings finde ich es zu langsam und möchte auch nicht, dass meine Dateien über Synology übertragen werden.

Schade, dass mein Vorhaben nicht so richtig funktioniert. Es wäre für mich besser, wenn man für das Teilen von Dateien einen eigenen Port hätte und auf das DSM dann nur via VPN-Server zugreifen könnte.
Ich werde wohl einen Port nach Außen öffnen müssen. Für schnelle und mehr oder weniger sichere Downloads führt wohl nichts daran vorbei.

 

[C0mm4nd3r]

Habe jetzt noch bisschen getestet. Man kann zumindest für das Modul File Station einen eigenen Port angeben. Lässt man dann den hinteren Teil des Links weg, kommt man auch auf die Loginmaske, aber man kann sich dann nur in die File Station einloggen und nicht auf das komplette DSM.
Systemsteuerung > Anwendungsportal > File Station

Wenigstens ein kleiner Fortschritt....

 

[ottosykora]

Die Links werden mit dem Port versehen mit dem die Verbindung zu der DS gerade macht.
Also die Filestation hört default auf 7000/7001 (und nicht auf 5000/5001) wenn man zu der FS via diese Ports kommt wird auch ein Link mit 7000/7001 erstellt. Man kann natürlich was auch immer einstellen.

Kommt man in die Filestation jedoch über den Menü Icon von der DSM her, dann ist man via 5000/5001 eingeloggt und die Links bekommen also auch diesen Port.

Filestation nimmt an , dass wenn sich jemand über einen bestimmten Port zu ihr durch gewählt hat, dieser Port auch für Anfragen der Links Downloader zugänglich ist.

Es kommt also darauf an über welchen Service man sich in die DS eingeloggt hat.

 

[Fusion]

@ottosykore - das kann ich so nicht nachvollziehen. Ich habe wie gesagt einen externen Port 12345 definiert. Auch wenn ich mich jetzt via 54321 (ext) auf 7001 (int) direkt auf die File Station verbinde (oder nur intern direkt mit https://syno:7001) lautet ein generierter Link trotzdem auf Port 12345.
Was ich jetzt nicht getestet habe ist, ob sich dieses Verhalten ändert, wenn man keinen expliziten externen Port in der Systemsteuerung vorgibt (die DS also von 5001 für DSM von extern ausgeht).

Edit:
Mit normalem Benutzer habe ich es auch noch nicht getestet.

 

[ottosykora]

Verstehe nicht ganz. Definiert genau wo? Wenn ich der File Station einen anderen Port zuweise dann hört die doch von nun an dort und nicht mehr auf 7000 oder meinst du was anderes?

Bei mir haben die Links genau das drin über welchen Port ich mich zu der DS Verbinde.
Also habe ein DS zu der verbinde ich mich über 5001. Dann bin ich auf der DSM Oberfläche. Mache ich nun von dem Menu die FS auf, macht die un Links mit 5001.

Andere DS erreiche ich über 5003, weil wir da zwei DS haben und die eine wird also default betrieben und eine auf 5002/5003.
Hier werden die Links mit 5003 erstellt wenn ich die DS auf 5003 kontaktiert habe und die FS aus dem Menu aufgerufen habe.

Rufe ich bei meiner DS nur die FS direkt an, also 7001, dann haben auch die Links 7001 drin.
Ändere ich der FS Port auf 7002, dann steht in den Links halt 7002 wenn ich ich mich zu der DS direkt über den FS Port und somit zu der FS verbinde.

Nun kann mich zwar auch über irgendeinen FTP Port oder so was einloggen, nur dann habe ich die FS nicht vor mir und kann also keinen Link bauen, also kann ich nicht sagen was dann genau passieren würde.

 

[Fusion]

Die geteilten Links haben bei mir immer den DSM Port den ich für den externen Zugriff definiert habe.
Egal, ob ich mich via 5001 im LAN auf das DSM verbinde und dort die FS öffne und einen Link generiere, oder ob ich mit 7001 direkt nur die FS lade, oder ob ich via externen Port via DSM oder direkt die FS aufrufe. Der Port ist immer derjenige der unter Systemsteuerung > Externer Zugriff > DSM (https) festgelegt wurde.
Das ist was ich nicht nachvollziehen kann: Bei mir ist immer derselbe Port, bei dir ändert er sich je nachdem wo du den geteilten Link generierst.