Domain zur Synology nur erreichbar, wenn Port 80 aktiviert ist

[Workstation]

Moin zusammen,

ich habe eine DS, die per Domain erreichbar ist.
Über Start habe ich alles per DynDNS eingerichtet, sowie in der DS auch.
Zertifikat ist erstellt. Für die Einrichtung habe ich den Port 80 geöffnet und dann wieder geschlossen.
Die Standard-Ports 5000 und 5001 habe ich geändert in den Ports 1801 und 1802. Der Port 1802 ist auch in der USG freigegeben.
Automatische Umleitung von HTTP zu HTTPS ist aktiv.
Ich kann die DS nur erreichen, wenn der Port 80 in der USG offen ist.
Selbst die Eingabe der Domain inkl. Port funktioniert nicht.
Das gleiche mit DS File. Port 80 offen, geht, sonst nicht.

Wo liegt mein Fehler?

 

[Ulfhednir]

Wie sieht denn dein Portforwarding aus? 80 / 5001? Ist vor der USG noch ein Router?
Mit Reverse Proxy herumgespielt?

 

[Workstation]

Ja genau. Da ich den 5001 in 1802 geändert habe, sind somit die Ports 80 und 1802 freigegeben. Vor der USG ist eine FritzBox 7530, die alles per Exposed Host an die USG weiterleitet, da ich alles darüber per Firewall regel. Reverse Proxy ist bei mir nicht aktiv.

 

[synfor]

Die Standart-Ports 5000 und 5001 habe ich geändert und den Port 5001 auch in der USG freigegeben.

Wenn du die Standard-Ports (5000 u. 5001) geändert hast, warum gibst du dann nicht die geänderten Ports frei?

 

[Workstation]

Die Standar(d) - Ports (verdammt ) sind geändert und freigegeben. Sorry, natürlich handelt es sich um die Ports 80 und 1802, die freigegeben sind.
Sorry für die Verwirrung, ich habe es im Beitrag geändert.

 

[Workstation]

Hier mal meine Einstellungen.

 

[himitsu]

Rufst du das auch mit den Ports auf, oder ohne Port?
https://DeineDonainOderIP:port/xyz

Wenn kein Port angegeben, dann nimmt der Browser die Standardports für HTTP/HTTPS. (80/443)
Die DS hat eine Umleitung von 80 zu deinem DSM-Standardport, aber wenn 80 nicht freigegeben ist, dann kann Diese nicht genutzt werden. (stört aber nich, wenn man den Port direkt angibt)

Die Ports 5000/5001 sind für das DSM,
aber nicht alles geht über die API des DSM.
z.B. DS photo, Photo Station, Web Station, Mail Station und Synology Drive Server laufen über die normalen HTTP/HTTPS-Ports. (80/443)
aber DS file soll ja eigentlich 5000/5001 verwenden

Ich weiß nicht, ob man Port 80 in der DS ändern kann, denk aber mal ja, und auch im Router kannst ja die Portweiterleitung nach außen anpassen.

 

[heavy]

mal nur ganz doof gefragt warum biegst du intern auch die Porst um? du kannst doch die internen ports einfach lassen wie sie sind und dann nur im Router umleiten. also den externen port 1802 auf den internen port 5001

 

[Workstation]

Rufst du das auch mit den Ports auf, oder ohne Port?
https://DeineDonainOderIP:port/xyz

Wenn kein Port angegeben, dann nimmt der Browser die Standardports für HTTP/HTTPS. (80/443)
Die DS hat eine Umleitung von 80 zu deinem DSM-Standardport, aber wenn 80 nicht freigegeben ist, dann kann Diese nicht genutzt werden. (stört aber nich, wenn man den Port direkt angibt)

Das ist tatsächlich so.
Ist der Port 80 deaktiviert, erreiche ich die Domain nur mit Eingabe des Ports 1802.
Kann man das irgendwie umgehen, dass ich die Domain ohne Angabe des Ports erreiche und trotzdem nicht unbedingt den Port 80 freigeben muss?

mal nur ganz doof gefragt warum biegst du intern auch die Porst um? du kannst doch die internen ports einfach lassen wie sie sind und dann nur im Router umleiten. also den externen port 1802 auf den internen port 5001

Ich habe nur den Empfehlungen des Sicherheitsberaters gefolgt. Ich dachte das sei so richtig. Ich stelle es mal wieder auf die Standard-Ports um.

 

[heavy]

Ja der motzt bei vielen Sachen aber man sollte die Gründe dafür kennen und dann zusammen mit Hintergrund wissen diese Meldungen bewerten und dann danach handeln. Er weiß ja nicht in was für einer Umgebung er sich befindet, er testet auch nicht irgendwie ob eine Gefahr besteht (wenigstens bei allen Meldungen sondern geht stumpf eine Liste ab (die man übrigens abändern kann) und zum Beispiel die "Prüfung" der Ports abstellen (ich meine wenigstens es müsste gehen hab schon lange dort nichts mehr in dem Sicherheitsberater gemacht) Ich habe auch die Meldung abgestellt die mir mitteilt dass ich den Admin Account aktive habe.

 

[Workstation]

Ahh ok. Gibt es denn eine Möglichkeit, wie man ohne Port-Angabe auf der Domain kommt? Port 80 soll man ja nicht unbedingt offen lassen.

 

[heavy]

nein wenn du von den Standard Ports abweichst musst du sie immer mit angeben. Du kannst die Eingabe umgehen wenn du Cname oder ähnliches im DNS System ablegst aber beim eigentlichen Aufruf musst du den Port mit angeben (auch in den Apps)