DSM 7.1 Anwendungen / Webdienste im Browser starten: mit Alias oder Port?

[wired2051]

Ich will Anwendungen (Photos, Calendar, Contacts usw.) mit URL im Browser starten. Was ist besser/sicherer, ein Aliasnamen oder ein benutzerdefinierter HTTPS-Port?

 

[plang.pl]

Kommt darauf an. Wenn du nur eine gewisse Anwendung nach extern freigeben willst, würde ich einen separaten Port vergeben und nur diesen exposen. Wenn es mehr Dienste sind, würde ich alles mit Subdomains machen, da ich dann nur einen Port freigeben muss. Übrigens lässt sich beides kombinieren. Ich nutze zB für die VideoStation "video.meinedomain.de" für den Aufruf aus dem Heimnetz (dafür habe ich einen eigenen DNS-Server, aber das ist eine andere Geschichte). Zusätzlich habe ich der VideoStation einen Port im hohen fünfstelligen Bereich vergeben. Nur dieser ist nach extern offen. Somit kann ich von extern meine VideoStation erreichen, nicht aber DSM. Geht aber theoretsich und praktisch auch mit dem Reverse Proxy, indem man Zugriffskontrollprofile anlegt. Wichtig zu wissen ist auch, dass der Port, der im Anmeldeportal vergeben wird, zusätzlich geht. Weiterhin lauscht die Anwendung auch immer auf den Standard-Port (meistens der des DSM) und bei aktiviertem RP auch auf 443.

 

[wired2051]

Danke für Deine Hilfsbereitschaft!

Aktuell geht es mir um den Zugriff im LAN, also analog zu IP_DES_NAS/mail/. Alias ist offenbar die richtige Wahl, sehr gut.

Für den Zugriff von aussen nutze ich CalDAV und CardDAV mit dynDNS: https://SERVER.noip.me:XXXXX/carddav/USER/KONTAKTE/. Funktioniert wunderbar. Die Webanwendung möchte ich von aussen eigentlich nicht nutzen.

Zusätzlich habe ich der VideoStation einen Port im hohen fünfstelligen Bereich vergeben. Nur dieser ist nach extern offen. Somit kann ich von extern meine VideoStation erreichen, nicht aber DSM

Das lässt mich aufhorchen: was meinst Du mit Nur dieser ist nach extern offen? Ich habe im Router (FritzBox) Portweiterleitungen eingerichtet und mit online Port Scannern bisher keine offenen Ports gefunden. Habe ich was übersehen?

 

[plang.pl]

Achja ich hatte Alias mit Subdmains verwechselt. Gilt natürlich genauso.
Wenn du Portweiterleitungen einrichtest, ist der Port doch zwangsweise offen. Außer er ist am Endgerät durch die Firewall geblockt. Das macht aber keinen Sinn. Ich hoffe, du hast nicht den DSM Port nach außen geöffnet. Ich bei mir habe wie gesagt der VideoStation einen eigenen Port gegeben. Dann auf dem Router eine Weiterleitung von extern nur auf diesen Port aktiviert. Somit kann ich von extern eben den Port der VideoStation erreichen, nicht aber den des DSM.
Den Standard Port 5000/5001 würde ich niemals exposen!

 

[wired2051]

Super, dass Du mir beim Thema Ports Klarheit schaffst.

Ich hoffe, du hast nicht den DSM Port nach außen geöffnet. Ich bei mir habe wie gesagt der VideoStation einen eigenen Port gegeben. Dann auf dem Router eine Weiterleitung von extern nur auf diesen Port aktiviert. Somit kann ich von extern eben den Port der VideoStation erreichen, nicht aber den des DSM.

Ich vermute, wir haben es beide ähnlich gemacht.

Bei mir dürften die Standard Ports auch nicht von aussen erreichbar sein. Ich habe im Router Freigaben für Port 5001, 443 und 993, allerdings nicht direkt sondern jeweils von einem externen Port zwischen 62xxx und 65xxx. Und jedes Gerät, dass intern mit 443 erreicht wird, hat einen anderen externen Port. Quasi Security by obscurity.

Die Video Station nutzt offenbar viele Ports, welchen muss man freigeben? 5001?

 

[plang.pl]

Eben nicht 5001!
Du vergibst der VideoStation einen eigenen Port im Anmeldeportal der Systemsteuerung

 

[wired2051]

Ich glaub, jetzt hab' ich's verstanden. Danke für Deine Geduld!

 

[plang.pl]

Kein Ding
Wenn du den eigenen Port erstellt hast, musst du eben von extern kommend eine Portweiterleitung einrichten auf diesen Port der DS. Welchen Port du am Router vergibst, spielt ja erstmal keine Rolle

 

[wired2051]

Ich versuche gerade Standard-Ports zu vermeiden...

993 braucht man wohl für IMAP.

443 (HTTPS) nutzt bei mir aktuell die Photo Station, das könnte ich ja im Anmeldeportal ändern. Aber die Mail Station (Roundcube) nutzt auch 443, kann ich das ändern? Oder ist 443 nicht unproblematisch?

Und 5001 wird auch von CalDAV und CardDAV genutzt, wie kann ich das ändern?

 

[plang.pl]

Die PhotoStation lauscht meines Wissens immer auf 443 und das ist nicht änderbar. Einen Reverse Proxy kannst du aber trotzdem auf 443 schalten, glaube ich. Außerdem geht es ja nur darum, die Standard Ports nicht nach extern zu exposen. Wenn die DS intern weiterhin diese Ports nutzt, ist das egal. Der Router kann Anfragen von extern an Port 55055 (Beispiel) dann intern an die DS auf einen anderen Port leiten. Wobei 443 schon auch "sicher" ist. Klar wird der i.d.R. sehr schnell von Portscannern gefunden, aber er verrät im Gegensatz zu 5001 nicht, welcher Dienst da lauscht. Zumindest unter DSM 7 kann man sowohl dem Calendar als auch Contacts (Cal- und CardDav Server gibts nicht mehr) einen separaten Port zuweisen. Ob das unter DSM 6 auch geht, kann ich dir nicht sagen. Aber wenn, dann findest du dies in der Systemsteuerung im Anwendungsportal oder in den Optionen der Applikation selbst