Anleitung für externen Zugriff

[Benie]

Ich frage mich, ob jemand der wirklich keine Ahnung hat von dem Thema sowas einrichten sollte

Wer entscheidet denn so etwas? Und ohne Ahnung schon garnicht schnell.

Platte gehackt wurde.
Ich bin der Meinung, die Leute können/sollten bevor sie sowas machen sich auch in das Thema einarbeiten. Wenn man sich nur ein bisschen damit befasst wie sowas funktioniert, dann bekommt man das sehr schnell hin

Nicht jeder kommt aus dem IT-Bereich

Die Idee einer Anleitung hatte ich auch schon, weil gefühlt schon 100 mal das Thema hier erläutert wurde.

Da bin ich ganz bei @ctrlaltdelete

So etwas könnte man im Forum Wiki einbringen.


Lieber einen Vernünftigen Weg aufzeigen, hier und da links und rechts ein bisschen erklärt und auf, ich sag mal Gefahren, hingewiesen.

Das ist besser als wenn jeder versucht das irgendwie hin zu frickeln und dabei erst recht Fehler macht, weil er irgendwo Scheunentore aufläßt.

Auch wenn VPN eben sehr sicher ist, es darf nicht due herrschende Meinung sein, dass nur das in Ordnung ist.
Denn somit würden viele diesbezüglich auf der Strecke bleiben. Letztlich sollte dann auch zumindest der Weg ohne VPN auch dabei sein und wie man diesen dann bestmöglich sicher Macht.

 

[ctrlaltdelete]

@skeunig
Genau das ist der Vorteil des Reverse Proxy, man arbeitet mit verschiedenen Subdomains und nur einem offenen Port:

https://ds.meinname.de: extern 443 intern 5001
https://ss.meinname.de: extern 443 intern 9901
undsoweiter

 

[skeunig]

Auch wenn VPN eben sehr sicher ist, es darf nicht due herrschende Meinung sein, dass nur das in Ordnung ist.
Denn somit würden viele diesbezüglich auf der Strecke bleiben. Letztlich sollte dann auch zumindest der Weg ohne VPN auch dabei sein und wie man diesen dann bestmöglich sicher Macht.

So sehe ich das nämlich auch.

VPN ist sicher und einfach. Vor allem mit WireGuard und der Fritz. Box

Aber ich denke, viele wollen halt auch mal Bilder mit anderen teilen oder auch Bilder sammeln von einer Hochzeit zu, Beispiel. Da finde ich die Funktion von Synology Photos sehr gut.

Nur für diese Geschichten bringt VPN halt leider nichts.

Von daher ist es ja schon fast eine Pflicht ;-) neben dem VPN weg auch den anderen Weg aufzuzeigen.

Wie du schreibst mit ein paar Hinweisen und Sicherheitsbenken

Und soviel Aufwand ist das bestimmt gar nicht, wenn man mal alle Infos zu den Punkten zusammen hat

 

[Andy+]

ein Wildcard Zertifikat und DNS Record anlegen

Das geht aber nicht über einen üblichen DynDNS-Account, oder bin ich da nicht richtig? Wenn doch, wie wird das hinterlegt, zB. bei SPDYN?

 

[ctrlaltdelete]

Deshalb einfach eine Domain kaufen bei z.B. netcup für keine Ahnung 1,59 €/Jahr am schwarzen Freitag und a Ruh is.
Und dann Docker acme.sh und wieder a Ruh is

 

[ottosykora]

Ja, so eine kleine Syno ist ein Consumer Gerät, so wie TV oder sonst eine Heimelektronik. Das kauft man für wenig Geld und darf damit spielen und eben erste Schritte in Netzwerktechnik und ähnlichem versuchen.
Zu behaupten man muss zuerst IT studieren um es zu verwenden ist ganz sicher falsch. Es ist für normale Verbraucher vorgesehen und soll von diesen auch verwendet werden dürfen. Ja, Technik Freaks können sich da austoben und alles absolut sicher machen oder den Anfängern nur sagen das kannst du nicht, das ist zu gefährlich, aber das ist nicht der Sinn der Sache.
Die meisten Leute haben ein Smartphone und können es benutzen ohne eine IT Consulting Firma dahinter. Den Notebook zu hause richten sich viele auch selber ein, auch wenn einige IT Fachleute dies als Anfang vom Weltuntergang betrachten. (gehen denen Aufträge verloren?)

 

[skeunig]

@skeunig
Genau das ist der Vorteil des Reverse Proxy, man arbeitet mit verschiedenen Subdomains und nur einem offenen Port:

https://ds.meinname.de: extern 443 intern 5001
https://ss.meinname.de: extern 443 intern 9901
undsoweiter

Das ist ja genial

Ich fasse das nochmal für mich kurz zusammen.

Ich lege mir beim Anbieter meiner Wahl verschiedene Subdomains an zum Beispiel:

photo.vorname-nachname.de
drive.vorname-nachname.de
überwachung.vorname-nachname.de
notes.vorname-nachname.de

- Dann trage ich jede einzelne dieser Subdomains in der Synology unter DDNS ein.
- Dann erstelle ich auf der Synology unter dem Punkt Reverse Proxy für jeden Dienst (Foto, Drive, usw.) einen Eintrag
Trage dort für jeden Dienst meine Subdomain ein, meinen externen Port den ich auf der Fritz!Box geöffnet habe

Und sage bei Ziel, er soll auf die IP meine Fritz!Box gehen und dann den Port xxx damit verknüpfen. Und über den Port weiß,
Die Synology, welches Programm sie ansprechen muss.

Heißt ich habe schön für jedes Programm eine externe Domian, ich habe bei der Fritz!Box nur einen einzigen Port offen und kann trotzdem alle meine Programme wie drive,photo usw. erreichen?

 

[alexhell]

Es soll auch jeder für sich selber entscheiden, ob er es freigeben will. Nur komplett ohne Vorkenntnisse finde ich eine Step by Step Liste halt falsch. Was spricht denn dagegen, dass die Leute sich erstmal einlesen? Niemand muss irgendwas mit IT studiert haben. Das hab ich ja nie geschrieben. Aber wenn jemand nicht mal weiß was eine Portfreigabe ist, dann halte ich es für fragwürdig, dass man stumpf eine Anleitung befolgt ohne es zu verstehen. Die Leute aktivieren auch die Checkbox, dass die Geräte selber die Ports öffnen dürfen, weil sie nicht wissen was das bedeutet. Ich finde es gut, wenn die Leute sich mehr trauen und auch mehr lernen wollen und sich dann an sowas austoben. Mir ging es nur um die Leute jeden Schritt genau gezeigt bekommen wollen und am Besten davon nix hinterfragen. Und das bezieht sich nicht nur auf Freigabe von außen, sondern auf alles. Wenn jemand eine Anleitung macht wo auch die Risiken stehen und man nicht nur Punkt 1 bis Punkt X abarbeiten soll (am besten genaue Screenshots) dann finde ich das gut. Mir geht es nur um eine Art Checkliste die man nur abhaken kann.

 

[ctrlaltdelete]

Dann muss die Anleitung gut sein und bei jedem Step auf die Nachteile/Gefahren hinweisen.
Wobei ich bei Reverse Proxy mit Subdomains über DNS-Records keine Gefahr sehe, da die Subdomains unbekannt sind.

Edit: Wahllos Ports zu öffnen, weil ich die Möglichkeit des Reverse Proxies nicht kenne, finde ich gefährlicher, am besten noch die automatische Routerconfig des DSM dafür nutzen, puuuaaahhh.
Edit2: Bei mir klopfen die "freundlichen" nur am Router an und da dieser keinen Standarduser und ein sicheres Passwort hat, ist das safe.

 

[alexhell]

Dann muss die Anleitung gut sein und bei jedem Step auf die Nachteile/Gefahren hinweisen.

Ja so, dass die Leute was lernen würden und nicht nur stumpf was zusammenklicken

Wobei ich bei Reverse Proxy mit Subdomains über DNS-Records keine Gefahr sehe, da die Subdomains unbekannt sind.

Ja das stimme ich dir zu. Aber wie viele Leute geben einfach den Port 5001 frei, weil das auf irgendeiner Seite so stand.

 

[skeunig]

Edit: Wahllos Ports zu öffnen, weil ich die Möglichkeit des Reverse Proxies nicht kenne, finde ich gefährlicher, am besten noch die automatische Routerconfig des DSM dafür nutzen, puuuaaahhh.

So ist es nämlich.

Bestes Beispiel ich
beschäftige mich schon sehdamit aber diese Funktion ist mir auch neu.
Ich habe halt die Standart Ports abgeändert, für mehr sicherheit aber hab trotzdem einige Ports offen.
Wenn ich jetzt nur noch einen offen haben muss, dann bringt das schon mehr Sicherheit und es ist auch relativ einfach einzurichten

 

[Andy+]

ohne Vorkenntnisse finde ich eine Step by Step Liste halt falsch. Was spricht denn dagegen, dass die Leute sich erstmal einlesen?

Ich finde das schon auch ganz gut, eine gewisse Ahnung zu haben. Ich hatte auch schon ellenlange IP-Blockierlisten durch automatische IP-Blockaden, verursacht durch Anfragen aus aller Welt, nur weil ein Port offen war und dessen Nr. dann doch zu erraten war. Dank automatischer Blockierung, kein Thema, nichts ist passiert. Aber es zeigt, welchen Gefahren uU. die eigenen Daten ausgesetzt sind, wenn solche Gangster durchkommen und machen sich breit. Und es ist eine Frechheit, mit welcher Systemmatik bei solchen Attacken aus den verschiedensten Richtungen mit immer neuen IP´s auf den Server losgegangen wird.

 

[ctrlaltdelete]

Die Erstellung der Anleitung wäre doch was für @Kurt-oe1kyw, der macht doch öfters so super bebilderte Beschreibungen

 

[Thonav]

Und wenn es dann bei einem zu Problemen kommt weil er beim copy & paste doch einen Fehler gemacht hat? Von wem will er dann Support? Oder wenn dann irgendeiner verschlüsselt hat, weil er durch irgendwelche Umstände / andere Wege einen Angriff erhalten hat? Dabei muss die Ursache nicht der externe Zugriff auf deine DS sein - es wird an der Anleitung liegen...
Es gibt genügend Anleitungen - ein wenig Zeit in Recherche sollte jeder investieren können. Ich persönlich würde keine Anleitung dazu erstellen.

 

[ctrlaltdelete]

Heißt ich habe schön für jedes Programm eine externe Domian, ich habe bei der Fritz!Box nur einen einzigen Port offen und kann trotzdem alle meine Programme wie drive,photo usw. erreichen?

Ja, ausser bei drive (das geht nicht ohne den spezifischen Port zu öffnen)
Aber der Rest deiner Ausführungen war nicht schlüssig

Edit: Die Subdomain beim Domainprovider kennt deine IP-Adresse über z.B. DYNDNS und leitet somit alle Anfragen diese Domain betreffend weiter an deine IP. Da du mit https:// anfragst, kommt das ganze auf 443 an, welcher an die DS vom Router durchgereicht wird. Der Reverse Proxy auf der DS erkennt die Anfrage und sieht von welcher Domain diese kommt und leitet sie intern gemäß der Vorgaben an die richtige interne IP und den richtigen Port.
https://mariushosting.com/synology-how-to-use-reverse-proxy-on-dsm-7/

edit2: Und das in Verbindung mit einem DNS Wildcard Eintrag für alle Subdomains macht das anlegen der verschiedenen Subdomains überflüssig.

 

[ottosykora]

Ja das stimme ich dir zu. Aber wie viele Leute geben einfach den Port 5001 frei, weil das auf irgendeiner Seite so stand.

und wo ist nun das Problem?

Ich habe die erste DS ungefähr 30 mal aufgesetzt und wieder gelöscht jedes mal wieder etwas anderes versucht und ich lebe noch.
Wem soll man einen Schaden machen wenn man 5001 verwendet?
Weil man am Anfang halt alles nach Standard macht und kann sich dann später, wenn man die Tricks herausgefunden hat etwas anderes einstellen.

Ja, auch ich finde automatische Bedienung des Routers nicht gut, aber jemand der sich gerade ein DS kauft ist sicher froh darüber dass es diese Automatik gibt. Später kann man sich nach und nach einarbeiten. Aber jemand der eine DS kauft, der braucht doch auch etwas Erfolgsgefühl, also ist es wichtig dass wenigstens etwas schon mal funktioniert.


BTW: bei meiner privaten DS lief alles mit 5000/5001 etwas 9 Jahre lang ohne Probleme. Erst als ich mal den Router wechseln musste, habe ich gleich auch noch den Port verschoben.

 

[Benie]

Und wenn es dann bei einem zu Problemen kommt weil er beim copy & paste doch einen Fehler gemacht hat? Von wem will er dann Support?

Nun ja, jedem der so etwas benutzt muß sich dessen bewußt sein, daß für Fehler die entstehen oder wenn er selbst dabei fehler macht dies auf seine eigene Kappe geht.
Niemand hier kann für so etwas die Verantwortung übernehmen. Muß ja nicht unbedingt eine Anleitung sein, Eher vielleicht als Leitfaden, an dem man sich mit ein bischen Eigenengagement entlang hangeln kann.

 

[Thonav]

Vergiss das mit dem "bewußt sein". Es gab und gibt in meinem Umfeld jede Menge Leute die wunderbar darin sind, jegliche Schuld für ihr Unwissen oder Fehler bei anderen zu suchen. In meinem Fall sind es auffällig viele Lehrer...

 

[alexhell]

Wenn etwas funktioniert, dann kümmern sich viele Leute ja auch nicht mehr weiter drum. Es werden ja auch nicht unbedingt Updates gemacht von jedem. Und wenn da ein Exploit nicht gefixt wird, dann ist das Geschrei wieder groß

Ich habe die erste DS ungefähr 30 mal aufgesetzt und wieder gelöscht jedes mal wieder etwas anderes versucht und ich lebe noch.

Ja, aber ich gehe davon aus, dass du sie dann auch nicht produktiv genutzt hast und du auch wusstest was du da machst. Wenn jemand sich so da austobt ist das ja auch toll. Aber mir ging es um die Leute die sich damit nicht befassen wollen. Es soll einfach funktionieren und fertig. Egal wie.

 

[Benie]

Es gibt für alle ein "Für" und "Wider" es sollte dabei nur nicht zum Stillstand kommen.