Keine Verbindung im WLAN bsp.myds.me von Ext. gehts...

[TobiNAS]

Mit etwas Unterstützung habe ich auf dem Router 4 Portfreigaben (5000-5001; 5005-5006; 80 und 443) für den externen Zugriff frei gegeben plus DDNS eingerichtet.

Nun habe ich vom Handy aus via WebDAV und cx Datei Explorer zugriff auf meinen Share, nicht aber wenn ich via WLAN verbunden bin.

Weiss jemand woran das liegen könnte? Was fehlt?

 

[TobiNAS]

Das Problem besteht unabhängig der Devolo Geräte. Versuchsweise habe ich alle geräte direkt it dem Router vom INet Anbieter verbunden, resp. da das Wlan verwendet.

 

[plang.pl]

Meinst du nicht, es wäre sinnvoll, wenn du uns mehr Infos gibst?
DS/DSM Version? Welcher Router?
Das, was du da betreibst, ist nicht State of the Art. Standardports gibt man nicht frei.

 

[EDvonSchleck]

ich auf dem Router 4 Portfreigaben (5000-5001; 5005-5006; 80 und 443) für den externen Zugriff frei gegeben plus DDNS eingerichtet.

Ob das gut gehen wird?

Um die Sicherheit zu erhöhen, solltest du keine Standardports verwenden, die richtige Einstellung der Firewall und das IP-Block-Script (bedanken im Thread nicht vergessen!) von @geimist.

 

[ctrlaltdelete]

Schaue mal nach DNS Rebind Schutz im Router. Und besser nur Port 443 öffnen und mit Reverse Proxy und Subdomains arbeiten, alle anderen Ports schließen.

 

[TobiNAS]

Ich weiss nicht welche Infos nötig sind.
DSM 7.1.1-42962 Update 5 DS218+
Ich hab keine Ahnung was mich erwartet wenn ich andere Ports verwenden will. Nach meiner letzten Frage ist das so scheinbar so Sicherheitsrelevant und geheim, dass man mir noch nicht mal einen Vorschlag zu anderen Ports oder Port Bereichen die ich erfolgreich verwenden könnte gemacht hat. Quasi so nicht aber wies geht musst man selber wissen.

Bringt es überhaupt was, andere Ports zu nutzen wenn dann einfach ein Portscan eh wieder zeigt wo etwas gehen kann?

 

[plang.pl]

wenn dann einfach ein Portscan eh wieder zeigt wo etwas gehen kann?

Klar sieht man offene Ports mit jedem Scanner. Jedoch weiß man nicht sofort, welcher Dienst dahinter steckt. Und dass Admin Interface zu öffnen, nur weil man zB auf die AudioStation zugreifen will, ist ja auch übertrieben

 

[ctrlaltdelete]

Hier noch eine Anleitung dazu:
https://mariushosting.com/synology-how-to-use-reverse-proxy-on-dsm-7/

 

[sky63]

Bringt es überhaupt was, andere Ports zu nutzen

Meiner Meinung nach wenig. Viel mehr bringt es sich erst einmal Gedanken darüber zu machen was man denn wirklich braucht.
Ich verdiene seit fast 30 Jahren mein Geld mit dem Aufbau und Betrieb von Netzwerken und ich habe z.B. für mich entschieden das ich einen externen Zugriff auf meine IT zu Hause nicht brauche. Kalender, Mail und Kontakte werden gesynct wenn die entsprechenden Clients sich in den richtigen Netzwerken befinden und das reicht. Dafür erspare ich mir jeden Aufwand irgendwas "sicher" hin zu stellen.
Wenn ich dann den Eingangspost hier lese habe ich dafür ehrlich gesagt nur Kopfschütteln übrig. Da wird einfach mal irgendwas freigegeben, wird schon schief gehen. Sei dir sicher, wird es, wenn du so weiter machst. Definiere deine Anforderungen, stelle diese den Risiken gegenüber und dann lasse dir von jemandem helfen der das versteht und der das kann.

gruss,
sky

 

[TobiNAS]

OK, ich kann nicht erwaten dass jemand meine Anforderungen die ich bei der Vorstellung beschrieben hatte in dem Zusammenhang liest.
Kurz, 1) via Android Handy (Von Extern und im Haus WLAN) sollen Daten die auf dem NAS liegen direkt editiert werden können. Das funktioniert zZ, via cx Datei Explorer (Nur übers Internet, von Extern) mache ich den Share auf, editiere mit MS Word, speichere gut ists.

Weitere Anforderung, 2) die Handybilder ins Nas synchronisieren (Hausnetz und von Extern).

3) Fotos vom NAS irgendwie Userfreudlich ansehen können im Hausnetz und von Extern.

4) Die freigegebenen NAS Verzeichnisse innerhalb vom Hausnetz und von Extern als Shares in W10 einbinden.

Verzicht ist nicht die Lösung. Nach meinen bisherigen infos sollte das via WebDAV alles schnell und tauglich machbar sein, darum wurde dieser Weg gewählt. Nur geht es nicht. Wenn es denn mal funktionier kann ich gut irgendwelche Sicherheitsdingens machen, nur sollte es erst mal funktionieren.
Wenn ichs richtig verstehe hat mir dazu noch Niemand einen Tipp gegeben. Oder löst das der reverse Proxy?

 

[plang.pl]

Mit dem Reverse Proxy kannst du dafür sorgen, dass du mit dem Port 443 über https via WebDAV auf die Shares zugreifen kannst, ohne dass du den WebDAV Port öffnen musst

 

[sky63]

Jetzt fehlt ja noch die Risikobewertung. Was sind da für Dateien die editiert werden sollen? Was passiert wenn die in falsche Hände geraten oder nicht mehr nutzbar weil nicht mehr vertrauenswürdig oder zerstört? Sind die Photos möglicherweise nicht für jeden bestimmt? Welcher Nutzerkreis soll das ganze nutzen?


Wenn ich sowas für mich machen müsste, würde ich eine DMZ(das BSI nennt es auch Fernzugriffszone) hinstellen in der eine VPN-Verbindung terminiert und das dann entsprechend konfigurieren.
Das ist allerdings mit deutlichem Aufwand verbunden und ob dieser Aufwand sich dann durch den Nutzen rechtfertigen lässt kannst nur du beurteilen.

gruss,
sky

 

[ottosykora]

also ja, für den Aufbau und Test und eigene Ausbildung kannst du Ports nehmen welche du willst, es ist dann eher so, dass du es dann wenn alles funktioniert doch ändern sollst

Webdav, das ist ein Zusatz zu http/https
au Dauer sollte es dann mit https laufen, also mit SSL
die Frage nach Zertifikat muss man sich hier auch noch stellen, also Themen wie Letsencrypt anschauen

dann die Frage nach warum es externe geht und intern nicht. Das ist hier so was wie FAQ. Das ist einfach so. Eigentlich braucht man dazu zwei verschiedene Adressen, eines ist die lokale IP für internen Zugriff, die andere ist die öffentliche Adresse die man am besten mit einem Dyn DNS erreichen kann.

Mit DDNS kannst du im eigenen Wlan nicht zugreifen, es sei denn du triffst spezielle Vorkehrungen.
Bei einer Fritzbox zum Bsp kann man die eigene Adresse mit der IP hinterlegen und dann kann man auch intern mit DDNS (also wie von aussen) arbeiten.
Man könnte auch lokal einen DNS Server laufen lassen etc.

Sicherheits gurus hier werden dir alles ausreden und dich auf VPN Zugriff verweisen.

Ich könnte dir auch sagen nimm Quickconnect, dann geht es intern und extern, vielleicht etwas langsamer, aber man muss sich nicht um intern oder extern kümmern.

 

[ottosykora]

Wenn ich sowas für mich machen müsste, würde ich eine DMZ

also DMZ ist eigentlich genau die ungeschützte Zone

 

[sky63]

Dort steht ja auch, eingekreist von Firewalls, nur der VPN-Endpunkt.

 

[ottosykora]

ja, eingekreist von Firewalls, dann ist es ja nicht mehr DMZ...
aber egal, hier geht um was anderes

der Kollege will wissen warum etwas bei ihm nicht geht und bekommt zuerst Antworten auf alles mögliche

 

[ctrlaltdelete]

Schaue mal nach DNS Rebind Schutz im Router.

@TobiNAS Hast du dir das mal angeschaut, wegen deinem eigentlichen Problem?

 

[TobiNAS]

also ja, für den Aufbau und Test und eigene Ausbildung kannst du Ports nehmen welche du willst, es ist dann eher so, dass du es dann wenn alles funktioniert doch ändern sollst

Webdav, das ist ein Zusatz zu http/https
au Dauer sollte es dann mit https laufen, also mit SSL
die Frage nach Zertifikat muss man sich hier auch noch stellen, also Themen wie Letsencrypt anschauen

dann die Frage nach warum es externe geht und intern nicht. Das ist hier so was wie FAQ. Das ist einfach so. Eigentlich braucht man dazu zwei verschiedene Adressen, eines ist die lokale IP für internen Zugriff, die andere ist die öffentliche Adresse die man am besten mit einem Dyn DNS erreichen kann.

Mit DDNS kannst du im eigenen Wlan nicht zugreifen, es sei denn du triffst spezielle Vorkehrungen.
Bei einer Fritzbox zum Bsp kann man die eigene Adresse mit der IP hinterlegen und dann kann man auch intern mit DDNS (also wie von aussen) arbeiten.
Man könnte auch lokal einen DNS Server laufen lassen etc.

Sicherheits gurus hier werden dir alles ausreden und dich auf VPN Zugriff verweisen.

Ich könnte dir auch sagen nimm Quickconnect, dann geht es intern und extern, vielleicht etwas langsamer, aber man muss sich nicht um intern oder extern kümmern.

Danke.

Quickconnect hatte ich zuerst versucht. Ich konnte keine Aut. Routerkonfig machen, Über Routerkonfig, Infos Abfragen bekomme ich die Rückmeldung, ich hätte mehrere Modems/Router im Netzwerk. (Was stimmt ich muss auf Devolos zurückgreifen, über die bin ich aber mit Kabel verbunden). Bei der manuellen Routerkonfig weis ich nicht welchen Router auswählen. Wenn ich selber auf dem Router was für Quickconnect einrichten will fehlen mir die Infos was ich einrichten soll. Da kam ich also nicht weiter. Dann war da noch die Meldung ich solle die Router in den Bridge Modus schalten, nur sagt mir Devolo dazu, das sei nicht nötig solange ich am Kabel hänge.

 

[plang.pl]

keine Aut. Routerkonfig

Das soll man auch nicht machen. Wenn überhaupt, setzt man die Portweiterleitungen auf dem Router manuell!

Für QuickConnect brauchst du keine Portweiterleitungen. Dann läuft alles über den Relay Server von Synology. Wenn du schon Portweiterleitungen machen willst, würde ich mir einen richtigen DDNS Zugriff einrichten und nicht auf QuickConnect setzen.

 

[TobiNAS]

Es ist zum verzweifeln. Bei der Evaluation sah es so aus als würden meine Anforderungen einfach mit dem NAS und Apps erfüllt. Bisserl Routerkonfig, ok...

Im Moment sieht es so als als wäre alles Übliche komplett falsch, ich müsse weis der Henker was umkonfigureieren damit es dann intern und extern doch nur unterschiedlich zu verwenden ist und letztendlich vermutlich so viele Dienste gemeinsam am Leben erhalten, dass ich mir am besten 3 Engineers anstelle und die dann beim Abstimmen betreffend der einrig richtigen Lösung inmmerhin (weil3) ne Mehrheit zustande bringen.

Bitte fühlt euch nicht gekränkt, ich bin nur grad wiedermal am Punkt wo ich erkenne, dass die Welt es auch bis heute scheinbar einmal mehr nicht geachfft hat in dem Bereich etwas was einfach und gut funktioniert hin zu bekommen. Das im Jahr 2023.