DSM 6.x und darunter Diskstation extern vom Büro erreichen

[Syndrome1977]

Hallo,

Ich stehe aktuell mal wieder vor einem Problem betreffend der externen Erreichbarbeit meiner Diskstation.
Intern sowie extern (über DynDNS) gibts soweit auch keine Probleme mit der Erreichbarkeit. Alles richtig konfiguriert, weitergeleitet.

Einzig und allein im Büro lässt sich nicht darauf zugreifen.
Ich nehme stark an, das dies auf die dort eingesetzte Firewall zurückzuführen ist.

Bekomme von dort aus jedenfalls folgende Fehlermeldung:

---------------------------------------------------------------------------------------------------------------------------------------------
Netzwerkzugriffsmeldung: Seite kann nicht angezeigt werden
Technische Informationen für Supportpersonal:

Fehlercode 10060: Zeitüberschreitung der Verbindung
Hintergrund: Das Gateway konnte keine rechtzeitige Antwort von der Website erhalten, auf die Sie versuchen zuzugreifen. Dies deutet auf eine Netzwerküberlastung oder auf technische Probleme der Website hin.

Quelle: Firewall
---------------------------------------------------------------------------------------------------------------------------------------------

Über meinen damaligen Medion-Server gabs jedoch nie Probleme und alles hat recht gut funktioniert.
Wenn ich mich richtig erinnere, hatte ich damals aber meine dynamische Adresse bei no-ip und nicht bei dyndns.

Grundsätzlich sollte es jedoch keinen Unterschied machen, bei welchem Anbieter man seine Adresse zuordnet, oder?

Da der Medion-Server leider bereits vor längerer Zeit seinen Geist aufgegeben hat, kann ich leider aktuell nicht mehr testen.
Bin mit der Synology Soft- und Hardware leider noch nicht so vertraut, um beurteilen zu können, ob die Firewall diese grundsätzlich als Sicherheitsrisiko einstuft.

Da ich viele Daten auf meiner Diskstation beruflich benötige, wäre es für mich schon sinnvoll, diese nicht immer hin und hertragen zu müssen, sondern diese weiterhin zentral zuhause zu lagern und bei Bedarf im Büro abzurufen.

Aufgrund fehlender Administratorberechtigung im Büro habe ich leider keine Möglichkeit, die Firewall anzupassen.

Hoffe auf eine Idee aus dem Forum und bedanke mich schonmal vorab für eure Hilfe.

 

[Frogman]

...Da ich viele Daten auf meiner Diskstation beruflich benötige, wäre es für mich schon sinnvoll, diese nicht immer hin und hertragen zu müssen, sondern diese weiterhin zentral zuhause zu lagern und bei Bedarf im Büro abzurufen.

Aufgrund fehlender Administratorberechtigung im Büro habe ich leider keine Möglichkeit, die Firewall anzupassen.
...

Wenn dem so ist, dass Du beruflich genutzte Daten zu Hause auf Deiner DS lagern darfst, dann sollte es problemlos möglich sein, wenn Du Dich an einen der Administratoren in der Firma wendest bzw. an Deinen Chef, so dass die Freigabe eines geeigneten/benötigten Ports in der Firewall ermöglicht wird.

 

[Syndrome1977]

ja, werde mich diesbezüglich mal mit der zuständigen Abteilung in Verbindung setzen.
Wollte nur erst abklären ob dies wirklich an der Firewall liegt, oder ein anderer Grund dafür verantwortlich sein könnte.

Trotzdem schonmal vielen dank.

 

[Wolfman_II]

Alternativ könntest du auch den Port 5000 bzw. 5001 den du für den DSM brauchst über deinen Router zu Hause auf den Port 80 bzw. 443 umbiegen. Dann sollte ein Zugriff auch möglich sein, da deine Firmenfirewall den Zugriff über diese beiden Ports wahrscheinlich gestatten wird.
Du solltest dir halt im Klaren sein, dass dann auch jeder andere, der deinen Domainnamen kennt auf die Anmeldeoberfläche des DSM kommt.

 

[Frogman]

Alternativ könntest du auch den Port 5000 bzw. 5001 den du für den DSM brauchst über deinen Router zu Hause auf den Port 80 bzw. 443 umbiegen. Dann sollte ein Zugriff auch möglich sein, da deine Firmenfirewall den Zugriff über diese beiden Ports wahrscheinlich gestatten wird.
Du solltest dir halt im Klaren sein, dass dann auch jeder andere, der deinen Domainnamen kennt auf die Anmeldeoberfläche des DSM kommt.

Davon kann nur nachdrücklich abgeraten werden. Diese üblichen Ports werden ständig über Portscans abgegrast, dafür muss der Domainname in keiner Weise bekannt sein! Und kommt ein Angreifer auf den Anmeldeschirm, trennt ihn nur noch das admin-Password vom totalen Zugriff - wenn das also nicht stark genug ist, war's das!

Also: den DSM-Zugang tunlichst nicht ins Netz stellen, schon gar nicht den unverschlüsselten Zugang!

 

[Wolfman_II]

Sehe ich jetzt weniger problematisch. Mit einem starken Passwort und aktiviertem Auto-Block ist das nicht sooooooo kritisch.

Außerdem hat er nicht nach einer IT-Sicherheitsberatung gefragt, sondern nach einer Lösung für sein Problem. Als verantwortungsbewusster Serverbetreiber wird er sich da schon seine Gedanken gemacht haben, ob er das so umsetzen will oder nicht; und ein großer Junge scheint er auch zu sein.

 

[Frogman]

Sehe ich jetzt weniger problematisch. Mit einem starken Passwort und aktiviertem Auto-Block ist das nicht sooooooo kritisch.

Wenn Du jemandem empfiehlst, den nicht verschlüsselten DSM-Zugang über Port 5000 (und dann auch noch auf Port 80) ins Internet zu stellen, zeugt das von hinreichend wenig Ahnung. Hier hilft Dir auch das starke Passwort nicht viel weiter! Wenn Du es selbst machen will, ok - doch solltest Du das nicht anderen als Lösungsweg vorschlagen.

Außerdem hat er nicht nach einer IT-Sicherheitsberatung gefragt, sondern nach einer Lösung für sein Problem. Als verantwortungsbewusster Serverbetreiber wird er sich da schon seine Gedanken gemacht haben, ob er das so umsetzen will oder nicht; und ein großer Junge scheint er auch zu sein.

Bemerkenswert, dass Du darüber lachen kannst - ich kann es leider nicht.
Selbstredend ist das Ziel, dem Fragenden einen Lösungsweg aufzuzeigen (und den geradesten habe ich in meiner obigen Antwort auch angedeutet, denn es gibt beim Zugriff aus Firmennetzwerken auf private Rechner auch eine juristische Komponente, die bereits auch schon an anderer Stelle aufgezeigt wurde).
Allerdings gilt es dabei grundsätzlich im Allgemeinen und auch besonders in diesem Forum, den Fragenden und andere Lesende auf etwaige Probleme oder Sicherheitsrisiken aufmerksam zu machen, erst recht dann, wenn die Auswirkungen vielleicht nicht so bewußt sind, wie Du es glaubst!

 

[Wolfman_II]

Ich hab eigentlich keine Lust mich zu streiten, deswegen wird das mein letztes Statement sein.

Wenn Du jemandem empfiehlst, den nicht verschlüsselten DSM-Zugang über Port 5000 (und dann auch noch auf Port 80) ins Internet zu stellen, zeugt das von hinreichend wenig Ahnung.

Jetzt halt mal die Füße still. Ich habe überhaupt NICHTS empfohlen, sondern lediglich einen Weg aufgezeigt der sein Problem löst. Und genau nach einem solchen wurde gefragt.

Selbstredend ist das Ziel, dem Fragenden einen Lösungsweg aufzuzeigen (und den geradesten habe ich in meiner obigen Antwort auch angedeutet, denn es gibt beim Zugriff aus Firmennetzwerken auf private Rechner auch eine juristische Komponente, die bereits auch schon an anderer Stelle aufgezeigt wurde).

Das hier ist kein Juraforum und du wirst wahrscheinlich auch keine juristische Ausbildung haben. Deswegen würde ich mich da mal etwas zurückhalten. Ratschläge in Bereichen zu geben nach denen nicht gefragt war kann nämlich auch belehrend wirken.
Das hier ist ein technisches Forum und eine technische Antwort wurde gegeben. Bei weiteren Fragen kann man dann ja auf diese eingehen.

 

[laserdesign]

Das hier ist ein technisches Forum und eine technische Antwort wurde gegeben. Bei weiteren Fragen kann man dann ja auf diese eingehen.

Genau, wenn die Bremsen bei deinem Auto quietschen, baue sie doch einfach aus, wenn du dann deine Karre vor den Baum gesetzt hast, reden wir über die Krankenhausrechnung.

 

[Frogman]

...Jetzt halt mal die Füße still. Ich habe überhaupt NICHTS empfohlen, sondern lediglich einen Weg aufgezeigt der sein Problem löst. Und genau nach einem solchen wurde gefragt..

Was ich still halte oder nicht, tut hier nichts zur Sache. Wenn Du aber solch fragwürdigen "Ratschläge" erteilst, kommentiere ich das - so einfach ist das.