Port-Weiterleitung (jeder Externe möglich)

[Robinho86]

Hallo,

meine DS ist momentan von extern erreichbar. Mich würde interessieren, ob es nicht sinnvoll ist, bei der Port-Weiterleitung, von einem x-beliebigen Port (öffentlich) auf die internen Ports weiterzuleiten.

ext int
5001 - 5001
433 - 433

neu:
32894 - 5001
3465 - 433

ist das möglich? Mir ist aufgefallen, dass es nur funktioniert, wenn der externe-Port auch ein https Port ist. Falls es möglich ist, macht dies überhaupt Sinn in Sachen Sicherheit?

Danke!

 

[JudgeDredd]

Hallo,

eine Portweiterleitung wie Du sie vorschlägst ist ohne weiteres möglich (sofern der Router die Konfig unterstützt).
Was die Sicherheit anbelangt, wird sie wohl nur bei Bot-Portscans helfen, welche die Standardports abscannen. Wenn es darum geht, speziel bei Dir "einzufallen", wird der Angreifer sicherlich das komplette Portspektrum scannen um eine Tür zu finden.

Was verstehst Du denn unter http-Ports ? Ein Port kann verschiedene Protokollarten transportieren (z.b TCP; UDP; ICMP .... ). HTTP ist auf allen TCP Ports möglich.

Gruß Andreas

 

[Robinho86]

DANKE! habe mich vielleicht etwas falsch ausgedrückt. Habe folgende Szenarien ausprobiert.

5001 - 5001 funktioniert (dsm)
443 - 5001 funktioniert (dsm)
5001 - 8801 funktioniert (dsaudio)
6666 - 5001 funktioniert nicht (dsm)
5555 - 5001 funktioniert nicht (dsm)
8473 - 5001 funktioniert nicht (dsm)

die externen-Ports habe ich nach belieben ausgewählt. Es funktioniert nur wenn der externe auch ein "https" port ist.

ist https denn auch auf allen ports möglich?

 

[JudgeDredd]

Also grundsätzlich sollte es so funktionieren wie Du es vorschlägst.
Wie definiert sich denn "funktioniert nicht" und wie ist die genaue URL mit der Du Dich connecten möchtest.

 

[Robinho86]

das definiert sich so, dass ich dsm (oder audiostation) von außen nicht mehr erreichen kann. xxxxxxx.synology.meORT (port je nachdem welchen externen ich im router weiterleite)

habe es mehrfach probiert. es geht nur wenn ich ports wie 443 5001 direkt durchleite

 

[JudgeDredd]

Dann könnte ich mir nur vorstellen, das "synology.me" die Ports blockt.
Versuche doch mal Deine externe IP direkt mit Portangabe aufzurufen.

 

[Robinho86]

funktioniert auch nur bei port 443 oder 5501 macht absolut keinen sinn ich weiß!

 

[süno42]

funktioniert auch nur bei port 443 oder 5501 macht absolut keinen sinn ich weiß!

Hast Du vielleicht vergessen, im Browser das Protokoll mit anzugeben? Der Browser weiß es bei expliziter Portangabe nicht und vermutet deshalb http. Was passiert bei expliziter Anweisung HTTPS zu verwenden, also https://xxxxxxx.synology.meORT?

 

[Robinho86]

Gebe immer mit https an

es scheint als würde NUR Port 443 von aussen weitergeleitet. Egal welchen anderen Port ich wähle, es geht einfach nicht. Liegt vielleicht an meinem kack Speedport o0.

 

[Robinho86]

NEUE INFO:

benutze ich überall NUR http, kann ich umleiten wie ich möchte. ALLES FUNKTIONIERT! Aber warum nicht sobald ich https wähle o0. Liegt wohl an der DS.

 

[jahlives]

Ich denke es geht mit https nicht, weil dabei ein Portwechsel stattfindet. Du greifst zwar mit Port 6666 zu aber der DSM weiss nicht, dass extern Port 6666 gilt und nimmt den default Port 5001. Das bemerkt dann der Browser und dürfte sich sperren.

Du könntest allenfalls mal probieren

5001 --> 5001
6666 --> 5001

und dann mit https auf Port 6666 testen. Ich glaube aber es wird ned funzen

 

[Robinho86]

deine Vorschläge gehen beide nicht. Wie gesagt, dass Einzige was mit https funktioniert ist

443 - 5001 (https)

nur http geht ALLES!

 

[Robinho86]

noch eine Frage:

kann es sein, dass wenn ich auf meine dsm-umgebung komme per web (https 5001), dass ich dann auch gleichzeitig zugriff auf dsaudio habe?
das ist mir grade bei meinen android apps aufgefallen (dsaudio, dsm). sry für die vielen fragen

danke!

 

[nageniil]

Hi Robinho86,

es wird schon seinen Grund haben, dass man in der Systemsteuerung -> DWM-Einstellungen -> HTTP-Dienst andere Ports als 5000/5001 explizit vergeben muss. Damit die DiskStation weiß, welche ankommenden Ports OK sind und welche nicht, so wie jahlives oben geschrieben hat.

Probiere da doch mal den Port 6666 einzutragen, und im Router dann das Forwarding von 6666 -> 6666. Dann müsste alles so laufen wie gedacht.

 

[süno42]

DANKE! habe mich vielleicht etwas falsch ausgedrückt. Habe folgende Szenarien ausprobiert.

5001 - 5001 funktioniert (dsm)
443 - 5001 funktioniert (dsm)
5001 - 8801 funktioniert (dsaudio)
6666 - 5001 funktioniert nicht (dsm)
5555 - 5001 funktioniert nicht (dsm)
8473 - 5001 funktioniert nicht (dsm)

die externen-Ports habe ich nach belieben ausgewählt. Es funktioniert nur wenn der externe auch ein "https" port ist.

ist https denn auch auf allen ports möglich?

HTTPS ist auf allen Ports möglich, es sollte auch so funktionieren. Folgendes kann eventuell möglich sein:

• Portweiterleitung und Firewallfreischaltung sind im Router getrennt konfigurierbar
• Auf dem Router läuft ein ALG (Application Layer Gateway), der bestimmte Ports bereits belegt
• Dein Router hat SPI (Stateful Packet Inspection) in der Firewall aktiviert, die eventuell die Verbindung abbricht

Das alles sind aber Spekulationen. Mach am Besten als ersten Schritt einen einfachen Test. Leite die Ports auf einen Testrechner im Netzwerk weiter und beobachte die Verbindungsversuche mit einem Netzwerkanalysator wie Wireshark. Dann kann man weitere Schritte planen.


Viele Grüße
Süno42

 

[Robinho86]

So ich versuche es nochmal. Ich habe das nun ca. 6 Stunden ausgiebig getestet. Ich möchte wenn überhaupt per https auf meine ds. Es funktioniert NUR wenn ich von port 443 (EXTERN) auf einen beliebigen internen port weiterleite.

Getestet:

443 – 5001 funktioniert
443 – 8801 funktioniert
443 – 6666 funktioniert
443 – 1234 funktioniert

Der interne port ist natürlich immer entsprechend eingetragen.

6666 – 6666 funktioniert NICHT
6666 – 5001 funktioniert NICHT
5001 – 5001 funktioniert NICHT
1234 – 1234 funktioniert NICHT

Aktiviere ich den zugang per http funktioniert JEDE weiterleitung:

5000 – 5000
1234 – 5000
6666 – 6666
5555 – 5555

Ich kann es mir absolut nicht erklären! Vermute das es auch an meinem Router liegt. es ist ein ***** telekom speedport bei dem die firewall NICHT deaktiviert werden kann

 

[JudgeDredd]

Das ist in der Tat sehr seltsam.

Ich verwende eine Dir ähnliche Konfiguration - Also HTTPS (ext: xxxx -> int: 5001)
und das funktioniert soweit auch.

Wie schaut es denn bei Dir mit Zertifikaten aus ? Kommt bei Dir eine Browserwarnung bei HTTPS 5001 -> 5001 ?

 

[Robinho86]

bekomme nur eine browserwarnung wenn ich wie gesagt von 443 umleite, dann funktioniert es auch wunderbar. andere umleitungen führen immer ins leere - keine verbindung! kann eigentlich nur an der nicht deaktivierbaren firewall meines routers liegen . habe auch in diversen anderen foren gesehen, dass ich definitiv nicht der einzige bin, der probleme mit diesem typ router hat. dem anschein nach funktioniert https nur wenn man von extern mit den ports 21 oder 443 kommt. port 21 werde ich später mal testen. was mich allerdings stutzig macht, ist der punkt, dass bei verbindungen per http alles erhoffte funktioniert 0o.