"Dateiverknüpfung teilen" richtig aufgehoben in File Station?

[TACiboy]

Hallo zusammen,

ich möchte gerne mal eine Grundsatzdiskussion anstoßen. Ich habe in den letzten Tagen etwas mit der Funktion "Dateiverknüpfung teilen" herum gespielt. Ich möchte gerne erreichen, dass ich einzelne Dateien externen Usern zur Verfügung stellen kann (extern heißt aus dem Internet heraus). Um dies zu ermöglichen, muss ich die File Station im Internet freigeben. Um dies nicht über den Standard-DSM-Port 5001 zu tun, kann man für die File Station ja einen eigenen Port vergeben, den man dann per Portweiterleitung nach außen öffnet. Soweit so gut!

Jetzt ist es allerdings so, dass sich meine Benutzer auch regulär über die Filestation anmelden können. Wenn ich dies nicht explizit verbiete, ist dies sowohl aus dem internen Netz wie auch von extern (Internet) aus möglich. Wenn ich letzteres aber vermeiden möchte, dann gäbe es ja die Möglichkeit, die Applikation "File Station" mit der Funktion "Nach IP" nur für das interne Netz freizugeben. Auch das finde ich zunächst gut und sinnvoll!

Jetzt das große AAAABER: Wenn ich als Benutzer eine Dateiverknüpfung teile, dann kann ich diesen Link dem internen Netz heraus ohne Probleme aufrufen (natürlich muss die IP-Adresse und Port der URL vorher angepasst werden). Wenn ich die Datei aber aus dem Internet heraus aufrufen möchte, sagt mir die Diskstation dann, dass der Zugriff für den Benutzer nicht möglich sei. Das macht sie deshalb, weil ich dem Benutzer (der den Freigabelink erstellt hat) die Berechtigung für die File Station nur im internen Netz erlaube (Filter "Nach IP").

Das heißt also im Umkehrschluss: Entweder kann ich Dateilinks extern aufrufen, muss dann aber auch in Kauf nehmen, dass sich jemand mit diesem Benutzer an der File Station von extern anmelden kann. Oder: Ich lasse den Zugriff nur aus dem internen Netz heraus zu, kann dann aber auch leider keine Links von außerhalb aufrufen.


Wäre es unter diesem Aspekt nicht charmant, wenn die Freigabe von Dateiverknüpfungen unabhängig von der File Station laufen würde? Alternativ wäre es ja auch eine Möglichkeit, wenn diese Funktion über die Cloud Station realisiert werden würde, denn dann müsste ich den Port der File Station nicht nach extern freigeben sondern lediglich den Port der Cloud Station.


Wie steht ihr zu dem Thema? Mich würden mal eure Gedanken hierzu interessieren oder noch besser: Wie nutzt ihr die Funktion "Dateiverknüpfung teilen" bzw. wie habt ihr es gelöst wenn ihr einzelne Dateien mit euren Freunden/Bekannten teilen möchtet?


Grüße,
Chris


PS: Die gleiche Funktion gibt es ja nochmal für die Photo Station, allerdings ist sie auch dort nochmal separat implementiert und benötigt die File Station nicht - was ich für Fotos gut finde und mir auch gerne für die restlichen Dokumente wünschen würde!!!

 

[TheGardner]

Das was Du machen möchtest, geht! D.h. ich habe keinem User den Zugriff auf die FileStation erlaubt und sie können trotzdem die SharedLinks aufrufen! Ich setze sogar noch einen drauf: Es können sogar Leute die Links aufrufen, die gar nicht als User in der DiskStation hinterlegt sind.
Dafür nutze ich den Service "Dateiverknüpfungen teilen" den ich in der Filestation über Rechtsklick (auf entsprechende Datei) erreiche! Den Usern draußen wird dann ein Link über https://gofile.me.... generiert, der nicht mehr abfragt, ob ein User berechtigt ist oder nicht! Mit Klick darauf wird jedem (dem diese generierte URL bekannt ist) der "Datei speichern unter..." Dialog sofort angezeigt!

 

[TACiboy]

Hi, danke für dein schnelles Feedback!
Genau das habe ich auch ausprobiert. Ich habe für einen User die Berechtigung auf die File Station eingeschränkt, indem ich diese nur aus dem internen Netz erlaube (Berechtigung "Nach IP" = internes Subnetz 192.168.1.0 / 255.255.255.0).

Wenn ich dann einen Link erzeuge (Dateiverknüpfungen teilen), kann ich diesen Link aus dem internen Netz heraus aufrufen. Wenn ich allerdings von extern drauf zugreife, sagt mir die Synology, dass der Zugriff auf die Datei nicht erlaubt sei.

Wie hast du das bei dir denn konfiguriert damit das geht? Wenn ich die File Station komplett verbiete (d.h. einem User die Berechtigung für die Applikation entziehe), dann kann er doch überhaupt keine Links erzeugen - wie funktioniert denn in dem Szenario die Freigabe?


Grüße,
Chriz

 

[TheGardner]

Ahh jetzt verstehe ich! Du versuchst von aussen auf eine 192.168er IP zuzugreifen! Das klappt so überhaupt nicht! Du brauchst für sowas entweder die Aussen-IP (also die externe IP, die Du von Deinem Provider bekommst), oder aber einen DNS Namen den Du über die QuickConnect Funktion in der Systemsteuerung erstellen kannst, bzw. einen DNS Namen, welchen Du irgendwo (dyndns.com oder einem anderen Dynamic-DNS Verteiler) beantragst und dann unter Systemsteuerung - Externer Zugriff einstellst!

Die 192.168.er IPs gelten nur im Heimnetz und nicht draußen im Netz und können demzufolge nicht von außen gesehen werden. Solange Du Dich nur in Deinem Netz befindest ist die Verwendung von 192.168. möglich!

 

[TACiboy]

Hi, nein das ist nicht das Problem. Von außen (aus dem Internet heraus) greife ich natürlich über die externe IP auf meine NAS zu. Port Forwarding, NAT & Co. sind mir nicht neu

Nein, mein Problem ist folgendes: Ich habe einen User den Zugriff auf die File Station nur aus dem internen Netz heraus erlaubt. Dies habe ich mit dem Berechtigungsfilter "Nach IP" in der Benutzersteuerung gelöst. Somit kann ich mich mit einem Benutzer nur dann bei der File Station anmelden, wenn er sich von einem Gerät innerhalb des internen IP-Subnets befindet (nämlich das 192.168.1.0/24 er Netz). Das funktioniert!

Wenn ich nun von extern auf meine Diskstation zugreife (also über die externe IP Adresse bzw. Dyndns) komme ich auch auf die Anmeldeseite meiner Diskstation (wie gesagt: Port Forwarding und NAT sind korrekt konfiguriert). Was jedoch jetzt nicht funktioniert ist, dass sich der Benutzer an der File Station anmelden darf (weil er sich ja nun von einer externen IP Adresse heraus anmelden möchte) - dies habe ich korrekter Weise ja auch in den Berechtigungen verboten.

Was ich aber gerne lösen möchte: Wenn dieser User aus dem INTERNEN Netz eine Freigabe erzeugt, soll diese Freigabe auch jedermann von extern heraus aufrufen können. Beim Versuch diesen Link von extern heraus aufzurufen sagt mir die Diskstation, dass dies nicht erlaubt sei (weil der Benutzer, der den Link erstellt hat, offensichtlich nur von intern auf die File Station kommt).

Einer geteilte Dateiverknüpfung ist doch aber nicht Nutzergebunden sondern prinzipiell von jedem aufrufbar (sofern ich dies nicht explizit einstelle).

Ich hoffe jetzt ist mein Problem klarer?

 

[TheGardner]

Alles klar! Bleiben die folgenden Fragen, die ich (mir) gerade auch nicht so beantworten kann:

Wenn ich nun von extern auf meine Diskstation zugreife (also über die externe IP Adresse bzw. Dyndns) komme ich auch auf die Anmeldeseite meiner Diskstation (wie gesagt: Port Forwarding und NAT sind korrekt konfiguriert). Was jedoch jetzt nicht funktioniert ist, dass sich der Benutzer an der File Station anmelden darf (weil er sich ja nun von einer externen IP Adresse heraus anmelden möchte) - dies habe ich korrekter Weise ja auch in den Berechtigungen verboten.

Vielleicht, weil der User im Endeffekt (doch) nicht mit der externen Adresse kommt, sondern nach der Router(-NAT)-Umleitung im Endeffekt (auch) die Interne Adresse (des Routers) inne hat, welche dann die Regel aushebelt ??

Was ich aber gerne lösen möchte: Wenn dieser User aus dem INTERNEN Netz eine Freigabe erzeugt, soll diese Freigabe auch jedermann von extern heraus aufrufen können. Beim Versuch diesen Link von extern heraus aufzurufen sagt mir die Diskstation, dass dies nicht erlaubt sei (weil der Benutzer, der den Link erstellt hat, offensichtlich nur von intern auf die File Station kommt).

Einer geteilte Dateiverknüpfung ist doch aber nicht Nutzergebunden sondern prinzipiell von jedem aufrufbar (sofern ich dies nicht explizit einstelle).

Ich hoffe jetzt ist mein Problem klarer?

Würde ich jetzt sehen wollen, wie der Link (für die berechtigten) User aussieht. Ist das ne http://192.168...... Adresse, geht die dann natürlich nicht von außen aufzurufen! Aber das weißt/siehst Du sicher selbst.
Dann gibt es noch die Möglichkeit, dass man in der Systemsteuerung unter Externer Zugriff - Erweitert alles so konfigurieren kann, dass es keine Fehler in der "Außen"-Adresse geben kann! D.h. der DNS-Name und die Ports nach außen werden dort hinterlegt, so dass diese dann bei jedem freigegebenen Link (eines Users) auch so umgewandelt nach außen mitgegeben werden!

Guck doch mal, ob Du da auch alles richtig hinterlegt hast! Bei mir steht dort unter Hostname nämlich mein DYNDNS-Name (myDS.synology.me) drin und die Ports, welche ich nach außen benutze (50000 und 50001) um die echten DS Ports (5000 und 5001) zu verschleiern!

 

[TACiboy]

Hi,

Vielleicht, weil der User im Endeffekt (doch) nicht mit der externen Adresse kommt, sondern nach der Router(-NAT)-Umleitung im Endeffekt (auch) die Interne Adresse (des Routers) inne hat, welche dann die Regel aushebelt ??

Das hatte ich am Anfang auch in Verdacht, allerdings ist dies nicht der Fall. Die Diskstation registriert eine Verbindung von einer externen IP-Adresse - das wird auch so im Protokoll unter "Verbindungen" angezeigt. Daran kann es also schonmal nicht liegen

Würde ich jetzt sehen wollen, wie der Link (für die berechtigten) User aussieht. Ist das ne http://192.168...... Adresse, geht die dann natürlich nicht von außen aufzurufen! Aber das weißt/siehst Du sicher selbst.
Dann gibt es noch die Möglichkeit, dass man in der Systemsteuerung unter Externer Zugriff - Erweitert alles so konfigurieren kann, dass es keine Fehler in der "Außen"-Adresse geben kann! D.h. der DNS-Name und die Ports nach außen werden dort hinterlegt, so dass diese dann bei jedem freigegebenen Link (eines Users) auch so umgewandelt nach außen mitgegeben werden!

Der Link wird auch korrekt erzeugt. Die Einstellungen hierzu habe ich durchgeführt. Mein Link sieht in etwa so aus:

https://url.dyndns.org:12345

Worbei "url.dyndns.org" auf meine externe IP Adresse zeigt und Port 12345 im Router auf den internen Port der File Station weitergeleitet wird (also 12345 --> 7001). Ich komme ja auch ganz regulär auf die Anmeldemaske der Filestation. Der User versucht sich hier anzumelden und bekommt dann eine Meldung, dass die Anmeldung von externen Adressen nicht erlaubt sei (das ist ja auch so gewollt und von mir eingestellt)

Wenn der gleiche User sich aus dem internen Netz anmeldet (was erlaubt ist) und dort einen Dateiverknüpfungs-Link erzeugt, dann kann ich diesen auch aus dem internen Netz heraus korrekt öffnen.
Nur von Extern geht es nicht - genauer: Ich rufe den Link von extern auf und sehe zwar die Oberfläche von File Station (mit dem Schloss). Ich bekomme aber die gleiche Fehlermeldung angezeigt, dass Downloads nicht für externe Verbindungen erlaubt seien! Das hängt also definitiv mit den Berechtigungen zusammen, die der User besitzt, der den Link erstellt hat. Ich dachte eigentlich, dass Dateiverknüpfungen eben keine speziellen Userberechtigungen zum Aufruf benötigen - aber das scheint offensichtlich nicht so zu sein.

Guck doch mal, ob Du da auch alles richtig hinterlegt hast! Bei mir steht dort unter Hostname nämlich mein DYNDNS-Name (myDS.synology.me) drin und die Ports, welche ich nach außen benutze (50000 und 50001) um die echten DS Ports (5000 und 5001) zu verschleiern!

Wie gesagt: das passt bei mir alles und funktioniert auch. Im erzeugten Link steht die korrekte URL (nämlich genau die url.dyndns.org) als auch der korrekte Port, der nach außen hin geöffnet ist (im obigen Beispiel: 12345)

Eine Anmerkung zu deiner Config: Ich würde es vermeiden, den (unverschlüsselten) DSM Port 5000 nach extern freizugeben!! Hierbei hast du ein erhebliches Sicherheitsleck! Auch 5001 (für DSM) würde ich wenn möglich nicht nach extern öffnen bzw. nur wenn dies unbedingt notwendig ist. Für die Verwaltungsoberfläche (= DSM) wäre eine VPN Verbindung oder eben nur ein Zugriff aus dem internen Netz besser und sicherer.
Bei mir habe ich das genau so gelöst und für die File Station einen eigenen, separaten Port vergeben (damit ich eben die Dateiverknüpfungen auch externen Usern zur Verfügung stellen kann). Es macht übrigens keinen Unterschied, ob du deine Ports durch Umleitung verschleierst oder nicht (50000 --> 5000) - über deinen externen Port 50000 wird immer unverschlüsselt kommuniziert und somit kann theoretisch jeder Bösewicht dein Admin-Passwort im Klartext mitlesen!

 

[TACiboy]

Soo, ich habe nochmal ein paar Screenshots gemacht, ich hoffe dadurch ist mein Problem besser verständlich:

Schritt 1: Den Zugriff auf die File Station erlaube ich "Nach IP". Diese Freigabe habe ich der Gruppe "users" zugewiesen



Schritt 2: Freigegeben habe ich das komplette Subnetz 192.168.1.0 / 255.255.255.0



Schritt 3: Jetzt gebe ich eine Datei per "Dateiverknüpfung teilen" frei. Ich erhalte dadurch einen Link, der in etwa folgendermaßen ausschaut:
https://url.dyndns.org:12345/fbsharing/slotABCz

Den Hostname und den Port habe ich in der Systemsteuerung entsprechend konfiguriert (für den Screenshot habe ich Dummydaten eingesetzt!!):



Schritt 4: Wenn ich diese URL dann aus meinem internen Netzwerk heraus aufrufe, dann kann ich die freigegebene Datei auch ohne Probleme herunterladen. Für den Aufruf von intern verändere ich jedoch die URL, indem ich den Hostname durch die IP Adresse und den externen Port durch den internen Port der DS ersetze (also sieht der Link dann in etwa so aus: https://192.168.1.123:7001/fbsharing/slotABCz )
Der Aufruf funktioniert und ich kann die Datei herunterladen!!


Schritt 5: Wenn ich jetzt aber von außerhalb auf die Datei zugreifen möchte, dann erhalte ich folgende Fehlermeldung:




Wie du siehst, funktioniert die Portweiterleitung ohne Probleme, es hat also definitiv etwas mit der Zugriffsberechtigung der DS zu tun. Es kommt mir so vor, als ob die DS bei dem Aufruf des Links nochmal prüft, ob der User (der den Link erstellt hat) die erforderliche Berechtigung besitzt. Da ich den Zugriff dieses Users von externen Netzen gesperrt habe, scheint der Link von extern auch nicht zu funktionieren.

Gibt es da eine Möglichkeit das zu umgehen? Oder habe ich in meinem Setup einen Denkfehler und übersehe nur eine Kleinigkeit?

 

[TheGardner]

Irgendwie wahrscheinlich für die meisten zu schwierig zu verstehen, was für Zeugs Du machen willst! Ich kann selbst blos wieder die Tippel-Tappel Tour von vorn beginnen und fragen:

Wenn Du den Zugriff auf die FileStation von außen blockst, wieso willst Du dann auf einmal wieder von außen auf eine freigegebene Datei zugreifen? Erklär nochmal wieso das gehen soll bzw. was ich grad wieder übersehe! Den meisten gehts wahrscheinlich ähnlich!

 

[TACiboy]

Hehe, okay, dann einfach formuliert:

Gibt es eine Möglichkeit, jemanden Dateien per "Dateiverknüpfungen teilen" zu schicken, obwohl der Zugriff auf die File Station für DS-Benutzer nur aus dem internen Netzwerk heraus erlaubt wird?

 

[Lord Schweizer]

Um das nochmal aufzugreifen...

Habe ich das soweit korrekt verstanden, dass deine User sowohl internen als auch externen Zugriff auf die DS haben ?
Sie haben also physischen Hardwarezugriff auf deine interne Netzwerkinfrastruktur als auch wenn notwendig externen Zugriff übers Internet.

Zur Absicherung hast du dann den Zugriff auf die Filestation auf die Gruppe "Users" beschränkt und diesen weiter limitiert, dass dieser nur möglich ist wenn sich das jeweilige "Users" Gruppenmitglied mit seinem Zugangsgerät innerhalb deiner Netzwerkinfrastruktur befindet.

Habe ich das so korrekt herausgelesen ?

 

[TACiboy]

Hi Lord Schweizer,

Habe ich das soweit korrekt verstanden, dass deine User sowohl internen als auch externen Zugriff auf die DS haben ?
Sie haben also physischen Hardwarezugriff auf deine interne Netzwerkinfrastruktur als auch wenn notwendig externen Zugriff übers Internet.

Korrekt, ich nutze die Diskstation ausschließlich privat, d.h. alle eingerichteten (Familien-)User haben physisch über LAN/WLAN Zugriff aus dem internen Netzwerk. Für einige Nutzer (d.h. für meine Frau und ich) gibt es außerdem Zugriff von extern, gelöst über Portweiterleitung.

Zur Absicherung hast du dann den Zugriff auf die Filestation auf die Gruppe "Users" beschränkt und diesen weiter limitiert, dass dieser nur möglich ist wenn sich das jeweilige "Users" Gruppenmitglied mit seinem Zugangsgerät innerhalb deiner Netzwerkinfrastruktur befindet.

Fast korrekt: Ich habe eine eigene, neue Gruppe angelegt. Dieser Gruppe gehören mein User und der User meiner Frau an. Die Gruppe hat Erlaubnis, die Applikation File Station zu nutzen. Dies habe ich gelöst, indem ich unter "Systemsteuerung" --> "Gruppe" im Reiter "Applikationen" die Option "Nach IP" für die File Station ausgewählt habe und dort dann die IP-Range meines internen Netzwerks angegeben habe. Folglich können meine Frau und ich nur aus eben dieser IP-Range heraus auf die File Station zugreifen.

Der Haken dabei ist jedoch, dass, wenn ich eine Dateiverknüpfung in der File Station freigebe (z.B. aus dem internen Netz von zu Hause aus), dann kann ich diesen Link zwar im internen Netz aufrufen. Wenn ich diesen Link jedoch an Freunde/Verwandte schicke, die dann von extern drauf zugreifen sollen, dann sagt die Diskstation, dass ein Zugriff nicht möglich ist (siehe Screenshot in Post #8, Schritt 5).

Ich wiederhole mich nochmal: Der Link passt, d.h. die URL und Port, über welche von extern auf die Diskstation zugegriffen wird, sind korrekt!! Ich komme ja auch von extern bis zur Diskstation nur leider erlaubt mir diese dann nicht den Zugriff auf die Datei. Und das liegt offensichtlich daran, weil der User, der eine Dateiverknüpfung geteilt hat, keinen Zugriff von einer externen IP-Adresse erlaubt bekommen hat. Und genau DAS finde ich unglücklich gelöst, weil doch eben mit der Funktion "Dateiverknüpfung teilen" keine Authentifizierung an der Diskstation erfolgt und im Prinzip jeder diesen Link abrufen kann. Offensichtlich prüft die File Station aber dennoch, ob der User, der die Datei freigegeben hat, überhaupt nach extern verteilen darf oder nicht!