Externer Zugriff nach Routerwechsel geht nicht mehr (abc.synology.me)

[Nina]

Hallo Forum!

Also, ich nutze die Synology DS214se, bis vor einigen Tagen mit der Fritzbox 7390, mit dem neuen Provider mit dem ZyxelNBG6616. Von meinem Computer aus läuft die Diskstation perfekt. Aber die Adresse abc.synology.me kann ich nicht mehr aufrufen, weder von meinem PC noch von extern. Ich vermute, ich muss auf dem neuen Router einen bestimmten Port öffnen, kann das sein?

Falls ja:
Auf der Hilfeseite habe ich die folgenden Angaben gefunden:


Mein Feld für Firewall-Ausnahmen sieht so aus:



Ist das die richtige Stelle, um den Port freizugeben? Falls ja, was trage ich wo ein? Was ist die Ziel- und was ist die Quelladresse?

Falls nein:
Woran kann es liegen, dass ich nicht auf abc.synology.me zugreifen kann?

Lieben Dank!

 

[Thonav]

Hi und Willkommen!!

Editiere Deinen Post bitte nochmal und füge das Bild bitte direkt in Deinen Post ein. Danke!

 

[Nina]

Ich habe den Post editiert und die Bilder direkt eingefügt. Weiss jemand, woran mein Problem liegen könnte? Danke!

 

[Andy14]

Könnte es sein das dein neuer Provider ein "Kabelnetz" Betreiber ist?

 

[Fusion]

Der genannte Zyxel ist ja erstmal nur ein WLAN-Router, ohne Modem (im Gegensatz zur Fritzbox 7390). Also weder xDSL noch Kabel.
Daher solltest du bitte erstmal ergänzen wie dein kompletter Gerätepark aussieht, von der Dose in der Wand bis zum Rechner/DS und welches dein Internet-Provider ist.
Danach läßt sich besser sagen, wo die wahrscheinlichsten Ursachen liegen

 

[Nina]

Aaalso, ich habe einen Glasfasernetzbetreiber. Der Gerätepark sieht so aus: Steckdose -> Glasfasermodem -> Zyxel -> Diskstation (via Kabel an Zyxel angeschlossen, via WLAN mit PC verbunden).

Den Glasfaser-Provider hatte ich schon bis Juni (Fritzbox + Glasfasermodem), von Juli bis Oktober hatte ich einen ADSL-Anschluss (Fritzbox direkt an ADSL-Anschluss), neu habe ich wieder den Glasfaserprovider (Zyxel + Glasfasermodem).

 

[Fusion]

ok. Wenn ich davon ausgehe, dass das Modem transparent arbeitet bekommt der Zyxel eine öffentliche IP.
Nicht böse sein, wenn ich Sachen wiederhole die du schon weißt, rein des Gedankengangs und der Vollständigkeit halber.

Kann man kontrollieren indem man die WAN IP die einem im Router angezeigt wird mit der Ausgabe von wieistmeineip.de vergleicht.
Dann musst du entweder auf der DS oder auf dem Zyxel wieder den dynDNS Dienst aktiv schalten.

Da du abc.synology.me hast, also den Synology dynDNS Dienst nutzt, kannst du das nur auf der DS machen. Wie sieht dort der Status aus?
Wie sieht der Status unter https://account.synology.com aus?

Und dann eben die Portfreigaben im Router.
Handbuch ftp://ftp2.zyxel.com/NBG6616/user_guide/NBG6616_1.00.pdf
Ab Seite 118.
Default Server kann auf der Router IP verbleiben
Server IP address ist die IP deiner DS
Protocol normal TCP bzw nach Synology Liste https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services

Ports können dort anscheinend nur 1:1 weitergeleitet und nicht auch umgeleitet werden. Also nur 5001 > 5001 und nicht wie gern gewählt zur zusätzlichen Verschleierung (weil 5001 als Standard Synology Port eben von vielen Such-Skripten im Netz verwendet wird, bsp. shodan.io) 12345 > 5001
Falls du also andere Ports verwenden willst, müsstest du z.B. unter Systemsteuerung > Netzwerk > DSM Einstellungen die Port Einträge ändern. Dann wäre auch eine Weiterleitung ala 12345 > 12345 möglich.
Service Name kannst du frei wählen.
Es ist allderings zu beachten, dass die mobilen Apps oft stillschweigend von den Standard-Ports ausgehen, wenn man sie nicht explizit anders dort angibt.
Das wichtigste ist ein gutes Passwort und nach außen so wenig Dienste wie nötig anzubieten. Falls man doch auch administrativ von außen was machen will empfiehlt sich ein VPN Zugang ins heimische Netz.

 

[Nina]

Hallo Fusion, danke für deine ausführliche Antwort!

Der Status unter account.synology.com sieht gut aus, alles grün. Die IP, die dort steht, ist aber meine Heim-IP, also nicht die Router- oder Diskstation-IP. Ist das schlimm?

Ich habe versucht, alles nach deiner Hilfe auszufüllen. Den Standardserver habe ich auf der Router-IP belassen, die Server-Adresse ist die Diskstation-IP. Meine IP, die ins Internet geht, ist nirgends. Ist das korrekt so?



Port 5000 im Bild oben steht dabei für den DSM. Ich hoffe, ich habe hier den korrekten ausgewählt aus der Synology-Liste: https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services

Das Problem ist nun, Port 5000 wird nicht akzeptiert, da dieser "bereits vom System verwendet wird". Keine Ahnung, wo und wie. Wähle ich bei Dienstname etwas anderes als "Benutzerdefiniert", ist der Port vorgegeben (WWW: 80; HTTPS: 443). In DSM > Systemsteuerung > Netzwerk > DSM-Einstellungen werden die Ports 5000 und 5001 als DSM-Ports angegeben.

Was mir gerade aufgefallen ist: Wenn ich die Adresse http://abc.synology.me aufrufe, werde ich auf die Eingangsseite meiner Routerkonfiguration weitergeleitet. Wenn ich die gleiche Adresse mit https eingebe, kommt einfach eine Fehlermeldung.

Was kann ich als nächstes tun resp. welche Infos brauchst du noch?

 

[Fusion]

Was ist denn deine "Heim-IP"?

Deine lokalen IPs brauchst du übrigens nicht anonymisieren. Die sind für uns von außen eh nicht erreichbar. Schaden tut es allerdings auch nicht.

Ich gehe jetzt mal nur von IPv4 aus, ist auch noch IPv6 beteiligt wird es ein klein wenig komplexer.
Dein Router, deine DS, dein PC und andere Geräte im LAN haben erstmal eine lokale IP ala 192.168.0.x zum Beispiel.
Dein Router hat dann noch eine öffentlich IP, oder auch WAN IP.
WAN, wide area network und LAN, local area network. Das sind die beiden Netze zwischen denen er "routet" also Verkehr weiterleitet.

Unter Port 5000 lauscht der DSM eben auf dem unverschlüsselten http Protokoll. Das kann man testweise machen.
Dauerhaft würde ich allerdings nur Dienste per https Protokoll nach außen öffen, oder eben im extrem dann nur VPN um von extern so zu arbeiten, als wäre man im LAN.
Aber wie gesagt, dass zur Info, das muss jetzt nicht instantan umgesetzt werden.
Unter DSM > Systemsteuerung > Netzwerk > DSM-Einstellungen hast du ja gesehen, was Synology als Standard wählt. Das darfst du auch ändern, wenn du magst. Es ist dann eben hier und da mit Mehrarbeit zu rechnen, weil es eben nicht mehr den Erwartungen im Synology Universum entspricht. Die Verschleierung als Beispiel hatte ich ja oben genannt. Ist aber auch ein Punkt, den du nicht sofort angehen musst, wichtiger ist ja das Ziel, dass es erstmal prinzipiell läuft.

Die Angaben im Bild sind erstmal korrekt.

Hast du zufällig im DSM > Externer Zugriff > Router Einstellungen vorgenommen? Wenn ja bitte dort mal alles entsorgen.
Zusätzlich im Router nochmal schauen, ob in den Registern dort nicht doch schon irgendwelche Einträge vorhanden sind.
Der Zyxel selbst hat jedenfalls in der Werkseinstellung nichts mit Port 5000 am Hut, dass er diesen blockieren würde.

Dass der Router auf abc.synology.me reagiert und mit seinem webserver antwortet lässt darauf schließen, dass sein Remote Management / Fernverwaltung auf Port 80 aktiv ist.
Das würde ich definitiv abschalten wollen. Ich würde einzig den Zugriff aus dem LAN gestatten und dort auch nur von einer Secured Client IP Address (Thema siehe Seite 153). Zudem würde ich den Port z.B. auf 81 legen, damit 80 wieder frei wird.
Dann sollte der Router nur aus dem LAN von einer Rechner-IP unter 102.168.0.1:81 erreichbar sein. Das ist die Kür, dass es erstmal nur noch via LAN erreichbar ist ist die Mindestanforderung.

Dass https ein Fehler wirft ist klar, weil nicht definiert ist, was mit so einer Anfrage passieren soll.

Für den Anfang würde ich also maximal nur 80, 443, 5000, 5001 als Portweiterleitung auf die DS definieren. Wenn das wie gewünscht funktioniert sieht man weiter.

 

[Nina]

Ich habe jetzt die Einstellungen so gemacht, wie du sie auf dem Bild siehst, also mit den Ports 443 und 5001:



Jetzt funktioniert der Zugriff Wunderbar! Meinst du, ich soll die Ports 80 und 5000 auch noch freischalten? Ansonsten lasse ich es einfach so.

 

[Fusion]

Schön, dass es funktioniert. Hatte nichts anderes erwartet.

Was man jetzt freischaltet oder nicht hängt davon ab was (welche Dienste) man wie nutzen möchte.
Also was von intern, was von extern, über welchen Weg (eigene Domain, Ports oder Aliase z.B.) etc pp.
Ein auf gut Glück oder vorsorgliches freischalten bitte sofort in die runde Ablage unter dem Schreibtisch befördern.

Auch bei 443/5001 sollte man nochmal drüber nachdenken, ob man z.B. den DSM von extern braucht, oder in solchen Fällen per VPN zugreift etc.
Die Dienste lassen sich z.B. via benutzerdefinierter Domains auch auf 80/443 erreichen.

tl;dr - erst nachdenken was man umsetzen/nutzen will und dann Einstellungen vornehmen, nicht umgekehrt.

 

[Nina]

Hallo Fusion

Danke für deine Antwort(en) und sorry für mein spätes Bedanken. Ich wollte nämlich zuerst prüfen, ob es wirklich von extern auch funktioniert, und habe gemerkt, dass es das nicht tut :-(

Konkret:

Greife ich von daheim auf https://abc.synology.me zu, habe ich Zugriff.

Greife ich von der Arbeitsstelle - wo ich eben den Zugriff brauche - auf die gleiche Adresse zu, kann ich abc.synology.me aufrufen. Es kommt dann, wie üblich, der Hinweis aufs fehlende Zertifikat. Lasse ich mich dann weiterleiten (auch das wie gehabt), werde ich weitergeleitet auf abc.synology.me:5001. Dort kommt die Fehlermeldung "Die Seite kann nicht angezeigt werden." Aber Port 5001 habe ich ja freigeschaltet. Woran liegt das?

 

[Fusion]

Vermutlich sperrt dein Arbeitgeber den Port 5001 und deshalb funktioniert es per https bis du auf https/5001 umgeleitet wirst.

 

[Nina]

Das könnte sein, denn vom Handy aus funktioniert der Zugriff.
Hm, dann müsste ich Port 5000 weiterleiten? Das geht aber nicht, da dieser bereits vom System verwendet wird und ich immer noch nicht weiss, wo :-(

Uff, ist das kompliziert

 

[Fusion]

Wie eine mögliche Betriebsvereinbarung mit dem Arbeitgeber aussieht, zwecks Duldung privater Nutzung etc. hast du hoffentlich selber im Blick.
Wollte es nur kurz erwähnt haben.

Du kannst z.B. benutzerdefinierte Domains oder Reverse Proxies einsetzen um Dienste auch über Port 443 verfügbar zu machen.
Einstellungen dazu finden sich unter
Systemsteuerung > Netzwerk > DSM Einstellungen und
Systemsteuerung > Anwendungsportal > Anwendungen und
Systemsteuerung > Anwendungsportal > Reverse Proxy

Um den kompletten DSM Desktop vorzufinden nimmt man die erste Einstellung.
Für einzelne Syno-Anwendungen die zweite
Und für Drittanbieter Anwendungen oder Syno-Anwendungen die dritte

Komfortabler wird es, wenn man nicht nur dynDNS sondern auch eine eigene Domain samt Subdomain-Verwaltung sein eigen nennt (z.B. bei einem Domain Hoster / Hosting Provider)

Eine benutzerdefinierte Domain ist vereinfacht gesagt eine weitere Webserver Instanz, die parallel läuft und auf einen eigenen Domain-Namen hört.
Ein Reverse Proxy läuft auf dem System Webserver und nimmt sozusagen stellvertretend Anfragen an und leitet sie dann auf der Syno intern ans gewünschte Ziel.
Gemeinsam ist beiden, dass nach außen nur 80/443 erreichbar sein muss. Eine eventuelle Umleitung findet nur innerhalb der Syno statt.

Vermutlich lässt es sich noch einfacher erklären, aber mir fehlen gerade die passenden Worte.

 

[Nina]

Der Zugriff vom Arbeitgeber ist abgeklärt und hat bis zum Routerwechsel tadellos funktioniert.

Ich habe die Einstellungen unter Systemsteuerung > Anwendungsportal > Anwendungen angeschaut. Dort stehen für FileStation die Ports 7000/7001 zur Verfügung. Unter Systemsteuerung > Netzwerk > DSM-Einstellungen kann ich die DSM-Ports nicht auf 443 ändern, da diese bereits verwendet werden (vermutlich, weil ich sie im Router schon weitergeleitet habe?).

Dann habe ich den alten Router nochmals angeschaut in der Hoffnung, dort zu sehen, wie es damals gemacht wurde. Dort ist nur eine Portweiterleitung drin, die sieht so aus: Protokoll: TCP; Port 443; to Computer: HTTPS-Sever; to Port: 7001.
Soll ich diesen Port mal weiterleiten?

 

[Fusion]

Die Ports im Anwendungsportal sind auch nur Vorschläge von Synology. Statt 7001 kannst du auch 7007 oder 16509 nutzen. Dieser muss dann halt von außen angesprochen werden können.
Unter Netzwerk DSM Einstellungen darf man auch keine 80/443 eintragen, da lauschen schon andere dran (z.B. u.a. die Web Station, Photo Station).
Grundsätzlich gilt für Ports die du selber frei vergibts bitte zwischen 1024 und 65535 legen http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
Unterhalb von 1024 sind zu viele Ports für diverse Dienste vorgesehen.

Die Weiterleitung von 443 -> 7001 kann man machen (allerdings nicht mit deinem aktuellen Router, der kann ja offensichtlich nur 1:1, also 7001 > 7001 oder ähnlich), halte ich aber für schlechten Stil.
Unter 443 wäre dann zwar von außen die File Station erreichbar, allerdings sonst nichts mehr, keine Web, keine Photo Station etc.

Wenn du die File Station auf 7001 im Anwendungsportal setzt und im Router 7001 weiterleitest, dann sollte die File Station auch über https://abc.synology.me:7001 erreichbar sein von außen, wenn die Ports nicht woanders geblockt werden.

Deshalb habe ich ja auch die Alternative mit benutzerdefinierter Domain erwähnt. Da reicht 443 als Weiterleitung. Allerdings braucht man dann auch einen dynDNS Dienst der Subdomains bietet, oder eine eigene Domain.