Begleitung der Einrichtung meiner Diskstation

[GameBred]

Schau mal unter "Alle Schnittstellen" ob Du ggf. noch für den einzelnen Lan-Port Einstellungen vorgenommen hast.

Da hab ich nichts vorgenommen, und ist auch leer.

Ich würde auch wie @synfor erwähnt hat deine Maske für das Subnetz eher mit 255.255.255.0 erwarten.

Ich meine auch 255.255.255.0

Allerdings ist der Ip-Bereich den ich oben angegeben habe ja auch richtig. Damit funzt es ja auch nicht. Beides spuckt die selbe Meldung aus:

 

[luddi]

Allerdings ist der Ip-Bereich den ich oben angegeben habe ja auch richtig.

Das glaube ich dir auch. Nur hätte es ja auch ein Fehler von DSM sein können bei der Eingabe von IP-Bereich. Und deshalb wollte ich den anderen Weg probieren mit dem Subnetz.

Aber eine andere Idee habe ich leider auch nicht woran es liegen könnte.

 

[GameBred]

Ah ich habe die alten Einstellungen wiedergefunden. Sie waren im Default-Profil unter LAN1. Dieses lässt sich anwenden. Sieht wie folgt aus:

Wieso funktioniert dieses Profil, aber mein neu erstelltes (was viel weniger Regeln hat) nicht?

 

[Benares]

Wieso funktioniert dieses Profil, aber mein neu erstelltes (was viel weniger Regeln hat) nicht?

Weil du dich damit vermutlich selbst ausgesperrt hättest, wie die Meldung in #41 schon sagt.
Wie warst zum Zeitpunkt der Definition selbst mit dem DSM verbunden?

 

[GameBred]

Aber ich seh den Unterschied der Regeln nicht. Das sind Quasi dieselben was das interne Netz angeht.

Ich war mit meinem Computer über den Browser bei DSM angemeldet. So wie ich das immer mache (auch damals bei der Definition der alten Regeln).

Der einzige unterschied ist das im alten Firewallprofil die Regeln auf LAN1 definiert sind und bei dem neuen Profil das ich erstellen wollte hab ich sie unter "Alle Schnittstellen" definiert.
Aber das kann doch nicht diesen unterschied machen!?

Zur Info: Es ist nur Lan1 mit einem Netzwerkkabel versehen.

 

[Benares]

Ich weiß nicht, was der Schalter "LANx" bzw. "Alle Schnittstellen" genau macht, aber vermutlich gibt es Widersprüche.
Nimm mal das Zeugs unter LAN1 raus, wenn du es über "Alle Schnittstellen" definieren möchtest.

 

[GameBred]

Ne ist ja okay so wenn es so funzt. Nur waren es ja auch zwei unterschiedliche Profile. Ich hab ja nicht versucht in "Lan1" und "Alle Schnittstellen" gleichzeitig was zu definieren.

Bei dem einem Profil ist es unter "Alle Schnittstellen" und dem anderen Profil unter "Lan1" definiert.
Funzen tut es nur wenn es unter "LAN1" definiert ist... Warum auch immer?!

 

[Benares]

Meines Wissens kennt die Firewall zu einem Zeitpunkt nur ein Profil und da macht es m.E. wenig Sinn darin Regeln für "Alle Schnittstellen" und für "LANx" zu definieren, es sei denn, die LAN-Schnittstellen gehen in unterschiedliche Netze und die Regeln widersprechen sich nicht.

 

[GameBred]

Aber genau das war doch zu jederzeit der Fall. Ich habe nie versucht Regeln in mehreren Schnittstellen gleichzeitig zu definieren. Immer nur auf einer.
Wie gesagt, waren ja zwei verschiedene Profile.

 

[plang.pl]

Hast du zum Zeitpunkt der Regelerstellung von extern zugegriffen? Dann hätte dein Gerät nämlich keine IP aus dem lokalen LAN und somit stimmt die Warnung vom DSM

 

[GameBred]

Nein ich sitze an meinem Pc der auch genau so hier Stand als ich damals die Regeln definiert hatte etwa 3m von der NAS entfernt
einzige Unterschied ist das ich mittlerweile Adguard aufm Synology laufen lasse und als DNS-Dienst für das gesamte Netzwerk über den Router nutze.
Aber das sollte auch keinen Unterschied machen. Zumal ich die Regeln ja über "LAN1" anwenden kann..

Und selbst wenn es außerhalb des Netzwerks wäre, stimmt die Warnung dennoch nicht. Die Firewall ist ja so eingestellt das ich auf DSM auch von extern komme. Aber es ist ja nichtmal von außerhalb gewesen

Ich verstehs nicht

 

[luddi]

Nur so als Anmerkung:
Die Regeldefinition vom Screenshot aus #43 würde ich mal behaupten, dass Regel No. 4 und No. 6 obsolet ist, weil immer schon Regel No. 2 eintritt.
Denn alles was mit No. 4 oder 6 erlaubt ist, ist ja bereits mit No. 2 erlaubt.

etwa 3m von der NAS entfernt

Was aber nicht heißen mag, dass das System die lokale IP Adresse deines Clients sieht mit dem du dich mit DSM verbindest.
Du kannst das doch einmal über den Ressourcen-Monitor --> Verbindungen --> Verbundene Benutzer überprüfen ob derjenige Administrator mit dem du verbunden bist, auch tatsächlich die lokale IP-Adresse deines Clients anzeigt.

Ich verstehs nicht

Ich auch nicht...

 

[GameBred]

Nur so als Anmerkung:
Die Regeldefinition vom Screenshot aus #43 würde ich mal behaupten, dass Regel No. 4 und No. 6 obsolet ist, weil immer schon Regel No. 2 eintritt.
Denn alles was mit No. 4 oder 6 erlaubt ist, ist ja bereits mit No. 2 erlaubt.

Hab ich eben auch gedacht und direkt raus gelöscht. Trotzdem, Danke !

Was aber nicht heißen mag, dass das System die lokale IP Adresse deines Clients sieht mit dem du dich mit DSM verbindest.
Du kannst das doch einmal über den Ressourcen-Monitor --> Verbindungen --> Verbundene Benutzer überprüfen ob derjenige Administrator mit dem du verbunden bist, auch tatsächlich die lokale IP-Adresse deines Clients anzeigt.

HA! Du hast recht. Mir wird beim Admin Account (mit dem ich natürlich die Regeln definieren will) meine externe IP angezeigt. Oooook, liegt vlt daran das ich meine Domain nutze, mit der man auch von außerhalb auf die Syno zugreifen kann. Aber dann habe ich trotzdem 2 Fragen dazu:

1. Warum erkennt die Syno nicht das ich mich im Netzwerk befinde (trotz der Domain)?

2. Sollte der Rechner durch die Definition der Regeln nicht blockiert werden. Die Ports für die DSM Oberfläche ist doch für Extern zugelassen. Funktioniert ja auch mit den "Lan1" Einstellungen?!

Edit: Die Fragen oben bleiben ABER:
Ich habe gerade den Unterschied von den beiden Profilen gefunden.
Bei dem funktionierenden Profil, sind auch die Ports für die Webstation offen (80 & 443). Wenn ich das raus nehme, bekomme ich besagte Fehlermeldung. Mache ich es wieder rein ist alles gut.

Was ist die Webstation und warum muss die drin sein?

 

[luddi]

Mir wird beim Admin Account (mit dem ich natürlich die Regeln definieren will) meine externe IP angezeigt.

Genau das hatte ich nämlich vermutet.

1. Warum erkennt die Syno nicht das ich mich im Netzwerk befinde (trotz der Domain)?

Wenn du über eine Domain zugreifst, dann weiß dein Router zwar, dass er hier in das lokale Netzwerk muss. Aber somit ist es wie ein Zugriff von Außen über die externe IP-Adresse und somit wieder über NAT zu deinem Synology NAS.
D. h. die Synology sieht dann zwangsläufig die externe IP-Adresse.

Aus Post #35 geht aus dem Bild nicht eindeutig hervor welche Ports bzw. Services du zulässt von außerhalb (sprich für Deutschland) mit Regel Nummer 2. Ich glaube, dass du an dieser Regel noch etwas genauer hinschauen musst und evtl. noch zusätzliches freigeben musst.

 

[GameBred]

Siehe mal bitte mein "EDIT" Erklärt es das?

 

[Benares]

Was ist die Webstation und warum muss die drin sein?

Die Webstation ist ein Webserver. Ist die nicht installiert wird Port 80/443 (http/https) auf den DSM (5000/5001) umgeleitet.
Evtl. liegt es ja nur daran, dass du bei der Konfiguration der Firewall nicht über http:/<IPderDS>:5000 verbunden bist, sondern nur über http:<IPderDS>. Deshalb hatte ich es es ja in #44 gefragt.

 

[luddi]

Bei dem funktionierenden Profil, sind auch die Ports für die Webstation offen (80 & 443)

Vermutlich greifst du mit deiner Domain direkt über Port 80 bzw. 443 zu und benutzt hier nicht explizit den DSM Port wie z. B. 5000 oder 5001.
Das hat dann natürlich zufolge, dass der Webserver (hier in diesem Fall nginx) nicht von Außen über Port 80/443 erreichbar ist.

 

[GameBred]

Ich hab mir beide eure Antworten nun mehrmals durchgelesen.. Verstehe beide nicht

Sorry, brauche bei solchen Sachen wohl immer ein wenig länger ist Neuland

 

[luddi]

@GameBred Dann lass uns doch einmal wissen wie die Adresse lautet bzw. wie sie aufgebaut ist um auf deine Synology NAS (DSM) zuzugreifen.

 

[GameBred]

Also ich habe einmal
- dsm.xxxxxxxx.de für die Weboberfläche.
- photos.xxxxxxx.de für SynologyPhotos
- file.xxxxxxx.de für FileStation

Das "xxxxxxxx" steht natürlich dann für meine Domain.