DSM 6.x und darunter DSM Version: 6.2.3-25423

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.569
Punkte für Reaktionen
1.396
Punkte
234
Zertifikats Erinnerungs-Mail (wenn man eine DynDNS hat die nicht Synology.me heißt)
Die Mail kommt auch für andere Domains (und sie kommt direkt von Let's Encrypt).
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
es gibt kein Zertifikat für IP Adressen [...]
Ein direktes Zertifikat für IP Adressen ist mir auch nicht bekannt. Aber man kann sehr wohl IP Adressen im SAN (subject alternative name) aufnehmen. Somit besteht die Möglichkeit die lokale IP Adresse der Diskstation einzutragen und der Browser ist zufrieden.

Ob Letsencrypt dies zulässt ist mir nicht bekannt. Jedoch habe ich dies selbst schon bei "selbst signierten" Zertifikaten in der Vergangenheit so gehandhabt.

--luddi
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.799
Punkte
314
Aktualisierung der Zertifikate über definierten Port wie z.B. 433 (Synology setzt eine dauerhafte Öffnung des Ports 80 voraus)

für die automatische Verlängerung vom LE Zertifikat muss entweder Port 443 (sichere Verbindung) und oder Port 80 zugänglich sein. Es muss also nicht zwingend Port 80 sein, du kannst auch nur 443 nehmen.
Aber wenn jemand sicher gehen will, dann kann er ja die Standardport 443/80 kurz vor der manuellen Verlängerung öffnen und nach erfolgreicher Verlängerung wieder Schließen.
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.222
Punkte für Reaktionen
76
Punkte
114
Bei mir hat das bisher leider immer nur mit geöffnetem Port 80 automatisch funktioniert,
Port 443 habe ich sowieso offen wegen meiner Homepage aber das reichte nie.

Hat sich da in letzter Zeit was geändert?
 

cobra82

Benutzer
Mitglied seit
07. Nov 2015
Beiträge
341
Punkte für Reaktionen
9
Punkte
18
Meint ihr hier diese Port Freigabe machen zB 443 dann geht das automatisch?
 

Anhänge

  • Bildschirmfoto 2020-04-18 um 12.01.16.jpg
    Bildschirmfoto 2020-04-18 um 12.01.16.jpg
    54,6 KB · Aufrufe: 144

seger85

Benutzer
Mitglied seit
21. Feb 2018
Beiträge
127
Punkte für Reaktionen
0
Punkte
16
Bei mir hat das bisher leider immer nur mit geöffnetem Port 80 automatisch funktioniert,
Port 443 habe ich sowieso offen wegen meiner Homepage aber das reichte nie.

Hat sich da in letzter Zeit was geändert?

Genauso ist es bei mir auch, wenn 80 nicht offen ist geht gar nicht. Mit oder ist da nichts.

Und das bedeutet man muss immer einen Wecker stellen, andere Software Häuser bekommen es sauberer automatisch über 443 hin.

So zumindest mein Wissensstand.

Email Benachrichtigung schaue ich nochmal. Vielleicht habe ich auch immer Manuel zu früh aktualisiert.
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.569
Punkte für Reaktionen
1.396
Punkte
234
Meint ihr hier diese Port Freigabe machen zB 443 dann geht das automatisch?
Im Router (dein Bild) muss der Port 80 / 443 natürlich auf die DS zeigen (Let's Encrypt muss deine Domain prüfen). Auch die Firewall (DSM) muss meines Wissens für den Port offen sein.
 

cobra82

Benutzer
Mitglied seit
07. Nov 2015
Beiträge
341
Punkte für Reaktionen
9
Punkte
18
was genau heisst das? muss ich dort auch jetzt neue Port Freigabe machen in Fritzbox?


meinst du hier siehe screeenshot? muss da auch ein haken sein?
 

Anhänge

  • AF60AB2C-0161-4C5E-85A7-8593985BE89E.jpg
    AF60AB2C-0161-4C5E-85A7-8593985BE89E.jpg
    15,5 KB · Aufrufe: 144

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.569
Punkte für Reaktionen
1.396
Punkte
234
Das machst du am besten direkt in der FritzBox (wie in deinem Screenshot mit 5001 und 5006). Hier einfach noch den Port 80 auf die lokale IP der DS leiten.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Die Portweiterleitungen oder Freigaben bitte ENTWEDER in der Routerkonfiguration der DS ODER im Router machen, aber nicht hier und da rumwerkeln.
Wie @geimist meinst würde ich da den Router bevorzugen und auch die Portöffnung via uPnP abschalten.
 

cobra82

Benutzer
Mitglied seit
07. Nov 2015
Beiträge
341
Punkte für Reaktionen
9
Punkte
18
Ist das hier so richtig? weil hatte mal probleme weil ich mal auf DSM und Fritzbox was gemacht hatte, jetzt mache ich es direkt auf der Fritzbox, aber so wie auf dem Bild ist es richtig?

und sind solche Ports Öffnungen auch sicher?
 

Anhänge

  • Bildschirmfoto 2020-04-18 um 12.32.18.jpg
    Bildschirmfoto 2020-04-18 um 12.32.18.jpg
    52,2 KB · Aufrufe: 170
  • Bildschirmfoto 2020-04-18 um 12.32.37.jpg
    Bildschirmfoto 2020-04-18 um 12.32.37.jpg
    56,4 KB · Aufrufe: 167

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Ja, die Freigabe ist so in Ordnung.

Ports sind nicht sicher oder unsicher.
Jeder geöffnete Port stellt ein Risiko dar bzw. eventuelle Sicherheitslücken in den Anwendungen die auf diesen Ports lauschen und antworten.

Deshalb würde ich allseits bekannte Ports wie 5000/5001 niemals nach außen öffnen. Da sucht einfach jeder Schwachstellen-Scanner zuerst nach Synologys, wenn mal eine Lücke da ist.
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.167
Punkte für Reaktionen
1.652
Punkte
308
Da ich ja weiß das es eine autom Verlängerung war bestätige ich die Richtigkeit, dass ich mit dem "richtigen" Server verbunden bin und die APP schaltet danach auf die DS durch.
Na hoffentlich war das ungeprüfte Zertifikat dann nicht eines von einem MITM-Angreifer.
 

cobra82

Benutzer
Mitglied seit
07. Nov 2015
Beiträge
341
Punkte für Reaktionen
9
Punkte
18
Aber Ports 5000-5006 braucht man doch um auf der Synology drauf zuzugreifen oder kann man alle Ports weglassen?
Weil wenn ich die Ports lösche kann ich mit der Drive App nicht drauf zugreifen.
Auch habe ich webDAV damit ich mit der Scanner App alles direkt hochladen kann.

Und kann man diese Ports ändern wenn ja was muss man einstellen?
 

RichardB

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2019
Beiträge
3.593
Punkte für Reaktionen
910
Punkte
174
Ja, kannst Du (das sind natürlich nicht meine "echten" Ports). Den App´s musst Du es dann mitteilen.
Ports.jpg
 

cobra82

Benutzer
Mitglied seit
07. Nov 2015
Beiträge
341
Punkte für Reaktionen
9
Punkte
18
Aber Ports müssen aber sein um drauf zuzugreifen oder zb wegen der myds.me Adresse

Und die Ports ändern kann beliebig irgendeine sein?

Und wie ändere ich Port 80 und 443? Ist dieser nur wegen der Zertifikat wichtig?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Das kommt drauf an wer alles mit der DS arbeitet.
Bei einzelnen oder wenigen kann man das z.B. per VPN mit dem Router machen und dann die DS nur "lokal" ansprechen, ohne sie nach außen direkt zu öffnen.

Will man aber auch Nutzer ohne VPN zugreifen lassen etc muss eben mehr offen sein.
Für öffentlich "bestätigte" Zertifikate wie Lets Encrypt muss eben 80/443 offen sein, weil darüber geprüft wird ob die Zertifikatsanfrage von jenem System kommt, welches auch unter den Domainnamen im Zertifikat erreichbar ist.

Überall wo man benutzerdefinierte Domains setzen kann, kann man diese Anwendungen "huckepack" auf 80/443 betreiben, also alle über die normalen Webserver Ports. Unter Systemsteuerung > Anwendungsportal eben für diverse Anwendungen von Synology oder per Reverse Proxy für andere Web-Anwendungen. Unter Systemsteuerung > Netzwerk > DSM Einstellungen auch für den DSM (Frage: braucht man das, oder reichen ausgewählte Anwendungen?)
webDAV Server kann man einen anderen port in den Einstellungen setzen, nur 80/443 geht glaube nicht.

Und wenn es nur wegen webDAV und dem Zertifikat ist, macht man sich halt eine Erinnerung in den Kalender und aktiviert/deaktiviert die Ports alle 2-3 Monate, wenn man ein aktualisiertes Zertifikat holt und man sonst die DS darüber nicht erreichen können muss.
 

cobra82

Benutzer
Mitglied seit
07. Nov 2015
Beiträge
341
Punkte für Reaktionen
9
Punkte
18
Zertifikat könnte ich ja noch Manuel machen das wäre kein großes Problem. Wichtiger ist dabei nur Drive das das funktioniert. Und dafür müsste ich aber Ports Freihafen rein richtig?

Über VPN habe ich auch eine Möglichkeit aber das ich öfters draufzugreifen ist es mir anderes besser dass es dort sofort funktioniert.
Und HTTPS ist ja auch sicherer oder und Ports kann ich dann beliebig wählen.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Bei Drive kommt es darauf an. Der Zugriff per App oder Web-Interface kann auch per 443 laufen z.B.
Einzig wenn der Desktop Client mit Sync zum Einsatz kommen soll ist Port 6690 zwingend.
Mit IPv4 kann man es mit Portumleitung noch verschleiern, mit IPv6 oder IPv4/IPv6 muss man direkt Port 6690 öffnen, da man diesen auf der DS selbst nicht ändern kann.

https bzw. ssl ist eine Transportverschlüsselung. Ohne würde ich sowieso nie zugreifen wollen, weil sonst der gesamte Datenstrom unverschlüsselt durchs Internet läuft.
Das hat aber nichts mit der Sicherheit der DS oder der benutzen Anwendung zu tun.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat