DSM ohne Portangabe sperren

[thomas-1]

Hallo zusammen,

ich möchte auf DSnote und evtl. PhotoStation unterwegs aus dem Internet zugreifen. Dafür habe ich in meiner Fritz!Box 6360 MyFRITZ! (DDNS-Service der Fritz!Box) eingerichtet und auch eine Freigabe auf DSNote mit einem benutzerdefinierten Port (auch im DSM-Anwendungsportal angegeben) erstellt.

Erreichbar ist DSnote also unter: https://synologydiskstation.blablabla.myfritz.net:9874/
Das funktioniert auch soweit.

Wenn ich aber https://synologydiskstation.blablabla.myfritz.net ohne Port eingebe, lande ich auf der Login-Seite des DSM:
https://synologydiskstation.blablabla.myfritz.net:5678/webman/index.cgi (5678 ist die Standardportnummer, die ich in den DSM-Einstellungen angegeben habe).

Das gleiche passiert, wenn ich die IP der Diskstation ohne Port aus dem lokalen Netz aufrufe, ich bekomme die DSM-Login-Seite. Das war glaube ich mal anders.

Zumindest aus dem Internet möchte ich das verhindern, um nicht unnötige Angriffsfläche zu bieten.
Habe ich da irgendwo eine Einstellungsmöglichkeit übersehen?

Danke schon mal für Eure Hilfe!

Viele Grüße
Thomas

 

[heavy]

Wie hast du denn die DS in der Fritzbox fürs Internet freigegeben? Denn wenn du eigentlich nur den Port 9874 freigeben hast sollte es nicht gehen.

 

[Frogman]

Ist denn überhaupt die Web Station aktiviert?

 

[thomas-1]

@Frogman:
Also die Webstation hatte ich nicht aktiviert (brauche ich nicht). Wenn ich sie aktiviere, dann erscheint bei https://synologydiskstation.blablabla.myfritz.net die Startseite des webservers "Web Station wurde aktiviert...". Zumindest nicht die Login-Seite der DSM.

@heavy:
Ich habe eigentlich nur den Port 9874 freigegeben. Inzwischen habe ich aber festgestellt, dass die Fritz!Box trotzdem andere Ports durchlässt, so auch einen Aufruf ohne Port, der dann wahrscheinlich auf 80 landet.
Habe jetzt nochmal alle Freigaben in der Fritz!Box gelöscht und eine neue Freigabe für einen Standard-http-Server erstellt (also Port 80). Trotzdem komme ich mit anderen Ports durch ... das kann doch eigentlich nicht sein, oder?

 

[Tommes]

Hast du die Portfreigaben in der Fritzbox unter Internet/Freigaben im Reiter MyFRITZ!-Freigabe einrichten eingerichtet? Falls ja, so spielt der Port IMHO nur eine untergeordnete Rolle, da du ja eine Subdomain für die NoteStation eingerichtet hast. Würdest du stattdessen in der Fritzbox unter Internet/Freigaben den Reiter Portfreigaben verwenden, müßte man den Port auf jeden Fall anhängen um auf die NoteStation zu kommen.

Auch landest du nicht auf der Loginmaske des DSM, sondern auf der Loginmaske der NoteStation

Tommes

 

[heavy]

Da meine FB kein Myfritz kann weiß ich leider nichts von den Myfritz freigaben, wenn das so ist wie tommes beschrieben hat, dann solltest du da nachschauen oder auch in der DS nachschauen was sie dort eventuelle über upnp in der FB eingetragen hat. Bei mir ist es so entweder ich hänge die DS als DMZ ein oder ich gebe die Ports explizit frei ansonsten wüsste ja mein router nicht wohin, da ich ja noch eine zweite Reale DS habe. Auch ist mein PC für den Teamspeakserver zuständig.

 

[Tommes]

Ähm... ich glaub ich hab da grade ziemlichen Blödsinn erzählt.

Habe das bei mir nochmal nachgestellt. Wenn ich in der Fritzbox unter Internet/Freigaben im Reiter "MyFRITZ!-Freigaben einrichten", eine Freigabe zur NoteStation auf Port 9351 per https:// einrichte, wird mir diese Freigabe auch unter Internet/Freigaben im Reiter "Portfreigaben" angezeigt. Demnach wird auch nur der entsprechende Port zur NoteStation freigegeben und man kommt nicht auf die Webstation (80/443) oder den DSM (5000/5001). Die Fritzbox schießt also definitiv nicht alle Ports zu einem Netzwerkgerät frei, sondern nur explizit den Port, den man auch angibt.

Warum das jedoch beim TE so ist, kann ich mir grad selber nicht erklären. Es muß jedenfalls mit irgend etwas anderem zusammenhängen.

Sorry wenn ich da jetzt Verwirrung gestiftet habe.

Tommes

 

[thomas-1]

Hast du die Portfreigaben in der Fritzbox unter Internet/Freigaben im Reiter MyFRITZ!-Freigabe einrichten eingerichtet? Falls ja, so spielt der Port IMHO nur eine untergeordnete Rolle, da du ja eine Subdomain für die NoteStation eingerichtet hast. Würdest du stattdessen in der Fritzbox unter Internet/Freigaben den Reiter Portfreigaben verwenden, müßte man den Port auf jeden Fall anhängen um auf die NoteStation zu kommen.
Tommes

Ja, im Reiter MyFRITZ!-Freigaben habe ich die Freigabe eingerichtet. Dadurch entsteht automatisch ein Eintrag mit dem entsprechenden Port unter dem Reiter Portfreigaben und ein Eintrag unter dem Reiter IPv6.

Ich habe nochmal alles gelöscht und nur einen Eintrag unter Portfreigaben erstellt. Damit komme ich allerdings nicht auf dioe DiskStation (Fehler: Verbindung fehlgeschlagen...). Auch wenn ich zusätzlich einen Eintrag unter IPv6 erstelle nicht.

Irgendwie scheinen die Eintragungen von den Porteingaben an zwei oder drei Stellen möglich zu sein ...

Funktioniert die Freigabe bei Euch, wenn Ihr nur unter dem Reiter Portfreigabe einen Eintrag habt?

 

[thomas-1]

Also, es ist doch etwas anders als bisher angenommen:

Ich habe mich per Teamviewer in einen entfernten PC eingeklinkt und von dort mal getestet. Und siehe da, die FB lässt doch nicht alles durch, sondern nur die freigegebenen Ports.
Allerdings ist das ganze doch sehr verwirrend. ich habe durch try and error folgendes herausgefunden.

- Man braucht eine Freigabe unter dem Reiter MyFRITZ!-Freigaben. der Port scheint hier erstmal Nebensache zu sein. es wird automatisch je ein Eintrag unter den Reitern Portfreigaben und IPv6 erstellt.
- die Portfreigaben unter dem gleichnamigen Reiter sind wirkungslos, auch die evtl. Umleitungen. Jedenfalls habe ich damit nichts erreichen können. Also habe ich unter diesem reiter alles gelöscht
- wichtig ist der Eintrag unter IPv6! Wenn man diesen Eintrag bearbeitet, kann man Ports einzeln und in Bereichen freigeben. Und diese Ports sind die entscheidenden. Also alle ports die hier freigegeben sind sind auch offen, auch wenn unter MyFRITZ!-Freigaben nur ein port freigegeben ist. Eine Portumleitung ist so wahrscheinlich nicht möglich, brauche ich aber auch nicht unbedingt.

Das sind so meine Erkenntnisse im try and error Verfahren, irgendwie nicht so ganz logisch ... Vielleicht hilft es ja jemandem beim Einrichten und probieren.

Seltsam ist es alledings schon, wenn man das vom PC im eigenen Netzwerk über die MyFritz!-Adresse ausprobiert, dass man da auf alle Ports Zugriff hat. Fühlt sich irgendwie unsicher an ...
Bin schon am Überlegen, ob ich nicht die Firewall der DSM mitlaufen lasse, oder was meint Ihr?

 

[heavy]

kannst du dich mal über deine Myfritz adresse auf die DS einloggen und dann schauen was für eine IP adresse neben deinem Login Name steht? Eventuell fällt dir dann was auf

 

[joku]

Hallo Thomas,
wenn Du nur mit IPv4 arbeitest reicht es in der FritzBox
Internet / Freigaben / Portfreigaben
die Portfreigaben einzurichten, welche mit Port auf die DS zeigen.
und unter MyFRITZ!-Freigaben ist nicht einzutragen.
Solltest Du die MyFRITZ!-Freigaben benutzen, wegen IPv6 zB,
so solltest Du auch die Ports einstellen !

Gruß Jo

 

[thomas-1]

kannst du dich mal über deine Myfritz adresse auf die DS einloggen und dann schauen was für eine IP adresse neben deinem Login Name steht? Eventuell fällt dir dann was auf

Mhh, habe ich gerade gemacht, weiß allerdings nicht wo ich schauen soll. Beim Login wird bei mir keine IP angezeigt ...

 

[heavy]

Entweder im Protokoll center oder im Recource Monitor

 

[thomas-1]

Hallo Thomas,
wenn Du nur mit IPv4 arbeitest reicht es in der FritzBox
Internet / Freigaben / Portfreigaben
die Portfreigaben einzurichten, welche mit Port auf die DS zeigen.
und unter MyFRITZ!-Freigaben ist nicht einzutragen.
Solltest Du die MyFRITZ!-Freigaben benutzen, wegen IPv6 zB,
so solltest Du auch die Ports einstellen !

Gruß Jo

Du meinst zusätzlich auf dem Reiter "Portfreigaben" die einzelnen Ports freigeben?
Das hatte bei mir keinen Effekt. Nur die freigegebenen Ports unter dem Reiter IPv6 bewirkten etwas.

IPv4 und IPv6 ... ehrlich gesagt ich bin nicht der große Netzwerkchecker ... ist wahrscheinlich schon aufgefallen ;-)
Ich hatte mich da etwas eingelesen und es so verstanden, dass das im Internet nur noch mit IPv6 läuft und in der Fritz!Box sozusagen in IPv4 fürs lokale Netz "übersetzt" wird.
Aber vielleicht mache ich mich damit jetzt total zum Ei ;-)

Macht es denn Sinn das auf IPv4 umzustellen und nur Ports im Reiter Portfreigaben freizugeben, wenn dfas überhaupt geht?

Viele Grüße
Thomas

 

[thomas-1]

Entweder im Protokoll center oder im Recource Monitor

Ahh ja, da steht eine IPv6 hinter dem Login-Name, ziemlich lang, jedenfalls nicht die IP wie wenn ich mich vom lokalen Netz einlogge.

 

[heavy]

1. IPv6 ist langsam am kommen, langsamer als vorrausgesagt. Im Mobilfunknetz gibt es noch so gut wie keine Geräte die über ipv6 kommunizieren. Aber auch im "normalen" internet läuft das meißte noch über ipv4.
2. Meine Frage zwegs deiner IP ziehlte darauf ab, dass wenn du dich selber in deinem Heimnetz über die Myfritz adresse auf die DS einwählst, dann merkt das dein Router und schickt dich nicht über das internet sondern lässt dich lokal. Somit greift keine Portregel im Router (da du den ja umgehst) und auch in der DS greifen dann nicht die Regeln wie wenn du aus dem Internet aud deine DS zugreifst, da du für sie dann immernoch ein Lokaler User bist.
Auch wenn jetzt bei dir eine V6 Adresse steht ist das mit hoher warscheinlichkeit die deines Rechners und nicht deine "externe"

 

[joku]

Macht es denn Sinn das auf IPv4 umzustellen und nur Ports im Reiter Portfreigaben freizugeben, wenn dfas überhaupt geht?

Hallo Thomas, wenn Du IPv6 benutzt, passt das schon, wie Du es eingestellt hast.
Da gibt es noch einen Punkt wo die Port für die Dienste ausgewählt werden können.
Sonst ist die IPv6 offen für alles
Die IPv6 setzt sich aus einen Präfix und Sufix zusammen.
Das sollte in der Übersicht der FritzBox sehen sein, Präfix ( Anschluss ).
Den Sufix ( Endgerät ) findest Du bei der Einrichtung der Weiterleitung.

Gruß Jo

 

[thomas-1]

Also Danke nochmal für eure Tipps und Hilfe!

Es funktioniert ja nun soweit.

Nur im Mobilfunknetz geht es nicht. Das liegt wahrscheinlich an dem dort nur vorhandenen IPv4. Gibt es dafür irgendeine Lösung / Workaround?

Viele Grüße
Thomas

 

[Frogman]

Was geht? Was geht nicht? Und was willst Du mit einem "Workaround" erreichen?

 

[thomas-1]

Also ich kann von externen PC's (mit IPv6-Anschlüssen) auf die DS zugreifen und auch nur auf die Ports die ich will. Soweit soweit.

Der Zugriff aus dem Mobilfunknetz geht überhaupt nicht, wahrscheinlich weil das über IPv4 läuft. Dafür wäre ein "Workaround" gut.