Anleitung für externen Zugriff

[ottosykora]

Ja, aber ich gehe davon aus, dass du sie dann auch nicht produktiv genutzt hast und du auch wusstest was du da machst.

was heisst schon produktiv?

Und nein, ich wusste nicht was ich mache, darum habe ich mir die DS gekauft damit ich es erfahre. Weil ich in der Arbeit verpflichtet wurde mit Syno zu arbeiten und absolut keine Ahnung hatte, habe ich mir halt die günstigste gekauft und versucht habe alles falsch zu machen damit ich sehe was daraus wird und was dies und jenes für Effekte bringt. Und wenn irgendwelche Einstellung nicht den gewünschten Effekt brachte, dazu gibt es den Reset Knopf. Das ist alles viele einfach als bei Windows PC.

 

[skeunig]

Ja, ausser bei drive (das geht nicht ohne den spezifischen Port zu öffnen)
Aber der Rest deiner Ausführungen war nicht schlüssig

Edit: Die Subdomain beim Domainprovider kennt deine IP-Adresse über z.B. DYNDNS und leitet somit alle Anfragen diese Domain betreffend weiter an deine IP. Da du mit https:// anfragst, kommt das ganze auf 443 an, welcher an die DS vom Router durchgereicht wird. Der Reverse Proxy auf der DS erkennt die Anfrage und sieht von welcher Domain diese kommt und leitet sie intern gemäß der Vorgaben an die richtige interne IP und den richtigen Port.
https://mariushosting.com/synology-how-to-use-reverse-proxy-on-dsm-7/

edit2: Und das in Verbindung mit einem DNS Wildcard Eintrag für alle Subdomains macht das anlegen der verschiedenen Subdomains überflüssig.

Oh das ist ja auch eine sehr gute Anleitung.

Muss es eigentlich immer dieser Standart Port 443 sein ? weil sowohl du ihn genannt hast und er auch in diesem Beispiel genannt wird oder könnte ich auch Port 5023 dafür verwenden ?
Also das ich in der Fritzbox dann Port 5023 nur frei gebe ?

 

[alexhell]

Du kannst auch 5023 freigeben, aber dann musst du das immer mit in die URL tippen. 443 ist der Port für HTTPS. Deshalb kannst du https://dienst.domain.de schreiben. Intern wird immer 443 verwendet. Wenn du 5023 freigibst, dann musst du halt https://dienst.domain.de:5023 schreiben.

 

[skeunig]

Du kannst auch 5023 freigeben, aber dann musst du das immer mit in die URL tippen. 443 ist der Port für HTTPS. Deshalb kannst du https://dienst.domain.de schreiben. Intern wird immer 443 verwendet. Wenn du 5023 freigibst, dann musst du halt https://dienst.domain.de:5023 schreiben.

Okay ich verstehe aber ist dies in diesem Fall dann kein Sicherheitsrisiko, den Port 443 Frei zugeben?

Weil Standards Ports werden doch gerne angegriffen.

Oder ist es kein Risiko, weil man intern ja andere Ports verwendet und der Reverse Proxy diese zuordnet und wenn ein Angreifer den Port 443 angreift passiert nichts, weil der Reverse Proxy damit nichts anfangen kann

 

[alexhell]

Das Problem mit Standardports ist eher, dass genau weiß was dahinter läuft. Beispiel 5001. Es ist bekannt, dass bei dem Port wahrscheinlich Synology DSM zufinden ist. Wenn es jetzt eine Sicherheitslücke gibt, dann wird einfach probiert wahllos das auszunutzen. Das selbe mit dem Anmelden. Der default Admin user ist "Admin", also probiert man sich damit einfach anzumelden. 443 ist einfach nur HTTPs. Dahinter kann alles laufen. In den meisten Fällen wird wahrscheinlich auch IP:443 nichts anzeigen. Also gibt es auch nichts anzugreifen. Weil der Reverse Proxy mit Domains arbeitet und nicht nur mit Ports, kannst du halt einen Port für alles nutzen. Es spricht auch nichts gegen 443. Um zugreifen zu können, musst du die exakte Domain kennen. Durch einen Wildcard DNS Record kann man den auch nicht auslesen.

 

[ottosykora]

bei der 'Verschleierung' der Ports meint man eigentlich vor allem an direkt Ports für eine Anwendung. Also in der Syno Welt Sachen wie 5000/5001 oder gar 22 oder so was. Nicht dass dies irgendwie eine wirkliche Bedrohung darstellt, aber nach einer Weile kann es vorkommen, dass von einem Bot der Anschluss dauernd belästigt wird und sich jemand versucht einzuloggen.

Port 443 ist für https und das verstehen eigentlich alle Server der Welt welche einen Webzugang haben. So auch dieses Forum, Pornhub, Polizei, Bahnauskunft und was auch immer. Es ist der Port für verschlüsselte Kommunikation.

 

[Andy+]

Es sind die Standardports, die unabhängig von Synology ein genereller Standard sind, wie SSH/TELNET Port 22 ist sowas, FTP mit 21 usw. Diese Bots grasen sowas ab. An spezifischen Ports 5000, 5001, 7000, 7001, 6690 usw. hatte ich zB. bislang noch keine Angriffe zu verzeichen.

 

[synfor]

Port 443 über Reverseproxy hat auch den Charme, dass der sich in Hotel-WLAN und öffentlichen Hotspots nicht blocken lässt, weil sonst das WWW nicht mehr geht. Port 5443 ist da oft geblockt. Du kommst da dann nicht mehr auf dein NAS.

 

[skeunig]

Danke Leute für den ganzen Input. Ich denke so eine Anleitung/Leitfaden wird gar nicht so groß sein.
Soviel Punkte sind es dann insgesamt nicht.

Sobald ich zuhause bin und ein bisschen Zeit habe, werde ich diese Methode mal durchtesten und wenn es funktioniert eine Anleitung schreiben.

Jetzt aber noch zu einem anderen Problem. Diese Lösung ist ja nur für nutzer die noch einen nativen IPV4 Anschluss haben (Muss erstmal selbst Prüfen, was für einen Anschluss ich besitzte )

Hat auch jemand damit Erfahrung wenn man einen IPV6 Anschluss besitzt.
Soweit ich jetzt gelsen habe, müssen dafür auch die Ports in der Fritzbox freigeschaltet werden ?
Funktioniert der Reverseproxy auch mit IPV6

hat damit jemand Erfahrung oder hat damit schon mal ein bisschen rumgespielt ?

 

[alexhell]

Das macht alles keinen Unterschied. Ipv6 oder ipv4 hat die selbe Vorgehensweise. Bei IPV4 aktualisiert man den A Record und bei IPV6 eben den AAAA. Man kann auch beides aktualisieren und es läuft genauso. Den Reverse Proxy interessiert nur die Domain die aufgerufen wurde. Und wenn diese aufrufbar ist, dann ist es eh schon von außen erreichbar. Bei IPV6 müssen keine Ports geöffnet werden sondern die IPV6 vom Gerät mit angegeben werden. Die Ports gibt man bei IPV4 frei.