- Registriert
- 29. Nov. 2013
- Beiträge
- 2.054
- Reaktionspunkte
- 47
- Punkte
- 94
Wieso ist bei 2 Diensten ein Strich statt einem Haken
- Ersteller Swp2000
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
- Status
wenn du mit der Maus über den Strich fährst, siehst du den Grund: nur einige IP-Adressen zugelassen...
Stefan
Stefan
- Registriert
- 29. Nov. 2013
- Beiträge
- 2.054
- Reaktionspunkte
- 47
- Punkte
- 94
wie meinst du das, wie sie aussehen. Die angegebenen Dienste haben alle ein Haken in der FW
Der LAN1 wird abgelehnt. Einen anderen Lan benutze ich nicht. Aber wieso wird er abgelehnt?
Bei der Frage warum da was abgelehnt wird, kommen wir wieder zu Frogmans Frage... vielleicht aber noch genauer: welche IP-Adressen sind denn für die Dienste freigegeben?
Stefan
Stefan
- Registriert
- 29. Nov. 2013
- Beiträge
- 2.054
- Reaktionspunkte
- 47
- Punkte
- 94
- Registriert
- 29. Nov. 2013
- Beiträge
- 2.054
- Reaktionspunkte
- 47
- Punkte
- 94
Und wo finde ich diese Einstellung bzw. wo stellt man das ein? Ich kann mich nicht erinnern hier eine Einstellung vorgenommen zu haben.
wenn ich mir z.B. die Netzwerksicherung anschaue, dann ist sie prinzipiell aktiviert, aber über die Firewall nicht erreichbar ... für den vpn-Server sind nicht alle Ports freigegeben... die Audiostation ist über den eigenen Port auch nicht erreichbar ...
Mit dieser einzigen Regel würde ich mich nicht wundern, wenn da manchmal was "klemmt"... Mit der Regel kannst du die Firewall auch getrost deaktivieren...
Stefan
Mit dieser einzigen Regel würde ich mich nicht wundern, wenn da manchmal was "klemmt"... Mit der Regel kannst du die Firewall auch getrost deaktivieren...
Stefan
- Registriert
- 29. Nov. 2013
- Beiträge
- 2.054
- Reaktionspunkte
- 47
- Punkte
- 94
Wieso mit dieser einzigen Regel? Ich gebe in ihr ja nur frei was ich benötige?! Oder muss ich für jedes einzeln eine Regel definieren?
Bezügli. FW des VPN. Ich muss ja nur diesen VPN freigeben welchen ich auch verwende und das ist IPsec, kein Open und kein PPTP oder etwa nicht?
Den Port für die Audio-Station ist dort ja garnicht angegeben da diese ja über den 5000er läuft und somit mit der Verwaltungsoberfläche schon freigegeben ist.
Oder was hast du daran auszusetzen? Tut mir Leid aber ich weiß es eben nicht besser und hab das eingestellt was mir logisch erscheint. Für Verbesserungen bin ich natürlich offen.
Bezügli. FW des VPN. Ich muss ja nur diesen VPN freigeben welchen ich auch verwende und das ist IPsec, kein Open und kein PPTP oder etwa nicht?
Den Port für die Audio-Station ist dort ja garnicht angegeben da diese ja über den 5000er läuft und somit mit der Verwaltungsoberfläche schon freigegeben ist.
Oder was hast du daran auszusetzen? Tut mir Leid aber ich weiß es eben nicht besser und hab das eingestellt was mir logisch erscheint. Für Verbesserungen bin ich natürlich offen.
mit den Ports für vpn, audiostation usw. wollte ich dir nur erklären warum der Strich dort zu sehen ist..
Dass du das eingestellt hast, was für dich logisch ist, ist in Ordnung, ich wollte dir auch gar nicht zu nahe treten..
Zur Firewall an sich:
Mal erst brauchst du gar keine Firewall... denn ohne eine Portweiterleitung ist die syno sowieso nicht erreichbar. Außer du betreibst die syno am DMZ-Port/WAN-Port (ich weiß nicht wie die bei den jeweiligen Routern genau heißen), denn über den wäre die komplette syno erreichbar. Hier ist eine Firewall notwendig, hier ist sie Pflicht..
Wenn man die Firewall einschaltet, sollte man das eigene Netz (bei ner Fritzbox meist 192.168.178.x) als Oberstes eintragen und keine Einschränkungen definieren (dem eigenen Netz sollte man schon vertrauen können, bin ich der Meinung).
Dann kann man für bestimmte externe IP-Adressen oder ganze Regionen/Länder z.B. http oder vpn freigeben. Ob du das in eine Regel packst oder in mehrere ist letztlich egal, je nachdem, ob du unterschiedliche Regionen freigeben willst oder nicht...
Als letztes dann, wie es bei dir schon richtig ist: wenn keine Regel zutrifft, alles blocken.
Zu deiner Regel:
Ich nehme jetzt mal an, dass im Router nur vpn und http(s) weitergeleitet werden, dann sind die restlichen Einschränkungen nicht notwendig, weil außer deinem internen Netz keiner drankommt... Anderseits hast du die freigebenen Ports für alle(!) freigegeben, womit es für diese Ports gar keine Einschränkungen gäbe (ok, da die meisten Ports ohne Weiterleitung eh nicht erreichbar sind, wäre das nicht so schlimm)...
Du machst dir das Leben evtl. unnötig schwer: Wenn du nun neue Pakete installierst, musst du jedesmal an die Firewall denken, und ggf. entsprechend erweitern.
Mit einer Regel für dein eigenes Netz, hättest du dann eine Fehlerquelle weniger (und diese Fehlerquelle taucht hier im Forum öfter mal auf)...
Alles klar?
Stefan
Dass du das eingestellt hast, was für dich logisch ist, ist in Ordnung, ich wollte dir auch gar nicht zu nahe treten..
Zur Firewall an sich:
Mal erst brauchst du gar keine Firewall... denn ohne eine Portweiterleitung ist die syno sowieso nicht erreichbar. Außer du betreibst die syno am DMZ-Port/WAN-Port (ich weiß nicht wie die bei den jeweiligen Routern genau heißen), denn über den wäre die komplette syno erreichbar. Hier ist eine Firewall notwendig, hier ist sie Pflicht..
Wenn man die Firewall einschaltet, sollte man das eigene Netz (bei ner Fritzbox meist 192.168.178.x) als Oberstes eintragen und keine Einschränkungen definieren (dem eigenen Netz sollte man schon vertrauen können, bin ich der Meinung).
Dann kann man für bestimmte externe IP-Adressen oder ganze Regionen/Länder z.B. http oder vpn freigeben. Ob du das in eine Regel packst oder in mehrere ist letztlich egal, je nachdem, ob du unterschiedliche Regionen freigeben willst oder nicht...
Als letztes dann, wie es bei dir schon richtig ist: wenn keine Regel zutrifft, alles blocken.
Zu deiner Regel:
Ich nehme jetzt mal an, dass im Router nur vpn und http(s) weitergeleitet werden, dann sind die restlichen Einschränkungen nicht notwendig, weil außer deinem internen Netz keiner drankommt... Anderseits hast du die freigebenen Ports für alle(!) freigegeben, womit es für diese Ports gar keine Einschränkungen gäbe (ok, da die meisten Ports ohne Weiterleitung eh nicht erreichbar sind, wäre das nicht so schlimm)...
Du machst dir das Leben evtl. unnötig schwer: Wenn du nun neue Pakete installierst, musst du jedesmal an die Firewall denken, und ggf. entsprechend erweitern.
Mit einer Regel für dein eigenes Netz, hättest du dann eine Fehlerquelle weniger (und diese Fehlerquelle taucht hier im Forum öfter mal auf)...
Alles klar?
Stefan
- Registriert
- 26. Okt. 2009
- Beiträge
- 10.175
- Reaktionspunkte
- 2.351
- Punkte
- 389
- Registriert
- 29. Nov. 2013
- Beiträge
- 2.054
- Reaktionspunkte
- 47
- Punkte
- 94
Danke. Zu Nahe getreten bist du mir nicht. Ich habe dir nur versucht zu erklären das ich es eben nicht besser weiß.
Wie meinst du das meinem eigenen Netz vertrauen? Ich lege eine Regel an mit der Router IP und Hake alles in der Liste an was anzuhaken geht? Nur die Frage der Port für die Audio-Station welcher ist das? Da diese ja nicht namentlich erwähnt wird?
Ich habe es deswegen von extern offen, da ich ja nicht weiß mit welcher IP-sich meine Kollegen auf die DS enloggen. Wenn ich nicht für "alle" wähle kommen dieja nicht per WebDav beisplw. drauf, oder sehe ich das falsch?
Wie meinst du das meinem eigenen Netz vertrauen? Ich lege eine Regel an mit der Router IP und Hake alles in der Liste an was anzuhaken geht? Nur die Frage der Port für die Audio-Station welcher ist das? Da diese ja nicht namentlich erwähnt wird?
Ich habe es deswegen von extern offen, da ich ja nicht weiß mit welcher IP-sich meine Kollegen auf die DS enloggen. Wenn ich nicht für "alle" wähle kommen dieja nicht per WebDav beisplw. drauf, oder sehe ich das falsch?
nicht die Router-IP, sondern die vom ganzen Netz 192.168.178.1 (das ist wahrscheinlich die Fritte) bis 192.168.178.254 auf "alles zulassen". Damit kannst du aus deinem Heimnetz ohne Einschränkung auf alle Dienste der syno zugreifen.
Den Port für die Audiostation kannst du über das "Anwendungsportal" in der Systemsteuerung selber definieren, Vorgabe ist 8800/8801...
Webdav der syno ist 5005/5006...
Mal anders gefragt: auf was sollen sich die Kollegen verbinden (webdav, http,...) und was wird über den Router alles weitergeleitet?
Stefan
Den Port für die Audiostation kannst du über das "Anwendungsportal" in der Systemsteuerung selber definieren, Vorgabe ist 8800/8801...
Webdav der syno ist 5005/5006...
Mal anders gefragt: auf was sollen sich die Kollegen verbinden (webdav, http,...) und was wird über den Router alles weitergeleitet?
Stefan
- Registriert
- 29. Nov. 2013
- Beiträge
- 2.054
- Reaktionspunkte
- 47
- Punkte
- 94
Ok, dann werde ich das nachholen. Jedoch dürfte es mit meiner Einstellung "alle" ja ebenso erfüllt sein mit der Zugabe das der Rest der sich verbindet eben auch drauf kann.
8800/8801 ? In den Portfreigaben von Synology auf der HP steht das aber nicht. Woher weiss man diese Ports dann??
2 Nutzer sollen mit WebDav sich verbinden, deswegen habe ich auch nur den https Port 5006 im Router weitergeleitet und auch nur diesen Zugelassen, den 5005 habe ich deswegen auch nicht beachtet. Desweiteren generiere ich für über die Filestation einen Downloadlink den ich dann per Email weiterschicke. Zudem lege ich auf der Syno meine ebay Bilder ab, auf die dann in der Auktion zugegriffen werden.
Was empfiehlst du?
8800/8801 ? In den Portfreigaben von Synology auf der HP steht das aber nicht. Woher weiss man diese Ports dann??
2 Nutzer sollen mit WebDav sich verbinden, deswegen habe ich auch nur den https Port 5006 im Router weitergeleitet und auch nur diesen Zugelassen, den 5005 habe ich deswegen auch nicht beachtet. Desweiteren generiere ich für über die Filestation einen Downloadlink den ich dann per Email weiterschicke. Zudem lege ich auf der Syno meine ebay Bilder ab, auf die dann in der Auktion zugegriffen werden.
Was empfiehlst du?
du hast also zwei Ports weitergeleitet: 5006 und Port 80 (oder evtl. noch 443). Dann gibt es zwei Varianten:
1. du schaltest die Firewall aus! Wie oben schon mal gesagt, brauchst du sie nicht für intern und wenn du die zwei bzw. drei Ports sowieso von überall erreichen willst, brauchst du nichts zu aktivieren.
2. du schaltest sie ein. Erste Regel: dein Netzwerk zu lassen (also Subnetz 192.168.178.0 mit der Subnetz-Maske 255.255.255.0).
Zweite Regel: aus der Liste der Anwendungen "Web Station, Photo Station,.." (gibt es einmal mit https und einmal mit http) und "WebDAV mit htttps" auswählen und dann z.B. nur für Deutschland zulassen. Damit sperrst du alle anderen aus und bist das von Tommes erwähnte "Grundrauschen" los. Wenn dich aber jemand hacken will, wird er das dennoch tun...
Du könntest auch zwei Regeln machen: die für http(s) für alle (ich weiß ja nicht wo der Kundenkreis so sitzt) und webdav für die Kollegen die nur in Deutschland sitzen den Webdav auch nur für Deutschland freigeben...
Ganz unten dann noch "Wenn nichts zutrifft, Zugriff blockieren".
Wenn du noch vpn aktivieren willst, machst du entweder eine neue Regel oder packst vpn noch in die andere Regel mit rein.
Für vpn solltest du aber noch eine Regel direkt hinter dein normales Subnetz setzen: das komplette Subnetz, mit dem du über vpn reinkommst, sonst sperrst du dich über vpn von der syno aus
Die speziellen Ports z.B. für die Audiostation sieht man über das Anwendungsportal (dort kann man sie auch ggf. selber ändern). Nach der Aktivierung dieser Ports tauchen sie aber auch in der Firewall zum Anhaken auf..
Beim Download-Link muss natürlich noch der Port freigegeben werden, der dort im E-Mail-Link auftaucht. Über die Filestation direkt, ist das 7001 aus dem DSM heraus 5000/5001 (aber die Admin-Ports möchte man ja nicht freigeben...)
Stefan
1. du schaltest die Firewall aus! Wie oben schon mal gesagt, brauchst du sie nicht für intern und wenn du die zwei bzw. drei Ports sowieso von überall erreichen willst, brauchst du nichts zu aktivieren.
2. du schaltest sie ein. Erste Regel: dein Netzwerk zu lassen (also Subnetz 192.168.178.0 mit der Subnetz-Maske 255.255.255.0).
Zweite Regel: aus der Liste der Anwendungen "Web Station, Photo Station,.." (gibt es einmal mit https und einmal mit http) und "WebDAV mit htttps" auswählen und dann z.B. nur für Deutschland zulassen. Damit sperrst du alle anderen aus und bist das von Tommes erwähnte "Grundrauschen" los. Wenn dich aber jemand hacken will, wird er das dennoch tun...
Du könntest auch zwei Regeln machen: die für http(s) für alle (ich weiß ja nicht wo der Kundenkreis so sitzt) und webdav für die Kollegen die nur in Deutschland sitzen den Webdav auch nur für Deutschland freigeben...
Ganz unten dann noch "Wenn nichts zutrifft, Zugriff blockieren".
Wenn du noch vpn aktivieren willst, machst du entweder eine neue Regel oder packst vpn noch in die andere Regel mit rein.
Für vpn solltest du aber noch eine Regel direkt hinter dein normales Subnetz setzen: das komplette Subnetz, mit dem du über vpn reinkommst, sonst sperrst du dich über vpn von der syno aus
Die speziellen Ports z.B. für die Audiostation sieht man über das Anwendungsportal (dort kann man sie auch ggf. selber ändern). Nach der Aktivierung dieser Ports tauchen sie aber auch in der Firewall zum Anhaken auf..
Beim Download-Link muss natürlich noch der Port freigegeben werden, der dort im E-Mail-Link auftaucht. Über die Filestation direkt, ist das 7001 aus dem DSM heraus 5000/5001 (aber die Admin-Ports möchte man ja nicht freigeben...)
Stefan
- Registriert
- 29. Nov. 2013
- Beiträge
- 2.054
- Reaktionspunkte
- 47
- Punkte
- 94
Also die Leute die sich darauf verbinden sind alles aus Deutschland. Evtl. ist mal einer dabei aus einem anderen Land. Jedoch möchte ich für diesen nur den Link per Filestation zum Download anbieten. Dementsprechend muss ich dann die Freigabe für das Land in der er ist nehmen sowie den Port für die Filestation anhaken (7001) und dann sollte es funktionieren?
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
