DS216j + Nextcloud+ Stat. IP

Sightus · 21. Sep 2016

Moin,

nachdem ich mit meiner Qnap nicht mehr zufrieden war, habe ich die DS216J geholt. Grundsätzlich soll dort nur Nextcloud laufen, da alle anderen Dinge noch über mein Qnap laufen. Ich habe Nextcloud wie in folgender Anleitung installiert und bin auch soweit recht zufrieden damit. Nun habe ich aber Probleme um von Außen auf Nextcloud zuzugreifen und ich bin mir nicht sicher, ob das Problem an Nextcloud oder dem NAS liegt.

Status quo:
Mein NAS befindet sich in einem Unternehmensnetzwerk mit fester IP. Aus verschiedensten Gründen habe ich die Standardports (welche nach außen def. offen sind) in der Webmaske (DSM) der DS216j geändert. Beispiel:

IP: 125.125.125.125
Port HTTP: 5600
Port HTTPS: 5601

Wenn ich jetzt z.B. von meinem Smartphone die IP 125.125.125.125:5601 eingebe, dann erhalte ich den Fehler, dass es sich nicht um eine HTTPS-Verbindung handelt (da HTTPS in der URL ist durchgestrichen); kann mich dann aber einloggen. Verstehe ich zwar nicht, aber immerhin.

Was ich nun gerne wissen möchte; wie kann ich auf Nextcloud zugreifen? Aus dem lokalen Netz per Pc kann ich das indem ich in den Clienten folgendes eingebe: "h ttps://125.125.125.125/nextcloud/". Das geht allerdings nur, wenn ich keinen Port angebe, was ich im internen Netz ja auch nicht muss. Will ich nun aber von Außen auf Nextcloud zugreifen, dann müsste ich ja den Port angeben. Gebe ich in mein Smartphone nun aber "h ttps://125.125.125.125:5601/nextcloud/", dann passiert nix.

Ich vermute, dass ich Nextcloud irgendwie erklären muss, dass der Port 5601 genutzt werden soll. Hat jemand zufällig eine idee, wie ich in diesem Setting von Außen auf Nextcloud zugreifen kann? Bonus wäre, wenn man nur auf Nextcloud und nicht auf die Synology zugreifen könnte.

Vielen Dank!

Anzeige · 21. Sep 2016

Hallo Sightus,

Bücher und Hardware zum Thema gibt es bei Amazon: DS216j + Nextcloud+ Stat. IP

Fusion · 21. Sep 2016

Die nextcloud läuft auf dem user-webserver. Der ist normal unter 80/443 erreichbar. Deshalb sind für http/https auch keine Ports anzugeben, weil es die Standardports sind.
Der DSM läuft auf dem sys-webserver und lauscht dort normal auf 5000/5001.
Du musst also an den Ports des DSM überhaupt nichts ändern.
Nur Ports die von außen weitergeleitet werden sind auch erreichbar.

Sightus · 21. Sep 2016

Ok, vielen Dank für die fixe Rückmeldung. Ich habe also die Ports in den DSM Einstellungen wieder auf 5000 und 5001 gestellt. Somit ist es von Außen nicht mehr erreichbar (Ports wohl im Unternehmen gesperrt).

Wäre dann die Lösung nicht, dass ich Nextcloud beibringe auf 5001 (wenn erreichbar) oder wie von mir gewünscht 5601 (freigeschaltet) zu lauschen?

EDIT: Mit Port 443 will es jedenfalls von Außen nicht klappen.

Fusion · 21. Sep 2016

Der Standard-Port(s) des user-webservers lassen sich nicht so einfach ändern. Du kannst dir eventuell mit einem Reverse Proxy (Systemsteuerung > Anwendungsportal) Eintrag behelfen der dann als Ziel auf localhost:443 zeigt.

Die IP ist von innen wie außen dieselbe?

Sightus · 21. Sep 2016

Also gebe ich dann unter Quelle an:

Protokoll: HTTPS
Hostname: *
Port: 5601
HSTS: Ja
HTTP/2: Ja

und unter Ziel:

Protokoll: HTTPS
Hostname: localhost
Port: 443

Fusion · 21. Sep 2016

HSTS und HTTP/2 musst du probieren, das könnte aber eventuell stören, je nachdem mit welchem Namen/IP du zugreifst. (Der Browser wird dann schon meckern).
Ebenfalls werden die zugelassenen Namen/IP in der nextcloud conf noch interessant werden (aber da gibt es normal eine aussagekräftige Meldung dazu)

Sightus · 21. Sep 2016

Scheint auch mit deaktivierten HSTS und HTTP/2 nicht zu funktionieren, die Smartphone App zeigt die Meldung "Unbekannter Fehler". Wo finde ich denn die nextcloud.conf? Ich finde unter /volume/web/nextcloud/config nur eine config.php.

Fusion · 21. Sep 2016

Welche Smartphone App? nextcloud client?

Bitte erstmal im mobilen Browser probieren.
Oder auch erstmal im LAN. Den Reverse Proxy interessiert erstmal nicht woher die Anfrage ursprünglich kommt.

Sightus · 21. Sep 2016

War in der App, ja. Aber auch mit dem Google Browser funktionierte es nicht.

Fusion · 21. Sep 2016

Wir brauchen die Info, wie du zugreifst, wie die Testbedingungen/Einstellungen sind und wie die Fehlermeldung aussieht.

Andy+ · 21. Sep 2016

Du mußt es mit Portweiterleitungen ja geschafft haben, daß Du Deine DS mit den Ports 5000/5001 bzw. 5600/5601 erreichst. Ggf. in der Form

5000 an 5000 usw.

Und genauso mußt Du auch den Port 80 der DS ansteuern, aber sicherlich mit unterschiedlichen Portnummern, weil der 80 in einem Firmennetz in der Regel auf deren Web- und Mailserver verweist. Also, zB.

8080 an 80

Und somit wäre einzugeben

extern-DNS:8080/nextcloud/

und von intern

125.125.125.125/nextcloud/

Aber nicht vergessen, in der config.php im array alle IP-Adressen angeben.

Sightus · 22. Sep 2016

Ich bin heute leider nicht im Büro, aber ich schaue mir das mal genauer an. Wo soll ich "extern-DNS:8080/nextcloud/" (was meinst Du mit extern-DNS) eingeben und wie soll ich in der config.php alle IP-Adressen abgeben? Ich meine, der Plan ist ja, dass ich und auch andere Leute mit jedem Endgerät (IP wechselt) auf Nextcloud zugreifen können. Die meisten haben zwar für andere Zwecke eine DynDNS-Acc aber das muss doch auch ohne gehen.

Andy+ · 22. Sep 2016

Wenn Du von extern auf die DS zugreifen möchtest, brauchst Du eine DynDNS. Wenn nichts von extern gehen soll, lass das weg.

Wenn Du von intern auf nextCloud zugreifen willst, mußt Du einfach

IP-Adresse-DS/nextcloud

also

125.125.125.125/nextcloud

eingeben, im Browser, dann kommst Du auf die GUI. Das wars. Arbeitest Du zusätzlich mit dem Client, ist die Eingabe genauso.

Fusion · 22. Sep 2016

dynDNS oder einen Domainnamen braucht er ja nur, wenn sich Nextccloud nicht immer hinter derselben IP verbirgt, oder wenn eben ein eingänglicher Name anstatt einer IP verwendet werden soll.
Wie der Zugang zwischen Nextcloud und Internet genau aussieht hat er ja nicht verraten bis jetzt. Könnte also auch intern/extern über diesselbe IP erreichbar sein.
Den Rest hat @Andy+ ja schon, nach aktuellem Kenntnisstand, in Post #11 geschrieben.

Sightus · 22. Sep 2016

Ok, aber das mit DynDNS habe ich mit irgendwie anders vorgestellt. Also kann ich per Smartphone nicht über die Mobilfunknetzen auf Nextcloud zugreifen? Ich hätte eigentlich gerne einen "vollwertigen" Ersatz für Dropbox, so dass auch Leute, die nicht wissen was DynDNS ist, den Dienst nutzen können.

Sightus · 22. Sep 2016

Fusion schrieb:
[...]Wie der Zugang zwischen Nextcloud und Internet genau aussieht hat er ja nicht verraten bis jetzt. Könnte also auch intern/extern über diesselbe IP erreichbar sein.[...].

Ja, die IP der DS ist fest, nicht von einem DHCP vergeben. Uns gehört ein bestimmter IP-Bereich und das NAS hat eine davon. Deswegen ist die IP für intern und extern gleich.

Fusion · 22. Sep 2016

Du brauchst kein dynDNS. Das ist nur nötig, wenn das Ziel, also die IP der Nextcloud dynamisch wäre. Dass sich die IP der Clients ändert ist total schnuppe.
Der Nextcloud muss in der config.php nur der eigene Name/IP unter der das Web-Interface auch antworten soll bekannt gemacht werden.
Zwischen intern/extern sitzt dann aber immer noch eine Firewall oder ähnliches, die den Zugriff limitiert, sonst müsstest du dich ja gar nicht um Ports scheren.

Die Info aus Post #11 bleibt also bestehen.
IP/nextcloud von intern
IP:<port>/nextcloud von extern

Sightus · 22. Sep 2016

Die Info aus Post #11 bleibt also bestehen.
IP/nextcloud von intern
IP:<port>/nextcloud von extern

Ok, intern läuft auch alles. Ich bin gerade ein wenig verwirrt; soll ich nun den Port vom Reverse-Proxy oder den unter DSM-Einstellungen? Und bezüglich der config.php sprichst Du von den "Trusted domains", richtig? Da steht ohne Angabe eines Ports.

'trusted_domains' =>
array (
0 => '125.125.125.125',
),

Fusion · 22. Sep 2016

Ja, trusted domains, sollte so ausreichen, wenn du immer gedenkst über eben diese IP zuzugreifen. Nur falls du z.B. eine Domain ala cloud.domain.de noch per A-Record auf die 125... zeigen lassen würdest und die nextcloud darüber aufrufst, müsste diese auch bei den trusted domains ergänzt werden.

Das mit den Ports ist jetzt halt die Frage, wie die technischen Randbedingungen bei dir sind.
Wenn du die 125... von extern nicht direkt via http(s)://125... erreichst, heißt ja, dass 80/443 von außen nicht auf die IP gelangen können.
Dann brauchst du einen anderen Port der entweder direkt umgeleitet wird, z.B. 8080 > 80, oder direkt 8080 > 8080 an die 125... weitergereicht wird. Für https z.B. 8443 > 443 bzw. 8443 > 8443.
Nur im letzten Fall (1:1 Weiterleitung) brauchst du noch einen Reverse Proxy Eintrag auf der DS, der dann lokal auf der DS noch von 8080 > 80 oder 8443 > 443 umleitet, weil die nextcloud im Normalfall auf 80/443 lauscht.
Im Fall der Umleitung 8080 > 80 bzw 8443 > 443 musst du auf der DS nichts einstellen.

Die Ports unter Systemsteuerung > Netzwerk > DSM Einstellungen kannst du auf Standard 5000/5001 belassen. Wenn diese Ports von extern nicht zugreifbar sind, ist auch der DSM nur von intern erreichbar.

Von extern gibst du sowohl im Fall der Umleitung, wie auch bei der 1:1 Weiterleitung, die http(s)://IP<port>/nextcloud ein.