Dateiverknüpfung ohne Portangabe teilen

[ScottyC]

Hallo zusammen,

hier wurde in verschiedenen Threads das Thema schon ein paarmal angerissen.
Da ich es selbst nicht hinbekomme und nicht weiß bei welchem Thread ich aufsetzen soll, mach ich mal einen neuen auf.

Was will ich erreichen:
Ich möchte den von der DS generierten Link zur Dateiverknüpfung ohne die Portangabe nutzen.
Meine File Station generiert Links in der Syntax
https://meineip:7001/sharing/xyz
Die generierten Link funktionieren.

So - nun würde ich gerne auf die Portangabe verzichten und habe hier schon gelesen, dass - die nötigen Einstellungen vorausgesetzt - es möglich ist einen Link in der Form
https://meineip/file/sharing/xyz
zu verwenden.

Nur ... ich krieg's nicht hin!
Tausche ich den Port gegen "file" aus, klappt der Zugriff nicht mehr.

Zu meinen Einstellungen:
Mein Router hat zwei offene Ports:
- Einen für OpenVPN
- Einen für die File Station zum Link teilen (7001)

Unter Systemeinstellung -> Anwendungsportal habe ich
- einen Aliasnamen vergeben
- einen benutzerdefinierten Port aktiviert
- die benutzerdefinierte Domain aktiviert


Unter Systemsteuerung -> Externer Zugriff habe ich
- den Hostnamen eingegeben
- und ebenfalls den Port


Welche Einstellung habe ich übersehen?
Vielen Dank im Voraus für eure Ratschläge!

 

[Frogman]

Wenn der Zugriff über domain/file/... erfolgt, dann muss in Deinem Router ebenfalls Port 80 (http) bzw. 443 (https) weitergeleitet sein.

 

[ScottyC]

Hallo Frogman,

und schon klappts

Vielen Dank!

 

[TACiboy]

Da hänge ich mich einmal mit einer Zusatzfrage dran: Ist es aus dem Sicherheitsaspekt heraus sinniger, die File Station

a) über einen Alias (https://meine.ip/file/...) oder aber
b) über einen extra Port (https://meine.ip:7001/...)

erreichbar zu machen?

Ich weiß: die sicherste Methode ist natürlich keine Freigabe nach außen ins Internet bzw. wenn dann nur über VPN - aber im Fall von ScottyC: Welches Vorgehen wäre sinniger bzw. wofür spricht mehr?

 

[Frogman]

Aus Sicht der Sicherheit spielt es keine Rolle, ob nun a) oder b) - beide Zugriffe sind per TLS in gleicher Weise abgesichert. Entscheidend ist hier nur die Stärke des Passworts.

 

[ScottyC]

Meine Intention war den Port zu verstecken, damit man mit dem Link nicht gleich sieht, dass 7001 offen ist.
Mit der Antwort von Frogman funktioniert es ... aber ich mache hierzu noch einen Port auf.

Also aus meiner Sicht: Port augenscheinlich versteckt, dafür aber zwei Ports offen

P.S. Von "außen" mache ich alles über OpenVPN. Aber die Einrichtung will ich niemandem zumuten, dem ich nur ein paar Bilder zeigen möchte ;-)

 

[Frogman]

Bekannte Standardports (und dazu gehören auch die üblichen Verdächtigen wie die der File Station bei einer DS) tragen nicht wirklich zur Sicherheit bei. Wobei Security by Obscurity nun auch ein sehr dünnes Eis ist, um darauf zu stehen...

 

[TACiboy]

Genau das geht mir auch gerade durch den Kopf... Auch wenn ich mal behaupte, dass der Standardport 7001 der File Station weniger oft attackiert werden wird als der noch "standardigere" 443 https Port. Oder rede ich mir da was schön?

Alternative: NAT Außenport verlegen und auf Intern 7001 mappen, z.B.: 12345 --> 7001

 

[Frogman]

Dann kannst Du den auch gleich im DSM/Anwendungsportal woanders hinlegen. Solange die Nutzer ihn nicht eingeben müssen, macht auch eine exotische Angabe wie "49573" keinen Mehraufwand - technisch ist das gleichwertig (und wäre ein wenig aus dem Fokus).

 

[ScottyC]

... dass der Standardport 7001 der File Station ...

Meines Wissens ist der Standardport der File Station (verschlüsselt) 5001.
7001 ist ja schon benutzerdefiniert.
Oder hab ich da jetzt einen Gedankendreher !?

 

[TACiboy]

Kann man auch durch den Aliasnamen mit den mobilen Apps (= DS File) auf die Diskstation zugreifen? Oder benötigt man dafür zwingend den Port?

 

[Frogman]

Ausprobieren?

 

[TACiboy]

5001 ist der Port vom Disk Station Manager - über den Port kannst du auf alle Applikationen deiner DS zugreifen - vorausgesetzt dein User hat die entsprechende Berechtigung. Du kannst für deine Applikationen aber auch einen eigenen Port vergeben - für die File Station ist das per Default besagter 7001. Darüber kannst du dann ausschließlich auf die Applikation "File Station" zugreifen. Im Hintergrund läuft zwar der selbe nginx mit den selben Systemrechten, jedoch ist der Zugriff auf applikativer Ebene eingegrenzt (was immerhin etwas mehr Sicherheit bietet als über 5001)

 

[Kölneinwohner]

für die File Station ist das per Default besagter 7001.

Seit DSM 6 nicht mehr (siehe Abschnitt Webanwendungen): https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services

Meines Wissens ist der Standardport der File Station (verschlüsselt) 5001.

Erst seit DSM 6, vorher war 7001 der Standardport für Filestation über HTTPS.

Da hänge ich mich einmal mit einer Zusatzfrage dran: Ist es aus dem Sicherheitsaspekt heraus sinniger, die File Station

a) über einen Alias (https://meine.ip/file/...) oder aber
b) über einen extra Port (https://meine.ip:7001/...)

In vielen Firmennetzwerken sind nur die Standardports geöffnet, also 80, 443, 993 usw. Wenn Du aus einem solchen Netzwerk dann mittels Portangabe auf Deine Synology zugreifen will, funktioniert das nicht. Besser ist die Lösung mit der Portweiterleitung. Da öffnest Du im Router einen Port, z.B. 443 für HTTPS, und im Router definierst Du, daß alle Anfragen auf diesen Port an den internen Port 7001 weitergeleitet werden, welcher auf Deine Synology verknüpft ist.

Meine Intention war den Port zu verstecken, damit man mit dem Link nicht gleich sieht, dass 7001 offen ist.

Der Port 7001 ist zunächst aber nur in Deinem lokalen Netzwerk offen, nicht ins Internet. Vom Internet aus, kannst Du am Besten das Portweiterleitung machen.