Nextcloud auf DS918+

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.357
Punkte für Reaktionen
481
Punkte
189
Zuletzt bearbeitet:

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
853
Punkte
154
Nein das ist eine Variable die automatisch aufgelöst wird.
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.357
Punkte für Reaktionen
481
Punkte
189
Stimmt, wenn die definiert ist. Ich habe die Definition entsprechend getestet, mit demselben Ergebnis. Wahrscheinlich ist das ein individuelles Problem.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
853
Punkte
154
Die muss nicht definiert werden. Das ist die Domain immer.
Aber ich gebe dir recht. Das ist irgendwas komisch bei dir konfiguriert
 

stephanstricker

Benutzer
Mitglied seit
05. Dez 2012
Beiträge
44
Punkte für Reaktionen
6
Punkte
8
Ich habe OnlyOffice nach dieser Anleitung eingerichtet

https://mariushosting.com/how-to-install-onlyoffice-on-your-synology-nas/

und das funktioniert soweit auch. Allerdings ist nicht nur meine Nextcloud Adresse über das Internet erreichbar sondern auch onlyoffice.yourname.synology.me. Ist das nicht ein Sicherheitsrisiko und kann man das irgendwie ändern, ohne das die Verbindung zu Nextcloud gestört wird?

SG

Stephan
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.172
Punkte für Reaktionen
1.137
Punkte
194
Kommt ja drauf an was du an Ports freigegeben hast
 

Crashandy

Benutzer
Mitglied seit
14. Mai 2014
Beiträge
293
Punkte für Reaktionen
100
Punkte
43
Ist das nicht ein Sicherheitsrisiko
Wenn Du zu Deiner öffentlichen URL auch noch Deinen Secret-Key mit veröffentlichst, dann ist es ein genauso großes Sicherheitsrisiko wie Deine öffentlich erreichbare Nextcloud mit veröffentlichten Zugangsdaten. ;)

ONLYOFFICE wird ohne eine Port-Freigabe nur über den Port 443 von Außen angesprochen und den Rest macht dann Reverse-Proxy.
 
  • Like
Reaktionen: Benie

stephanstricker

Benutzer
Mitglied seit
05. Dez 2012
Beiträge
44
Punkte für Reaktionen
6
Punkte
8
Mir ist das doch irgendwie zu heiß und eigentlich möchte ich nur OnlyOffice lokal über den Browser verwenden. Anscheinend geht das mit der community edition aber dazu muss man 3 docker container installieren, document server, mail server und community edition. Hat das schonmal jemand versucht?
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.172
Punkte für Reaktionen
1.137
Punkte
194
Kannst du doch auch .

Solange du im Router keine Ports öffnest ist es ja nur lokal
 

stephanstricker

Benutzer
Mitglied seit
05. Dez 2012
Beiträge
44
Punkte für Reaktionen
6
Punkte
8
Kannst du doch auch .

Solange du im Router keine Ports öffnest ist es ja nur lokal
mmhh, ich habe mal versucht die Portweiterleitung zu ändern sodaß der Default Port von außen nicht 443 ist sonder 15443 und habe den dann auf 433 weitergeleitet. Habe dann entsprechend versucht NV mit nextcloud.yourname.synology.me:15433 aufzurufen aber das geht wohl nicht so einfach...
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.172
Punkte für Reaktionen
1.137
Punkte
194
Ich dachte du willst nur lokal?
 

stephanstricker

Benutzer
Mitglied seit
05. Dez 2012
Beiträge
44
Punkte für Reaktionen
6
Punkte
8
Bin noch unentschlossen :) wenn ich es ordentlich absichern kann, würde NC auch mit externem Zugriff testen. Mit dem Standardweg und Weiterleitung von Port 80 und 443 habe ich festgestellt, dass die Anzahl der Angriffe auf meinen Router durch Bots schnell ansteigen. Ich habe nun die Env Einträge und die config.php entsprechend geändert und damit konnte ich den externen Port von 433 auf xx443 ändern

- NEXTCLOUD_TRUSTED_DOMAINS=nextcloud.yourname.synology.me:xx443 192.168.1.18
- TRUSTED_PROXIES=nextcloud.yourname.synology.me:xx443 192.168.1.18
- OVERWRITEHOST=nextcloud.yourname.synology.me:xx443
 
Zuletzt bearbeitet:

Crashandy

Benutzer
Mitglied seit
14. Mai 2014
Beiträge
293
Punkte für Reaktionen
100
Punkte
43
Im Moment weiß ich gar nicht mehr was Du da veranstaltest.

Grundsätzlich sollte man die Ports 5000 und 5001 überhaupt nicht verwenden und schon gar nicht in der FRITZ!Box freigeben. Ich habe bei mir diese Ports erst einmal in 5### geändert und benötige diese eigentlich nur temporär für die Erstverbindung mit Hyper Backup von einem entfernten NAS, danach sind sie wieder zu.

In der FRITZ!Box wird nur der Port 443 zum NAS freigegeben und in der Firewall mit IP-Geoblocking das Meiste gesperrt. Den Port 80 muss ich manchmal öffnen, um das Zertifikat von Let's Encrypt zu erneuern, manchmal funktioniert es aber auch ohne den Port 80.

Hast Du Deine Nextcloud im Docker installiert oder nativ?

War eine blöde Frage, natürlich im Docker. ;)
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Tuxnet

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.357
Punkte für Reaktionen
481
Punkte
189
Für die APPs, für die Du die Ports änderst, musst Du im Reverse-Proxy eine Umleitung einrichten, sofern Du einen DNS eingerichtet hast.

Ich seh das mit dem Blocking genauso, ausserdem hast Du zumindest für die DS noch die Schutzfunktion bei mehrmaligen Anmeldeversuchen. Ich habe da 2 bei Wiederholungen und bei Innerhalb eine hohe Stundenzahl. Bei Nextcloud hast Du ausserdem noch die Möglichkeit, 2FA einzurichten.

Bei solchen Installationen, wie Nextcloud oder Owncloud habe ich das früher immer nativ gemacht, aber ich habe es da oft nicht hinbekommen, bei den Sicherheitsprüfungen den grünen Pfeil

1713417751100.png

zu erreichen, da auf einer DS einige Dienste laufen, die Abhängigkeiten verursachen und man dann u.a. in der Webstation versuchen muss, das hinzubiegen. Wenn man das geschafft hat, kann es bei Updates allerdings sein, dass der Tanz von vorne losgeht. Nun, es läuft oft genug auch ohne diesen.

Ich würde daher entweder auf eine Dockerinstallation gehen oder noch besser auf eine VM im VMM. Mit einer VM hast Du ein in sich geschlossenes und abgestimmtes Device und dann hast Du den ganzen anderen Kram mit Ports auf der DS und Parametrierung für den Container nicht.
 
Zuletzt bearbeitet:

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.172
Punkte für Reaktionen
1.137
Punkte
194
Wie Andy schon sagt,

Wenn du Nextcoud nach außen freigibst .Dann Idealerweise in ner VM und getrennt vom restlichen Netz.
Wichtig ist auch immer das System aktuell zu halten.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
mmhh, ich habe mal versucht die Portweiterleitung zu ändern sodaß der Default Port von außen nicht 443 ist sonder 15443 und habe den dann auf 433 weitergeleitet. Habe dann entsprechend versucht NV mit nextcloud.yourname.synology.me:15433 aufzurufen aber das geht wohl nicht so einfach...
Das geht deshalb nicht, weil Du blablabla.synology.me als Service benutzt. Da greifen die eigenen Portweiterleitungen nicht, da praktisch nichts bei der Fritzbox ankommt bzw. alles durch die Fritzbox hindurchgeschleust wird, da das NAS quasi nen Synology Tunnel durch die Fritzbox gegraben hat...
Deine Variante würde nur funktionieren, wenn Du selbst einen DNS Service hättest, der Deinen Anschluss dann als solchen betrachtet und an der Fritzbox ankommt mit der Frage "ich möchte auf Port 15443 zum NAS" usw....

Allerdings -und ja ich weiche hier jetzt mal von den ernstzunehmenden Beiträgen der anderen ab- würde ich bei den Ports 80 und 443 keine großen Portweiter- und Umleitungen veranstalten. Diese beiden Ports sind die Ports für das weltweit bekannte http(s) Protokoll, welche eigentlich nicht weiter geschützt werden müssten, da die Anwendungen, welche die beiden Protokolle benutzen selbst Schutzmaßnahmen veranstalten...
Ich selbst habe schon jahrelang diese beiden Ports nach außen hin offen und stelle allerdings über die Firewall des NAS sicher, dass eben nur das http/s Protokoll auf diesen Ports verkehrt. Das gleiche mache ich auch mit dem FTP Port 21.

So gesehen also würde ein Angreifer sehen, dass an meinem Anschluss die Ports 21, 80 und 443 offen "erscheinen", was aber in 2. Linie für ihn nur heisst, dass dort ein FTP und ein Webserver angeschaltet sind.

Ich würde (an Deiner Stelle) erstmal "leicht" anfangen und schauen, ob der Webserver schon über die Ports 80 und 443 zu erreichen ist. Dazu quasi dann diese beiden Ports in der Fritzbox/Router auf das NAS durchleiten und natürlich dann noch 2 Firewallregeln im NAS einstellen, dass diese beiden Ports/dieser eine Service von außen erlaubt wird (vorsicht hier: Denk dran, dass die anderen Ports für die Einstellungen des NAS [5000/5001] auch zugelassen bleiben - wenn auch nur in den Firewallregeln, damit Du Dich nicht selbst ausschließt)

Willst Du allerdings diese "DSM" Ports (5000/5001) ebenfalls nach außen hin öffnen, um im Thailand-Urlaub auch auf das NAS zu kommen (einige werden hier jetzt von sehr hohem Risiko sprechen und schreiben), dann wäre hier tatsächlich Deine Port-UM-Leitungs Variante möglich, diesem Du die Ports von außen (z,B. 65000/65001) auf innen 5000/5001 in der Fritzbox umbiegst.

Alles in allem würde ich hier aber auf ein selbst erstelltes DNS Werkzeug zurückgreifen und nicht auf z.B. den Synology(.me) Service. Ich kann Dir hier auch gern behilflich sein. Es gibt schon einige solcher Services, welche man dann auch über die Fritzbox konfigurieren kann und dann hat man sowas wie https://stephanstricker.dyndns.org (oder ähnliches) ....
Kostenlos sollte es halt sein!

 
Zuletzt bearbeitet:
  • Like
Reaktionen: Crashandy

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Das geht deshalb nicht, weil Du blablabla.synology.me als Service benutzt. Da greifen die eigenen Portweiterleitungen nicht,
Doch. Das ist ein DDNS. Du sprichst von QuickConnect. Da sieht die Adresse aber anders aus.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Das würde bedeuten, dass seine Anfragen auch an der Fritzbox ankommen. Bin mir da nicht 100% sicher... Aber wenn Du das schreibst, muss es passen!

D.h. sowas wie nextcloud.yourname.synology.me dürfte erstmal nicht funktionionieren, wenn seine Nextcloud Installation zwar unterm web Verzeichnis liegt, er aber keinen ReverseProxy laufen hat oder aber ne Subdomain auf ner Subdomain beim Syno-Service nicht umsetzbar ist??
Aber yourname.synology.me/nextcloud/ müsste gehen, wenn seine Nextcloud Installation unterm web Verzeichnis liegt.
 
Zuletzt bearbeitet:

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.478
Punkte für Reaktionen
3.512
Punkte
344
Das geht deshalb nicht, weil Du blablabla.synology.me als Service benutzt. Da greifen die eigenen Portweiterleitungen nicht, da praktisch nichts bei der Fritzbox ankommt bzw. alles durch die Fritzbox hindurchgeschleust wird, da das NAS quasi nen Synology Tunnel durch die Fritzbox gegraben hat...
Ich verwende fast ausschließlich Synology DynDNS.
Solange da kein Port im Router geöffnet wird, gibt es keine Möglichkeit auf die DS zuzugreifen. Die Anfragen kommen bis zum Router und ab da ist alles Dicht.
Es muß mit Synology DynDNS nicht einmal Port 443 oder. 80 zwecks LetsEncrypt Zertifikatsverlängerung geöffnet sein.

Wie @plang.pl schon angemerkt hat, daß durchtunneln von Synology erfolgt nur mit QuickConnect.
 
  • Like
Reaktionen: TheGardner

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Dann nehme ich mal alles zurück und verweise ausdrücklich auf die SynoDNS Variante, da diese dann das Günstigste ist, was möglich ist und man damit dann doch alles erschlägt, was man brauch.
Bin mir halt nur nicht sicher, ob Nextcloud in einer doppelten Subdomain (nextcloud.synoname.synology.me) funzt. Das müsste dann nochmal einer schriftlich bestätigen. Das Ganze würde dann über ein ReverseProxy zzgl. einem ausgedachten Port aufgezogen werden (oder?)...
 
  • Like
Reaktionen: Benie


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat