Nextcloud auf DS918+

[Andy+]

SERVER_NAME

Ist das dann der Name der DS im Netzwerk?

EDIT: Ich kanns drehen und wenden, es bleibt immer mindestens dieser eine Eintrag über.

 

[alexhell]

Nein das ist eine Variable die automatisch aufgelöst wird.

 

[Andy+]

Stimmt, wenn die definiert ist. Ich habe die Definition entsprechend getestet, mit demselben Ergebnis. Wahrscheinlich ist das ein individuelles Problem.

 

[alexhell]

Die muss nicht definiert werden. Das ist die Domain immer.
Aber ich gebe dir recht. Das ist irgendwas komisch bei dir konfiguriert

 

[stephanstricker]

Ich habe OnlyOffice nach dieser Anleitung eingerichtet

https://mariushosting.com/how-to-install-onlyoffice-on-your-synology-nas/

und das funktioniert soweit auch. Allerdings ist nicht nur meine Nextcloud Adresse über das Internet erreichbar sondern auch onlyoffice.yourname.synology.me. Ist das nicht ein Sicherheitsrisiko und kann man das irgendwie ändern, ohne das die Verbindung zu Nextcloud gestört wird?

SG

Stephan

 

[metalworker]

Kommt ja drauf an was du an Ports freigegeben hast

 

[Crashandy]

Ist das nicht ein Sicherheitsrisiko

Wenn Du zu Deiner öffentlichen URL auch noch Deinen Secret-Key mit veröffentlichst, dann ist es ein genauso großes Sicherheitsrisiko wie Deine öffentlich erreichbare Nextcloud mit veröffentlichten Zugangsdaten.

ONLYOFFICE wird ohne eine Port-Freigabe nur über den Port 443 von Außen angesprochen und den Rest macht dann Reverse-Proxy.

 

[stephanstricker]

Mir ist das doch irgendwie zu heiß und eigentlich möchte ich nur OnlyOffice lokal über den Browser verwenden. Anscheinend geht das mit der community edition aber dazu muss man 3 docker container installieren, document server, mail server und community edition. Hat das schonmal jemand versucht?

 

[metalworker]

Kannst du doch auch .

Solange du im Router keine Ports öffnest ist es ja nur lokal

 

[stephanstricker]

Kannst du doch auch .

Solange du im Router keine Ports öffnest ist es ja nur lokal

mmhh, ich habe mal versucht die Portweiterleitung zu ändern sodaß der Default Port von außen nicht 443 ist sonder 15443 und habe den dann auf 433 weitergeleitet. Habe dann entsprechend versucht NV mit nextcloud.yourname.synology.me:15433 aufzurufen aber das geht wohl nicht so einfach...

 

[metalworker]

Ich dachte du willst nur lokal?

 

[stephanstricker]

Bin noch unentschlossen wenn ich es ordentlich absichern kann, würde NC auch mit externem Zugriff testen. Mit dem Standardweg und Weiterleitung von Port 80 und 443 habe ich festgestellt, dass die Anzahl der Angriffe auf meinen Router durch Bots schnell ansteigen. Ich habe nun die Env Einträge und die config.php entsprechend geändert und damit konnte ich den externen Port von 433 auf xx443 ändern

- NEXTCLOUD_TRUSTED_DOMAINS=nextcloud.yourname.synology.me:xx443 192.168.1.18
- TRUSTED_PROXIES=nextcloud.yourname.synology.me:xx443 192.168.1.18
- OVERWRITEHOST=nextcloud.yourname.synology.me:xx443

 

[Crashandy]

Im Moment weiß ich gar nicht mehr was Du da veranstaltest.

Grundsätzlich sollte man die Ports 5000 und 5001 überhaupt nicht verwenden und schon gar nicht in der FRITZ!Box freigeben. Ich habe bei mir diese Ports erst einmal in 5### geändert und benötige diese eigentlich nur temporär für die Erstverbindung mit Hyper Backup von einem entfernten NAS, danach sind sie wieder zu.

In der FRITZ!Box wird nur der Port 443 zum NAS freigegeben und in der Firewall mit IP-Geoblocking das Meiste gesperrt. Den Port 80 muss ich manchmal öffnen, um das Zertifikat von Let's Encrypt zu erneuern, manchmal funktioniert es aber auch ohne den Port 80.

Hast Du Deine Nextcloud im Docker installiert oder nativ?

War eine blöde Frage, natürlich im Docker.

 

[Andy+]

Für die APPs, für die Du die Ports änderst, musst Du im Reverse-Proxy eine Umleitung einrichten, sofern Du einen DNS eingerichtet hast.

Ich seh das mit dem Blocking genauso, ausserdem hast Du zumindest für die DS noch die Schutzfunktion bei mehrmaligen Anmeldeversuchen. Ich habe da 2 bei Wiederholungen und bei Innerhalb eine hohe Stundenzahl. Bei Nextcloud hast Du ausserdem noch die Möglichkeit, 2FA einzurichten.

Bei solchen Installationen, wie Nextcloud oder Owncloud habe ich das früher immer nativ gemacht, aber ich habe es da oft nicht hinbekommen, bei den Sicherheitsprüfungen den grünen Pfeil



zu erreichen, da auf einer DS einige Dienste laufen, die Abhängigkeiten verursachen und man dann u.a. in der Webstation versuchen muss, das hinzubiegen. Wenn man das geschafft hat, kann es bei Updates allerdings sein, dass der Tanz von vorne losgeht. Nun, es läuft oft genug auch ohne diesen.

Ich würde daher entweder auf eine Dockerinstallation gehen oder noch besser auf eine VM im VMM. Mit einer VM hast Du ein in sich geschlossenes und abgestimmtes Device und dann hast Du den ganzen anderen Kram mit Ports auf der DS und Parametrierung für den Container nicht.

 

[metalworker]

Wie Andy schon sagt,

Wenn du Nextcoud nach außen freigibst .Dann Idealerweise in ner VM und getrennt vom restlichen Netz.
Wichtig ist auch immer das System aktuell zu halten.

 

[TheGardner]

mmhh, ich habe mal versucht die Portweiterleitung zu ändern sodaß der Default Port von außen nicht 443 ist sonder 15443 und habe den dann auf 433 weitergeleitet. Habe dann entsprechend versucht NV mit nextcloud.yourname.synology.me:15433 aufzurufen aber das geht wohl nicht so einfach...

Das geht deshalb nicht, weil Du blablabla.synology.me als Service benutzt. Da greifen die eigenen Portweiterleitungen nicht, da praktisch nichts bei der Fritzbox ankommt bzw. alles durch die Fritzbox hindurchgeschleust wird, da das NAS quasi nen Synology Tunnel durch die Fritzbox gegraben hat...
Deine Variante würde nur funktionieren, wenn Du selbst einen DNS Service hättest, der Deinen Anschluss dann als solchen betrachtet und an der Fritzbox ankommt mit der Frage "ich möchte auf Port 15443 zum NAS" usw....

Allerdings -und ja ich weiche hier jetzt mal von den ernstzunehmenden Beiträgen der anderen ab- würde ich bei den Ports 80 und 443 keine großen Portweiter- und Umleitungen veranstalten. Diese beiden Ports sind die Ports für das weltweit bekannte http(s) Protokoll, welche eigentlich nicht weiter geschützt werden müssten, da die Anwendungen, welche die beiden Protokolle benutzen selbst Schutzmaßnahmen veranstalten...
Ich selbst habe schon jahrelang diese beiden Ports nach außen hin offen und stelle allerdings über die Firewall des NAS sicher, dass eben nur das http/s Protokoll auf diesen Ports verkehrt. Das gleiche mache ich auch mit dem FTP Port 21.

So gesehen also würde ein Angreifer sehen, dass an meinem Anschluss die Ports 21, 80 und 443 offen "erscheinen", was aber in 2. Linie für ihn nur heisst, dass dort ein FTP und ein Webserver angeschaltet sind.

Ich würde (an Deiner Stelle) erstmal "leicht" anfangen und schauen, ob der Webserver schon über die Ports 80 und 443 zu erreichen ist. Dazu quasi dann diese beiden Ports in der Fritzbox/Router auf das NAS durchleiten und natürlich dann noch 2 Firewallregeln im NAS einstellen, dass diese beiden Ports/dieser eine Service von außen erlaubt wird (vorsicht hier: Denk dran, dass die anderen Ports für die Einstellungen des NAS [5000/5001] auch zugelassen bleiben - wenn auch nur in den Firewallregeln, damit Du Dich nicht selbst ausschließt)

Willst Du allerdings diese "DSM" Ports (5000/5001) ebenfalls nach außen hin öffnen, um im Thailand-Urlaub auch auf das NAS zu kommen (einige werden hier jetzt von sehr hohem Risiko sprechen und schreiben), dann wäre hier tatsächlich Deine Port-UM-Leitungs Variante möglich, diesem Du die Ports von außen (z,B. 65000/65001) auf innen 5000/5001 in der Fritzbox umbiegst.

Alles in allem würde ich hier aber auf ein selbst erstelltes DNS Werkzeug zurückgreifen und nicht auf z.B. den Synology(.me) Service. Ich kann Dir hier auch gern behilflich sein. Es gibt schon einige solcher Services, welche man dann auch über die Fritzbox konfigurieren kann und dann hat man sowas wie https://stephanstricker.dyndns.org (oder ähnliches) ....
Kostenlos sollte es halt sein!

​

 

[plang.pl]

Das geht deshalb nicht, weil Du blablabla.synology.me als Service benutzt. Da greifen die eigenen Portweiterleitungen nicht,

Doch. Das ist ein DDNS. Du sprichst von QuickConnect. Da sieht die Adresse aber anders aus.

 

[TheGardner]

Das würde bedeuten, dass seine Anfragen auch an der Fritzbox ankommen. Bin mir da nicht 100% sicher... Aber wenn Du das schreibst, muss es passen!

D.h. sowas wie nextcloud.yourname.synology.me dürfte erstmal nicht funktionionieren, wenn seine Nextcloud Installation zwar unterm web Verzeichnis liegt, er aber keinen ReverseProxy laufen hat oder aber ne Subdomain auf ner Subdomain beim Syno-Service nicht umsetzbar ist??
Aber yourname.synology.me/nextcloud/ müsste gehen, wenn seine Nextcloud Installation unterm web Verzeichnis liegt.

 

[Benie]

Das geht deshalb nicht, weil Du blablabla.synology.me als Service benutzt. Da greifen die eigenen Portweiterleitungen nicht, da praktisch nichts bei der Fritzbox ankommt bzw. alles durch die Fritzbox hindurchgeschleust wird, da das NAS quasi nen Synology Tunnel durch die Fritzbox gegraben hat...

Ich verwende fast ausschließlich Synology DynDNS.
Solange da kein Port im Router geöffnet wird, gibt es keine Möglichkeit auf die DS zuzugreifen. Die Anfragen kommen bis zum Router und ab da ist alles Dicht.
Es muß mit Synology DynDNS nicht einmal Port 443 oder. 80 zwecks LetsEncrypt Zertifikatsverlängerung geöffnet sein.

Wie @plang.pl schon angemerkt hat, daß durchtunneln von Synology erfolgt nur mit QuickConnect.

 

[TheGardner]

Dann nehme ich mal alles zurück und verweise ausdrücklich auf die SynoDNS Variante, da diese dann das Günstigste ist, was möglich ist und man damit dann doch alles erschlägt, was man brauch.
Bin mir halt nur nicht sicher, ob Nextcloud in einer doppelten Subdomain (nextcloud.synoname.synology.me) funzt. Das müsste dann nochmal einer schriftlich bestätigen. Das Ganze würde dann über ein ReverseProxy zzgl. einem ausgedachten Port aufgezogen werden (oder?)...