Anleitung für externen Zugriff

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.882
Punkte für Reaktionen
1.156
Punkte
288
Ja, aber ich gehe davon aus, dass du sie dann auch nicht produktiv genutzt hast und du auch wusstest was du da machst.
was heisst schon produktiv?

Und nein, ich wusste nicht was ich mache, darum habe ich mir die DS gekauft damit ich es erfahre. Weil ich in der Arbeit verpflichtet wurde mit Syno zu arbeiten und absolut keine Ahnung hatte, habe ich mir halt die günstigste gekauft und versucht habe alles falsch zu machen damit ich sehe was daraus wird und was dies und jenes für Effekte bringt. Und wenn irgendwelche Einstellung nicht den gewünschten Effekt brachte, dazu gibt es den Reset Knopf. Das ist alles viele einfach als bei Windows PC.
 
  • Haha
Reaktionen: ctrlaltdelete

skeunig

Benutzer
Mitglied seit
03. Mrz 2018
Beiträge
61
Punkte für Reaktionen
1
Punkte
8
Ja, ausser bei drive (das geht nicht ohne den spezifischen Port zu öffnen)
Aber der Rest deiner Ausführungen war nicht schlüssig :cool:

Edit: Die Subdomain beim Domainprovider kennt deine IP-Adresse über z.B. DYNDNS und leitet somit alle Anfragen diese Domain betreffend weiter an deine IP. Da du mit https:// anfragst, kommt das ganze auf 443 an, welcher an die DS vom Router durchgereicht wird. Der Reverse Proxy auf der DS erkennt die Anfrage und sieht von welcher Domain diese kommt und leitet sie intern gemäß der Vorgaben an die richtige interne IP und den richtigen Port.
https://mariushosting.com/synology-how-to-use-reverse-proxy-on-dsm-7/

edit2: Und das in Verbindung mit einem DNS Wildcard Eintrag für alle Subdomains macht das anlegen der verschiedenen Subdomains überflüssig.
Oh das ist ja auch eine sehr gute Anleitung.

Muss es eigentlich immer dieser Standart Port 443 sein ? weil sowohl du ihn genannt hast und er auch in diesem Beispiel genannt wird oder könnte ich auch Port 5023 dafür verwenden ?
Also das ich in der Fritzbox dann Port 5023 nur frei gebe ?
 

skeunig

Benutzer
Mitglied seit
03. Mrz 2018
Beiträge
61
Punkte für Reaktionen
1
Punkte
8
Du kannst auch 5023 freigeben, aber dann musst du das immer mit in die URL tippen. 443 ist der Port für HTTPS. Deshalb kannst du https://dienst.domain.de schreiben. Intern wird immer 443 verwendet. Wenn du 5023 freigibst, dann musst du halt https://dienst.domain.de:5023 schreiben.
Okay ich verstehe aber ist dies in diesem Fall dann kein Sicherheitsrisiko, den Port 443 Frei zugeben?

Weil Standards Ports werden doch gerne angegriffen.

Oder ist es kein Risiko, weil man intern ja andere Ports verwendet und der Reverse Proxy diese zuordnet und wenn ein Angreifer den Port 443 angreift passiert nichts, weil der Reverse Proxy damit nichts anfangen kann
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Das Problem mit Standardports ist eher, dass genau weiß was dahinter läuft. Beispiel 5001. Es ist bekannt, dass bei dem Port wahrscheinlich Synology DSM zufinden ist. Wenn es jetzt eine Sicherheitslücke gibt, dann wird einfach probiert wahllos das auszunutzen. Das selbe mit dem Anmelden. Der default Admin user ist "Admin", also probiert man sich damit einfach anzumelden. 443 ist einfach nur HTTPs. Dahinter kann alles laufen. In den meisten Fällen wird wahrscheinlich auch IP:443 nichts anzeigen. Also gibt es auch nichts anzugreifen. Weil der Reverse Proxy mit Domains arbeitet und nicht nur mit Ports, kannst du halt einen Port für alles nutzen. Es spricht auch nichts gegen 443. Um zugreifen zu können, musst du die exakte Domain kennen. Durch einen Wildcard DNS Record kann man den auch nicht auslesen.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.882
Punkte für Reaktionen
1.156
Punkte
288
bei der 'Verschleierung' der Ports meint man eigentlich vor allem an direkt Ports für eine Anwendung. Also in der Syno Welt Sachen wie 5000/5001 oder gar 22 oder so was. Nicht dass dies irgendwie eine wirkliche Bedrohung darstellt, aber nach einer Weile kann es vorkommen, dass von einem Bot der Anschluss dauernd belästigt wird und sich jemand versucht einzuloggen.

Port 443 ist für https und das verstehen eigentlich alle Server der Welt welche einen Webzugang haben. So auch dieses Forum, Pornhub, Polizei, Bahnauskunft und was auch immer. Es ist der Port für verschlüsselte Kommunikation.
 
  • Like
Reaktionen: skeunig

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.357
Punkte für Reaktionen
481
Punkte
189
Es sind die Standardports, die unabhängig von Synology ein genereller Standard sind, wie SSH/TELNET Port 22 ist sowas, FTP mit 21 usw. Diese Bots grasen sowas ab. An spezifischen Ports 5000, 5001, 7000, 7001, 6690 usw. hatte ich zB. bislang noch keine Angriffe zu verzeichen.
 
  • Like
Reaktionen: skeunig

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.036
Punkte für Reaktionen
1.618
Punkte
308
Port 443 über Reverseproxy hat auch den Charme, dass der sich in Hotel-WLAN und öffentlichen Hotspots nicht blocken lässt, weil sonst das WWW nicht mehr geht. Port 5443 ist da oft geblockt. Du kommst da dann nicht mehr auf dein NAS.
 

skeunig

Benutzer
Mitglied seit
03. Mrz 2018
Beiträge
61
Punkte für Reaktionen
1
Punkte
8
Danke Leute für den ganzen Input. Ich denke so eine Anleitung/Leitfaden wird gar nicht so groß sein.
Soviel Punkte sind es dann insgesamt nicht.

Sobald ich zuhause bin und ein bisschen Zeit habe, werde ich diese Methode mal durchtesten und wenn es funktioniert eine Anleitung schreiben.

Jetzt aber noch zu einem anderen Problem. Diese Lösung ist ja nur für nutzer die noch einen nativen IPV4 Anschluss haben (Muss erstmal selbst Prüfen, was für einen Anschluss ich besitzte :sneaky:)

Hat auch jemand damit Erfahrung wenn man einen IPV6 Anschluss besitzt.
Soweit ich jetzt gelsen habe, müssen dafür auch die Ports in der Fritzbox freigeschaltet werden ?
Funktioniert der Reverseproxy auch mit IPV6

hat damit jemand Erfahrung oder hat damit schon mal ein bisschen rumgespielt ?
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Das macht alles keinen Unterschied. Ipv6 oder ipv4 hat die selbe Vorgehensweise. Bei IPV4 aktualisiert man den A Record und bei IPV6 eben den AAAA. Man kann auch beides aktualisieren und es läuft genauso. Den Reverse Proxy interessiert nur die Domain die aufgerufen wurde. Und wenn diese aufrufbar ist, dann ist es eh schon von außen erreichbar. Bei IPV6 müssen keine Ports geöffnet werden sondern die IPV6 vom Gerät mit angegeben werden. Die Ports gibt man bei IPV4 frei.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat