Externer Zugriff auf Synology DS214+

[Firepit]

Hallo,

wie komme ich aus dem Internet auf meine Anmeldeseite der DS214+?
Bisher komme ich nur bis zur Anzeige der index.html Datei.

Ich habe ein SSL-Zertifikat, welches ohne Probleme läuft, die Ports 443 und 80 sowie 5000-5001 sind für die DS214+ freigeschaltet.
Wenn ich jetzt "HTTPS://domain.de" im Browser eingebe, komme ich immer nur auf die index.html der Diskstation.
Wie komme ich auf meine Anmeldeseite?

Nach einem neuaufgesetztem System der Diskstation hat es mal kurzfritig funktioniert, durch welche Einstellungsmaßnahmen auch immer klappt es jetzt nicht mehr.

Für Hilfe bin ich sehr dankbar

Firepit

 

[goetz]

Hallo,
Du mußt den Port mit angeben, also
https://domain.de:5001

Gruß Götz

 

[heavy]

Sowie die Webdienste aktiviert werden wird die automatische umleitung deaktiviert. Wenn du auch ganz zu Beginn beim einrichten der Syno mal genau darauf achtest steht immer hinter der Anmeldeseite der Port 5000 (5001 bei https).

 

[Firepit]

Hallo goetz, heay,

es geht aber auch ohne 5001.

und wenn du dich bei OTTO.de einlogst, schreibst du ja auch nicht OTTO.DE:5001.
Dafür habe ich ja das Zertifikat..

 

[dil88]

Wenn ein Dienst auf Port 5001 läuft, dann muss man diesen Port angeben. Weglassen kann man die Portangabe nur für Port 80 (http) und Port 443 (https).

 

[heavy]

Also wenn ich bei Otto.de nicht auf die Webseite will sondern auf den Server muss ich sogar sowas wie :799841 hinten anstellen. Auf der Syno laufen mehrere Server z.B. diverse Webserver (für jeden Dienst ein eigener) ein Webserver stellt die Webseite dar die du hostet (index.html) dieser Server ist über den Port 80 als http erreichbar oder über 443 als https (das zertifikat hat mit dem Port gar nichts zu tun) ein anderer Server läuft unter dem Port 5000 /5001 und der stellt dir die Oberfläche der DS zur Verfügung(DSM) Das war schon immer so und wird auch so bleiben. Nur zu beginn des Einrichtens einer Syno ist der User webserver inaktiv deshalb wirst du direkt auf den DSM Server umgeleitet aber da steht dann immer der Port hinten dran und das ist fakt. Wenn du jetzt direkt über deine Domain dich an deiner Syno anmelden willst ohne den Port einzugeben, dann musst du in deinem Router die Portweiterleitung so einrichten dass extern 443 auf intern 5001 weitergeleitet wird. Dann solltest du mit https://deineDomain direkt auf die Anmeldeseite gelangen. (wir hier im Forum raten davon aber ab)

 

[Firepit]

Hallo heavy,

danke für die gute Beschreibung.
Hast du eine kurze Begründung, warum ihr davon abratet?

 

[dil88]

Standardports wie Port 80 und 443, die in manchen Firewalls offen sind, werden bevorzugt auf Sicherheitslücken gescannt.

 

[Firepit]

Danke, ich habe verstanden

 

[heavy]

Wie dill88 angedeutet hat. Das DSM ist der direkte zugang zu deinem NAS und bis zur DSM version 5.1 (wenn ich mich nicht mit der Versions Nummer irre es müsste aber so um den Dreh gewesen sein) war es möglich (bzw bei manchen Kisten sogar als voreinstellung hinterlegt) den Admin account aktiv ohne passwort zu haben. Und wenn nun bei dir das DSM direkt erreichbar ist über standart ports ist die Wahrscheinlichkeit dass du angegriffen wirst höher als wenn du einen anderen (unbekannteren) Port nimmst. Ich vergleiche das mit einem Haus. Wenn deine Haupteingangstür direkt zur Straße hin offen steht dann wird jeder reinkommen und schauen in welche Zimmer er dann gelangen kann. Wenn du aber nur gezielt eine Nebentür für die allgemeinheit aufmachst muss man schon ums Haus herumlaufen und nach dem Haupteingang suchen. Ich hoffe du verstehst was ich meine.

Edit: Wenn jemand direkt über die Ports 80/443 auf die Konfigurations Seite deines Nas gelangt weiß er auch sofort um was es sich für eine handelt und kann dann schon mal gezielter dich angreifen (dazu gehört auch schon einfach Standard passwörter auszuprobieren) Landet er nur auf einer webseite oder durch eine Umleitung eventuell sogar auf einem anderen server (google) muss er erst mal alle Ports scannen um den zu finden der offen ist. Das machen dann in der Regel nur leute die wirklich dich angreifen wollen. Das andere machen auch Script (-Kiddies) wenn sie deine Domain finden. Ich habe z.B. ein Php script am laufen das alle anfragen die nicht über eine der gültigen Domains kommen automatisch auf google umleitet. Also wenn jemand nur meine externe IP im Browser eingibt landet er auf der google startseite. Das hält wengistens die gelegenheits "Hacker" ab.

 

[Firepit]

Hallo heavy,

vielen Dank für die Super Erklärung

 

[rednag]

Hallo heavy,

Ich habe z.B. ein Php script am laufen das alle anfragen die nicht über eine der gültigen Domains kommen automatisch auf google umleitet. Also wenn jemand nur meine externe IP im Browser eingibt landet er auf der google startseite. Das hält wengistens die gelegenheits "Hacker" ab.

Das klingt ja interessant. Kannst Du das Script hier einstellen und kurz erkären?
Da hätte ich bestimmt auch einen Verwendungszweck dafür.

 

[heavy]

Is eigentlich ganz popelig und aus dem englischen forum geklaut.

  <?php

    IF ($_SERVER["SERVER_NAME"] == "meineDomain.de") 
    header("Location: https://www.meinedomain.de");
    
      ELSEIF ($_SERVER["SERVER_NAME"] == "www.meineDomain.de") 
       header("Location: https://www.meineDomain.de");
    
    ELSEIF ($_SERVER["SERVER_NAME"] == "192.168.x.x") 
       header("Location: http://192.168.x.x:5000");
       
   ELSEIF ($_SERVER["SERVER_NAME"] == "andereDomain.com") 
       header("Location: http://www.andereDomain.com");
       
   ELSEIF ($_SERVER["SERVER_NAME"] == "photo.meineDomain.de") 
       header("Location: https://meinedomain.de/photo");
   
    
    ELSE 
        header("Location: http://www.google.de");
    

    ?>
    
    # die Erste Umleitung ist ohne www auf wwww
    # die zweite leitet von http auf httpS
    # die dritte leitet intern auf den port 5000 um
    # die vierte ist einfach für eine weitere Domain ohne www auf www
    # die fünfte ist dann ein umleitung von einer subdomain, wenn man es nicht
    # übers Domain system des Anbieters macht
    # die letzte ist dann die Umleitung zu google
    # alle Domains die unter Virtual Host eingetragen sind gehen auch ohne dass sie hier stehen.

 

[rednag]

Hallo heavy,

Danke für das Script. Leider werde ich nicht so recht schlau daraus.
Die Erklärungen am Ende kann ich ja noch deuten, aber was wird dann zu Google umgeleitet?
Etwa alles wo die Umleitungen 1-4 nicht greifen?
Ist das so ähnlich wie die Regeln einer Firewall welche von oben nach unten abgearbeitet werden solange bis die erste zutrifft?

 

[heavy]

Im prinzip ist es nichts anderes als das schöne wenn----> Dann spiel was ich schon vor 25 Jahren in (Microsoft-)Basic geschrieben habe. Erst mal greifen die Vhost einstellungen sprich erst mal schaut die Syno kenne ich die Domain, wenn ja dann gehts dort hin, wenn nein dann geht sie ins root verzeichnis und lädt dort die index.xxxxxx (erst htm dann html und als letztes php also hast du drei index.xxx dann wird erst nur die htm geladen. löscht du sie dann die html usw.) und bei mir ist das dann eben die index.php und ja dann geht es eben solange von oben nach unten bis eine Regel zutrifft was spätestens die letzte ist.

Übersetzt in Deutsch

Hallo dies ist in php Sprache geschrieben;

wenn die anfrage an den Server über die Domain "meineDomain.de" kommt dann leite sie auf https://www.meinedomain.de um;
Sollte die Anfrage über www.meinedomain.de kommen dann leite sie ebenfalls auf https:// um
Sollte sie etc. etc.

Ansonsten (else) leite die Anfrage auf http://www.google.de um

Als info vielleicht noch "Server_name" ist kein Platzhalter sondern wird so eingetragen. Also nicht gegen Diskstation oder wie du deine genannt hast austauschen. Nur was nach == und nach Location steht ist interessant für dich.

Bei meinem aktuellen script sind noch ein paar mehr subdomains aktiv z.B. sicherheit.domain.de für die SSstation

 

[rednag]

Ok, langsam lichtet sich der Schleier.
Was ich aber immer noch nicht blicke, ist der Rewrite zu Google.
Wenn ich eine SubDomain oder Ordner aufrufe, welche sich nicht in /web befindet kommt ja sowieso "Die gewünschter Seite konnte nicht gefunden werden (404)".
Wenn ich einen Ordner in /web aufrufe in welchem sich eine index.htm, index.html, index.php befindet wird ja die ausgeliefert.
Andere Sachenw erden ja garnicht erst beantwortet. Ich kann ja auch nicht einen vHost mit z. B. heise.de definieren und hoffen das sämtliche Zugriffe auf heise an meine rDS landen.
Irgendwie steh ich grade massiv auf dem Schlauch. Bitte erhellt mich