DSM 6.x und darunter DSM 4.2 Standardport HTTPS 5001 ändern

[justkidding]

Hallo zusammen,

ich hoffe ich bin in dem Unterforum hier richtig
Und zwar wollte ich wissen ob es möglich ist den Standardport 5001 von HTTPS zu ändern (z.B. 443).
Ich konnte dazu leider nichts aktuelles im Internet finden...

Hintergrund meiner Frage ist, dass ich gerne innerhalb meiner Firma auch mal gerne auf das Webinterface des NAS zugreifen würde.
Bisher geht das nicht mit https://server-ddns:5001.
Ich kann jedoch auf die Photostation zugreifen.
Daher vermute ich, dass es nur an einem gesperrten Port liegt.
Da ich aber schlecht einen Port freigeben kann bzw. weiterleiten kann wollte ich das ganze über einen "Umweg" probieren.
Der übliche HTTPS Port ist ja mWn. 443 und sollte somit erreichbar sein... Zumindest sind auch die ganzen Bankenseiten erreichbar.
Weiß jemand ob das möglich ist den Standardport dauerhaft auf 443 zu ändern?


Danke für Eure Hilfe!

Grüße
justkidding

 

[Ap0phis]

Im Internet brauchst du auch nicht zu suchen. ;-)
Schau mal in die Systemsteuerung -> DSM-Einstellungen

 

[justkidding]

Da hab ich schon probiert
Aber da kommt ne Fehlermeldung:
"Einige Ihrer Einstellungen sind ungültig. Bitte geben Sie sie erneut ein."
Grade habe ich gesehen, dass die Portnummer rot unterstrichen wird wenn ich 443 eingebe.
Als Pop-up kommt: Diese Portnummer ist für Systemverwendung reserviert. Geben Sie eine andere Nummer ein".
Das heißt wohl auf die 443 kann ich das gar nicht einstellen oder? :/

 

[Ap0phis]

Ups, ist mir noch gar nicht aufgefallen.
Du könntest auch einfach mal versuchen, im Router den Port 443 auf die DS Port 5001 weiterzuleiten.

 

[justkidding]

Hab ich mir auch schon überlegt aber ich glaube das bringt nichts weil ich gar nicht bis zu meinem Router zu Hause komme.
Ich vermute dass die Firmenfirewall den Request direkt blockt...
Und Zugriff auf den Firmenrouter habe ich leider keinen

 

[Ap0phis]

Das glaube ich nicht. Https ist meistens nicht geblockt.

 

[ottosykora]

Hab ich mir auch schon überlegt aber ich glaube das bringt nichts weil ich gar nicht bis zu meinem Router zu Hause komme.
Ich vermute dass die Firmenfirewall den Request direkt blockt...

kaum, jedoch kannst du es testen: du kannst den Port 80 auf 5000 umleiten lassen und kurz schauen ob es geht. Dann den 443 auf 5001 leiten und schauen ob es geht. 443 ist kaum geblockt, damit würde ja die Hälfte aller Websites gar nicht mehr funktionieren. Du kannst zum Bsp versuchen ein Webmail aus der Firma abzufragen, diese gehen auch an 443.

 

[justkidding]

ah, jetzt verstehe ich glaub ich

Also in meinem Router richte ich Portforwarding von 443 nach 5001 ein und in der Firma greife ich dann über https://server-ddns:443 drauf zu?
Was auch seltsam ist: Ich bekomm innerhalb des Firmennetzwerks keine Verbindung mit FTP hin...
Nutze Filezilla und bekomme immer den Fehler: Verbindungsversuch fehlgeschlagen mit "EAI_NODATA - No adress associated with node name".
Eingetragen habe ich im Servermanager folgendes:

Server: beispiel.dynddns.org
Port leer oder mit 21 gleiches Ergebnis
Protokoll: FTP
Verschlüsselung: Explizites FTP über TLS erfordern
Verbindungsart Normal:
und dann Benutzer und Passwort eingetragen.
Hab auch schon über den Tab erweitert aktiv und passiv probiert aber leider kein Unterschied... Immer die gleiche Fehlermeldung...
Von meinem Android Handy aus funktioniert FTP wunderbar... allerdings ist das auch nicht im Firmennetz^^

 

[Ap0phis]

Der Witz an der Sache ist doch genau, dass du bei https:.... eben keine Portnummer an die Adresse anfügen mußt!
Bei https wird automatisch der Port 443 benutzt!

 

[jahlives]

dann blockt wohl die Firmenfirewall den Zugriff auf FTP auch

 

[justkidding]

Okay, dann werde ich das heute abend mal an meinem Router so einstellen und testen...
Aber wieso funktioniert FTP auch nicht?
@jahlives: Hatte ich auch erst vermutet aber wenn ich ftp://<server> eingebe bekomme ich folgende Meldung:
"ISA Server: extended error message :

220 NAS-Name FTP server ready.
504 TLS/SSL protection required".
Daher würde ich annehmen, dass er bis zum NAS kommt und der Port frei ist.

Seltsam ist auch, dass ich mich mit der Downloadstation vom Firmennetzwerk auf das NAS per HTTP verbinden kann...
Nur wieder nicht per HTTPS.
Ich will aber ungern mit ner HTTP Verbindung auf meinen NAS

Danke schonmal für eure Hilfe!

 

[Ap0phis]

Nein, so wirklich seltsam ist das alles nicht.
Die Administratoren für Firmennetzwerke sind in der Regel nicht unbedingt die Dümmsten.

Die sperren in der Regel alles, was nicht wirklich unbedingt gebraucht wird.
Und das nicht, um die Mitarbeiter zu ärgern. Hier geht´s in erster Linie um Sicherheit.

 

[justkidding]

Das versteh ich ja.
Ich finde nur folgendes seltsam:
1.) FTP über FileZilla mit Explizites TLS komm ich nicht auf den Server.
Aber über den Browser erreiche ich per FTP den NAS sonst könnte ja die Fehlermeldung nicht ausgespuckt werden oder?
"ISA Server: extended error message :

220 NAS-Name FTP server ready.
504 TLS/SSL protection required".

2.) Wieso kann ich mich mit der DownloadStation per unsicherem HTTP verbinden per sicherem HTTPS aber nicht?
Müsste es wenn nicht anders herum sein?

 

[jahlives]

Müsste es wenn nicht anders herum sein?

kommt drauf an was das primäre Ziel der Massnahme ist. Wenn z.B. verhindert werden soll bzw überwachbar gemacht werden soll, ob Daten von intern nach extern geschickt werden (z.B. vertrauliche interne Daten), dann macht es Sinn https resp ftpes zu verbieten. Dies weil man den Inhalt bei verschlüsselten Verbindungen ja nicht kontrollieren kann.

 

[justkidding]

Macht schon Sinn...
Das heißt im Umkehrschluss ich müsste auf meinem NAS ne normale FTP Verbindung zu lassen und es damit nochmal testen?
Wäre aus Sicherheitsbedenken aber nicht sonderlich klug oder?

Vielleicht klappt das mit dem Umleiten von 443 auf 5001!

 

[Quertz]

Macht schon Sinn...
Das heißt im Umkehrschluss ich müsste auf meinem NAS ne normale FTP Verbindung zu lassen und es damit nochmal testen?
Wäre aus Sicherheitsbedenken aber nicht sonderlich klug oder?

Vielleicht klappt das mit dem Umleiten von 443 auf 5001!

Bei normalem FTP gehen Passwörter im Klartext über die Leitung. Entscheide Du, ob dir das gefällt.

Wichtig wäre es zu überprüfen, ob Port 443 (ausgehend) aus dem Netzwerk offen ist. Das kannst Du mit der o.g. Portumleitung von 443 auf 5001 im Router tun.

Wenn das erfolgreich verläuft, könntest Du in einem zweiten Schritt Open-VPN auf der DS und einem Client zu einrichten, dass genau dieser Port 443 (statt default 1194) und TCP (statt UDP) für Open-VPN verwendet wird.
Damit hast Du dann alle Protokolle zur Verfügung und bist außerdem abgesichert. Das hat bei unserem Firmennetzwerk relativ gut funktioniert.

Wenn Dir der normale Zugriff auf die DSM reicht, ist das natürlich nicht notwendig. Außerdem ist ein privates VPN aus einem Firmennetzwerk heraus evtl. auch nicht erwünscht bzw. sogar verboten.
Also vorher schlau bei der IT-Abteilung schlau machen!

Gruß
Thomas

 

[justkidding]

Hallo zusammen,

sooo... kleines Update.
Über die Portweiterleitung von meinem Router schaffe ich es tatsächlich mich auf meinen NAS zu verbinden.
Einloggen funktioniert auch.
Wenn ich nun aber auf Systemsteuerung gehe und bei einem Benutzer das Passwort ändern will fliege ich raus mit der Meldung:
"Sie dürfen diesen Dienst nicht verwenden".
Ich war aber als Admin angemeldet...
Weiß einer mit was das zusammenhängen könnte?
Ich hab im Internet schon den Hinweis gefunden:
Systemsteuerung -> DSM-Einstellungen -> Sicherheit -> "Browserkompatibilität duch Verzicht auf IP-Prüfung verbessern".
Allerdings verstehe ich nicht 100% was die Option genau macht.
Funktioniert dann die automatische IP Blockierung auch nicht mehr bei mehrfachen Anmeldeversuchen?
Im Handbuch steht nur:
Diese Option verringert die Sicherheit.

Außerdem bekomm ich FTP nicht zum Laufen...
Habe jetzt unter FTP sowohl FTP als auch FTPS aktiviert.
aber mit FileZilla bekomme ich einfach keine Verbindung zu Stande....
Hab extra einen neuen User erstellt der nur Berechtigung für FTP und einen DummyOrdner hat um das ganze zu testen wegen dem unverschlüsselten Übertragen des Passworts.
Aber klappt leider einfach nicht...
Jemand Tipps?

@Thomas
Bei der VPN Lösung bin ich dann ja quasi in meinem Netzwerk zu Hause und erreiche den NAS über die interne IP oder?
Dann kann ich aber nicht gleichzeitig Daten im Firmennetzwerk aufrufen oder?

Danke und Grüße
justkidding

 

[ottosykora]

Macht schon Sinn...


Vielleicht klappt das mit dem Umleiten von 443 auf 5001!

eine kleine Zwischenfrage: hast du auch einen Certificate auf der DS erstellt? Was genau siehst du wenn du https vor der url oder IP schreibst? Keine Warnung vor unsicherer Site?

 

[ottosykora]

1.) FTP über FileZilla mit Explizites TLS komm ich nicht auf den Server.
Aber über den Browser erreiche ich per FTP den NAS sonst könnte ja die Fehlermeldung nicht ausgespuckt werden oder?
"ISA Server: extended error message :

220 NAS-Name FTP server ready.
504 TLS/SSL protection required".

2.) Wieso kann ich mich mit der DownloadStation per unsicherem HTTP verbinden per sicherem HTTPS aber nicht?
Müsste es wenn nicht anders herum sein?

daraus scheint es für mich dass ev gar kein Certificate vorhanden ist
Bist du sicher du hast ein Cert erstellt?

 

[justkidding]

Das mit dem Zertifikat hab ich einmal versucht mit Start-SSL.
Aber hab das nicht hinbekommen...
Sonst steht da überall man benötigt eine Domäne und die habe ich ja nicht oder?
Meine DDNS Adresse hat er auf jeden Fall nie akzeptiert...
Daher kommt der Hinweis von wegen unsichere Seite immer wenn ich mich mit HTTPS einlogge, auch von zu Hause.
Ist aber normal kein Problem, da ich genau weiß um was es sich dabei handelt. Dürfte ja kein Sicherheitsrisiko sein, da ich den Server ja kenne und trotzdem alles verschlüsselt wird oder?