Hallo zusammen,
ich lese und teste mir jetzt seit Wochen nen Wolf, komme aber nur von einer Sackgasse zur nächsten. Ob ich in diesem speziellen Unterforum richtig bin, oder das eher zu nem anderen Paket gehört, muss sich noch zeigen, aber einen passenderen übergeordneten Ort habe ich nicht gefunden dafür.
Was ich möchte, ist eigentlich sehr kurz beschrieben:
- eine Datei oder einen ganzen Ordner temporär für irgendjemanden irgendwo über Internet lesbar machen.
Was ich dabei vermeiden möchte, ist schon etwas mehr, denn hauptsächlich soll meine DS als Datengrab im Heimnetzwerk fungieren, weshalb ich Zugriffsmöglichkeiten von außen sehr restriktiv vergeben will:
- Die Anmeldeoberfläche des DSM soll per Internet generell nicht erreichbar sein.
- Die Filestation-Anmeldung von Benutzern, die ich im Heimnetzwerk verwende (Windows-Freigaben etc.), soll generell nicht möglich sein, denn diese Benutzer haben weitreichende Schreib- und Leserechte.
- Unverschlüsselte Verbindungen von außen soll es nicht geben.
===========================================================================
Aktueller Stand und Fragen dazu:
- Ich habe nur einen Port für HTTPS und einen für die File Station im Router weitergeleitet, dafür auch nach außen exotische Portnummern verwendet, die nach innen dann mit Standardnummern weitergeleitet werden, sofern man nicht den entsprechenden DS-Dienst auf ne andere Nummer konfigurieren konnte. Die Anmeldung am DSM von Extern ist damit ausgeschlossen.
-> Gibt es eigentlich eine Möglichkeit, direkt an der DS zu regeln, dass man von außen nicht in den DSM darf??
- Durch den freigegebenen Port kann ich mich mit Benutzern, die überwiegend Leserechte haben, von außen an der File Station anmelden.
- Weil die File Station Anmeldeseite von außen erreichbar ist, musste ich ziemlich basteln, um die Benutzer mit umfangreichen Schreibrechten zu sichern: Da diese Benutzer im Heimnetzwerk die File Station dringend brauchen, konnte ich nicht einfach die ganze Anwendung abklemmen. Die Berechtigung "nach IP" scheint noch nicht ganz fertig programmiert zu sein und ist kaum dokumentiert. Man kann damit anscheinend bisher nicht "alle IPs verbieten außer xxx.xxx.xxx.0", sondern nur gezielt blockieren (die Positivliste hat keine erkennbare Wirkung). Mit ner ziemlich umfangreichen Liste von IPs und Subnetzmasken konnte ich aber dafür sorgen, dass die "gefährlichen" Benutzer mit weitreichenden Rechten nur noch aus dem Heimnetzwerk in die File Station kommen.
-> Gibt es eine einfachere Möglichkeit, einem Benutzer die Verwendung der File Station im Heimnetzwerk zu erlauben und von außen zu verbieten?
- Durch den freigegebenen Port sollte es möglich sein, dass ein Benutzer in der File Station eine Datei oder einen Ordner öffentlich macht, also genau was ich will. Man kann einen Link erzeugen, in dem man dann (weil ich die uPnP-Sicherheitssachen im Router ausgemacht habe) nur noch die Portnummer und das http_s_ korrigieren muss, und dann kann man über diesen Link mit der DS Kontakt aufnehmen. Dabei kommt dann aber der Fehler "Datei(en) herunterladen nicht möglich, Status getrennt". Dieser Fehler ist in Foren eher selten aufgetaucht, und einen passenden Kontext habe ich gar nicht gefunden.
-> Gibt es eine einfachere Möglichkeit, nur einen Ordner oder eine Datei öffentlich freizugeben, als diese Veröffentlichungsfunktion der File Station?
-> Gibt es eine Möglichkeit, die Veröffentlichungsfunktion zu benutzen, ohne dass gleich die ganze File Station (d.h. die Anmeldeseite) von außen erreichbar wird? Das Ding ist mir eigentlich auch zu mächtig, um öffentlich zu sein.
-> Hat jemand eine Idee, warum die öffentlichen Links bei mir nicht funktionieren?
- Per FTPS habe ich das auch schon mal versucht, habe einen Benutzer für FTP angelegt und allen anderen FTP verboten. Ports natürlich entsprechend eingerichtet, jetzt habe ich einen rechtelosen FTP-Benutzer, der sein Homeverzeichnis von außen sehen kann. Mir ist es aber nicht gelungen, diesem FTP-Benutzer jetzt von einem anderen Benutzer aus funktionierenden Lesezugriff auf vorhandene Daten zu geben. Die Möglichkeit gibt es zwar, dass ein Benutzer einem anderen Berechtigungen über seine Daten gibt. Eine Auswirkung aus Sicht des FTP-Benutzers konnte ich aber nicht feststellen.
-> Geht das so irgendwie?? Ich habe gelesen, dass man da angeblich nur über neue gemeinsame Ordner was hinbekommt. Die Datenstruktur umzusortieren für temporäre Freigaben (von einigen Tagen) wäre völlig unpraktikabel.
Generell habe ich das Gefühl, da einige Knoten im Kopf zu haben. Bin ich überhaupt in den richtigen Paketen unterwegs? Ich hatte mir vorgestellt, dass man relativ einfach was öffentlich freigeben kann, wenn man schon alle Daten auf nem Server hat. Die rudimentäre NAS-Funktion der Fritzbox z.B. kann das auch ziemlich einfach. Man kann für jeden Benutzer festlegen, ob er von außen oder von innen dran darf, und für jeden Unterordner einzeln Berechtigungen vergeben.
Es kann natürlich sein, dass ich irgendwo was offensichtliches übersehen habe, aber ich bitte darum, die Problembeschreibungen sorgfältig nachzuvollziehen. Antworten, die so grob passen, aber für meine konkrete Situation überhaupt nicht funktionieren, habe ich schon sehr viele gelesen.
Ich hoffe auf eine angeregte Unterhaltung!
ich lese und teste mir jetzt seit Wochen nen Wolf, komme aber nur von einer Sackgasse zur nächsten. Ob ich in diesem speziellen Unterforum richtig bin, oder das eher zu nem anderen Paket gehört, muss sich noch zeigen, aber einen passenderen übergeordneten Ort habe ich nicht gefunden dafür.
Was ich möchte, ist eigentlich sehr kurz beschrieben:
- eine Datei oder einen ganzen Ordner temporär für irgendjemanden irgendwo über Internet lesbar machen.
Was ich dabei vermeiden möchte, ist schon etwas mehr, denn hauptsächlich soll meine DS als Datengrab im Heimnetzwerk fungieren, weshalb ich Zugriffsmöglichkeiten von außen sehr restriktiv vergeben will:
- Die Anmeldeoberfläche des DSM soll per Internet generell nicht erreichbar sein.
- Die Filestation-Anmeldung von Benutzern, die ich im Heimnetzwerk verwende (Windows-Freigaben etc.), soll generell nicht möglich sein, denn diese Benutzer haben weitreichende Schreib- und Leserechte.
- Unverschlüsselte Verbindungen von außen soll es nicht geben.
===========================================================================
Aktueller Stand und Fragen dazu:
- Ich habe nur einen Port für HTTPS und einen für die File Station im Router weitergeleitet, dafür auch nach außen exotische Portnummern verwendet, die nach innen dann mit Standardnummern weitergeleitet werden, sofern man nicht den entsprechenden DS-Dienst auf ne andere Nummer konfigurieren konnte. Die Anmeldung am DSM von Extern ist damit ausgeschlossen.
-> Gibt es eigentlich eine Möglichkeit, direkt an der DS zu regeln, dass man von außen nicht in den DSM darf??
- Durch den freigegebenen Port kann ich mich mit Benutzern, die überwiegend Leserechte haben, von außen an der File Station anmelden.
- Weil die File Station Anmeldeseite von außen erreichbar ist, musste ich ziemlich basteln, um die Benutzer mit umfangreichen Schreibrechten zu sichern: Da diese Benutzer im Heimnetzwerk die File Station dringend brauchen, konnte ich nicht einfach die ganze Anwendung abklemmen. Die Berechtigung "nach IP" scheint noch nicht ganz fertig programmiert zu sein und ist kaum dokumentiert. Man kann damit anscheinend bisher nicht "alle IPs verbieten außer xxx.xxx.xxx.0", sondern nur gezielt blockieren (die Positivliste hat keine erkennbare Wirkung). Mit ner ziemlich umfangreichen Liste von IPs und Subnetzmasken konnte ich aber dafür sorgen, dass die "gefährlichen" Benutzer mit weitreichenden Rechten nur noch aus dem Heimnetzwerk in die File Station kommen.
-> Gibt es eine einfachere Möglichkeit, einem Benutzer die Verwendung der File Station im Heimnetzwerk zu erlauben und von außen zu verbieten?
- Durch den freigegebenen Port sollte es möglich sein, dass ein Benutzer in der File Station eine Datei oder einen Ordner öffentlich macht, also genau was ich will. Man kann einen Link erzeugen, in dem man dann (weil ich die uPnP-Sicherheitssachen im Router ausgemacht habe) nur noch die Portnummer und das http_s_ korrigieren muss, und dann kann man über diesen Link mit der DS Kontakt aufnehmen. Dabei kommt dann aber der Fehler "Datei(en) herunterladen nicht möglich, Status getrennt". Dieser Fehler ist in Foren eher selten aufgetaucht, und einen passenden Kontext habe ich gar nicht gefunden.
-> Gibt es eine einfachere Möglichkeit, nur einen Ordner oder eine Datei öffentlich freizugeben, als diese Veröffentlichungsfunktion der File Station?
-> Gibt es eine Möglichkeit, die Veröffentlichungsfunktion zu benutzen, ohne dass gleich die ganze File Station (d.h. die Anmeldeseite) von außen erreichbar wird? Das Ding ist mir eigentlich auch zu mächtig, um öffentlich zu sein.
-> Hat jemand eine Idee, warum die öffentlichen Links bei mir nicht funktionieren?
- Per FTPS habe ich das auch schon mal versucht, habe einen Benutzer für FTP angelegt und allen anderen FTP verboten. Ports natürlich entsprechend eingerichtet, jetzt habe ich einen rechtelosen FTP-Benutzer, der sein Homeverzeichnis von außen sehen kann. Mir ist es aber nicht gelungen, diesem FTP-Benutzer jetzt von einem anderen Benutzer aus funktionierenden Lesezugriff auf vorhandene Daten zu geben. Die Möglichkeit gibt es zwar, dass ein Benutzer einem anderen Berechtigungen über seine Daten gibt. Eine Auswirkung aus Sicht des FTP-Benutzers konnte ich aber nicht feststellen.
-> Geht das so irgendwie?? Ich habe gelesen, dass man da angeblich nur über neue gemeinsame Ordner was hinbekommt. Die Datenstruktur umzusortieren für temporäre Freigaben (von einigen Tagen) wäre völlig unpraktikabel.
Generell habe ich das Gefühl, da einige Knoten im Kopf zu haben. Bin ich überhaupt in den richtigen Paketen unterwegs? Ich hatte mir vorgestellt, dass man relativ einfach was öffentlich freigeben kann, wenn man schon alle Daten auf nem Server hat. Die rudimentäre NAS-Funktion der Fritzbox z.B. kann das auch ziemlich einfach. Man kann für jeden Benutzer festlegen, ob er von außen oder von innen dran darf, und für jeden Unterordner einzeln Berechtigungen vergeben.
Es kann natürlich sein, dass ich irgendwo was offensichtliches übersehen habe, aber ich bitte darum, die Problembeschreibungen sorgfältig nachzuvollziehen. Antworten, die so grob passen, aber für meine konkrete Situation überhaupt nicht funktionieren, habe ich schon sehr viele gelesen.
Ich hoffe auf eine angeregte Unterhaltung!
