Photo Station PhotoStation mit HTTP oder HTTPS

[SaschaH]

Hallo bohne,

danke für die Antwort. Sorry vlt hab ichs falsch ausgedrückt. Bei mir funktioniert alles. Die Nutzer melden sich über den Port 5001 an. Haben sie jetzt in ihren Optionen ihre persönliche Photo Station aktiviert erscheint ein Symbol im Menü. Über dieses kommt man direkt zu seiner persönlichen Photo Station und wird automatisch eingeloggt. Und das passiert dann über eine normale http Verbindung. Also muss doch das Passwort zum einloggen in die persönliche Photo Station unverschlüsselt übertragen werden oder? Ich würde den Nutzern ja gern die Möglichkeit geben den Button zu nutzen um sich ganz einfach automatisch bei der persönlichen Station einzuloggen. Aber nicht, wenn dies unsicher geschieht.

 

[Iaterne]

Die Firewall in der DSM war noch unberührt und somit würde sie nach meiner Lesart alles (!) durchlassen. Habe jetzt mal explizit `ne Regel erstellt und dort die Anwendung ausgewählt und "zulassen" gewählt. Firefox bringt mir aber noch die gleiche Fehlermeldung.

Wo stell ich das bloss richtig ein?

 

[bohne]

Ich wollte Dir auch nur sagen, dass sich die Benutzer über https (verschlüsselt) direkt mit der persönlichen Photostation verbinden können. Der Weg über den DSM fällt somit also weg. Wenn Du natürlich den Benutzer gleichzeitig den Zugriff auf den DSM ermöglichen willst/musst, dann ist diese Hintertüre (http) zur PhotoStation natürlich offen.

 

[SaschaH]

@Iaterne Ok was passiert, wenn du https://ipvonderdiskstation/photo/ aufrufst? Also quasi über dein Netzwerk ne gesicherte Verbindung aufbaust?

 

[SaschaH]

@bohne Ja dankeschön für den Hinweis. Ich frag mich nur, warum diese Hintertür offen sein muss. Man kann die Verbindung zur Photo Station sichern und baut man eine gesicherte Verbindung zum DSM auf werden die Links im Menü zur File Station, Audio Station etc. angepasst als https, nur eben nicht zur Photo Station.

 

[bohne]

@SaschH
weshalb weiß ich auch nicht. Das gleiche müsste übrigens auch bei der WebStation der Fall sein. Vielleicht kann uns beiden ja noch jemand weiterhelfen.

 

[Iaterne]

Auch wenn ich den Aufruf via LAN mit der IP starte erscheint bei https Nutzung die gleiche Fehlermeldung. Hat es vielleicht auch was mit dem 5000 vs. 5001 er Port zu tun?

Ausserdem ist mir aufgefallen, dass ich die Photostation derzeit für mich selbst nur als Admin mit Passwort nutze, die Verwaltung geschieht hier m.E. via Photostation (Kontensystem: Photostation und nicht DSM-Konten). Dort (in der Photostation direkt) habe ich unter Fotos Zugangsbefugnisse dann alle Alben mit "Privat" und nicht "öffentlich" markiert, allerdings "Passwort" freigelassen. Dann habe ich einen User in der Photostation unter Benutzerkonten angelegt und die Alben die diesem sichtbar sein sollen dann bei Zugangsbefugnisse ausgewählt.

Ergebnis sollte sein:
1 Keine Bilder auf einer für jeden sichtbaren Seite im Web
ok, die Photostatin aufgerufen zeigt keine Bilder

2 Nach Login sollen ausgewählte Alben sichtbar sein
ok, nehme ich den Admin sind alle da, nehme ich den "neuen user", sind nur ausgewählte Alben sichtbar

3 Verbindung soll per https erfolgen, damit die Passwörter nicht im Klartext spazieren gehen und somit "fast" sinnlos sind
nicht ok, https Verbindung ist bei keinem User erfolgreich.

 

[SaschaH]

Wenn der Fehler auch erscheint, wenn du die LAN IP nimmst hat es ja schon mal nichts mehr mit der Portfreigabe vom Router nach aussen, also ins Internet zu tun. Die Disk Station lässt demnach keinen Zugriff zu. Bist du ganz sicher, dass du unter Systemsteuerung -> Webdienste -> Reiter: HTTP-Dienst -> "HTTPS-Verbindung für Webdienste aktivieren" aktiviert hast?

 

[Iaterne]

ok ok, mags ja gar nicht zugeben...

das war es: "HTTPS-Verbindung für Webdienste aktivieren"

DANKE

Jetzt kann ich die Seite auch per https aufrufen und dann nach dem "Zertifikats-Hinweis" die verschlüsselte Übertragung nutzen.

Jetzt habe ich - damit das noch per ssl und gar nicht mehr ohne geht - also in meiner Fritzbox schon den 80er zugemacht. Gut, komme noch intern ohne ssl auf die DSM und extern scheint es nur noch per ssl zu gehen. Fine.

Jetzt müsste ich ja auch die Firewall in der DSM einschalten und alles ausser 443 ausschalten, richtig?

Gewollte Anwendung aus dem Internet sind:
DS Audio
DS Photo
DS Syn / DS DSM

Zugriff via Remot App von Apple auf die iTunes Daten & ggf. DNLA (vorerst aber nur intern für die PS3).

Kann ich dann nicht eigentlich allem pauschal den Zugriff verwehren und als Ausnahme nur 443 definieren? Was brauche ich denn für den DSM selbst?

 

[bohne]

Hallo Iaterne,
das ist ganz davon abhängig, was Du Netz-intern alles machst (Netzwerksicherung, DS-Assistent, Windows/Mac Datenzugriff etc.).
Wenn Du nur den Port 443 freigibst, und alles andere blockierst, dann sperrst Du Dich selber aus.
Hier im Wiki findest Du die Ports und eine Beschreibung ihrer Funktion, das dürfte Dir auf jeden Fall weiterhelfen.

 

[SaschaH]

Grundsätzlich kannst du die Firewall eigentlich in der Disk Station auch einfach auf alles durchlassen eingestellt lassen. Hast ja über den Router eine Einschränkung gemacht. Da du den Zugriff auf DSM über das Netz haben willst brauchst du die Portfreigabe 5001 für die gesicherte Verbindung zum DSM und 443 für die gesicherte Verbindung zur Photo Station.

Du wirst allerdings feststellen, dass wenn du dich per port 5001 ins DSM einloggst und du dann auf Photo Station klickst du keine Verbindung bekommst. Das ist der Fehler den ich auf der letzten Seite angesprochen habe. Die Verbindung soll dann nämlich über Port 80 hergestellt werden. Und eben den hast du ja im Router nicht freigegeben. Muss ein Fehler sein, da alle anderen Verbindungen wie File Station und so auf https eingestellt sind. Du kannst dann nur über den Port 443 auf die Photo Station zugreifen indem du die Adresse manuell aufrufst.

Was meinst du mit DS Audio? Das Abspielen im DSM? Dann ist das mit der Freigabe von Port 5001 geregelt. Wenn du damit den Zugriff über eine App wie die für Android meinst bekommst du Probleme. Diese kann nur über eine ungesicherte Verbindung zugreifen. Das wäre der Port 5000. Denn solltest du aber im Router nicht freigeben. Das beutet aus deinem LAN kommst du über die App drauf, über die Internetverbindung aber nicht.

Grüße
Sascha

 

[bohne]

Ich würde Dir aber auf jeden Fall die Aktivierung der "Automatische Blockierung" empfehlen. Deine DS, ist einschließlich Login-Fenster, für jeden von aussen erreichbar.