Anleitung für externen Zugriff

[skeunig]

Hallo zusammen,

gibt es hier im Forum eigentlich schon eine Schritt für Schritt Anleitung, wie man auf der Synology einen externen Zugriff einrichtet und dies ohne Quick Connect ?

Eventuell die auch die Vor- und Nachteile aufzählt. Was man mit IPV6 und IPV4 beachten muss.

Bin am überlegen, mit eurer Hilfe hier so eine Anleitung zu erstellen, falls es so etwas noch nicht gibt

 

[mayo007]

Gibt doch hier ne Anleitung


https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/connection_ddns?version=7

 

[skeunig]

Gibt doch hier ne Anleitung


https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/connection_ddns?version=7

Das ist ja nur eine kleine Kurzanleitung und vergisst die Port Freigabe in der Fritz!Box komplett. Sowie auch welche Probleme es mit IPV4 und IPV6 gibt. Auch ob man besser den Dyn DNS Dienst auf der Fritz!Box oder der Synologie einrichten sollte. Für Anfänger denke ich, wäre so eine gut Anleitung schon gold wert.

 

[alexhell]

Ich frage mich, ob jemand der wirklich keine Ahnung hat von dem Thema sowas einrichten sollte. Die nächsten Threads sind dann fragen wie man an seine Daten wieder kommt wenn die Platte gehackt wurde.
Ich bin der Meinung, die Leute können/sollten bevor sie sowas machen sich auch in das Thema einarbeiten. Wenn man sich nur ein bisschen damit befasst wie sowas funktioniert, dann bekommt man das sehr schnell hin. Wer stumpf nur eine Liste abarbeitet ohne sich Gedanken zu machen und ohne zu wissen was er da gerade eigentlich konfiguriert, der wird auch nicht sein System ordentlich absichern.

 

[mayo007]

und vergisst die Port Freigabe in der Fritz!Box komplett.

Jup hat ja auch nicht jeder ne Fritzbox.:

zum Thema Portweiterleitung:
https://kb.synology.com/de-de/DSM/tutorial/Quick_Start_External_Access

 

[skeunig]

Ich frage mich, ob jemand der wirklich keine Ahnung hat von dem Thema sowas einrichten sollte. Die nächsten Threads sind dann fragen wie man an seine Daten wieder kommt wenn die Platte gehackt wurde.
Ich bin der Meinung, die Leute können/sollten bevor sie sowas machen sich auch in das Thema einarbeiten. Wenn man sich nur ein bisschen damit befasst wie sowas funktioniert, dann bekommt man das sehr schnell hin. Wer stumpf nur eine Liste abarbeitet ohne sich Gedanken zu machen und ohne zu wissen was er da gerade eigentlich konfiguriert, der wird auch nicht sein System ordentlich absichern.

Das ist natürlich ein Argument aber man könnte ja ganz oben darauf hinweisen und es erspart schon viel Zeit un d vorallem macht es dann auch jeder richtig. Die Sicherheitseinstellungen sind ja immer die gleichen und diese kann man ja auflisten.

Aber das heißt auch so eine Anleitung gibt es hier im Forum noch nicht ?

 

[skeunig]

Jup hat ja auch nicht jeder ne Fritzbox.:

zum Thema Portweiterleitung:
https://kb.synology.com/de-de/DSM/tutorial/Quick_Start_External_Access
Anhang anzeigen 79418

Das stimmt aber die meisten ja heutzutage schon. Zumindext würde man damit schon mal den großteil der Nutzer ansprechen

 

[skeunig]

Ich habe zum Beispiel auch noch Verständnissfragen:

Sollte man den DynDNS Dienst besser direkt in der Synologie einrichten oder besser nur auf dem Router ?
Was ist sicherer ...

So könnte man auch noch ein paar Fragen sammeln und die Antworten dann in die Anleitung einarbeiten.

 

[ottosykora]

Das stimmt aber die meisten ja heutzutage schon.

dann bist du aber sehr lokal patriotisch eingeschränkt

Denkst du .de sein schon die ganze Welt?

 

[ctrlaltdelete]

Die Idee einer Anleitung hatte ich auch schon, weil gefühlt schon 100 mal das Thema hier erläutert wurde. Mal sehen wenn ich mal ganz viel Zeit habe:
Die verschiedenen Möglichkeiten, das Risiko, die Sinnhaftigkeit und die Umsetzung.

 

[ctrlaltdelete]

@ottosykora man kann es ja auch allgemein für einen Router beschreiben, ist ja nur das Portforwarding und DNS.

 

[ctrlaltdelete]

Ich denke die Punkte wären:
- Technische Klärung, geht das überhaupt mit meinem Internetanschluß
- Firewall
- IP-Blockliste automatisch
- Portforwarding
- Dyndns
- Subdomains
- Reverse Proxy
- Zertifikat (Wildcard per acme.sh)

Oder habe ich was vergessen?

 

[alexhell]

Das ist natürlich ein Argument aber man könnte ja ganz oben darauf hinweisen und es erspart schon viel Zeit un d vorallem macht es dann auch jeder richtig. Die Sicherheitseinstellungen sind ja immer die gleichen und diese kann man ja auflisten.

Das Problem bleibt, aber dass die Leute dann nicht wissen was sie eigentlich konfiguriert haben. Beim ersten Problem was auftaucht sind die Leute aufgeschmissen, weil sie nicht wissen was es überhaupt sein könnte.
Jemand der seine Synology/Pi oder ähnliches von außen erreichbar machen will und sich damit mehr als 1 Minute befasst, der findet wahrscheinlich genug Anleitungen im Netz.

man kann es ja auch allgemein für einen Router beschreiben, ist ja nur das Portforwarding und DNS.

Ja, aber das wäre ja keine stumpfe Liste die man nur abarbeiten muss. Und so hab ich es hier verstanden. Einfach Step für Step und fertig. Wenn man eine Anleitung machen würde mit den Möglichkeiten und den Risiken usw. dann wäre das was anderes. Aber da würde ich keine Step für Step Anleitung erwarten. Die Leute können ruhig mal mitdenken und sich selber was erarbeiten.

Sollte man den DynDNS Dienst besser direkt in der Synologie einrichten oder besser nur auf dem Router ?
Was ist sicherer ...

Das ist so ziemlich egal. Das ist nur eine ausgehende Verbindung.

 

[ottosykora]

Sollte man den DynDNS Dienst besser direkt in der Synologie einrichten oder besser nur auf dem Router ?
Was ist sicherer ...

also eigentlich kannst du nur einen DDNS Updater in deinem Netzwerk betreiben. Das kann einfach ein Gerät sein, welches bei einer Änderung der IP dies an den DDNS Dienst meldet.
Es gibt Leute die behaupten das sei schneller wenn es auf dem Router ist, aber man kann alles verwenden. Bei einer Installation geht es auch mit einem ur alten Smartphone.
Ob die neue IP um Milisekunden schneller übermittelt wird oder nicht betrachte ich halt nicht.

Meine private DS macht den Update bei mir, in der Arbeit macht ein Router der sich innerhalb des Netzwerkes befindet,also nicht der welcher die Aussenverbindung macht.

 

[skeunig]

Ich denke die Punkte wären:
- Technische Klärung, geht das überhaupt mit meinem Internetanschluß
- Firewall
- IP-Blockliste automatisch
- Portforwarding
- Dyndns
- Subdomains
- Reverse Proxy
- Zertifikat (Wildcard per acme.sh)

Oder habe ich was vergessen?

Das finde ich schon mal eine super Liste. Denke das Thema IPV4/6 würde dann unter den Punkt "Technische Klärung" fallen?
- Das man nicht die regulären Ports verwenden soll

 

[Andy+]

Für diese Geschichte würde ich im Router einen Eintrag hinterlegen, wenn das eine Fritzbox ist, am besten bei einem dort hinterlegten Anbieter, dann hat man kein Konfiggedöns. Wenn man den ganz einfachen und auch gut funktionierenden Weg gehen möchte, meldet man die Fritzbox bei MyFritz an und hat die DNS ohne grosse Umwege. Der kurze Weg wäre dann

- Dyndns
- Portforwarding
- Zertifikat, kann bei einer Fritzbox gleich mit bei Lets-Encrypt eingetütet werden.

für die Basis.

 

[ctrlaltdelete]

geht aber nicht für mehrere Dienste unter Nutzung des Reverse Proxies
edit: Ich will ja möglichst nur einen Port öffnen: 443

Thema IPV4/6 würde dann unter den Punkt "Technische Klärung" fallen

korrekt, das ist richtig, bzw.

Dual Stack Lite​

 

[skeunig]

Dazu auch noch eine kleine Frage, ich bin in dem Thema Reverse Proxies auch noch nicht so drin...
Auch da sollte man in einer Anleitung einfach kurz und knapp erwähnen, was die Vorteile sind...

Wenn ich den Reverse Proxie auf meiner Synology benutzte, bietet mir das die Möglichkeit bei meinem Router nur einen Port zu öffnen, zum Beispiel den Port 443 und ich kann trotzdem auch andere Dienste damit erreichen wie Port 5000 oder Port 80 ?

Heißt ich habe bei meiner Firewall nur eine Tür geöffnet, kann aber trozdem alles erreichen ?
Normalerweise müsste ich ja für jeden Dienst (Synology Photo, Drive...) eine Tür in meiner Firewall öffnen.

 

[Andy+]

Dann bleibt ohnehin nur die Variante über die DS. Für Deine Dienste legst Du jeweils eine DynDNS bei einem Anbieter an und hinterlegst diese im DSM. Für jeden Eintrag ein Zertifikat anlegen und den ReverseProxy einrichten und über die jeweilige DNS dann Deine Dienste ansteuern.

 

[alexhell]

Man kann ja auch ein Wildcard Zertifikat und DNS Record anlegen. Dann muss man nichts mehr konfigurieren und kann einfach nur über den Reverse Proxy steuern was erreicht werden soll.