DSM 6.x und darunter Externer Zugriff mit einer festen IP-Adresse von meinem Provider

[Uwe96]

wenn du eine Domaine hat warum dann DynDNS?
Hast du denn eine IPv6? Wenn ja musst du diese natürlich freigeben. Brauchst dann bei deinen Clienten aber auch IPv6. Das gibt es im Mobilfunk nur bei der Telekom. Und im Festnetz auch sehr selten.

 

[ottosykora]

also ich verwende in solchem Fall auch eine Domaine von einem DDNS Provider. Kommt günstiger.

 

[Slamdunker23]

Die Konfiguration hat so wie ich es beschrieben habe, funktioniert.
Uwe96: wie sollte ich es ohne DDNS konfigurieren?

Die Frage die bleibt ist, warum ich mit meinen freigegebenen Ports über DS file zugreifen kann?
Habe ich eine Einstellung falsch gesetzt?

Danke!

 

[Fusion]

Wieso sollte DS File nicht zugreifen können deiner Meinung nach, wenn du Ports 443 und 5001 offen hast?
DS File nimmt automatisch port 5001 im Hintergrund, auch wenn du das nicht explizit im Feld 'Quickconnect-ID/IP/Hostname' angibst.
Es ist anders herum, will man einen Port abweichend von 5001 muss man diesen zwingend mit :<port> an den Namen anhängen.

 

[OdinsAuge]

Uwe96: wie sollte ich es ohne DDNS konfigurieren?
!

Dort wo du deine Domain hast, kannst du normalerweise DNS-Einträge verwalten und dort legst du einen neuen Eintrag an:

Name: domain.net Type: CNAME Wert:<deine statische IP>

 

[Uwe96]

Die Konfiguration hat so wie ich es beschrieben habe, funktioniert.
Uwe96: wie sollte ich es ohne DDNS konfigurieren?

Die Frage die bleibt ist, warum ich mit meinen freigegebenen Ports über DS file zugreifen kann?
Habe ich eine Einstellung falsch gesetzt?

Danke!

Der Domain deine IP zuweisen

 

[Slamdunker23]

Wieso sollte DS File nicht zugreifen können deiner Meinung nach, wenn du Ports 443 und 5001 offen hast?
DS File nimmt automatisch port 5001 im Hintergrund, auch wenn du das nicht explizit im Feld 'Quickconnect-ID/IP/Hostname' angibst.
Es ist anders herum, will man einen Port abweichend von 5001 muss man diesen zwingend mit :<port> an den Namen anhängen.

Ich hatte mich verlesen, für ältere Versionen galt noch der Port 5006. okay, vielen Dank!
Das heißt über DS File muss ich nie einen Port angeben? Da reicht immer die IP/Domäne?
Wie sieht das beim Zugriff über den Webbrowser aus? Muss ich da zwingend https://domäne :5001 eingeben oder reicht hier auch nur die Domäne, also für den externen Zugriff?

 

[Puppetmaster]

Der Browser weiß nicht, auf welchem Port ein Dienst erreichbar ist. Hier musst du also immer den Port mit angeben, wenn er vom Standard (80/443) abweicht.

 

[Slamdunker23]

Dort wo du deine Domain hast, kannst du normalerweise DNS-Einträge verwalten und dort legst du einen neuen Eintrag an:

Name: domain.net Type: CNAME Wert:<deine statische IP>

Hallo, gibt es irgendeinen Nachteil zu dieser Lösung mit der Konfiguration, die ich gewählt habe? Ich glaube, dass mit meiner Konfiguration, ich keine statische IP Adresse bräuchte...

 

[NSFH]

richtig, du brauchst keine statische IP da du eine Domain hast und per DynDNS der Domain mitteilst welche IP du gerade im Moment hast.
Damit es keine Irritationen gibt, will nicht 3 Seiten lesen:
Deine Fritzbox betreibst du genau so weiter wie vor Synologyzeiten, denn alles was die betrifft musst du über Portweiterleitungen verfügbar machen.
Diese Portweiterleitungen brauchst du um auf die Syno zu kommen.
5001 ist der universelle Zugang den jeder auf der Welt kennt der sich mit hacking beschäftigt.
Deswegen versteckst du den Port besser (Gilt für alle Ports die du noch zukünftig brauchst!). Heisst du richtest auf der Fritz die Portweiterleitung so ein, dass nach Innen der 5001 auf die LAN IP der Synology zeigt, nach Aussen suchst du dir aber einen Port im hohen 5-stelligen Bereich aus. Ich sage einfach mal 23232. Dann greifst du auf die Syno zu mit https://deineDomain.de:23232. So musst du dann auch DS-File einstellen.
IP V6 brauchst du erst mal nicht. Bevor du dir da Löcher reisst würde ich es erst mal komplett und überall deaktivieren.

Wenn du deine Ports und Anwendungen alle funktionsfähig hast kommt der nächste Schritt, die Firewall der Syno zumachen!

 

[Slamdunker23]

Super, ich habe das befolgt und für die beiden Ports 5001 und 443 (nun nur noch die internen Ports) eingerichtet.

Sorry, dass ich nochmals auf das Thema statische IP zurückkomme. Ich habe definitiv eine statische IPv4 Adresse. Bei der Portweiterleitung auf meiner Fritzbox erscheint diese Adresse unter „IP-Adresse im Internet“.
Im Strato Kundencenter habe ich DDNS für meine Domain aktiviert, das gleiche auch auf der Fritzbox.

Ist hier etwas grundlegend falsch?

 

[ottosykora]

ich habe genau das gleiche hier an einem unserer Aussenstellen.
Zwar ist die fixe IP für den Betrieb eine DS nicht zwingend nötig in diesem Fall, aber nicht falsch.
Vielleicht kostet es etwas extra, bei uns zahlen wir auch etwas mehr als für dynamische IP, aber wir brauchen es auch für ein Funksystem die fixe.
Und ich habe dann auch einfach eine DDNS Adresse dazu erstellt, das hat den einzigen Zweck den LE Zertifikat zu ermöglichen. Zerts werden bekanntlich nicht auf IP ausgestellt.

Und so habe ich es dort jetzt über 2 Jahre.

 

[NSFH]

Du brauchst kein DDNS wenn du eine statische IP hast.
In der Domain Verwaltung bei Strato löschst du also den DynDNS Eintrag und trägst dafür im A-Record deine feste IP ein.
In der Fritz deaktivierst du DDNS.
Das war es schon.

 

[Slamdunker23]

Okay, verstanden. Von der Sicherheit her sind beide Methoden identisch? Wie mache es dann mit dem SSL-Zertifikat? Kann ich für beide Varianten das LE nehmen?

 

[Synchrotron]

Tendenziell ist die statische IP etwas unsicherer. Wenn sich jemand bei dir umschauen will, findet er dich darüber sofort wieder. Das ist eine Art unbewegliches Ziel.

Eine vom Provider immer mal wieder gewechselte IP macht das Wiederfinden aufwändiger.

Andererseits erspart einem die feste IP einiges an Zertifikatshandling. Das ist vor allem dann hilfreich, wenn man eventuell genau dann nicht zu Hause ist, wenn unerwartet irgendein Zertifikat abläuft, und man lokalen Admin-Zugang bräuchte, um es zu richten.

Heißt ganz einfach: Halte dein Netz so dicht wie möglich, und so sicher wie möglich, damit sich das Vorbeischauen nicht lohnt. Persönlich nutze ich VPN-Zugänge, wenn ich mich von außen einwählen möchte.

 

[NormalZeit]

Andererseits erspart einem die feste IP einiges an Zertifikatshandling.

Warum? Ein Zertifikat wird doch immer auf einen Domain-Namen ausgestellt/verknüpft und nicht mit einer IP-Nummer.

 

[NSFH]

Ob feste oder dyn IP hat absolut nichts mit dem Zertifikat zu tun. Das hängt immer an der Domain = Basiswissen!
@TE: Du musst jetzt eine Subdomain bei Strato anlegen, z.B. Synology.meineDomain.de
In der Domain löschst du den A-Record auf deine feste IP raus und trägst diesen in der SubDomain ein.
So landest du auf der Syno wennn du Synology.meineDomain.de: xxxx eingibst.
Das LE Zertifikat musst du nun auf diese SubDomain in der Syno bestellen und dort in der Verwaltung auch für alles aktivieren. Das alte Syno Zertifikat ist jetzt obsolet, wird deaktiviert.
Jetzt kannst du mit dem Browser ohne Zertifikatswarnung auf die verschlüsselten Ports der Syno zugreifen, sofern du im Router die Portweiterleitungen dafür eingerichtet hast.

 

[Slamdunker23]

Guten Morgen zusammen, danke für all eure Hilfe. Das ist ein klasse Forum.

Ich habe eine Frage noch zu dem LE Zertifikat. Ich habe gelesen, dass das Zertifikat nur 90 Tage gültig ist. Wie erneuert ihr das? Macht ihr das manuell? Dazu muss ich ja kurz den Port 80 öffnen, richtig?

Grüße, Daniel

 

[NSFH]

Genau, Port 80 muss dafür offen sein. Ab DSM 7 soll die Erneuerung von LE dann automatisch erfolgen.
Geht aber auch heute schon mit einem Script im Aufgabenplaner. Nur leider eben nicht, wenn der port 80 zur Syno zu ist, was er auch sein sollte!

 

[Fusion]

@nsfh - hast du da zufällig einen Quellenverweis? Würde mich doch schon wundern mit welcher Magie sie das hinbekommen wollen.
Du meinst doch Erneuerung ohne offenen Port 80, oder was genau?