SMB externer Zugriff geht nicht mehr

[paradox_hackz]

Hallo,

habe das Problem, dass ich extern nicht mehr per Windows Explorer auf mein NAS zugreifen kann. Im Netzwerk funktioniert es problemlos, nur nicht mit externer IP. Ich habe schon mehr oder weniger alles probiert und hoffe auf Hilfe. Ich benutze übrigens Windows 10.

Folgendes habe ich schon gemacht:
- Port 445 (TCP/UDP) im Router. Auch port 5000 habe ich freigeschaltet und kann damit aber problemlos extern auf das NAS zugreifen. Ich habe es mit der IP sowohl dem externen Dienst xxx.synology.me probiert.
- Port 445 in der Synology Firewall zugelassen
- SMB ist in den Dateidiensten aktiviert (SMB1-3)
- Unter Dateidienste -> Erweitert ist SSDP und WS-Discovery aktiviert

Hat jemand eine Idee was ich noch machen kann ? Es hat vor einigen Monaten noch funktioniert und habe seitdem nichts geändert. Habe es aber erst letzte Woche gemerkt da ich die Funktion so gut wie nie brauche. Habe auch die neuste DSM Version installiert.

 

[Fusion]

Ahhhhh, Wahnsinn. STOPP.
Kannst froh sein, wenn dein Internetprovider SMB/CIFS ausfiltert. Das ist nur für lokale Netze gedacht, nicht für die freie Wildbahn.

Auch unverschlüsselten DSM über Port 5000, grob fahrlässig.

Für externe Zugriff auf Netzfreigaben der NAS entweder direkt VPN oder webDAV SSL verschlüsselt nutzen.

 

[paradox_hackz]

Aus irgend einem Grund komme ich über Port 5001 nicht rein. Bekomme immer die Meldung "400 Bad Request". Das hat mit extern aber nichts zu tun, das geht auch intern nicht.


Aber mal abgesehen davon, dass es fahrlässig ist den SMB in der "freien Wildbahn" freizugeben würde ich gerne verstehen wieso es jetzt nicht mehr funktioniert

 

[TeXniXo]

"400 Bad Request"

Gibt mal vorher explizit "https://" (ohne Anführungszeichen) ein.

 

[paradox_hackz]

Mit https habe ich es schon versucht. Mein Browser beschwert sich dann, dass dies keine sichere Website ist und macht ohne SSL weiter.

Ich habe die Verbindung zum Spaß mal mit WebDav probiert und habe das gleiche Problem, dass ich nicht verbinden kann. Ports sind aber alle freigegeben. Wieso kann ich auf DSM mit Port 5000 verbinden und SMB/WebDav funktioniert nicht ? Kann ich absolut nicht nachvollziehen aber irgendwas scheine ich wohl zu übersehen

 

[tproko]

Das kann alles mögliche sein, zB. ein Browser Update. Manche Browser machen lustige Dinge wenn man Seiten ohne https abrufen will, zB. automatisch vorne ein https hinzufügen, nur weil man die Seite früher mal mit https geladen hat.

So wie du schreibst, musst du mal sicherstellen, dass er mit https/SSL weiter geht auf deine "unsichere" Seite (da es kein zertifiziertes SSL Zertifikat ist).

Je nach Browser und Version muss man das wohl unterschiedlich machen. Frühere Browser Versionen hatten dann unten sowas wie, "ich weiß was ich tue, trotzdem weitermachen". Evt. musst du bei deinem Browser diese Option extra wieder aktivieren, oder deine URL zuerst als "sicher" freischalten, dass er dich da mit https weiterlässt, daher poste mal deinen Browser+Version und evt. einen Screenshot vom Browserfenster inkl. URL + Fehlermeldung.

 

[paradox_hackz]

Mit Firefox meckert er wegen dem Zertifikat, scheint aber auf https zu bleiben. Bei Chrome bin ich nicht sicher. Auch da meckert er wegen dem Zertifikat aber im Browser is das https durchgestrichen. Ich nehme also an, dass die Verschlüsselung nicht aktiv ist.

 

[Uwe96]

Gehe doch auf erweitert und erlaube den Zugriff. Dann sollte es funktionieren.

 

[paradox_hackz]

Das mache ich auch und funktioniert soweit. Ich dachte nur, dass ich gleich Port 5000 nehmen kann wenn die Verbindung bei 5001 ohnehin unsicher ist.

Ich kann jetzt die Verbindung mit WebDav übrigens eingehen. Mit NetDrive funktioniert es nicht aber dafür mit RaiDrive. Dennoch würde mich sehr interessieren wieso es nicht mehr über SMB geht obwohl nicht gar nichts geändert habe. Irgend eine Idee ?

 

[ottosykora]

Mit Firefox meckert er wegen dem Zertifikat, scheint aber auf https zu bleiben. Bei Chrome bin ich nicht sicher. Auch da meckert er wegen dem Zertifikat aber im Browser is das https durchgestrichen.

die Verschlüsselung bleibt, aber es ist als Warnung weil das Zeirtifikat nicht öffentlich bekannt und hat von keiner bekannten Certification Authority eine Unterschrift drauf.
Du kannst aber auch das Zertifikat exportieren aus der DS, in dein Betriebssystem oder Browser importieren, dann ist alles bestätigt.

BTW: wie genau hast du versucht mit Webdav die Verbindung? SMB geht nicht über Internet, aber Webdav schon. Allerdings geht es bei Windows auch nicht von alleine.

 

[ottosykora]

wieso es nicht mehr über SMB geht obwohl nicht gar nichts geändert habe.

es ist nicht vorgesehen dass smb über Internet funktioniert.
Dazu musst du dich mit VPN mit deinem Netzwerk verbinden, dann geht smb wieder.

 

[Synchrotron]

... und auch wenn du schreibst, dass du weisst, was du tust: Schön dran denken, die vielen „versuchsweise“ aufgemachten Ports zügig wieder dicht zu machen. Sonst ist der fehlende SMB-Zugriff bald dein kleinstes Problem !

 

[tproko]

gleich Port 5000 nehmen kann wenn die Verbindung bei 5001 ohnehin unsicher ist

Naja, im internen Netz mag das wohl stimmen. Aber wenn du dein DSM nach außen verfügbar machst (warum auch immer?), dann solltest du unbedingt nur einen HTTPS Port nach außen geben.

Unsicher heißt in dem Kontext nur, dass das Zertifikat nicht von einer öffentlichen CA signiert wurde. Aber das ist für den lokalen Betrieb ok, wenn du das nicht willst, kannst du mit LetsEncyrpt Zertifikaten arbeiten. Dafür musst du aber dann mit DNS und ohne IP auf dein Gerät gehen. Für ds1819 wird kein LE Zertifikat möglich sein.

 

[paradox_hackz]

Ich wusste nicht, dass mein Browser nur meckert weil das Zertifikat nicht bekannt ist. Ich dachte, dass es dann im Allgemeinen https deaktiviert ist da das https durchgestrichen ist. Ist aber soweit füllig un Ordnung für mich, danke für die Hinweise ?

BTW: wie genau hast du versucht mit Webdav die Verbindung? SMB geht nicht über Internet, aber Webdav schon. Allerdings geht es bei Windows auch nicht von alleine.

Habe es über "Netzwerkadresse hinzufügen" probiert. Jedoch bekam ich immer eine Fehlermeldung. Nach etwas Recherche habe ich herausgefunden, dass dieses Problem recht weit verbreitet ist. Den Grund dafür konnte aber niemand nennen. Dann bin ich auf die Programme Netdrive und Raidrive gestoßen. Netdrive ging wie gesagt nicht, keine Ahnung warum. RaiDrive ging direkt problemlos und ist auch kostenlos, von daher bin ich zufrieden.

Aber wieso soll SMB nicht über Internet gehen wenn doch alle Freigaben erteilt sind ? Schließlich ging es ja lange Zeit problemlos. Auf einmal geht es aber nicht mehr und das wurmt mich. Wenn was nicht mehr funktioniert möchte ich auch gerne verstehen was der Grund dafür ist.

... und auch wenn du schreibst, dass du weisst, was du tust: Schön dran denken, die vielen „versuchsweise“ aufgemachten Ports zügig wieder dicht zu machen. Sonst ist der fehlende SMB-Zugriff bald dein kleinstes Problem !

Habe nun alle Ports geschlossen ausser 5001 und 5006 sowohl im Router als auch in der DS Firewall. Ich sehe in den Logs, dass immer wieder Russische und Amerikanische IP's versuchen sich Zugang zu meinem NAS zu verschaffen. Ich denke mal es sind Bots die IP Ranges abscannen und automatisch Brute Forcen. Hab dann erst mal von der Geoblocking-Funktion Gebrauch gemacht und den "admin" user deaktiviert.

 

[tproko]

da das https durchgestrichen ist

Genau, das heißt in dem Kontext nur "https Zertifikat ist nicht vertrauenswürdig". Trotzdem ist die Verbindung SSL-verschlüsselt.

 

[Fusion]

Windows braucht für webDAV mit SSL ein offiziell signiertes Zertifikat wie z.b. Lets Encrypt. Mit Netdrive oder Raidrive geht es auch so.

Es ist auch nicht so, dass SMB/CIFS nicht prinzipiell technisch nicht geht. Man will es aus Sicherheitsgründen einfach nicht. Deshalb filtern viele Netzbetreiber dies aus.
Warum es vorher ging und jetzt nicht mehr können wir nur spekulieren. Vielleicht ist deine Provider aufgewacht nachdem zu viele Bot Rechner in seinem Netz aktiv waren oder es war nur eine Nachlässigkeit, oder.....

Du siehst ja schon, dass regelmäßig die IP Netze abgegrast werden. Unter anderem auch mit Schwachstellen Scannern die dann gezielt nur nach Synos oder qnaps oder anderen Geräten suchen.
Deshalb ist die Zugriffsordnung im allgemeinen Konsens denke ich (was Sicherheit und/oder Datenschutz betrifft. Firewalls und vorgeschaltete Reverse Proxies mal außen vor gelassen)
- nur per VPN von außen auf einen VPN Endpunkt (dedizierte oder im Router)
- nur per VPN direkt auf die NAS
- einzelne Ports öffnen, so wenig wie irgend möglich, nur SSL, wenn möglich nicht die Standard Ports der Syno Vorauswahl
- nur Zugriff auf Anwendungen erlauben (benutzerdefinierte Ports, Alias, benutzerdefinierte Domains), DSM nur wenn es nicht mehr anders geht.

Wo Synology Quickconnect ohne Portweiterleitung liegt muss jeder selbst entscheiden über Anbietervertrauen. Aber manchmal immer noch besser als direkt Ports zu öffnen.

Muss jeder für sich entscheiden zwischen Sicherheit und Komfort. Jeder haftet für seinen eigenen Server.