Calendar mit DS920+/DSM7.2.1 einrichten, Nutzung iOS, Win10/11+Outlook

[NewSyn]

Hallo,
bin bzgl. Netzwerk, NAS etc. ziemlich Neuling und suche nach einer Anleitung zur Einrichtung des Calendar Paket auf NAS DS920+ DSM 7.2.1 und Nutzung per iOS >17.2 Smartphone und Windows 10/11 PC per Outlook über eine Fritzbox >= V7.57.

Über die Skizze habe ich die aus meiner Sicht relevanten Punkte markiert, an denen Einstellungen etc. vorgenommen werden müssen. Hier fängt es an - sind die Betrachtungen richtig?
1. Fritzbox

• Portfreigabe: 5001/HTTPS und 5000/HTTP für Synology Calendar und 5006/HTTPS und 5005/HTTP für CalDAV?
• Ist die Nutzung von WireGuard VPN oder DynDNS notwendig oder sinnvoll?

2. NAS/Sicherheit/Firewall

• Neues Profil anlegen
• Regeln bearbeiten
• Firewall Regel - Erstellen
• Ports - Benutzerdefiniert -> Port des Zielordner/TCP/Portbereich 5000 - 5001? und 5005 - 5006? wie in Fritzbox?
• Quell-IP --> Alle

3. NAS/Anwendungsbenachichtigungen

• Zugriff der einzelnen Benutzer auf Synology Calendar zulassen

4. Synology Calendar

• Paket installieren
• Calender anlegen und CalDAV Konto - "URL kopieren"

5. iOS

• Gemäß Link einrichten
• Die Anmerkung 3 irritiert mich "...nur Serveradressen mit einem vertrauenswürdigen Zertifikat...", wie gehe ich damit um?

6. Windows PC/Outlook

• Gemäß Link einrichten
• Die Anmerkung 9 irritiert mich "...nur Serveradressen mit einem vertrauenswürdigen Zertifikat...", wie gehe ich damit um?

Eine Portfreigabe Fritzbox für 5000/5001 und Öffnung der Ports 5000/5001 in der Firewall des NAS haben nicht ausgereicht, so dass ich die obige Schritt für Schritt Anleitung für mich starte. Wäre klasse, wenn ihr mich unterstützen könntet

Danke und Gruß´NewSyn


Und abschließende Frage: Gibt es eine einfachere Methode einen gemeinsamen Kalender auf NAS/iOS und PC zu verwenden (Referenz: CalDAV und Synology Calendar)?

 

[*kw*]

Die Anmerkung 3 irritiert mich "...nur Serveradressen mit einem vertrauenswürdigen Zertifikat...", wie gehe ich damit um?

Du brauchst bei iOS + Synology Calendar zwingend ein Zertifikat auf der DS (entweder über Synology oder eigenes DDNS). Näheres hierzu gibt's noch hier.

Die Standardports (5000,5001) sollten aus Sicherheitsgründen geändert (umgeleitet) werden.

PS: das nur ganz kurz, evtl. grätschen hier noch andere User rein. Ist nicht ganz trivial.

 

[plang.pl]

Wenn es nur um den ext. Zugriff auf Calendar geht, dann bitte im Anmeldeportal der Anwendung einen separaten Port zuweisen und nicht das Ganze DSM exposen, v.a. nicht mit dem Standardport

 

[*kw*]

Ist die Nutzung von WireGuard VPN oder DynDNS notwendig oder sinnvoll?

Wenn es nicht unbedingt sein muss, würde ich auf einen dauerhaften externen Zugriff verzichten und wenn, nur über VPN (FritzBox und WireGuard hast du ja).

Ich sage mir, wenn unsere Mobilgeräte nicht an "retrograder Digitalamnesie" leiden, schaffen sie es auch, unterwegs getätigte Änderungen bis ins sichere Heimnetzwerk zu behalten und dann zu syncen.

Das Zertifikat benötigst du auch netzintern. Das wiederum liegt an der Calendar (Info vom Support).

Ich würde an deiner Stelle die Kiste erstmal nur lokal zu Laufen bringen und dann auf VPN erweitern.

 

[plang.pl]

Achja hatte das mit der FritzBox überlesen.
Wenn der Zugriff nur für dich ist, dann würde ich auch VPN nehmen und gar keine Portweiterleitungen einstellen. Ein File-Server gehört nunmal nicht mit einem Bein ins Netz.
Deine Fritte kann ja schon WireGuard. Damit ist das in wenigen Minuten eingerichtet: https://avm.de/service/vpn/
Für die Nutzung mit https dann entweder den Synology DDNS nutzen und gleich auf die interne IP biegen: https://www.synology-forum.de/threads/ddns-intern-nutzen.127599/
Dazu erhälst du auch ein Wildcard-Cert und Wildcard DNS (also deinddns.synology.me und *.deinddns.synology.me löst richtig auf und auch dafür ist das Cert gültig) -> somit könntest du auch schön mit Reverse Proxies über Port 443 arbeiten.
Alternative ist, intern einen DNS-Server zu betreiben und damit intern den DDNS anders aufzulösen als extern, falls man beide Zugriffsarten braucht. Ich mache das mit AdGuard + unbound. Da hat man gleich noch nen netzwerkweiten Werbeblocker. Anleitung siehe meine Signatur.

 

[*kw*]

Bei macOS/iOS gibt es noch die "Besonderheit*", dass die Apple-eigenen Apps mit einem gültigen Zertifikat über Reverse Proxy gehen müssen (siehe @plang.pl), mit Drittanbieter-Apps, wie Fantastical oder Thunderbird, kann die SSL-Verbindung direkt eingegeben werden.

*wieso Apple das so verbogen hat, konnte/wollte mir bisher keiner beantworten (Apple/Synology)

 

[NewSyn]

Hallo,

Danke für eure Hinweise.
Vielleicht nochmals meine Anforderung zur Nutzung des Kalender -> Zugriff/Synchronisierung für

• 4..6 Personen
• Smartphone iOS und Windows 10/11 PC mit Outlook
• Zugriff von Außen zwingend, Urlaub, Studenten auswärts ...
• Möglichst sichere und transparente Verbindung über Fritzbox zu DS920+

Die Anleitung und Video setzen hier die "Öffnung" der Ports so einfach voraus bzw. Netzwerk Kenntnisse. Eine Anleitung für eine Fritzbox wie man das "sicher" umsetzt wäre klasse. Und die eigentlichen zusätzlichen Schwierigkeiten kommen dann noch mit den Anmerkungen (3 und 9). Hier schweigt sich die Anleitung ein wenig aus. Daher nochmals die Frage. Gibt es eine Schrittf für Schritt Anleitung, wie ich eine Fritzbox so vorbereite, dass ein sicherer Zugang von Außen möglich ist und wie die "Clients" iOS und Outlook gemäß Anmerkungen (siehe ganz unten 3 und 9) eingereichtet werden müssen?

Wäre klasse wenn sich da was findet. Momentan bin ich total verunsichert bzgl. Zugang über Fritzbox um nicht Tür und Tor zu öffnen...

Eigentlich hatte ich mir das NAS zugelegt mit den Werbeversprechen "...deine private Cloud...", "...Einfach überall auf Daten zugreifen und bearbeiten...", "...Daten sicher teilen..." - für mich aktuell noch in weiter Ferne

Danke und Gruß NewSyn