DSM 6.x und darunter IP-Freigabe nur für http

[4711]

Hallo, ist folgendes möglich:

Ich möchte gerne per Standard von "überall" über https auf die NAS zugreifen.
Aus meiner Firma ist eine https-Verbindung nicht möglich. Nur für diese feste IP möchte ich einen Zugriff per http erlauben, aber eben von keiner anderen IP-Adresse.

Wenn ja, wie kann ich dies einrichten?

 

[Frogman]

Auf einem unverschlüsselten Port/Dienst solltest Du von extern keinesfalls auf die DS zugreifen, dabei werden Zugangsdaten im Klartext übertragen.
Wende Dich am besten an den IT-Administrator Deiner Firma, der kann Dir sagen, welche (verschlüsselten) Ports neben 443 zur Verfügung stehen.

 

[Tommes]

Wobei ich mich grade Frage, warum man den Port 443 und somit https:// überhaupt sperrt?

 

[Frogman]

Der wird wohl nicht gesperrt sein - aber 4711 will, wie ich das vermute, nicht auf seinen User-Apache, sondern ins DSM
Nun ja, wie immer in solchen Fällen daher mein Rat, das nicht am Arbeitgeber vorbei zu machen. Was immer so als Selbstverständlichkeit gesehen wird, kann eben schnell auch mehr als unangenehm werden...

 

[Tommes]

...aber 4711 will, wie ich das vermute, nicht auf seinen User-Apache, sondern ins DSM

Ach sooo... das ergibt dann wiederum Sinn DIESEN https-Port zu sperren *g*

 

[4711]

Auf einem unverschlüsselten Port/Dienst solltest Du von extern keinesfalls auf die DS zugreifen, dabei werden Zugangsdaten im Klartext übertragen.
Wende Dich am besten an den IT-Administrator Deiner Firma, der kann Dir sagen, welche (verschlüsselten) Ports neben 443 zur Verfügung stehen.

443 steht zur Verfügung. Der ist allerdings schon meinem Router vorbehalten als Konfig-Port, und den möchte ich dort nicht umbiegen.
Es sind Standard-Ports offen, wie Web und Mail, aber sonst nix. Daher die Idee einen anderen Port zu nehmen. Dort ist dann aber eben kein https erlaubt. Daher möchte ich zumindest ein wenig Sicherheit dadurch erlangen, dass auf den http-Port zur DSM nur die feste IP der Firma darf.
Da hier schon so gewisse Andeutungen kamen: Ja in der Arbeitszeit ist das sicher keine gute Idee, aber in der Mittagspause und nach Feierabend, ist es bei uns ok.

 

[Frogman]

..., aber in der Mittagspause und nach Feierabend, ist es bei uns ok.

Das sind häufig Regelungen, die sich auf das simple Surfen beziehen. Der Zugriff auf private Datenspeicher inkl. der Möglichkeit, dienstliche Daten dorthin zu speichern bzw. private Daten auf den dienstlichen Rechner zu kopieren, ist meist davon nicht eingeschlossen - allein wegen des Risikos, auf diese Weise Malware in irgendeiner Form in ein Unternehmensnetzwerk einzuschleppen, was bis hin zum Datenverlust führen kann... und das ist dann kein Kavaliersdelikt mehr, auch wenn das nicht in der offiziellen Arbeitszeit geschieht. Nicht umsonst sind in der Firewall des Unternehmens keine Ports neben den Mail&Surf-Ports offen. Anyway, da muss dann jeder seine Erfahrungen selbst machen - meine Empfehlung bleibt, Dich da offiziell an den IT-Admin zu wenden.

 

[hopeless]

Abgesehen davon halte ich es für keine gute Idee die Konfigurationsoberfläche des NAS und vor allem des Routers ins Netz zu stellen, aber jeder wie er meint

 

[MadMarvin]

Probiere doch mal folgendes:
Port 80 reinkommend auf 5000 (oder halt den https-Port) Deiner DS umleiten mittels Portforwarding.

Dann Deine DS über https://dyndnsadressedeinerDS:80 aufrufen.
Du weisst dem Browser dann an, dass er https über einen Non-Standard-Port versuchen soll.

Deine Zertifikatskette sollte aber passen, denn es kann sein, dass der Browser so eingestellt ist, dass er alle https-Verbindungen mit nicht kompletter und vertrauenswürdiger Zertifikatskette ablehnt.

 

[Fusion]

Wieso willst du den Router nicht auf einen anderen Port umlegen? (Abgesehen davon ist die Erreichbarkeit der Router-Config von außen ein weiteres Sicherheitsrisiko)
Wenn es sich z.B. um eine Fritzbox handelt ist die Benutzung eines anderen Ports außer 443 ein Kinderspiel.

 

[Frogman]

Dann Deine DS über https://dyndnsadressedeinerDS:80 aufrufen.Du weisst dem Browser dann an, dass er https über einen Non-Standard-Port versuchen soll.

In der Regel sperren aus guten Gründen praktisch alle Firewalls den Zugriff auf verschlüsselte Dienste über Port 80 komplett. Und nochmal - für solche Aktionen sollte man keine fragwürdigen Verbiegungen angehen.

 

[g202e]

Wenn die Firmen-IT nur ein wenig "auf Draht" ist, wird es dir nicht gelingen, da zu manipulieren und außerdem werden die dich erwischen. Ob es das wert ist, solltest du dir genau überlegen!

 

[MadMarvin]

In der Regel sperren aus guten Gründen praktisch alle Firewalls den Zugriff auf verschlüsselte Dienste über Port 80 komplett. Und nochmal - für solche Aktionen sollte man keine fragwürdigen Verbiegungen angehen.

Wie heisst es so schön:
Versuch macht kluch.

Ich möchte nur mal betonen, dass ich auf den rechtlichen Aspekt überhaupt nicht eingehe, denn das ist rein das Problem des OPs und keines Hobbyjuristen.
Im Zweifelsfall hätte er sich vorher Rat holen müssen, oder für die Konsequenzen geradestehen.

Das man den Zugriff einfacher, unter Nutzung eines Smartphones, herstellen kann sollte klar sein, aber danach wurde ja nicht gefragt.

 

[g202e]

Das man den Zugriff einfacher, unter Nutzung eines Smartphones, herstellen kann sollte klar sein

Da du nicht weißt, was der OP eigentlich auf der Syno machen will, halte ich deine These für ziemlich gewagt...