Freigabe über Drive ohne DSM über quickconnect

[Jo92]

Hallo zusammen,

ich habe eine Frage zu Freigaben über Synology Drive. Ich würde gerne einen Order freigeben, sodass sich alle Personen mit dem Link die Dateien runterladen können.

Ich verwende quickconnect und habe den erweiterten Zugriff so eingerichtet:



Das habe ich so gemacht, weil ich davon ausging, dass es gut ist DSM nicht offen über quickconnect zu haben. Habe dafür noch einen VPN zur Fritz.Box, falls ich doch Mal von unterwegs dran muss.

Nun zur Frage:

Dateifreigabe hat dort einen Haken, wenn ich einen Ordner freigebe, wird der Link trotzdem mit der lokalen IP adresse gebaut. Erst wenn ich DSM über den Haken freigebe, funktioniert die Freigabe per quickconnect link. Mache ich was falsch oder geht das wirklich nur, wenn man DSM freigibt? Und vielleicht ergänzend, wie viel größer wird das Sicherheitsrisiko dadurch?

 

[Benares]

wird der Link trotzdem mit der lokalen IP adresse gebaut

Normalerweise werden die Links so "gebaut" bzw. angezeigt, wie du gerade selbst verbunden bist.

 

[Jo92]

Ok, auf die Idee bin ich nicht gekommen. Wie komme ich denn auf das Drive Portal, wenn nicht über DSM (und damit über die lokale IP)?

 

[Benares]

Probier's mal über https://quickconnect.to/[QC-ID]/drive oder https://[QC-ID].quickconnect.to/drive

 

[Jo92]

Da erhalte ich nur die Meldung:

Verbindung zu [QC-ID] kann nicht hergestellt werden.

 

[Benares]

Musst natürlich "[QC-ID]" durch deine Quickconnect-ID ersetzen.

 

[Jo92]

Oh sorry, meine letzte Antwort ist scheinbar nicht gepostet worden...

Musst natürlich "[QC-ID]" durch deine Quickconnect-ID ersetzen.

Das habe ich natürlich gemacht. Wollte nur nicht meine quickconnect ID hier öffentlich Posten, daher habe ich deinen Platzhalter weiter verwendet.

Edit: Nochmal getestet. Also sobald ich in dem Screenshot im Eingangspost den Haken bei DSM setze, funktioniert es auch wenn ich Driver über die lokale IP öffne. Es wird ein Quickconnect Link erzeugt und funktioniert. Ohne den Haken geht es nicht. Dann frage ich mich aber wofür ist denn der Haken Dateifreigabe?? Oder hat noch jemand eine andere Idee?

 

[Benares]

Du meinst den Haken bei DSM?

 

[Jo92]

Genau

 

[Benares]

Sorry, weiß ich nicht.

 

[Jo92]

Trotzdem vielen Dank! Vielleicht meldet sich ja noch jemand anderes.

Wie schlimm ist es denn DSM so freizugeben, wenn 2FA aktiv ist, sicheres PW und allen Usern bis auf dem Admin der Zugriff auf DSM verboten ist?

 

[synfor]

Dann frage ich mich aber wofür ist denn der Haken Dateifreigabe??

Für die Dateifreigabe der File Station. Für die Freigabe von Synology Photos wird ebenfalls die Erlaubnis fürs DSM benötigt.

 

[Jo92]

Ah ok, na dann werde ich wohl nicht darum kommen. Gibt es irgendwo Tipps zur bestmöglichen Absicherung?

 

[Benie]

Dann frage ich mich aber wofür ist denn der Haken

Der Haken dient dazu, daß die Anfrage über den Synology RelayServer läuft, ohne diesen muß für QuickConnect im Router eine Portfreigabe erstellt werden.
Aber, wenn schon mit Portfreigabe, dann lieber über die eigene DynDNS mit ReverseProxy aufrufen. Aber das wäre ein anderes umfangreiches Thema.

 

[Jo92]

Der Haken dient dazu, daß die Anfrage über den Synology RelayServer läuft, ohne diesen muß für QuickConnect im Router eine Portfreigabe erstellt werden.

Was ist denn dann sicherer? Bin da wirklich kein Expert? Gleich den Haken bei DSM setzen oder in der Fritte den Port weiterleiten?

Aber, wenn schon mit Portfreigabe, dann lieber über die eigene DynDNS mit ReverseProxy aufrufen. Aber das wäre ein anderes umfangreiches Thema.

Das würde ich mir eigentlich zutrauen. Aber das geht hinter einem DS-Light Anschluss doch nicht, weil ich keine eigene IPv4 nach außen habe, oder?

 

[Benares]

Doch. Publiziere über synology.me nur die IPv6 deiner DS und lass dir auch gleich ein Zertifikat dazu erstellen. Mit entsprechender Portfreigabe klappt das dann.

 

[Jo92]

Ok, jetzt merke ich, dass ich nur Wirtschaftsinformatik studiert habe und da der Netzwerkpart fehlte. Ich habe es hinbekommen. Vieles nachgelesen über Portforwarding und Reverse Proxy aus Interesse. Aber bin mir total unsicher, ob es so sicherer ist. Folgendes habe ich gemacht:

• Habe in meinem Router IPv6 TCP Port 443 freigegeben (ist das sicher, weil eigentlich soll man doch 443 nicht freigeben, habe ich irgendwo gelesen?)
• Habe auf der Syno einen DDNS über synology.me nur IPv6 gemacht (inkl. Let's encrypt)
• Reverse Proxy unter Anmeldeportal im Controlpanel angelegt von example.synology.me:443 auf localhost:5001

Nun funktioniert der Zugriff auch über den Link und der Link in Drive wird auch direkt über den DDNS Link generiert. Vielen Dank dafür! Bisher alles richtig oder habe ich mich jetzt irgendwo total angreifbar gemacht?

Und zweite Frage. Jetzt ist das DSM Panel ja genauso im Netz, nur halt nicht über Quickconnect, sondern über den DDNS und reverse proxy. Hat das gegenüber Quickconnect sicherheitstechnisch irgendwelche Vorteile?

 

[synfor]

Im Anwendungsportal für Drive den Port anpassen und auf den im Reverse Proxy weiterleiten. Dann ist das DSM nicht mehr über DDNS erreichbar.

 

[Benares]

Na ja, auf den DSM-Port würde ich jetzt nicht gerade weiterleiten, aber ansonsten kann man mit dem Reverse Proxy und einem einzigen offenen Port (443) viel machen.
Quickconnect ist ein komplett anderer Weg, da melden sich DS und Client auf irgendwelchen Synology-Servern an und die Kommunikation läuft darüber. Portfreigaben braucht es da nicht, aber es gehen halt auch nur bestimmte Anwendungen.

 

[Jo92]

Also erstmal vielen Dank für eure Geduld und Hilfe! Direkt Mal was in die Kaffeekasse geschmissen!

Das macht Sinn, leite nun auf einen anderen Port weiter und habe mir da den Drive Server hingelegt. Um ans DSM zu kommen habe ich von unterwegs sowieso einen VPN. Aus dem Grund war mir auch so wichtig, dass das DSM sonst nicht ins Netz kommt.

Ich bin total begeistert, wie schnell das plötzlich läuft, ich ging immer davon aus, dass die Verzögerungen einfach zu akzeptieren sind. Aber das die nur durch QC begründet sind, auf die Idee wäre ich nicht gekommen.

Jetzt brauche ich nur noch Hilfe, warum klappt der Zugriff auf DDNS nicht aus meinem eigenen Netzwerk? Da bekomme ich immer einen DNS_PROBE_FINISHED_NXDOMAIN Fehler. Hintergrund meiner Frage: Ich würde die synology.me Adresse dann auch im Drive Client hinterlegen, dann kann ich QC komplett deaktivieren. Aber dann würde nach meinem aktuellen Verständnis Drive nur außerhalb des eigenen Netzwerkes funktionieren. Das wäre doch auch Quatsch.