Benutzer -> Applikationen -> Nach IP => Funktionslos?

Status
Für weitere Antworten geschlossen.

dodo-dk

Benutzer
Mitglied seit
28. Feb 2015
Beiträge
176
Punkte für Reaktionen
2
Punkte
18
Hallo liebe Community,

folgendes Problem stellt sich mir.
Ich habe einen User der auf die FileStation zugreifen darf. Ich möchte diesem bestimmten User nun allerdings verbieten sich außerhalb meines Netzwerkes auf die FileStation verbinden zu können.

Unter Systemsteuerung -> Benutzer -> UserXXX -> Applikationen -> kann ich Zulassen und Verweigern. Diese Funktionen gehen problemlos.
Es gibt aber auch die Funktion Nach IP. Hier kann man IP/Subnets erlauben oder auch sperren.

Wenn ich da meine IP und Subnetz bei erlauben eintrage, komme ich trotzdem mit dem User von Extern drauf. Ich muß die Externe IP bei blockiert setzen, dann geht es. Dieser User bekommt jedoch täglich neue IP´s somit funktioniert die Blockierfunktion nicht direkt.

Hat da jemand eine Idee? Über die Suche und in der Synology Hilfe konnte ich nichts passendes finden.

Vielen Dank.

Gruß Dodo
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Vermutlich wird da über die Gruppenfreigabe der Zugriff erlaubt.
Was geschieht denn, wenn Du für den betreffenden User explizit den Zugriff in dem Menü verweigerst und zusätzlich bei 'Nach IP' für das lokale Subnet den Zugriff erlaubst?
 

dodo-dk

Benutzer
Mitglied seit
28. Feb 2015
Beiträge
176
Punkte für Reaktionen
2
Punkte
18
"Verweigern" und gleichzeitig "nach IP" geht leider nicht. Sobald ich "Nach IP" wähle springt das Häkchen aus verweigern heraus.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ok, dann probiere mal folgendes: richte ein zusätzliche Gruppe ein, der Du den Zugriff auf die Filestation explizit verweigerst. Den User steckst Du zusätzlich in diese Gruppe.
Und bei dem User läßt Du den Zugriff beim lokalen Subnet zu.
 

dodo-dk

Benutzer
Mitglied seit
28. Feb 2015
Beiträge
176
Punkte für Reaktionen
2
Punkte
18
Ich habe eine Gruppe erstellt, File Station der Gruppe verweigert. Den Benutzer aufgerufen, die Gruppe hinzugefügt und bei Applikationen wieder "Nach IP" lokaler Subnet erlaubt.

Doch jetzt kommt ich mit dem User gar nicht mehr drauf. auch im lokalen Netz.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ok, letzte Idee: was ist, wenn Du der neuen Gruppe (mit dem betreffenden User) per IP dem lokalen Subnet die Erlaubnis erteilst und beim User keinerlei Einträge machst?
 

dodo-dk

Benutzer
Mitglied seit
28. Feb 2015
Beiträge
176
Punkte für Reaktionen
2
Punkte
18
Dann komme ich mit dem User von Extern trotzdem drauf.

Danke für deine Mühe.
 

TACiboy

Benutzer
Mitglied seit
10. Dez 2008
Beiträge
215
Punkte für Reaktionen
0
Punkte
16
Hallo zusammen,

ich habe heute selbiges versucht und konnte dieses "Problem" auch nachstellen. Hat jemand denn inzwischen eine Idee, wieso diese Funktion ("Nach IP") nicht funktioniert bzw. wieso ich mit einer externen IP-Adresse trotzdem auf die Anwendung zugreifen kann, obwohl der Zugriff nur für eine interne IP-Range freigegeben wurde (z.b. Freigebene IP range: 192.168.1.0/24 )
 

TACiboy

Benutzer
Mitglied seit
10. Dez 2008
Beiträge
215
Punkte für Reaktionen
0
Punkte
16
Hallo nochmal, Problem gefunden: Die Anwendung war per default aktiviert (d.h. wenn KEIN Häkchen gesetzt wurde, dann gilt die Anwendung als freigegeben). Dies kann man in der Systemsteuerung unter "Berechtigung" anpassen.
 
Zuletzt bearbeitet von einem Moderator:

msa1989

Benutzer
Mitglied seit
17. Dez 2015
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Ich bin auch an diesem Thema halb verzweifelt.
Mittlerweile hab ich eine Lösung gefunden:

Unter Systemsteuerung => Berechtigungen hab ich die Berechtigungen der File Station bearbeitet:
Hier die Gruppen-Einstellungen:
FileStation-Gruppe.jpg

Und im letzten Reiter:
FileStation-Standard.jpg
den Haken entfernt. Erst als der Haken weg war, hat alles wie gewünscht funktioniert.

Die Gruppen users und manager können nur aus dem internen lokalen Netz zugreifen (worker war zum testen).
Die Administratoren dürfen auch von extern auf die Filestation. Jeder admin benötigt ne 2-Faktor Authorisierung. Das sollte schonmal ein solider Baustein für die Sicherheit sein
 

Hirnforscher

Benutzer
Mitglied seit
30. Mai 2016
Beiträge
41
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen,

ich habe heute selbiges versucht und konnte dieses "Problem" auch nachstellen. Hat jemand denn inzwischen eine Idee, wieso diese Funktion ("Nach IP") nicht funktioniert bzw. wieso ich mit einer externen IP-Adresse trotzdem auf die Anwendung zugreifen kann, obwohl der Zugriff nur für eine interne IP-Range freigegeben wurde (z.b. Freigebene IP range: 192.168.1.0/24 )

Kann mir bitte jemand als Dummy erklären, wie ich meine IP-Range eingeben muss, damit der Zugriff nur aus meinem Heimnetz und via VPN funktioniert? So wie hier dargestellt "192.168.1.0/24" kann ich ja nicht eingeben. Ich kann einen Single Host oder einen Host mit Subnetz eingeben. Mein Heim-IP Bereich befindet sich ja irgendwo zwischen z.B. 192.168.1.1 und 192.168.1.255.

Vielen Dank!
 

msa1989

Benutzer
Mitglied seit
17. Dez 2015
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo Hirnforscher,

die ganzen Subnetzmasken etc. können etwas verwirrend sein. Die Schreibweise 192.168.1.0/24 kann man Aufschlüsseln in:
192.168.1.0 = Netzwerk
24 = Netzmaske
Das bedeutet nichts anderes, als dass es IP Adressen zwischen 192.168.1.1 und 192.168.1.254 geben kann (die 255 ist eine Broadcast Adresse, sprich wenn man dort was hinschickt, dann hören es alle).

Um deine Frage zu beantworten, du musst dann schreiben:
Host: 192.168.1.0
Subnetz: 255.255.255.0 (= 24)

Eine sehr gute Seite für sowas ist übrigens: http://jodies.de/ipcalc?host=192.168.1.0&mask1=24&mask2=

Der Link ist gleich mit deinem IP Beispiel
 

Hirnforscher

Benutzer
Mitglied seit
30. Mai 2016
Beiträge
41
Punkte für Reaktionen
0
Punkte
6
Vielen Dank für die Hilfestellung. Die Einstellung "Zugriff nach IP" bewirkt bei mir aber, dass auf die File Station innerhalb des DSM (der ohnehin nur in meinem Heimnetz erreichbar ist), zugegriffen werden kann, nicht jedoch, wenn ich außerhalb des DSM (über Browser oder Android App) direkt auf die File Station zugreifen möchte (innerhalb des als zulässig definierten IP-Bereichs).

Kann mir jemand sagen, was ich hier falsch mache??
 

sebish

Benutzer
Mitglied seit
02. Mai 2020
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Da ich gerade eben erst darüber gestolpert bin und mich sogar kurzzeitig aus der DS ausgesperrt habe, hier einmal die Erklärung, wie die Rechte funktionieren.

Die Rechte der Gruppe und die eines Users ergänzen sich. Das heißt: Sie werden per Und-Verknüpfung angewendet. Die User Rechte überschreiben die der Gruppe nicht. Es greift immer die restriktivste Regel.

Beispiel 1:
Die Gruppe Viewers bekommt den Zugriff auf die App Videostation verboten. Der User Hans darf aber darauf zugreifen.
Verboten UND Erlaubt = Verboten.

Beispiel 2:
Die Gruppe Viewers bekommt den Zugriff auf die App Videostation verboten. Der User Hans darf aber aus dem lokalen Netz (nach IP) darauf zugreifen.
Verboten UND nach IP = Verboten.

Beispiel 3:
Die Gruppe Viewers hat keinerlei Zugriffshäkchen gesetzt. Der User Hans darf aber aus dem lokalen Netz (nach IP) darauf zugreifen.
Nichts UND nach IP = nach IP.

Beispiel 3 entspricht dem, was wir haben wollen. Unter Linux und Windows ist das beispielsweise nicht so. Dort würden die Userrechte die der Gruppe überschreiben, wenn explizit gesetzt. Keine Ahnung, wer sich das bei Synology ausgedacht hat, aber Sinn macht es trotzdem. Ist nur ungenügend dokumentiert.

Ihr wollt also bei der Gruppe administrators alle Häkchen entfernen. Dann eurem eigenen Admin Benutzer bei nach IP etwas eintragen, wie 192.168.0.0 255.255.255.0. Siehe Heise Netzrechner und eure Fritzbox. Validieren könnt ihr meine Aussagen und eure Einstellungen per Blick auf die Vorschau Spalte, wenn ihr die Häkchen für die User setzt.

Mein Admin Account ist deaktiviert, mein eigener Admin User, der nicht Admin heißt, darf nur nach IP aus dem lokalen Netz einloggen. Und die anderen Nutzer dürfen von überall, aber nur lesen.

Ich hoffe, das hilft auch anderen weiter! Mann war das ein Schock eben.
Für die, die auch erst googlen, wenn es zu spät ist: https://www.synology.com/de-de/knowledgebase/DSM/tutorial/General_Setup/How_to_reset_my_Synology_NAS
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat