2FA mit Synology Secure SignIn App / 2-Faktor-Authentifizierung

[Gnomi]

Hallo,
ich habe zur Sicherheit einen Reverse Proxy auf Pi und nur die Ports 80/443 auf dem Router zum Internet als Port-Forwarding eingerichtet.
Mit unterschiedlichen Domänen komme ich damit an Photos, Wordpress etc. von außen an die Synology.
Aber die Admin über Port 5001 (dann mit interner IP-Adresse) ist nur intern oder über VPN zu erreichen.

Mit 2FA der DSM 7.x und der Synology Secure SignIn App muss nach Anleitung der Port 5001 (wenn man den Standard nicht angepasst hat) auch im Router weitergeleitet werden.
Damit ist die Synology Admin vom Internet erreichbar, was ich nicht will.
Hat jemand eine Idee, ob man die 2FA unabhängig von den Admin Zugängen behandeln kann? Extern will ich eigentlich weiterhin nur die Ports 80/443 freigeben.

Gruß
Jörg

 

[luddi]

Also jeder User kann selbst eine 2FA für sein eigenes Konto einrichten. Dazu braucht es keine Trennung oder Sonderbehandlung der Admin Accounts.
Zudem ist mir nicht klar weshalb der Port 5001 auch geöffnet sein muss.

Ich habe das soeben bei mir mit einem Testuser ausprobiert.
Im Router ist kein Port 5000/50001 für die NAS geöffnet. Einzig und allein 80/443 für den Zugriff über eine Domain.
Mit dem Testuser angemeldet und anschließend Persönlich --> Konto --> Anmeldemethode --> 2FA --> Identität mit Passwort bestätigen --> Geräte für 2FA verwalten --> Hinzufügen --> QR Code wird angezeigt --> Mit Secure SignIn App scannen und als neues Gerät hinzufügen.
Nach erfolgreicher Einrichtung den User Account abmelden.
Erneut anmelden mit User und dessen Passwort und anschließend erscheint folgende Information im Browser.



Und sofort erscheint die Anfrage auf dem Handy durch die SignIn App wie folgt:




Und das ganze ohne Port 5001 der an das NAS weitergereicht wird.

 

[Gnomi]

Danke @luddi für die schnelle Reaktion.

Bei mir ist das anders. Ich habe einmal eingerichtet:



Dann Deine beschriebenen Schritte des EInrichtens durchgeführt, wobei -> 2FA oder "Kennwortlose Anmeldung" als Optionen versucht habe.
Dabei kommt dann immer das folgende Bild und der Vorgang im Mobiltelefon bricht mit der Meldung ab: Server nicht erreichbar...



Daher meine Annahme für das Problem. Ich schaffe es nicht mit Reverse Proxy Konfiguration und meinen Einstellungen?!
Noch eine Idee?
(das Ausgegraute ist nur der Domänenname)

 

[Gnomi]

...und noch ein Hinweis: Quick-Connect ist natürlich aus Sicherheitsgründen auch nicht aktiviert, da man damit ja auch aus dem Internet direkt auf die Oberfläche der DSM kommen kann.

 

[Fusion]

Testweise mal alle Angaben unter Systemsteuerung > Externer Zugriff > Erweitert löschen und die Felder leer lassen.

Welche Adresse wird dann bei der 2FA Einrichtung angezeigt?

Ist der Domainname noch irgendwo anders in der Systemsteuerung eingetragen? DDNS, benutzerdefinierte Domains,...

 

[Gnomi]

Testweise mal alle Angaben unter Systemsteuerung > Externer Zugriff > Erweitert löschen und die Felder leer lassen.

Welche Adresse wird dann bei der 2FA Einrichtung angezeigt?

Ist der Domainname noch irgendwo anders in der Systemsteuerung eingetragen? DDNS, benutzerdefinierte Domains,...

@Fusion Danke, habe ich alles herausgenommen. Das Ergebnis ist das Gleiche. Weiterhin Port 5001 hinter der Domain.

Unter DDNS ist die Domain eingetragen. Das Funktioniert auch, da ich z.B. /Domain/photo von extern an Synology Photos komme.
"Benutzerdefinierte Domain" ist leer, da ich dies nicht verwende.
Sonst kenne ich keine Stelle, wo ich dies nochmal gesetzt habe.

 

[Fusion]

Dann mal unter Systemsteuerung > Externer Zugriff > Erweitert > https > 443 eintragen

 

[Gnomi]

Danke @Fusion
Danach ist wirklich nur noch die Domain ohne Port 5001 dahinter angezeigt.
Leider funktioniert trotzdem 2FA nicht. Auf der Android Secure App kommt immer noch timeout, da der Server nicht erreicht wird.
Ich dachte es liegt am Reverse Proxy auf meinem Pi, aber die Umlenkung der Domain/ auf Domain/Wordpress funktionier genau so, wie Domain/photos als "Geradeausweg" zu Synology Photos.
Es sieht so aus, dass die App auf Domain/webapi zugreifen will. Ich denke die von der WebStation und das müsste ja wie photos funktionieren.
Ich habe da keine Idee mehr.

 

[Fusion]

Das musst du eben herausbekommen was angefragt wird, damit du es am vorgelagerten Reverse Proxy entsprechend weiterleiten kannst.

Ansonsten nimmst halt TOTP anstatt kennwortlos, dafür braucht es keinerlei Netzwerkkontakt weil der Zeitcode allein basierend auf einem gemeinsamen Geheimnis berechnet wird auf beiden Seiten.

 

[Gnomi]

nur als Update:
Ich habe jetzt probeweise die DSM temporär mit Portweiterleitung direkt ans Internet gehängt.
Da Secure Sign ein gültiges Let's Encrypt (o.a.) Zertifikat forderte, meine Domain aber auf dem Reverse Proxy das Zertifikat hat, habe ich eine neue Synology.me Domain mit neuem Zertifikat erstellt. Die Einrichtung ging nur, wenn ich neben den Ports 80/443 auch 5001 auf dem Router freigegeben habe.
Wieder Einrichtung ohne :5001 hinter der Domain:


Ich weiß nicht, wie das nach obigen Angaben ohne 5001 funktionieren soll? Ich hatte auch mal nach Einrichtung mit 5001 Freigabe danach 5001 wieder gesperrt und schon ging Secure Sign nicht.
Unter Systemsteuerung --> externer Zugriff --> Erweitert: "neue_Domain.synology.me" Ports 80 und 443 eingetragen




Unter Systemsteuerung --> Anmeldeportal --> DSM sind unter "Webdienste" die Ports 5000 und 5001 eingetragen.


Das sind meine Beobachtungen. Also nur mit 80/443 habe ich keinen Erfolg unter den Einstellungen oben und abgeschalteten QuickConnect.

 

[Gnomi]

Update II:
ich hatte ein Ticket bei Synology erstellt und das Verhalten wurde bestätigt.
Es wurde nun als Kompromiss ein Feature-Request erstellt, dass 2FA auch ohne Quick-Connect und mit der eigenen Einstellung eines Ports oder 443 als Basis der Synology Einstellung (externer Zugriff) funktioniert.
Wie oben beschrieben kann man zwar
Systemsteuerung --> externer Zugriff --> Erweitert: "neue_Domain.synology.me" Ports 80 und 443 eintragen, wobei sich auch bei der 2FA Konfiguration der QR-Code ändert (Portangabe), aber leider keine Auswirkung hat. Es wird nämlich nur die Einstellung aus:
Control Panel > Anmeldeportal > Webdienste verwendet. Das ist aber nicht erwünscht, da nicht alle restlichen WebDienste aus dem Internet (Port 443) erreichbar sein sollen.
Für mich ist das auch ein Fehler, da der 2FA QR-Code mit einer Einstellung geändert, die Funktion allerdings über einen anderen Schalter gesteuert wird.

ggf. hilft das ja anderen.

 

[DSM_Fexxel]

@Gnomi hast du in den letzten 2 Jahren nochmal was von Synology bzgl. dem Ticket gehört? Kannst du ggf eine Ticketnummer weitergeben, damit ich die referenzierten kann? Habe quasi das gleiche Problem, würde gerne MFA für bestimmte Apps nutzen, aber scheitere an selbigem Problem.

2. Frage: gibt es die Möglichkeit die Source IP des Users vom Reverse proxy an synology weiterzuleiten und dort auszuwerten? Aktuell taucht in jedem Login nur die IP vom Reverse proxy auf.

 

[Ronny1978]

Ich glaube, das wird nicht gehen, da ja der Weg immer über die Reverse Proxy geht. Der Kontoschutz sollte aber dennoch greifen. Gepaart mit einer 2FA und evtl. Crowdsec auf dem Gateway, wo vielleicht auch der RP läuft, sollte dennoch recht guten Schutz bieten.