DSM 6.x und darunter Firma gibt nur Port 80 frei - wie trotzdem auf DSM und Photo Station zugreifen?

[Steinwolf]

Hallo,

Meine Firma lässt nur den Zugriff über Port 80 zu. Daher kann ich von der Firma aus nur auf meine Photo Station zugreifen. Wie komm ich auch auf das DSM? (Oder ZB die File Station)?

Mit freundlichen Grüssen,
Steinwolf

 

[Fusion]

Die Sperre hat vermutlich einen Grund. Betriebsverinbarung private Nutzung etc. mußt du selbst kennen / bewerten.

Zugriff geht via Reverse Proxy.

 

[X5_492_Neo]

im Zweifel, über Quick-Connect!

 

[laserdesign]

Hallo,
du musst mit dem Administrator deiner Firma reden, ich werde hier nicht das Sicherheitskonzept deiner Firma aufweichen.

 

[heavy]

Als kleiner Hinweis. Die Nutzung von quickconnect stellt einen gefährlichen Eingriff in die It strucktur da und ist damit ein Grund zur Fristlosen Entlassung. Wenn man bei dir so streng mit den Ports ist dann hat das seinen Grund. Und was hast du für so wichtige PRIVATE Daten, dass du da im Betrieb dran musst? Also der einzige und richtige Weg ist das mit dem Chef und der It Abteilung zu besprechen solltest du wirklich wegen Heimarbeit Zugriff auf Daten brauchen sollte es eher andersherum sein,dass du von zu Hause auf die Server des Betriebs kommst.

 

[Thonav]

Öhm - da muss ich auch mal nachfragen. Wenn ich in einer Firma, die o.g. Port freigegeben hat, in einem Browser per quickconnect auf meinen NAS zugreife, soll das ein gefährlicher Eingriff sein?
Könntest Du das weiter erläutern?

 

[heavy]

Hinter QC steht die Technik des Hole Punching also dem "aufbrechen" der Firewall und das wird schon als Eingriff gewertet da dadurch potentiell der Weg für schadprogramme geöffnet wird.

 

[frankyst72]

und 443 ist nicht offen? das ist doch überall offen? dann Photostation über 80 und DSM über 443 (im eigenen Router Forwarding von 443 -> 5001). Ansonsten musst Du halt darauf verzichten Deinen Kollegen die Urlaubsbilder zeigen können. Bzw. kannst Du ja immer noch innerhalb von DSM über File Station die Fotos einzeln anzeigen.

 

[Frogman]

Hinter QC steht die Technik des Hole Punching also dem "aufbrechen" der Firewall und das wird schon als Eingriff gewertet da dadurch potentiell der Weg für schadprogramme geöffnet wird.

Vorsicht - das Hole-Punching bezieht sich auf Deine heimatliche NAT-Firewall des Routers, nicht auf die Firewall der Firma. Dennoch ist der Zugriff - ob nun per QuickConnect oder per offenem Port in der firmeneigenen Firewall - grundsätzlich bedenklich, da hierbei Zugriff auf Daten/IT-Systeme erfolgt, die im Regelfall nichts mit den beruflichen Aufgaben zu tun haben und auch nicht den Sicherheitsmaßnahmen der Firma unterliegen. Wenn ein solcher Zugriff in entsprechenden Vorgaben des Unternehmens nicht zugelassen ist, hat das üblicherweise Maßnahmen bis hin zu Abmahnung bzw. im Wiederholungsfall oder im Falle von Schäden im IT-System auch schnell die Kündigung zur Folge...

 

[Steinwolf]

Tja, Danke für die Antworten.

Allzu wichtig ist es nicht, dass ich mich verbinde, aber ich mache beruflich viele Schnappschüsse mit dem Handy und lade die Bilder automatisch auf mein Synology. Viele "alte" Bilder wären da manchmal von nutzen.

Nun gibt es 2 Gründe für meine Anfrage hier:
Erstens - Ich hatte einen Kunden, welcher unerwartet auftauchte und welcher eine spezielle Anfrage hatte. Ich konnte mich erinnern, dass ich schonmal so etwas Ähnliches als Sonderlösung hatte und wollte ihm ein Bild davon zeigen. Zugriff natürlich nicht möglich.
Zweitens und im Zuge dessen - Ich hatte zuhause ein Schreiben formuliert und auf der Filestation gelagert. Da ich dieses nun aber unerwartet früher gebraucht habe wollte ich das abrufen. Und auch hier - kein Zugriff.

Nachdem ich mehrere vergebliche Versuche gestartet hatte, hab ich meine IT eingeschaltet und mal nachgefragt an was das liegen kann - Er meine "Bei uns ist irgendwie nur Port 80 frei gegeben. Fahr doch über die Webseite rein. Mehr geht halt nicht."

Mh. Nachdem die Photo Station auf 80 läuft hätte es gehen müssen. Ich habs also probiert und siehe da, bei 10x Versuchen klappt es mit Glück 1x.
Das hilft aber nicht wenn ich auf die Filestation zugreifen will. Wollte dann übers DSM - ja, detto.

Quickconnect verbindet ja auch nur auf die Seite - hilf also auch nicht.

Und by the way - über https erhalte ich überhaupt nur mehr eine weisse Seite - mittlerweile auch zuhause, aber das ist eine andere Geschichte.

Tja und Firmenrichtlinien hin oder her - Ich will ja nichts aufbohren oder so. Was illegales hab ich ja nicht im Sinn. Es müsste halt schon auf normal legalem Weg eine Verbindung herzustellen sein. Darum frage ich ja hier, wie ich meine Syno dazu bringe und suche nicht auf dubiosen Seiten im Netz.

 

[Frogman]

Nochmal - wenn Dein Chef bzw. ein Verantwortlicher der IT den Zugriff auf Deine heimische DS gestattet, können sie selbstredend für Deinen Arbeitsplatzrechner eine Portfreigabe bspw. für Port 5001 schalten, damit Du auf das DSM kommst. Ansonsten solltest Du die Warnungen nicht in den Wind schlagen.

 

[Steinwolf]

Hallo.
Nochmal: es gab bei uns keine Warnung. Nur den Hinweis, dass eben generell nur Port 80 freigeschalten ist.
Ob und wo man damit zugreift ist ihnen egal. Nur Sonder - Port Geschichten gibt es auch nicht.
Daher auch meine einfache Frage, ob ich alleine mit Port 80 die Synology so einstellen kann, dass ich auf alles zugreifen kann.
Das hat mit dem Aushebeln des Firmensystems nichts zu tun.
Lg, Steinwolf

PS.: Dnake trotzdem für deine Warnung.

 

[helmut72]

dass eben generell nur Port 80 freigeschalten ist.

Wie "sinnvoll". Wenn nur ein Port offen ist und keine Applikationserkennung auf der Firewall läuft, ist doch sowieso alles offen.

 

[Hafer]

Wenn es berufliche Schnappschüsse sind, wie verhält es sich, wenn diese auf deiner Privat-Syno verloren gehen? Allein deshalb würde ich die beruflichen Schnappschüsse auf einen Firmen-Server / eine Firmen-Syno hochladen. Und nebenbei löst sich so das Zugriffsproblem, wenn mal wieder ein Kunde kommt.

 

[Frogman]

Hallo.
Nochmal: es gab bei uns keine Warnung. Nur den Hinweis, dass eben generell nur Port 80 freigeschalten ist.

Aha. Das hat dann sicher einen Grund. Und der liegt bestimmt nicht darin, dass die Firewall nichts anderes kann.

 

[Steinwolf]

Achso du meinst, die filtern irgendwie im Hintergrund und liefern dann nur über den Server über Port 80 aus?
Dann wundert mich aber das soviel geht. So gesehen ist der Filter eh nicht recht streng eingestellt.
Tja, also wenn ich die Syno nicht gänzlich über das DSM und Port 80 benutzen kann, dann werd ich mal im Zentralwerk vorsichtig nachfragen.

Und nur so nebenbei:
Auch wenn eure Ratschläge sicherlich nett gemeint sind. Ich weiß sehr wohl welche Fotos ich wo und wie mache und speichere. Und auch was ich wem zeigen kann und darf, und was nicht. Ich komm mir schon fast vor wie im Verhör.

 

[frankyst72]

Du kannst davon ausgehen, dass die meisten erfahreneren Forumsmitglieder alle irgendwo in der IT sitzen, postuliere ich einfach mal so und die sind alle gebranded durch jahrelanges herum lamentieren mit Anwendern, das sind alles nur Reflexe, dafür können die nix (ich schließe mich da nicht aus!)

Aber eine Lösung habe ich für Dich nicht. Hast Du denn mal probiert ob Port 443 frei ist, wie ich schon geschrieben habe? Ich kann mir nicht vorstellen, dass der nicht frei ist. Egal was die aus der IT gesagt haben. Versuch einfach mal Dich bei Deiner Bank einzuloggen, wenn das über https geht ist 443 offen. Ansonsten sollte Dich hoffentlich die Bank nicht rein lassen.

 

[tschortsch]

Hast du es schon mitr dem Reverse Proxy auf deiner DS versucht?
Da könntest du alle Diesnte von aussen erreich bar machen zb
www.meineip.com/DSM
www.meineip.com/Photostation
www.meineip.com/Website1
www.meineip.com/Website2

und alles läuft nach aussen hin von deiner DS nur über Port 80.
Selbiges gilt natürlich auf vür den Tip von frankyst72 mit dem Port 443

 

[fraubi]

Das Problem habe ich hier in der Firma auch und konnte es wie folgt lösen :

In der Systemsteuerung gibt es den Punkt "Anwendungsportal". Dort kann man auf der Registerkarte "Allgemein" für jedes installierte Synology-Paket (Filestation, Audiostation, Photostation etc.) einen benutzerdefinierten Aliasnamen festlegen. Dazu einfach bei jeder dort aufgeführten App nur diesen Punkt in den jeweiligen Einstellungen anhaken. Bei der Audiostation steht dann z.B. als Vorgabe bereits "audio" drin.

Wenn Du den Webserver auf der DS laufen hast (Port 80) und per Dyndns die DS erreichen kannst, kannst Du aus der Firma als URL einfach

http://xxx.dnsalias.org/audio

eingeben, und schon erreichst Du die Audiostation über Port 80.

Setzt natürich voraus, dass Du im Router den Port 80 auf die IP der DS weitergeleitet hast.

Gleiches funktioniert mit der Filestation, Videostation, Photostation etc, musst nur wie oben beschrieben bei jeder App im Anwendungsportal den einen Haken setzen.

Gruß
Fraubi

 

[rabu]

Das funktioniert aber nicht mit mit dem DSM und der Cloudstation. Ansonsten müsste man evtl. mit einer eigenen Domain, Subdomains und dem Reverse Proxy arbeiten. Damit würde es dann funktionieren.
Was ich allerdings nicht verstehe ist dieses Sheriff Gehabe und der ganze Hype um die Sicherheit.
Grundsätzlich darf eine Firma ihr Netzwerk so absichern das nur Port 80/443 offen wäre. An diesen Einstellung verbiegst du ja auch nichts.
In einigen Firmen ist das surfen / Herunterladen von Daten auf dem Firmenrechner verboten, in anderen Firmen ist es erlaubt (teils sogar gewünscht.)
Wenn du deine Photostation auf Port 80 erreichbar machst, ist es auch noch negativ behaftet. Solltest du eine Verbindung von Firma zu Privat aufbauen können, dann ist es technisch gut gelöst und noch nichts strafbar.
Ob es gegen die Firmenpolitik ist oder du gegen evtl. Regeln verstößt, dass überbleibt dir ganz allein.
Schlimmer wäre es wenn du in der IT Abteilung nach einem offenen 5000er fragst und nachher stellt sich heraus, das der Virus, der das gesamte Netzwerk lahmgelegt hat, darüber ins Netz kam.