Toggle sidebar

Möglichst sicherer Zugriff auf NAS ohne VPN

NSFH schrieb:
KEINE Freigabe und Weiterleitung von 5001 im Router!
Zum Vergrößern anklicken....
Hab ich verstanden und auch nicht gemacht. Habe nur im Reverse Proxy versucht, genau wie von Dir beschrieben zu verfahren. Nur genau dann komme ich von außen nicht rein. Erst, wenn ich in der Syno FW auch 5001 für den Zugriff von außen freigebe.
 
In der Syno musst du den 5001 für Zugriff von Aussen freigeben (kommt ja über den RP und der lauscht nach draussen), nicht aber auf dem Router!
Zum 6690 hatte ich dir auch geschrieben, dass sich dieser nicht auf den RP umleiten lässt. Daher muss er im Router zur Synology weitergeleitet werden und in der Firewall von Aussen offen.
In der Firewall empfehle ich dann noch Geoblocking, in dem du D erlaubst aber alle anderen Länder blockst.
 
  • Like
Reaktionen: realklaus

Schau mal hier ein Bespiel für einen Immich Docker Container, es wird über die Subdomain gelöst, Punkt 4 ist erstmal uninteressant, da geht es speziell um Docker Container:
https://kiste.meier.synology.me -->> wird im Proxy aufgelöst: https://ipdeinerkiste:50001


Damit Synology DDNS, einen Reverse Proxy und eine Fritzbox für den Immich-Container korrekt zusammenspielen, musst du folgende Schritte durchgehen:

1. DynDNS auf der Synology einrichten

  1. Gehe in DSM auf → SystemsteuerungExterner ZugriffDDNS.
  2. Wähle einen Anbieter (z. B. Synology.me oder No-IP).
  3. Trage deine Domain ein (z. B. meinserver.synology.me).
  4. Teste die Verbindung.

2. Portfreigabe in der Fritzbox

  1. Fritzbox Webinterface öffnen (fritz.box).
  2. InternetFreigabenPortfreigaben.
  3. Neue Freigabe erstellen:
    • An Gerät: Die Synology-NAS wählen.
    • Protokoll: TCP
    • Ports: Falls du Immich über https erreichen willst, dann 443 → 443.
    • Falls du einen alternativen Port nutzen willst, z. B. 8443 → 443, passe das entsprechend an.
  4. Speichern und aktivieren.
💡 Hinweis: Falls dein Internetanschluss über DS-Lite läuft (IPv6 only), kann DynDNS nicht direkt genutzt werden. Du brauchst dann einen Anbieter wie Feste-IP.net oder eine VPN-Lösung.

3. Reverse Proxy in Synology DSM einrichten

  1. SystemsteuerungAnwendungsportalReverse Proxy.
  2. Neuen Eintrag hinzufügen:
    • Hostname: meinserver.synology.me
    • Quell-Port: 443
    • Ziel-IP: IP des Immich Containers (z. B. 192.168.1.100)
    • Ziel-Port: Immich-Port (Standard ist 3001)
    • HSTS aktivieren (für mehr Sicherheit)
  3. Zertifikat hinterlegen(unter "Sicherheit" in DSM):
    • Falls du ein Let's Encrypt Zertifikat nutzen willst, kannst du es hier beantragen und zuweisen.

4. Immich im Docker richtig konfigurieren

Falls Immich in Docker (z. B. über Synology) läuft, stelle sicher, dass:

  • Immich mit einer fixen internen IP läuft.
  • Der Port-Expose richtig gesetzt ist: Falls Immich intern auf 3001 läuft, muss der Reverse Proxy auch dorthin weiterleiten.
  • Falls nötig: Passe die .env von Immich an, um IMMICH_SERVER_URL=https://meinserver.synology.me zu setzen.

5. Testen

  • Rufe in einem Browser https://meinserver.synology.me auf.
  • Prüfe, ob die Weiterleitung auf Immich funktioniert.
  • Falls nicht, checke:
    • Portweiterleitung in der Fritzbox.
    • Reverse Proxy Einstellungen in DSM.
    • Ob der Immich-Container richtig läuft (docker logs oder in der DSM-Oberfläche prüfen).
Das sollte Immich über deine Domain von überall erreichbar machen. Falls du spezielle Anforderungen hast (z. B. Zugriff nur aus dem eigenen Netzwerk oder mit VPN), kannst du das noch weiter absichern. 🚀
 

Anhänge

  • 1741176605307.png
    1741176605307.png
    182,9 KB · Aufrufe: 5
  • 1741176633576.png
    1741176633576.png
    98,6 KB · Aufrufe: 4
  • 1741176700087.png
    1741176700087.png
    173,1 KB · Aufrufe: 5
  • 1741177080999.png
    1741177080999.png
    99,8 KB · Aufrufe: 5
Zuletzt bearbeitet:
  • Like
Reaktionen: dil88
NSFH schrieb:
In der Syno musst du den 5001 für Zugriff von Aussen freigeben
Zum Vergrößern anklicken....
Hierzu noch eine Frage: Kann ich 5001 und 6690 in der Syno FW für alle Länder freigeben, oder ist es besser hier auch nur auf IPs aus Deutschland zu reduzieren (Geoblocking kommt in jedem Fall als letzte Regel für alles was nicht D ist)?
 
ctrlaltdelete schrieb:
  1. SystemsteuerungAnwendungsportalReverse Proxy.
  2. Neuen Eintrag hinzufügen:
    • Hostname: meinserver.synology.me
    • Quell-Port: 443
    • Ziel-IP: IP des Immich Containers (z. B. 192.168.1.100)
    • Ziel-Port: Immich-Port (Standard ist 3001)
    • HSTS aktivieren (für mehr Sicherheit)
Zum Vergrößern anklicken....
Danke für die Anleitung. DDNS hab ich eingerichtet, Zertifikat auch, das läuft auch alles (calDav, bspw. als reverse Regel formuliert). Zu der RP Einrichtung (siehe Zitat) habe ich aber noch eine Frage:
Hostname: ich dachte da kommt die Sub-Domain rein? Also bspw. drive.meinserver.synology.me ?
Ziel-IP wäre dann die feste IP der Syno, richtig?
Ziel-Port wäre dann der Port, der lt. Syno-Liste für den Dienst relevant ist?
Weil lt. dieser Liste Drive 5001 braucht und Drive Server 6690.

Ich habe jetzt den RP für drive.meinserver.synology.me auf 5001 gelegt.
6690 wird am Router an 6690 auf der Syno weitergegeben und ist auf der Syno FW auch offen.
Über das Anmeldeportal "Anwendungen" habe ich jetzt nichts weiter für drive.meinserver.synology.me eingegeben (Hier war 10003 als Port vorgegeben, das habe ich nicht ganz verstanden. Darüber hinaus ist es sicher auch nicht sinnvoll eine Sub-Domain an zwei Ports weiterzuleiten --> Anmeldeportal unter Anwendung an 10003 und unter Erweitert als RP Regel an 5001, oder?)

Danke und Grüße, alex
 
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten