sFTP-Einrichtungs-Unterstützunghilfe erbeten

[Geek1337]

Hallo Synology´ologen,

ich versuche derzeit auf meiner DS einen sFTP-Account einzurichten und schaffe es leider mit allen möglichen Methoden nicht.

Hier mal ein Überblick was ich bereits alles getan habe und wie mein Setting hierzu aussieht:


Router: FritzBox 7530AX
FritzOS: 7.57

Portweiterleitung ist für die DiskStation mittels Name und IP in der FB gesetzt (Internet/Freigaben/Portfreigaben)


Diskstation: DS716+ (DSM 7.2.1-69057 Update 4)

DSM-Firewall: Deaktiviert


Externer Zugriff: QuickConnect & DDNS sind eingerichtet und positiv getestet. Status: Normal
Der normale externe Zugriff via Browser funktioniert einwandfrei mittels https

Routerkonfig.: Die Routerkonfiguration wurde im DSM positiv eingetragen

sFTP-Dienst: aktiviert
Port: 47 (Dieser Port ist auch lt. Synology nicht von einem anderen Dienst in Verwendung und/oder blockiert)
Benutzer: Dem zu verwendendem Benutzer wurden sowohl die Ordnerberechtigung als auch die Anwendungsberechtigung für den sFTP-Dienst erteilt


sFTP -Testung: Die Testungen wurden auf 2 Notebooks ausserhalb des Netzwerks ( Mobiler Hotspot mit dem Handy via USB ) durchgeführt

FTP-Client: Der für die Testungen verwendete FTP-Client ist Filezilla

Bei den Testungen im Filezilla wurden sowohl der Synology QuickConnect,DDNS-Eintrag als auch die Öffentliche IP-Adresse verwendet.


Fehlermeldung: Herstellen der Verbindung zum Server fehgeschlagen



Sollten noch Informationen zur Analyse fehlen so gebt mir bitte Bescheid und ich liefere diese nach.




Vielen Dank schon mal im voraus für jeden Tipp, Hilfe und Lösungsvorschlag zu meinem Problem.

 

[maxblank]

Wie kommst du auf Port 47? Das ist normalerweise SSH mit Port 22.

Was ist denn das Ziel der ganzen Übung?

 

[CrimsonGlory]

Ist unter Dateidienste der SFTP Dienst aktiv und der Port (47) dort hinterlegt?
Zusätzlich in der Firewall der Port eingetragen und freigegeben? Alternativ die FIrewall kurz deaktivieren und testen.

 

[Geek1337]

Wie kommst du auf Port 47? Das ist normalerweise SSH mit Port 22.

Was ist denn das Ziel der ganzen Übung?

Hallo Maxblank,

Portwahl: Man sollte eig. immer einen anderen und nicht den Standardport verwenden.
Gleiches Prinzip wie man keinen Guest und/oder Admin-Benutzer auf der DS nutzen sollte.

Das Ziel dieser Übung ist genau diese was das Protokoll an sich kann.

File Transfer Protokoll ==>Datenübertragung zwischen zwei entfernten Standorten

 

[Geek1337]

Ist unter Dateidienste der SFTP Dienst aktiv und der Port (47) dort hinterlegt?
Zusätzlich in der Firewall der Port eingetragen und freigegeben? Alternativ die FIrewall kurz deaktivieren und testen.

Hallo CrimsonGlory,

diese Informationen habe ich eig. eh in der Beitragseröffnung stehen.

Die Firewall ist testweise bereits ausgeschalten.
Der Port war jedoch natürlich eingetragen.

 

[CrimsonGlory]

Ich benutze bei mir auch nur den sFTP.
In der FB ist in der Portfreigabe an die NAS der Port entsprechend weitergeleitet.
Der dienst mit dem Port aktiv.
In der Firewall der Port einzeln definiert und auf D eingegrenzt.
Ich gehe aber über die DynDNS drauf. QC hab ich deaktiviert

 

[maxblank]

Portwahl: Man sollte eig. immer einen anderen und nicht den Standardport verwenden.
Gleiches Prinzip wie man keinen Guest und/oder Admin-Benutzer auf der DS nutzen sollte.

Bezüglich Port verlegen absolute Pseudo-Sicherheit. Was das im gleichem Atemzug mit den Accounts zu tun hat, erschließt sich mir in dem Zusammenhang nicht. Aber ok…

Bringe SFTP doch zuerst mal generell ans laufen und dann kannst du den Port nachträglich immer noch ändern.

Mal per Telnet getestet, ob der benötigte Dienst auf dem Port lauscht? Also überhaupt geöffnet ist…
Externen Portscan durchführen um das einzugrenzen.

Zertifikat passt ebenso?

 

[Geek1337]

Ich benutze bei mir auch nur den sFTP.
In der FB ist in der Portfreigabe an die NAS der Port entsprechend weitergeleitet.
Der dienst mit dem Port aktiv.
In der Firewall der Port einzeln definiert und auf D eingegrenzt.
Ich gehe aber über die DynDNS drauf. QC hab ich deaktiviert

Ja, genau so habe ich eig. auch alles eingerichtet und deswegen versteh ich nicht was hier schief läuft da du genau die "gleiche Konfig" hast wie ich.

 

[Geek1337]

Bezüglich Port verlegen absolute Pseudo-Sicherheit. Was das im gleichem Atemzug mit den Accounts zu tun hat, erschließt sich mir in dem Zusammenhang nicht. Aber ok…

Bringe SFTP doch zuerst mal generell ans laufen und dann kannst du den Port nachträglich immer noch ändern.

Mal per Telnet getestet, ob der benötigte Dienst auf dem Port lauscht? Also überhaupt geöffnet ist…
Externen Portscan durchführen um das einzugrenzen.

Zertifikat passt ebenso?

Jedes kleine Rädchen welches man im Bezug auf Sicherheit stellen kann sollte man auch tun wenn man so in die KI-Zukunft u.dgl schaut ;-)


Mit den Benutzern meinte ich das man diese eben nicht verwenden sollte da diese in der "bösen Jungs-Welt" bekannt sind.

Mit welchen Daten man sich Standardmäsig in der DS anmelden kann ist sogar Google-bar

Aber darum soll es nun nicht gehen.

Die Idee ist ok und ich werde den Port mal auf den Standard zurückstellen.

Nein, Port-Scans mittels Telnet habe ich noch nicht gemacht.

Ja das Zertifikat ist in Ordnung

 

[luddi]

Bringe SFTP doch zuerst mal generell ans laufen und dann kannst du den Port nachträglich immer noch ändern.

Das würde ich auch stark empfehlen.
@Geek1337 hast du schon probiert die SFTP Verbindung im lokalen Netzwerk über die lokale IP-Adresse zum NAS zu herzustellen?
Nachher kann man sich um den Zugriff von Außen kümmern.

 

[TheGardner]

Statt so einen kleinen Port (47) würde ich auch einen ganz anderen nehmen (z.B. 65522). Bei 47 läufst Du immer irgendwann in Gefahr, dass dort schon irgendwas anderes drauf sitzt oder sich drauf setzen will und dann knallts .... eventuell!
Hoch mit den Ports und Pörtern - hoch in den Bereich wo der Schinetze zu faul ist, sinnlos zu scannen. Jeden Rechner im Netz durchkämmen - das ist ne Schweine-arbeit, wisst ihr, und dann auch noch bei jedem Rechner die ganzen 65 Tausend Pörter durch filzen.... och nee...keen Bock!

Also - wenn die Ports bei 65565 enden, dann wäre für Port 22 der Port 65522 ne gute ALternative. Mit Wissen um die maximalanzahl von Ports an den Geräten, lässt sich 65522 (Sechs mit 2 Fümfen und 2 Zweien) gut merken...Und ja, wenn Du Dir eigens was ausdenkst - noch 'bessär'!

Dann: Syno Firewall aus und mal mit nem FileZilla intern vom heimischen Rechner ne SFTP Verbindung auf die IP (192.168.....) vom NAS aufgebaut und getestet... Geht das - dann den nächsten Schritt - von außen