mehrmals Port 80 und 443

[DonApple]

Also ob ich eine feste IP in meinen Router eingetragen.

Ob mein Provider mir eine gibt weis ich nicht.

Ich habe die ip als statische in der FRITZ!box eingetragen und bei der Syno

Und dieser Feste IP

IPV4
IPV6

Bei dem Domain Anbieter Hinterlegt.


Der Anbieter ist dieser hier: https://www.domainssaubillig.de/

Kennt den Jemand?


Wie mach ich das in der Empfehlung 1.

Subdomain mit Synology.me einrichten?

Wusste nicht das man das kann

Und Ja den Tipp von cOsmo werde ich auf jeden Fall befolgen

 

[DonApple]

Ich hab das mal so eingetragen passt das so?

 

[synfor]

du hast eine TLD

Eine TLD hat er mit Sicherheit nicht.

 

[DonApple]

Hallo synfor

Genau TLS habe ich nicht

Woher soll ich wissen was das ist?

 

[Mahoessen]

STOP... macht mal Pause.....mein Popcorn ist alle...

 

[c0smo]

STOP

Ich verschenke ein "P". Mein Kippunkt ist erreicht

 

[hblein]

Woher soll ich wissen was das ist?

Indem du auf den dir angebotenen Link klickst und ich damit erstmal lesend beschäftigst. Dadurch wirst du erfahren was eine TLD ist.

 

[DonApple]

CoSmo ist das so richtig?

Hier ein Screenshot

 

[Mahoessen]

Ich verschenke ein "P".

@c0smo : ich bin noch pre-Rechschreibereform , damals war mehr Lametta und nur ein P

 

[c0smo]

CoSmo ist das so richtig?

Funktioniert es? Es sind ja mehrere Punkte die stimmen müssen, nicht nur 2 Nummern im Reverse Proxy.

 

[Ronny1978]

Eine TLD hat er mit Sicherheit nicht.

Warum nicht? Im Post #21 spricht er eindeutig von einem Domainanbieter.

@DonApple : Bitte sei mir nicht böse, aber breche das Projekt hier bitte ab und recherchiere gründlich und lerne dazu. Schau dir Videos von Navigio oder anderen zur Funktionsweise des Reverse Proxy an. Informiere dich zu:

- SSL Zertifikaten
- Portweiterleitung von 80 und 443 auf die Synology
- das Sicherungs- und Sicherheitskonzept hier im Forum (ich finde den Beitrag von @*kw* nicht sofort

Wenn ich deine Einstellungen im Post #28 sehe oder was du in Post #24 schreibst, wird mir etwas Angst. Und sorry, aber bei dem was du schreibst, fehlen dir leider ganz, ganz viele Grundlagen, um deine Synology nach außen zu öffnen, ohne das dein nächster Beitrag mit "Hilfe, ...." beginnt. Du hast ja auch die Wirkungsweise eines Reverse Proxy noch nicht richtig verstanden. Niemand kennt deine Einstellungen bei der Firewall (wenn aktiv), niemand kennt deine Einstellungen der 2FA (und wenn du hier auch fragst, was das ist, dann bitte sofort aufhören, dein NAS ins Internet zu stellen!!!).

Mache dein NAS erst sicher, dann erst von außen erreichbar. Wir können dich hier nicht in allem auf einmal durchleiten, wenn ich mir die Lücken anschaue. Und wie gesagt: Das ist nicht böse gemeint. Ich drücke es mal auf meine Art aus:

Mein Sohn 15, fährt super in Forza Horizont. Dennoch gehe ich nicht zum Porsche Händler um die Ecke und organisiere eine Probefahrt für ihn . Verstanden, was ich sagen will? Ohne Kenntnisse ist das Risiko eines Schadens zu groß. Wie bei dir...

P.S. Ein Reverse Proxy ist dafür da, NUR über 443 ggf. noch 80 zu kommen und dann intern weitergeleitet zu werden, ob die Verbindung eine Verschlüsselung zulässt oder nicht. Heißt:

Jellyfin geht im Normalfall nur über http. Niemand möchte zulassen per http von außen irgendeine Verbindung zu Port 8096 zuzulassen. Daher kommt man über https://subdomain.topleveldomain.de (als https://jellyfin.irgendwas.de -> OHNE Port und per SSL 443) und wird intern auf http://192.168.123.321:8096 umgeleitet. So öffnet man keine zusätzlichen Ports für alle möglichen Anwendungen und es läuft alles per SSL (https). Ich weiß, dass das viel Input ist, aber ohne Recherche und ohne ein klein wenig Engagement deinerseits wird das nix oder endet im Chaos und in totalen Sicherheitslücken.

 

[DonApple]

wie ihr meint dann lösche ich alle Ports und Proxy Server und greife nur noch per quick Connect auf das Nas zu.

 

[c0smo]

Ein paar Fehler finde ich jetzt aber auch in deiner Ausführung, obgleich ich deinem Grundgedanken zustimme. Erst die Kiste sichern, dann nach aussen freimachen.

Ein Reverse Proxy ist dafür da, NUR über 443 ggf. noch 80 zu kommen und dann intern weitergeleitet zu werden

Wieso? Ich komme von einem 5-stelligen Port und werde auf einen weiteren 5-stelligen umgeleitet. Sein Bild ist nicht so verkehrt.

https://subdomain.topleveldomain.de

Subdomain.Domain.TLD

wie ihr meint dann lösche ich alle Ports und Proxy Server und greife nur noch per quick Connect auf das Nas zu.

Ist für den Anfang mit Sicherheit nicht verkehrt und einfach(er) in der Konfiguration.
Wenn dann noch die Firewall richtig konfiguriert ist, hast du schon mehr geschafft als viele andere.

Darauf kannst du aufbauen. Und nur weil hier die Profis etwas vorschlagen, heißt das nicht, dass es für jeden sinnvoll ist.

 

[synfor]

https://subdomain.topleveldomain.de

Dein Beispiel ist falsch. Richtig: <SubDomain>.<Domain>.<TopLevelDomain>

 

[synfor]

Wieso? Ich komme von einem 5-stelligen Port und werde auf einen weiteren 5-stelligen umgeleitet. Sein Bild ist nicht so verkehrt.

Das ist insofern verkehrt, dass er den Standard-DSM-Port extern verwendet und auf den 5-stelligen intern benutzten weiterleitet. Das ist so alles andere als sinnvoll. Da hätte man sich den Port-Wechsel intern auch gleich sparen können.

 

[DonApple]

Ich habe auch die 2fa Aktiv das alle User mit Code sich anmelden müssen

Aber Naja was soll’s

Man könnte ja auch per PM den Leuten bei ihren Fragen Helfen dann hat man eine Person die man bei seiner Frage Unterstützt

Und nicht so viele die alle unterschiedlicher Meinung sind

Da wird man ja verrückt

 

[c0smo]

Das ist insofern verkehrt, dass er den Standard-DSM-Port extern verwendet und auf den 5-stelligen intern benutzten weiterleitet. Das ist so alles andere als sinnvoll. Da hätte man sich den Port-Wechsel intern auch gleich sparen können.

Ich hatte deshalb geschrieben '...ist nicht so verkehrt". Ausserdem habe ich mich auf diesen Satz bezogen.

Ein Reverse Proxy ist dafür da, NUR über 443 ggf. noch 80 zu kommen

 

[Ronny1978]

@c0smo und @synfor : Ich bitte um Entschuldigung. Bei der TLD habt ihr natürlich recht, sorry.

@c0smo bei dem Reverse Proxy bin ich anderer Meinung. Wenn ich einen Reverse Proxy nutze dann nur mit 443, ansonsten "durchlöschere" ich die Firewall des Router genauso, wie ohne Reverse Proxy. Da kann ich mit den Weg über den Reverse Proxy auch sparen, weil ich sonst auch, mit einer bzw. mehreren Portfreigaben zum Ziel der Musicstation/Videostation/Photos usw. komme. Ich bin ein Fan davon nur 443 weiterzuleiten und dann aufzuteilen. Aber wie gesagt: Das ist nur meine Meinung!

@DonApple : Für den Anfang ist Quickconnect erstmal einfach. Gut ist ja schon einmal, dass du die 2FA für alle Nutzer aktiv hast. Lese dich in den Reverse Proxy erst einmal ein und stelle dann ggf. Fragen. Das Leute in Foren hier und da auch einmal unterschiedliche Ansätze verfolgen, lässt sich weder ausschließen noch verhindern. Siehe @c0smo und mich:

@c0smo verfolgt beim Reverse Proxy dennoch die Ansätze der Portweiterleitung von speziellen Ports für jede Anwendung, ich dagegen eher die Weiterleitung von außen von nur mit einem einzigen Port, 443, was der Standard https Port ist. So erspart man sich außerdem ständig den Port bei der Website eingeben zu müssen. Ich kann somit einfach https://jellyfin.meinedomain.topleveldomain eingeben und werde intern nach http://192.168.123.321:8096 weitergeleitet und muss mich nicht mit https://jellyfin.meinedomain.toplebeldomain:41256 "quälen". Ist der Ansatz von @c0smo deshalb falsch? Nein ist er nicht, nur anders. Außerdem nutzt man dann von außen das SSL Zertifikat, wenn ja nicht jede Anwendung innen auch hat (wie zum Beispiel Jellyfin, Adguard, Unifi usw.).

Bleibe am Thema dran. Nutze das Lets Encrypt Zertifikat, was dir Synology bietet und nutze auch den DynDNS Dienst, den dir Synology kostenfrei bietet. Dann hast du die Möglichkeit mit der Adresse

meinNAS.synology.me auch ein Lets Encrypt Zertifikat zu bekommen, was auch

music.meinNAS.synology.me
video.meinNAS.synology.me
photo.meinNAS.synology.me

abdeckt und auch der Erreichbarkeit von außen ermöglicht. Ist es einfach - nein. Ich habe bei meiner OpnSense und dem HAProxy (welchen ich dort als Reverse Proxy nutze) auch viel, viel googlen müssen. Es ging auch nicht von Anfang an. Ich hatte hier und da auch Fehler drin, deren Lösung ich mir auch erst mühsam erarbeiten musste, weil ich es noch nicht komplett verstanden hatte. Es gibt einen wunderschönen alten Spruch, der aber nach wie vor noch gilt:

"Ohne Fließ kein Preis."

Viel Erfolg für deine / eure Vorhaben für 2025.

Ronny

 

[DonApple]

Hallo Ronny

ich habe das jetzt erst mal so gelöst Alle Ports! Sind vom Router gelöscht es gibt somit gesehen keinen Zugriff mehr auf mein Nas von außen

Außer über die Domain

Aber da

Ist IPV4 und IPV6 hinterlegt

Ansonsten das 2FA ist aktiv

So sollte es doch auch gehen oder?

 

[Ronny1978]

Hast du schon eine Synology Domain xxxx.synology.me? Ich glaube ja, oder?
Hast du schon das Lets Encrypt Zertifikat für diese Domain eingereicht?
Läuft der DynDNS Dienst von Synology bei dir schon?