Nummer Serie DS 112: Ich bekomme den Zugriff von außen nicht hin!
- Ersteller HSV-Steph
- Erstellt am
Aller Geräte der Nummer-Serie (ohne j, + und xs Zusatz). Geräte für Privatanwender bis hin zu Firmenarbeitsgruppen
- Status
Mit WinSCP funktioniert es problemlos! Danke!
Allerdings auch nur über die freie WLan-Verbindung, nicht über das Firmennetz. Da hoffe ich jetzt, dass das mit SFTP funktioniert, weil jedesmal das Netz ändern ist auch irgendwie blöd...
Ok, danke!
Dann hoffe ich mal, dass unser Firmennetzwerk SFTP hergibt. Wobei, wenn ich den Port selbst wählen kann, müsste das ja funktionieren...
Spooky_
Benutzer
- Mitglied seit
- 31. Jan 2012
- Beiträge
- 176
- Punkte für Reaktionen
- 0
- Punkte
- 0
Es könnte auch sein, dass euer Netzwerkadmin generell nur bestimmte Ports freigeschalten hat, von außen und auch von innen nach außen. Und es gibt auch die Möglichkeit Protokolle wie SSH generell zu unterbinden, unabhängig vom Port. (Nur als Zusatzinfo, falls auch SFTP nicht funkt
)Es könnte auch sein, dass euer Netzwerkadmin generell nur bestimmte Ports freigeschalten hat, von außen und auch von innen nach außen. Und es gibt auch die Möglichkeit Protokolle wie SSH generell zu unterbinden, unabhängig vom Port. (Nur als Zusatzinfo, falls auch SFTP nicht funkt
An den Ports kann es ja eigentlich nicht liegen, weil der unverschlüsselte FTP-Zugang über 21 funktioniert, oder?
Dann hoffe ich mal nur, dass die benötigten Protokolle nicht gesperrt sind...
An dieser Stelle mal ein riesengroßes Danke schön an Euch alle! Dieser Support in Echtzeit in diesem Forum ist der Hammer!
Danke!
Gruß
Steph
So: Alles ist gut!
Der SFTP-Zugriff per FileZilla über Port 22 läuft!
Somit bin ich wunschlos glücklich: Ich habe einen https-Zugriff über Port 5001 auf die DS-Oberfläche und einen FileZilla-SFTP-Zugriff über Port 22 auf meine Dateien!
Die Ports 5000 und 21+20 lasse ich vorübergehend mal offen, sollten die verschlüsselten Zugänge mal nicht funktionieren.
Vielen Dank noch mal an alle, die mir per Crashkurs und Echtzeit-Support beim Fernzugriff auf meine DS geholfen haben!
Viele Grüße
Steph
Der SFTP-Zugriff per FileZilla über Port 22 läuft!
Somit bin ich wunschlos glücklich: Ich habe einen https-Zugriff über Port 5001 auf die DS-Oberfläche und einen FileZilla-SFTP-Zugriff über Port 22 auf meine Dateien!
Die Ports 5000 und 21+20 lasse ich vorübergehend mal offen, sollten die verschlüsselten Zugänge mal nicht funktionieren.
Vielen Dank noch mal an alle, die mir per Crashkurs und Echtzeit-Support beim Fernzugriff auf meine DS geholfen haben!
Viele Grüße
Steph
Spooky_
Benutzer
- Mitglied seit
- 31. Jan 2012
- Beiträge
- 176
- Punkte für Reaktionen
- 0
- Punkte
- 0
Jo, aber die Port Range für den passive mode könnte gesperrt sein (gut möglich, dass euer Firmennetzwerk 5-stellige Port Ranges generell gesperrt hat).
Passt
laserdesign
Benutzer
- Mitglied seit
- 11. Jan 2011
- Beiträge
- 2.549
- Punkte für Reaktionen
- 47
- Punkte
- 94
Dir ist schon bewusst das du mit den offenen Ports: 22 und 5000 ein grosse Sicherheitslücke aufmachst.
Ich hoffe du hast die automatische Blockierung angestellt.
Spooky_
Benutzer
- Mitglied seit
- 31. Jan 2012
- Beiträge
- 176
- Punkte für Reaktionen
- 0
- Punkte
- 0
Der offene Port selbst ist noch keine außergewöhnlich große Sicherheitslücke. Immerhin muss man für manche Anwendungsfälle den Port 22 offen halten (bspw. Encrypted Network Backup). Viel wichtiger ist eben wie laserdesign sagt die automatische Blockierung einzuschalten und, am aller wichtigsten, sichere Passwörter zu verwenden, vor allem (oder zumindest) für den admin/root User.
Dass Port 5000 offen ist, spielt auch keine große Rolle, wenn man eingestellt hat, dass sowieso alles auf https weitergeleitet wird.
Dass Port 5000 offen ist, spielt auch keine große Rolle, wenn man eingestellt hat, dass sowieso alles auf https weitergeleitet wird.
Oh je, was bedeutet das nun wieder.
Den Port 5000 kann ich auch locker aus machen, da ja alles über 5001 funktioniert.
Aber den Port 22 brauche ich für den FileZilla-SFTP-Zugriff. Ich dachte, gerade das ist sicher?!?
Und wo kann / muss ich eine automatische Blockierung einstellen, im Router? Und funktioniert mein FileZilla-SFTP-Zugriff dann überhaupt noch?
Spooky_
Benutzer
- Mitglied seit
- 31. Jan 2012
- Beiträge
- 176
- Punkte für Reaktionen
- 0
- Punkte
- 0
Control Panel - Auto Block (unter Network Services) - Enable Auto Block, default Einstellungen kannst du lassen.
Auto Block sperrt automatisch den Zugriff auf die DiskStation für eine gewisse IP, wenn von dieser IP bspw. 5 fehlgeschlagene Login Versuche innerhalb von 5 Minuten passiert sind, egal auf welchem Service (also egal ob Samba Share, FTP, SFTP, SSH, etc.).
Der SFTP Zugriff ist davon nicht beeinträchtigt. Außer du loggst dich 5mal mit falschen Login Daten ein, natürlich
laserdesign
Benutzer
- Mitglied seit
- 11. Jan 2011
- Beiträge
- 2.549
- Punkte für Reaktionen
- 47
- Punkte
- 94
@Spooky,
du hast schon recht, mein Satz hört sich etwas panikmässig an. Trotzdem würde ich den Port:22 für FTP verbiegen,
so wie du es schon weiter oben vorgeschlagen hattest.
du hast schon recht, mein Satz hört sich etwas panikmässig an. Trotzdem würde ich den Port:22 für FTP verbiegen,
so wie du es schon weiter oben vorgeschlagen hattest.
Spooky_
Benutzer
- Mitglied seit
- 31. Jan 2012
- Beiträge
- 176
- Punkte für Reaktionen
- 0
- Punkte
- 0
Ja, ich mache es meistens auch so, dass ich 8022 auf 22 mappe. Je nachdem wie ich es gerade brauche. Ich versuche meist die Ports bei den Services auf default zu lassen und nur von außen anders zu mappen (meist weniger Verwaltungs- und Konfigurationsaufwand).
@HSV-STeph: wenn du das auch so machen willst, also 8022 auf 22 forwarden, dann musst du in den Weiterleitungseinstellungen deines Routers zB folgendes angeben (anhand der Informationen, die du vor ein paar Posts gegeben hast):
- Typ: SFTP/SSH/WasAuchImmer
- Protokoll: TCP
- Remote Host: frei gelassen
- Remote-Portnummernbereich: 8022
- Lokaler Host: IP der NAS (xxx.xxx.x.xx)
- Lokale Portnummer: 22
- Status: Aktiviert
Von außen verbindest du dich dann über Port 8022 mit SSH oder SFTP auf die DiskStation. Innerhalb deines Netzwerkes mit Port 22. Du kannst natürlich auch den SFTP Port auf der DiskStation generell auf 8022 ändern (dann trägst du natürlich bei Remote- und Lokale Portnummer dasselbe ein, also 8022). Dann verbindest du dich von egal wo per SFTP mit Port 8022 auf die DiskStaiton.
Noch ein anderer Punkt: Hast du unter "Notification/Benachrichtigungen" (im Control Panel das blaue Rufzeichen-Icon) auch einen SMTP Server angegeben und deine E-Mail Adresse eingetragen? Würde ich empfehlen, damit du immer gleich benachrichtigt wirst, wenn was schief geht oder wichtiges am NAS passiert.
laserdesign
Benutzer
- Mitglied seit
- 11. Jan 2011
- Beiträge
- 2.549
- Punkte für Reaktionen
- 47
- Punkte
- 94
Ich habe jetzt folgendes eingestellt:
- HTTP Verbindungen immer auf HTTPS umleiten
- In der DS den SFTP-Port auf 8022 gestellt, im Router und in FileZilla natürlich auch (funktioniert!)
- Die Blockierung in der DS nach 5 Fehl-Logins / 5 Minuten eingestellt
- Die E-Mail-Benachrichtigung eingerichtet und per Test-Mail kontrolliert
Ist nun alles sicher?
- HTTP Verbindungen immer auf HTTPS umleiten
- In der DS den SFTP-Port auf 8022 gestellt, im Router und in FileZilla natürlich auch (funktioniert!)
- Die Blockierung in der DS nach 5 Fehl-Logins / 5 Minuten eingestellt
- Die E-Mail-Benachrichtigung eingerichtet und per Test-Mail kontrolliert
Ist nun alles sicher?
laserdesign
Benutzer
- Mitglied seit
- 11. Jan 2011
- Beiträge
- 2.549
- Punkte für Reaktionen
- 47
- Punkte
- 94
Noch eine Frage:
Kann es denn zu Problemen kommen, wenn jetzt der Port 5000 immer auf 5001 geht und der Port 22 gar nicht mehr frei ist? Bzw. mit welchen Einschränkungen muss ich rechnen?
Kann es denn zu Problemen kommen, wenn jetzt der Port 5000 immer auf 5001 geht und der Port 22 gar nicht mehr frei ist? Bzw. mit welchen Einschränkungen muss ich rechnen?
Spooky_
Benutzer
- Mitglied seit
- 31. Jan 2012
- Beiträge
- 176
- Punkte für Reaktionen
- 0
- Punkte
- 0
Im Normalfall wirst du keine Probleme haben. Eine Einschränkung ist, dass du jetzt von außen nicht mehr per SSH (auf die Console) zugreifen kannst, dafür müsstest du dir ein weiteres Port Forwarding anlegen (zB. 8122 auf 22). Aber meiner Einschätzung nach weißt du ohnehin noch nicht, wofür du das brauchen könntest, daher braucht dich das (vorerst) auch nicht beschäftigen
Im Normalfall wirst du keine Probleme haben. Eine Einschränkung ist, dass du jetzt von außen nicht mehr per SSH (auf die Console) zugreifen kannst, dafür müsstest du dir ein weiteres Port Forwarding anlegen (zB. 8122 auf 22). Aber meiner Einschätzung nach weißt du ohnehin noch nicht, wofür du das brauchen könntest, daher braucht dich das (vorerst) auch nicht beschäftigen
Ich habe die Vermutung, dass Du mit Deiner Einschätzung richtig liegst
Hallo Leute,
ich sehe gerade eine Benachrichtigung vom 06.03.13 meiner DS:
"ip adress (xxx.xxx.xxx.xx) of DMS-Diskstation has been blocked bei FTP"
1) Was war da los? War das ein "Außenangriff"?
2) Wieso habe ich keine Mail erhalten? Ich habe die Mail-Benachrichtigung gerade noch mal getestet, die funktioniert eigentlich...
Viele Grüße
Steph
ich sehe gerade eine Benachrichtigung vom 06.03.13 meiner DS:
"ip adress (xxx.xxx.xxx.xx) of DMS-Diskstation has been blocked bei FTP"
1) Was war da los? War das ein "Außenangriff"?
2) Wieso habe ich keine Mail erhalten? Ich habe die Mail-Benachrichtigung gerade noch mal getestet, die funktioniert eigentlich...
Viele Grüße
Steph
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
