Möglichst sicherer Zugriff auf NAS ohne VPN

[JohneDoe]

Also muss ich auf dem Router auch 6690 an 6690 in der Syno weiterleiten?

Ja sonst landest du ja nie auf der DS mit dem Port...

 

[realklaus]

KEINE Freigabe und Weiterleitung von 5001 im Router!

Hab ich verstanden und auch nicht gemacht. Habe nur im Reverse Proxy versucht, genau wie von Dir beschrieben zu verfahren. Nur genau dann komme ich von außen nicht rein. Erst, wenn ich in der Syno FW auch 5001 für den Zugriff von außen freigebe.

 

[realklaus]

Ja sonst landest du ja nie auf der DS mit dem Port...

Hier dachte ich allerdings, dass ich im Forum gelesen habe, dass sich das nur auf die Desktopversion von Drive bezieht und die mobilen Apps sich via reverse verbiegen lassen? Aber ja, jetzt funktionierts.

 

[JohneDoe]

Der Sync läuft über 6690. Der Server lauscht nunmal auf den Port.

 

[NSFH]

In der Syno musst du den 5001 für Zugriff von Aussen freigeben (kommt ja über den RP und der lauscht nach draussen), nicht aber auf dem Router!
Zum 6690 hatte ich dir auch geschrieben, dass sich dieser nicht auf den RP umleiten lässt. Daher muss er im Router zur Synology weitergeleitet werden und in der Firewall von Aussen offen.
In der Firewall empfehle ich dann noch Geoblocking, in dem du D erlaubst aber alle anderen Länder blockst.

 

[ctrlaltdelete]

​

Schau mal hier ein Bespiel für einen Immich Docker Container, es wird über die Subdomain gelöst, Punkt 4 ist erstmal uninteressant, da geht es speziell um Docker Container:
https://kiste.meier.synology.me -->> wird im Proxy aufgelöst: https://ipdeinerkiste:50001


Damit Synology DDNS, einen Reverse Proxy und eine Fritzbox für den Immich-Container korrekt zusammenspielen, musst du folgende Schritte durchgehen:

---

1. DynDNS auf der Synology einrichten​

1. Gehe in DSM auf → Systemsteuerung → Externer Zugriff → DDNS.
2. Wähle einen Anbieter (z. B. Synology.me oder No-IP).
3. Trage deine Domain ein (z. B. meinserver.synology.me).
4. Teste die Verbindung.

---

2. Portfreigabe in der Fritzbox​

1. Fritzbox Webinterface öffnen (fritz.box).
2. Internet → Freigaben → Portfreigaben.
3. Neue Freigabe erstellen:
   • An Gerät: Die Synology-NAS wählen.
   • Protokoll: TCP
   • Ports: Falls du Immich über https erreichen willst, dann 443 → 443.
   • Falls du einen alternativen Port nutzen willst, z. B. 8443 → 443, passe das entsprechend an.
4. Speichern und aktivieren.

Hinweis: Falls dein Internetanschluss über DS-Lite läuft (IPv6 only), kann DynDNS nicht direkt genutzt werden. Du brauchst dann einen Anbieter wie Feste-IP.net oder eine VPN-Lösung.

---

3. Reverse Proxy in Synology DSM einrichten​

1. Systemsteuerung → Anwendungsportal → Reverse Proxy.
2. Neuen Eintrag hinzufügen:
   • Hostname: meinserver.synology.me
   • Quell-Port: 443
   • Ziel-IP: IP des Immich Containers (z. B. 192.168.1.100)
   • Ziel-Port: Immich-Port (Standard ist 3001)
   • HSTS aktivieren (für mehr Sicherheit)
3. Zertifikat hinterlegen(unter "Sicherheit" in DSM):
   • Falls du ein Let's Encrypt Zertifikat nutzen willst, kannst du es hier beantragen und zuweisen.

---

4. Immich im Docker richtig konfigurieren​

Falls Immich in Docker (z. B. über Synology) läuft, stelle sicher, dass:

• Immich mit einer fixen internen IP läuft.
• Der Port-Expose richtig gesetzt ist: Falls Immich intern auf 3001 läuft, muss der Reverse Proxy auch dorthin weiterleiten.
• Falls nötig: Passe die .env von Immich an, um IMMICH_SERVER_URL=https://meinserver.synology.me zu setzen.

---

5. Testen​

• Rufe in einem Browser https://meinserver.synology.me auf.
• Prüfe, ob die Weiterleitung auf Immich funktioniert.
• Falls nicht, checke:
  • Portweiterleitung in der Fritzbox.
  • Reverse Proxy Einstellungen in DSM.
  • Ob der Immich-Container richtig läuft (docker logs oder in der DSM-Oberfläche prüfen).

---

Das sollte Immich über deine Domain von überall erreichbar machen. Falls du spezielle Anforderungen hast (z. B. Zugriff nur aus dem eigenen Netzwerk oder mit VPN), kannst du das noch weiter absichern.

 

[realklaus]

In der Syno musst du den 5001 für Zugriff von Aussen freigeben

Hierzu noch eine Frage: Kann ich 5001 und 6690 in der Syno FW für alle Länder freigeben, oder ist es besser hier auch nur auf IPs aus Deutschland zu reduzieren (Geoblocking kommt in jedem Fall als letzte Regel für alles was nicht D ist)?

 

[realklaus]

1. Systemsteuerung → Anwendungsportal → Reverse Proxy.
2. Neuen Eintrag hinzufügen:
   • Hostname: meinserver.synology.me
   • Quell-Port: 443
   • Ziel-IP: IP des Immich Containers (z. B. 192.168.1.100)
   • Ziel-Port: Immich-Port (Standard ist 3001)
   • HSTS aktivieren (für mehr Sicherheit)

Danke für die Anleitung. DDNS hab ich eingerichtet, Zertifikat auch, das läuft auch alles (calDav, bspw. als reverse Regel formuliert). Zu der RP Einrichtung (siehe Zitat) habe ich aber noch eine Frage:
Hostname: ich dachte da kommt die Sub-Domain rein? Also bspw. drive.meinserver.synology.me ?
Ziel-IP wäre dann die feste IP der Syno, richtig?
Ziel-Port wäre dann der Port, der lt. Syno-Liste für den Dienst relevant ist?
Weil lt. dieser Liste Drive 5001 braucht und Drive Server 6690.

Ich habe jetzt den RP für drive.meinserver.synology.me auf 5001 gelegt.
6690 wird am Router an 6690 auf der Syno weitergegeben und ist auf der Syno FW auch offen.
Über das Anmeldeportal "Anwendungen" habe ich jetzt nichts weiter für drive.meinserver.synology.me eingegeben (Hier war 10003 als Port vorgegeben, das habe ich nicht ganz verstanden. Darüber hinaus ist es sicher auch nicht sinnvoll eine Sub-Domain an zwei Ports weiterzuleiten --> Anmeldeportal unter Anwendung an 10003 und unter Erweitert als RP Regel an 5001, oder?)

Danke und Grüße, alex

 

[JohneDoe]

Kann ich 5001 und 6690 in der Syno FW für alle Länder freigeben, oder ist es besser hier auch nur auf IPs aus Deutschland zu reduzieren (Geoblocking kommt in jedem Fall als letzte Regel für alles was nicht D ist)?

Wenn du 5001 im Router doch gar nicht freigegeben hast, wie sollen denn Anfragen von extern rein kommen? Das ist doch dann gar nicht mehr möglich und damit müsste sich die Frage ja selber beantwortet haben.
Du kannst doch die Ports und die URL von Drive direkt in DSM ändern. Dann läuft das nicht mehr über 5001. Siehe https://kb.synology.com/de-de/DSM/tutorial/How_to_set_up_connection_to_Drive

Über das Anmeldeportal "Anwendungen" habe ich jetzt nichts weiter für drive.meinserver.synology.me eingegeben

Dann brauchst du auch keinen Reverse Proxy Eintrag dafür.

(Hier war 10003 als Port vorgegeben, das habe ich nicht ganz verstanden.

Siehe Link oben

Wie @NSFH geschrieben hat solltest du NIEMALS 5001 im Router freigeben. Das ist auch niemals nötig.

 

[NSFH]

Natürlich kommen Anfragen aus der ganzen Welt an de Syno an, über die beiden weitergeleiteten Ports.
Das würde ich definitiv begrenzen auf die Länder die erforderlich sind,, in der Regel reicht D.

Im internen LAN bin ich als Admin aber trotzdem weiterhin Schizophren. Auch hier blocke ich alles, was nicht Zugriff auf meinen Fileserver haben muss.
Ich habe da vor allem die Clients im Blick.
Nicht der Hack von Aussen übe die freigegebenen Ports der Syno führt bei dem Eindringling zum Erfolg sondern ein zB durch eine Schad-E-Mail kompromittierter PC im Netzwerk!
Warum soll also ein PC im LAN alles dürfen und dann evtl noch mit Adminrechten?

 

[realklaus]

Danke für die Rückmeldung. Ich habe es eigentlich so verstanden (siehe Post #40):
Im Router ist 443 offen und leitet auf 443 in der Syno weiter.
Der ReverseProxy auf der Syno verteilt je nach Subdomain auf die entsprechend hinterlegten Ports.
Die FW sitzt davor – Daher muss die FW für externe Zugriffe nur 443 durchlassen.

Dann bekomme ich ja aber eine Fehlermeldung (siehe #49). Wenn ich nun 5001 in der FW freigebe, erhalte ich die Meldung nicht mehr. @NSFH schreibt ja auch:

In der Syno musst du den 5001 für Zugriff von Aussen freigeben (kommt ja über den RP und der lauscht nach draussen)

Meine Frage war nun, ob das nur für DE IP's gilt oder grundsätzlich. Die Fehlermeldung aus #49 verschwindet, wenn ich 5001 in der Syno FW ohne Geoblocking freigebe.

Dann brauchst du auch keinen Reverse Proxy Eintrag dafür.

Anmeldeportal "Anwendungen" und die RP Einstellungen machen doch beide das gleiche? Es gibt nur für die Standardanwendungen die Option das mit einer schicken Oberfläche einzustellen. Wenn ich einen RP Eintrag für drive schreibe, brauch ich daher keine Anpassung mehr unter Anwendung (und umgedreht). Oder?

Drive funktioniert immer noch nicht. Versuche es jetzt noch mal exakt nach der Anleitung. Allerdings ist da auch nicht gelöst, welchen Port ich für die Drive-Subdomain jetzt nutzen soll (egal ob in Anwendungen oder direkt als RP Regel).

Der Vollständigkeit halber: 6690 für den Drive-Server ist im Router offen und wird an 6690 auf der Syno weitergeleitet. Die FW lässt 6690 auch durch (ohne Geoblocking).

Danke und Grüße, alex

 

[NSFH]

Nutzt du einen RP Eintrag für DSM?
Wenn ja trage im Driveclient mal diese Adresse als Ziel ein und teste es dann mal.

 

[JohneDoe]

Anmeldeportal "Anwendungen" und die RP Einstellungen machen doch beide das gleiche? Es gibt nur für die Standardanwendungen die Option das mit einer schicken Oberfläche einzustellen. Wenn ich einen RP Eintrag für drive schreibe, brauch ich daher keine Anpassung mehr unter Anwendung (und umgedreht). Oder?

Richtig

Allerdings ist da auch nicht gelöst, welchen Port ich für die Drive-Subdomain jetzt nutzen soll (egal ob in Anwendungen oder direkt als RP Regel).

Wenn du die Domain bei Anwendung reinschreibst, dann kommst du über 443 rein.
Wenn du den RP Eintrag selber im Reverse PRoxy erzeugst, dann musst du bei Anwendung einen eigenen Port vergeben und den RP Eintrag darauf verweisen.

 

[realklaus]

Ich habe jetzt mal viele unnötige Pakete aus dem DSM gelöscht. In irgendeinem Thema stand bspw. dass die Webstation für irgendwas notwendig ist. Ich weiß nicht mehr genau warum. Die habe ich deinstalliert. Jetzt geht es über drive.meinserver.synology.me besser, aber ich fliege trotzdem immer wieder raus. Der Verbindungsaufbau auf die subdomains dsm. und drive. ist auch über den browser unterirdisch langsam und kommt oft nicht zustande. cal. subdomain für caldav funktioniert hingegen schnell und problemlos. Keine Ahnung, ist alles gleich eingerichtet. Aber das ist nicht mehr eine Frage zu "Möglichst sicherer Zugriff auf NAS ohne VPN". Daher werde ich das bei gegebener Zeit noch mal in einem neuen Thema unterbringen.

 

[realklaus]

Nutzt du einen RP Eintrag für DSM?

Ja. Hab ich auch getestet, gleiches Phänomen.

 

[JohneDoe]

bspw. dass die Webstation für irgendwas notwendig ist. Ich weiß nicht mehr genau warum. Die habe ich deinstalliert.

Die ist dafür nötig, dass du von 443 nicht auf 5001 weitergeleitet wirst. Wenn du die Web Station deinstallierst, dann leitet er dich immer auf die DSM Ports weiter.

 

[stevenfreiburg]

Ich beschäftige mich gerade mit dem Thema und bin gestern genau darüber gestolpert. Danke für die Nachfrage – und natürlich auch für die Antwort!

 

[ctrlaltdelete]

DRIVE und ABFB gehen nicht über 443, das sind die einzigen Ports die zusätzlich zu 443 geöffnet werden müssen und falls benutzt 32400 für Plex

 

[JohneDoe]

benutzt 32400 für Plex

Aber Plex kann man in den Einstellungen doch ändern. Oder greift es beim Paket nicht?

Edit: Plex läuft bei mir nur über 443. Ich hab einen Reverse Proxy angelegt und lass das nur über die Domain laufen. Da muss ich kein 32400 freigeben.

 

[stevenfreiburg]

das sind die einzigen Ports....

Syncthing braucht also auch keine "Spezialbehandlung"?