Photo Station Link versenden, funktioniert dann aber nicht

[Frogman]

...
ich habe jetzt mal den Port 5000 für die DS freigemacht. Alles klappt wunderbar Juchhu.

Gar nicht gut, auch wenn Du jubelst - Port 5000 ist der unverschlüsselte Zugang zum DSM! Jeder halbwegs begabte Hacker, der zufällig die Kommunikation mitbekommt, hat direkten Zugriff auf Deine Benutzerkennung und kann sich damit einloggen!

Nun wollte ich für die DS einen weiteren Port anlegen (einen kann man noch hinzufügen), welchen kann man da nehmen?
Oder besser welche Ports sollte man generell nicht nehmen.

Generell KEINE unverschlüsselten Ports (selbst für die Webstation würde ich Port 80 nur dann freigeben, wenn der auf https/Port 443 umgeleitet wird).
Wenn Du tatsächlich DSM extern zugreifen willst/musst (was ich bezweifle), dann nur über Port 5001/https!
Ansonsten kann man für Dienste wie File Station über das Anwendungsportal in der Systemsteuerung separate Ports vergeben.

 

[heavy]

wenn es nur um ihre Bilder geht dann kannst du dir mal die Persönliche Photostation anschauen Incl ds Photo app und dort dann die Backup funktion. Aber bedenke du als admin kannst immer alles sehen.

 

[Onkel Tom]

@Frogman UPS, habe den Port 5000 wieder dicht gemacht. Komme nun aber nicht mehr auf die DS, auch lokal nicht.
Wenn ich meine IP im Browser eingebe oder die ID von Synology ist immer der Port 5000 und nicht 5001 zu sehen. Muß
mal in den Netzwerkeinstellungen suchen wie ich das ändern kann.
Habe mal 5001 dahinter geschrieben und dann kam das von Firefox:
------------------------------------------snip------------------------------------------------------------------
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
Reason: You're speaking plain HTTP to an SSL-enabled server port.<br />
Instead use the HTTPS scheme to access this URL, please.<br />
</p>
</body></html>
--------------------------------------snaps------------------------------------------

@heavy: Persönlich Photostation kenne ich gar nicht, werd mich mal auf die Suche begeben

So habe ich das in der DS mit den Ports eingestellt:

oder kann ich den Port 5000 wieder bedenkenlos öffnen weil er umgeleitet wird auf 5001 und er damit verschlüsselt ist?

 

[Frogman]

Mehrere Dinge:

Port 5000 umleiten auf 5001 kann man machen - bringt aber nicht wirklich einen Vorteil, weil auch Port 5000 kein Standardport ist, man muss immer einen Port übergeben, um auf das DSM zu kommen (entweder http://IP:5000 oder https://IP:5001 ***man beachte das kleine 's'***). Bei Umleitung von Port 80 auf 443 (für die Web Station) hat das schon Sinn - weil man die beiden Ports nicht angeben muss, da es Standardports sind, landet hier der unverschlüsselte Aufruf direkt beim verschlüsselten.

Lokal kannst Du problemlos auch Port 5000 verwenden - es geht nur um das, was Du im Router weiterleitest, um es extern zu nutzen.

SPDY/3 kannst Du deaktivieren - das ist eine Google-Sonderlocke, sehr neu und macht eher Probleme. Wird demnächst wohl ohnehin komplett in HTML/2 aufgehen!

 

[Onkel Tom]

Hallo

Uff Also wenn ich http://meineID oder IP:5001 eingebe komme ich drauf. Standartmäßig nimmt die DS aber immer 5000. Kann ich das ändern?
Klicke ich in meinem Synology Account auf meine ID komme ich auch nicht drauf sondern muß immer die https:// und am ende die 5001 eintragen.
So ganz richtig habe ich das mit den ganzen Ports auch noch nicht geschnallt . Ist doch richtig das ich port 5001 unbedingt brauche um von extern auf die DS zu kommen?
Muß mir das im Wikki noch mal ansehen.

Wie ich Port 80 auf die 443 Umleite werde ich gleich mal Googeln.

SPDY habe ich im Firefox deaktiviert und auch auf der DS. Da wäre ich nie drauf gekommen. Klasse

Gruß
Tom

 

[heavy]

Das ist die Umleitung von 80 auf 443

 

[heavy]

Stell dir das mit den Ports einfach wie ein Hochhaus vor bei dem in jeder wohnung jemand anderes wohnt. Deine Dyndns adresse ist jetzt die Adresse des Hochhauses, aber wenn du dann am Hochhaus stehst musst du auch noch wissen in welcher Wohnung jetzt wer wohnt. Im realen wären es die Familien Namen in der IT sind es die Ports.

 

[Onkel Tom]

Klasse, ich danke dir.
Die Webstation hatte ich auch gar nicht aktiviert

G E N I A L das mit dem Hochhaus. Daaaanke.

 

[Frogman]

Das ist die Umleitung von 80 auf 443

Nein, das was Du dort zeigst, ist lediglich die Aktivierung von HTTPS, genau das steht dort ja auch!
Die Aktivierung von HSTS zwingt dann den Browser, die HTTPS-Verbindung zu nutzen. Man kann sich das natürlich auch selbst mit einer .htaccess im Webroot bewerkstelligen:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>

 

[heavy]

OK Frogman da hast du recht da war ich mal wieder nicht gründlich genug, es sind natürlich beide Haken. Ich habe es über eine kleine php datei gelößt, da ich auch noch einige Seiten habe die nicht über https laufen (sollen) und dann nicht mehr gehen würden, wenn der Browser es über diesen Zwang (des zweiten Hakens) machen würde. Ohne den ersten Haken würde es aber überhaupt nicht gehen.

Die webstation brauchst du auch nur wenn du eine Website hosten willst.

 

[Frogman]

... Ohne den ersten Haken würde es aber überhaupt nicht gehen..

Warum sollte es auch - mit dem Haken aktivierst Du ja erst https für den User-Webserver.

Die webstation brauchst du auch nur wenn du eine Website hosten willst.

Was ja bei den meisten gegeben ist, die die Photostation nutzen und daraus bspw. auch Links veröffentlichen wollen - so wie auch Onkel Tom

 

[Onkel Tom]

Hmm, was heißt das für mich?
Das kommt jetzt wenn ich auf meinen DDNS Namen klicke und da drunter meine Einstellung in der DS.
Ich hatte zuerst die Web Station auch aktiviert und dann wieder deaktiviert weil ich dachte das ihr das so meint oder habe ich das falsch verstanden...

 

[Frogman]

Wie ich gerade schrieb - die Webstation musst Du natürlich auch aktivieren, wenn Du die Photo Station nutzt. Lass Dich bitte nicht verwirren.

 

[heavy]

Warum für die Photo station alleine braucht er sie nicht. Nur für unsere port umbiegereien per .htaccess oder php script.

 

[Onkel Tom]

OK, habs wieder aktiviert

 

[Onkel Tom]

Dann haben wir den Übeltäter. Kabel Deutschland vergibt standardmäßig kein echtes Dual Stack, d. h. du hast einen ds light Anschluss ohne vollwertige IPv4 Adresse und bist somit auch nicht von ausserhalb mit einem IPv4 Anschluss erreichbar!
.

Habe grad nochmal bei KD angerufen. Die hatten es nicht hinbekommen und nun versuchen sie es nochmal.
Im Router kann ich beobachten das irgendwas passiert. Na mal sehen was das wird.
Ab dem 11.04.2016 bin ich bei meinem Stromanbieter EWE, werde da morgen mal anrufen ob das dort auch funktioniert.

 

[Frogman]

Warum für die Photo station alleine braucht er sie nicht. Nur für unsere port umbiegereien per .htaccess oder php script.

Da die Photo Station auf dem User-Apache läuft, muss er dafür den Webserver auch aktivieren.

 

[Onkel Tom]

In der Photostation habe ich grad dies gefunden.
Ich denke mal das Automatisch HTTP-Verbindungen zu HTTPS umleiten sollte ich aktivieren, oder?

 

[c0smo]

Ja das ist besser. So wird dir und den Usern immer eine sichere Verbindung gewährleistet. Und dann muss natürlich der Port 443 offen sein und in der FritzBox, für den externen Zugang, weitergeleitet werden.

 

[Onkel Tom]

Habs aktiviert. Nun kommt aber diese Zertifikatsanfrage. Ich habe das Zertifikat exportiert bekomme es nur noch nicht hochgeladen zu Firefox...