Photo Station Externer Zugriff nicht möglich!?

[MasterofChaos]

Hallo zusammen,
ich bin seit ein paar Tagen stolzer Besitzer einer DS213+. Ich habe natürlich auch sofort die Photo Station eingerichtet und über den „EZ Internet“ Assitenten auf der Station eine DDNS eingerichtet. Bei meiner Firewall habe ich dann eine Portweiterleitung von 5000-5001 aktiviert. Die Adresse lautet xyz.diskstation.me:5001 darüber findet man über den Browster eines anderen Systems auch die Photo Station und kann darauf zugreifen.
Nutze ich nun jedoch „DS photo+“ (Adroid, iphone, ipad) findet er den Server nicht.
Hier gebe ich als Adresse xyz.diskstation.me oder xyz.diskstation.me:5001 an.
Woran kann das liegen?

Gruss Master

 

[lopo_ch]

Was die Ursache für Dein Problem ist, kann ich Dir nicht sagen, vermutlich ist der Router nicht richtig eingerichtet.
Versuch es doch zuerst mit der externen IP-Adresse, bevor Du mit dem DDNS versuchst.

Aber: was ich wirklich niemals machen würde: den administrativen Account (Port 5000/5001) ins Internet zustellen.
Hast Du schon mal gehört und darüber nachgedacht, dass es böse Jungs im Internet gibt, die versuchen alles, aber auch alles zu hacken?
Wenn Du dann auch noch "admin" als Passwort hast, ist Deine DS bald "fällig".
Du kannst zwar sagen: "ich hab nichts zu verstecken", aber: wer nichts zu verstecken hat, sollte langsam damit anfangen!

Die Photostation lässt sich übrigends auch ganz normal über Port 80 erreichen.
Versuch erst einmal von Deinen lokalen Netz aus solche Einstellungen, bevor Du über das Internet etwas erreichbar machst.
Und wie immer gilt: erst lesen, darüber nachdenken und erst dann Knubbeln drücken!

Gruss
lopo

 

[MasterofChaos]

Hallo Lopo,

danke für den Hinweis. Leider habe ich mich einfach am FAQ von SYNOLOGY orientiert...http://www.synology.de/support/tutorials_show.php?q_id=456&lang=deu und dort steht zwar oben Port 80 im Bild, unen aber 5001...naja egal.

Also wie ist dann das sicherste Vorgehen?
Alle Ports der Synology zumachen und eine "Whitelist" einrichten? und nur eine weiterleitung zu Port 80 zulassen?

Welchen Weg hälst Du für am sichersten und wie bekomme ich dann mein eigentliches Problem in den Griff?
Denn im lokalen Netz hat immer alles geklappt und mit jedem Device hatte ich den gewünschten Zugriff...

VG
Master

 

[Frogman]

Wie Du hier sehen kannst, verwendet die Photostation standardmäßig für den Zugriff Port 80 (unverschlüsselt) oder Port 443 (verschlüsselt). Du musst also den gewünschten Port im Router an die DS weiterleiten (bzw. einen anderen, den Du als Alternative im DSM konfiguriert hast).

 

[MasterofChaos]

Hallo Frogman,

das habe ich nun gemacht. Von außen über http://canyouseeme.org/ ist nur Port 80 frei, bei 443 ist dies angeblich nicht der Fall. Woran kann das liegen? Habe sie identisch im Router weitergeleitet.

Des Weiteren sagt mir die Routerkonfiguration in der Synology Oberfläche, dass Photo Station deaktiviert ist, obwohl ich im Netzwerk darau Zugriff habe.

...mh und nun?

Sry, dass ich lauter Fragen habe

Gruß
Master

 

[Frogman]

Hast Du unter Systemsteuerung - Webdienste - HTTP-Dienste auch HTTPS-Verbindungen aktiviert?
Die Routerkonfiguration im DSM würde ich an Deiner Stelle nicht nutzen - stattdessen solltest Du Portweiterleitungen im Router per Hand eintragen.

 

[MasterofChaos]

Danke, jetzt funzt es aber die Photostation findet er immer noch nicht. Ja habe die weiterleitung auch direkt im Router eingegeben, da er das Modell nicht kannte

 

[lopo_ch]

Hi Master,

die Sicherheit Deines lokalen Netzwerkes hängt immer an der Firewall.
Ob Dein Netzwerk von aussen dicht ist, kannst z.B. damit testen: http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1
Wenn Du dann Port 80 in der Firewall freigegeben hast, wird der Scanner dies bemerken und Dich darauf hinweisen.

In der Firewall muss Du aber auch die Portweiterleitung auf die lokale IP Deiner DS einrichten.
Grundsätzlich ist es ratsam, der DS vorher eine feste IP-Adresse zu vergeben.
Das kannst Du auf der DS in der Systemsteuerung -> Netzwerk -> Netzwerkschnittstelle -> manuell vergeben.
Du kannst dafür die nehmen, die die DS jetzt hat, aber auch eine die z.B. 192.168.xxx.200 (den oberen Bereich nutze ich für Drucker, Server etc)
Hintergrund der manuellen IP Vergabe ist der, wenn Du mal der Router/Firewall neustartest, könnte Deine DS eine andere IP bekommen und dann ist Deine Konfiguration bezüglich des Internet Zugangs zur Photostation auch weg.

Wie Du die Portweiterleitung in Deiner Firewall einrichtest, kann Dir aus der Ferne keiner sagen, ohne Deinen Router/Firewall zu kennen.
Zu verschieden sind die Einstellungen bei jedem Hersteller, auch die Namen dafür variieren, im Manual sollte das aber schon stehen.

Falls Du nicht klar kommst, wäre es hilfreich den Hersteller und Bezeichnung zu wissen.

Gruss
lopo

 

[Frogman]

Danke, jetzt funzt es aber die Photostation findet er immer noch nicht. Ja habe die weiterleitung auch direkt im Router eingegeben, da er das Modell nicht kannte

Wie, und Du gibst jetzt https://xyz.diskstation.meort/photo ein (wobei "Port" der externe Port ist, den Du auf den internen Port 443 an die DS-IP weitergeleitet hast?
Bzw., wenn Du unverschlüsselt arbeitest, http://xyz.diskstation.me/photo (wobei Du den externen Port 80 auf den internen Port 80 an die DS-IP weitergeleitet hast)?

 

[MasterofChaos]

Sodele, nachdem ich sowohl den Router als auch die Station eu gesartet habe, funzt es

Ich komme über xyZ.diskstation.me/photo/ auf die Seite über xyZ.diskstation.me:443 nicht...ist das ein Problem?

Und Heise erkennt nur die freigegebenen Ports als offen

Danke nochmals an Euch!

Master

 

[Frogman]

Hast Du meinen Post darüber gelesen? Achte mal auf das http://... bzw. https://...

 

[MasterofChaos]

Naja ich gebe https://XYZ.diskstation.me/photo/ an, ohne prot und es geht

 

[Frogman]

Ok, dann hast Du Port 443 korrekt weitergeleitet (den musst Du nicht eingeben, weil das der Standardport für https ist).

 

[MasterofChaos]

Jupp Danke nochmals für die Hilfe!