Einrichtung aus dem Internet

[Matis]

Naja, ein bißchen mit der Materie auseinandersetzen muß man sich schon. Es gibt hier und in der Hilfe genügend Möglichkeiten um die Grundlagen zu verstehen, wenn es dann klemmt sehr gerne!
In Kürze:

* beim Provider eine domain.de holen und eine Sub-Domain z.B. dsm.domain.de, um mit dieser dann auf die Syno zu kommen.
* in der systemsteuerung-anwendungsportal-reverse proxy dann dsm.domain.de auf die IP des Syno und den port der für die syno eingerichtet wurde umleiten
* bei let's encrypt (systemsteuerung-sicherheit-zertifikat) ein solches holen (für domain.de und als alias: www.domain.de und dsm.domain.de)
* nur port 443 in der fritzbox aufmachen (für das Zertifikat muß kurzfirstig während der Beantragung auch port 80 durchgängig sein)
* danach ist die eigene webseite unter domain.de erreichbar und die syno unter dsm.domain.de
* wer unter sytsmesteuerung-anwendungsportal-anwendung alias vergeben hat, kann diese dann auch unter dsm.domain.de/alias erreichen, so auch die photo station!
Und das ganz ohne jeglichen unnötigen Port und Sicherheitsrisiko, für alle http Applikationen braucht es nur 443!

Und dafür braucht es auch keine feste IP. Man kann beim Provider z.B. Strato die IP von der FB oder der Syno aktualisieren und die domain-Namen zeigen auch bei einem IP-Wechsel an den richtigen Ort.

Und noch ein schöner Nebeneffekt: man kann in der firewall alle Portfreigaben vergessen, das komplette Durcheinander fällt weg und ist übersichtlich.
Es kommt nichts außer 443 durch die Fritzbox. Damit braucht es die Portfreigaben in der syno nicht mehr.
Am besten man sperrt dann alle Länder außer Deutschland (sofern einem das reicht) und hat keinerlei Angriffe mehr aus dem Osten oder China.
Ich geb im Urlaub oder auf Geschäftsreise dann immer nur das Land frei, da ich auch brauch.
Damit bin ich immer gut gefahren und habe keine Angriffe mehr, denn die kommen meist nicht aus Deurschland, denn dort sind sie verfolgbar und strafbar.

Reverse-Proxy geht auch für andere Geräte im LAN: Heizung, Homeautomation, Kameras, Mailserver und alles muss durch 443 und ggfls. .htaccess.
Das ist einfach genial und seit es dafür sogar ein User-Interface in der Syno gibt auch super gut einzurichten.

 

[Chrisidonner]

@Chrisidonner: HTTP nach Aussen erst gar nicht einrichten. Auch für dfie Videostation oder Photostation nur die erforderlichen HTTPS Ports nach Aussen freischalten!
@Matis: Hast nbicht ganz Unrecht, aber wie das geht erkläre du bitte, da halte ich mich raus. Auch das ist hier ja schon oft genug erklärt worden.

Ok danke mit der anderen Portweiterleitung nach intern werde ich mir mal Anschein müssen .... und ja mit der Photo Station habe ich gerade noch so meine Probleme .... komme über die feste IP mit https drauf aber über die Domain nicht .... aber ist anderer Bereich im Forum ....

 

[blinky911]

Naja, ein bißchen mit der Materie auseinandersetzen muß man sich schon. Es gibt hier und in der Hilfe genügend Möglichkeiten um die Grundlagen zu verstehen, wenn es dann klemmt sehr gerne!
In Kürze:

* beim Provider eine domain.de holen und eine Sub-Domain z.B. dsm.domain.de, um mit dieser dann auf die Syno zu kommen.
* in der systemsteuerung-anwendungsportal-reverse proxy dann dsm.domain.de auf die IP des Syno und den port der für die syno eingerichtet wurde umleiten
* bei let's encrypt (systemsteuerung-sicherheit-zertifikat) ein solches holen (für domain.de und als alias: www.domain.de und dsm.domain.de)
* nur port 443 in der fritzbox aufmachen (für das Zertifikat muß kurzfirstig während der Beantragung auch port 80 durchgängig sein)
* danach ist die eigene webseite unter domain.de erreichbar und die syno unter dsm.domain.de
* wer unter sytsmesteuerung-anwendungsportal-anwendung alias vergeben hat, kann diese dann auch unter dsm.domain.de/alias erreichen, so auch die photo station!
Und das ganz ohne jeglichen unnötigen Port und Sicherheitsrisiko, für alle http Applikationen braucht es nur 443!

Hallöchen, ich bin jetzt genau so vorgegangen. Aber das Zertifikat lässt sich nicht erstellen. Die Ports sind in der Fritzbox Cable aber freigegeben. Firewall in der DSM ausgestellt. Aber es kommt noch immer eine Fehlermeldung. Ich verzweifle gerade ein wenig..

Was muss ich beim Hosting Anbieter als Ziel für die sub angeben? Normal verweise ich da ja auf ein internes Verzeichnis.

 

[Stationary]

Klemmst es hier vielleicht schon mit dem Kabelanschluß und dem DS-lite oder spielt das keine Rolle?

 

[blinky911]

Klemmst es hier vielleicht schon mit dem Kabelanschluß und dem DS-lite oder spielt das keine Rolle?

DS Light sehe ich nichts in der FB

 

[Stationary]

DS-lite ist dual stack lite, besagt, daß Du am Kabelanschluß keine eigene öffentliche IPv4 bekommst, sondern nur über carrier grade NAT eine solche teilst. Ich fragte mich nur, ob Deine Fehlermeldung daher kommt.

 

[blinky911]

ich versteh es auch net. bin auch nochmal alles wie hier im Video durchgegangen. Aber ich bekomme kein Zertifikat.

Komisch ist nur, das jetzt der Fehler kommt das der Port 80 freigegeben werden muss. Der ist aber auch in der FB frei und Firewall im NAS aus. Getestet auch mit FW im NAS an mit den freien Ports. aber auch da der Fehler.

https://www.youtube.com/watch?v=iWvCN2j7xjo

 

[blinky911]

Jetzt stell ich mir nur die Frage, was muss ich beim Hoster bei Ziel für die URL eintragen? Normal verweise ich ja auf einen Ordner zb. für eine Webseite

 

[Fusion]

Normal stellt man beim Hoster in diesen Fällen nur die DNS Einstellungen passend ein. Dazu benutzt man eine Alias genannt CNAME (canonical Name).
Also meine.example.com IN CNAME sub.dynDNS.tld
Alle Anfragen an die Domain landen dann auf der/den IPs die hinter der dyndns Adresse stehen.

Also keine Ordner etc zum angeben.
Diese http Weiterleitungen, wo auch Pfadangaben zum Einsatz kommen könnten, macht man eben nur in bestimmten Fällen für Webserver urls.

 

[blinky911]

Normal stellt man beim Hoster in diesen Fällen nur die DNS Einstellungen passend ein. Dazu benutzt man eine Alias genannt CNAME (canonical Name).
Also meine.example.com IN CNAME sub.dynDNS.tld
Alle Anfragen an die Domain landen dann auf der/den IPs die hinter der dyndns Adresse stehen.

Also keine Ordner etc zum angeben.
Diese http Weiterleitungen, wo auch Pfadangaben zum Einsatz kommen könnten, macht man eben nur in bestimmten Fällen für Webserver urls.

Wenn ich aber nach der Anleitung am Anfang von Matis gehe benötige ich ja kein DynDns

 

[Fusion]

Entweder brauchst du eine feste IP oder eine dynDNS (mit oder zusätzlich zur eigenen Domain).
Steht in Absatz 3 vom Matis

Und dafür braucht es auch keine feste IP. Man kann beim Provider z.B. Strato die IP von der FB oder der Syno aktualisieren und die domain-Namen zeigen auch bei einem IP-Wechsel an den richtigen Ort.

 

[himitsu]

und habe keine Angriffe mehr, denn die kommen meist nicht aus Deurschland, denn dort sind sie verfolgbar und strafbar.

Dort ist sowas auch strafbar ... es ist nur nicht so leicht das von hier aus dort verfolgen zu lassen.

jo, eigene Domain/Subdomain zur DS ist schon geil,
aber auch die hauseigenen DynDSN-Server von Synology, oder den anderen Anbietern, funktioniert recht gut.

 

[blinky911]

Ich hab es jetzt mal mit Hauseigenen DDNS versucht. Auch damit komme ich nicht auf das NAS. Nur mit der direkten IP im Browser. Also irgendwas stimmt doch da ganz und garnicht.

Update:
habe jetzt meine DynDns von meinem Provider nochmals in der Fritzbox 6591 eingegeben. Intern komme ich jetzt mit der sub Domain auf das NAS. Versuche ich es aber zb vom Handy aus funktioniert nix. meine Nerven.

Das LW Zertifikat habe ich bei ZeroSSL erstellt und ins NAS importiert.

Ich vermute Langsam das es an der gebrandeten Vodafone FB liegt. Habt ihr eine alternative Box die man im Kabel Bereich empfehlen kann?

 

[Fusion]

Dann erst nochmal den Punkt #26, DS-Lite klären.

 

[blinky911]

Dann erst nochmal den Punkt #26, DS-Lite klären.

SChaue gerade ob ich nicht einfach nach Vodafone Business wechsle, da haste ne statische ipv4 dabei

 

[Stationary]

Kannst Du mal schauen, welche IP Dir Deine Fritzbox anzeigt? Wir haben auch eine Kabelfritzbox an einem Vodafone-Abschluß (allerdings ungebrandet selbst gekauft). Vielleicht könntest Du uns mal Deine in der FB angezeigte IP verraten (danach neu verbinden, um eine neue zu erhalten), oder zumindest den Bereich, aus dem sie kommt, also die ersten zwei Zahlen.

 

[himitsu]

Einige WebHoster haben auch ein eigenes "DynDNS".
Da wird eine Subdomain auf eine gespeicherte IP weitergeleitet.
Die DS oder der Router rufen dann nach einer Neuverbindung / IP-Änderung eine bestimmte URL beim Hoster auf und übergeben die aktuelle IP.

Bei sowas wie DS-Lite, über's Handynetz, oder wie bei mir über ein Haus-WLAN vom Vermieter, da hat man eventuell keine "eigene" öffentliche IP, bzw. kann dort keine Portweiterleitung zu sich einrichten.
Da ist Eingehendes dann einfach nicht möglich.

 

[Stationary]

DS-Lite, über's Handynetz,

Die Betonung liegt da, wie bei Kommentar bereits genannt, auf eventuell. In beiden Fällen gibt es eine Chance, daß es funktioniert. Ist aber mehr „kann funktionieren“, nicht „muß funktionieren“. Allerdings, wenn es mal funktioniert, dann funktioniert es immer (sowohl mit meiner Kabel-Fritzbox als auch mit meiner LTE-Fritzbox für unterwegs ist eingehendes VPN problemlos möglich.).

Deshalb interessiert mich auch die IP des TE in seiner Fritzbox, um zu sehen, ob es daran liegt.

 

[blinky911]

Kannst Du mal schauen, welche IP Dir Deine Fritzbox anzeigt? Wir haben auch eine Kabelfritzbox an einem Vodafone-Abschluß (allerdings ungebrandet selbst gekauft). Vielleicht könntest Du uns mal Deine in der FB angezeigte IP verraten (danach neu verbinden, um eine neue zu erhalten), oder zumindest den Bereich, aus dem sie kommt, also die ersten zwei Zahlen.

Beginnt mit 17

 

[Stationary]

17.x.y.z? Oder 172.x.y.z?