Port Weiterleitung mit fixer IP?

Status
Für weitere Antworten geschlossen.

Syni16

Benutzer
Mitglied seit
16. Apr 2016
Beiträge
111
Punkte für Reaktionen
3
Punkte
18
Ich habe von meinem Provider einen Glasfaseranschluss und für meinen Anschluss eine feste IP Adresse vom Internet zur Fritzbox. An der Fritzbox hängt das Synology NAS. Nun möchte ich einerseits das DSM, aber auch ds Photo, Surveillance, File etc. über diese fest IP Adresse ansprechen können.

Wie kann ich nun von aussen auf diese Dienste zugreifen? Anderseits möchte ich auch vom Netzwerk intern darauf zugreifen. Wie muss ich das machen? ds Photo oder ds Cam haben ja keine separaten IP Adressen?

Ich möchte Quickconnect nicht mehr gebrauchen.

Ich habe schon einiges gesucht, komme aber nicht klar.

Danke für eure Hilfe!
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Portweiterleitungen am Router einstellen - je nach gewünschtem Dienst eben hin zum NAS. Viel Erfolg :)
 

Syni16

Benutzer
Mitglied seit
16. Apr 2016
Beiträge
111
Punkte für Reaktionen
3
Punkte
18
Portweiterleitungen am Router einstellen - je nach gewünschtem Dienst eben hin zum NAS. Viel Erfolg :)

Also die Weiterleitung von Extern über die Portfreigabe einer Kamera hat bestens funktioniert!

Aber alle versuchten Weiterleitungen von Extern über die Fritzbox auf das NAS und die darauf installierten Dienste wie DS Photo, DSM etc. funktionieren nicht.

Exemplarisch habe ich ein Beispiel als Grafik angehängt. Muss ich irgendwo, noch was zusätzliches freigeben? Wobei diese Freigabe unter der internen IP Adresse des NAS erfolgt ist.
 

Anhänge

  • 19-08-_2018_18-39-10.jpg
    19-08-_2018_18-39-10.jpg
    46,9 KB · Aufrufe: 61

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
5000 ist aber nur für die http DSM + Filestation Verbindung.
Du musst dann eintippen öffentliche IP (oder DDNS):5000 bei deinen derzeitigen Einstellungen oben. Dann kommst du auf DSM in der DS.
Die Photostation und DS Photo hingegen benötigen 80 (http) bzw. 443 (https) weitergeleitet.
Also öffentliche IP (oder DDNS)/photo bringt dich auf deine Photostation.
In der Photostation musst du dann ebenfalls noch die Einträge vornehmen!
PS > Einstellungen > Allgemein > Router-Port > DDNS oder öffentl IP eingeben, wenn du standardmässig 80/443 benützt kannst du die beiden Zeilen unten auch leer lassen bei HTTP: und HTTPS:

Anmerkung:
Ich würde die 5000 für DSM und Filestation nicht nehmen da dabei deine Anmeldung von aussen/extern mit Benutzername und Kennwort nicht verschlüsselt übertragen wird!
Nimm lieber die https Verbindung über 5001! Bei DDNS musst du aber noch ein gültiges Zertifikat einrichten, sonst kommt immer "Zertifikatsfehler" Nicht Vertrauenswürdige Seite usw.

Im DSM hast du die Berechtigungen freigegeben für den User der sich von extern anmeldet?
DSM > Hauptmenü > Systemsteuerung > ganz unten Berechtigungen > Applikationen > Zeile DSM und File Station, jeweilige Zeile blau markieren > Bearbeiten > Usereinstellungen vornehmen.
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Glaube Du hast den Link oben übersehen :)
 

Syni16

Benutzer
Mitglied seit
16. Apr 2016
Beiträge
111
Punkte für Reaktionen
3
Punkte
18
5000 ist aber nur für die http DSM Verbindung.
Die Photostation und DS Photo hingegen benötigen 80 (http) bzw. 443 (https) weitergeleitet.
Also öffentliche IP (oder DDNS)/photo bringt dich auf deine Photostation.

Ja das verstehe ich schon, so habe ich mal folgende Ports weitergeleitet: 5000, 5001, 80, 443, 9900 und 9901


öffentliche fixe IP Adresse womit die Fritzbox von aussen erreichbar ist. Ich komme auch mit dieser IP Adresse und Port 41954 auf die Fritzbox und kann mich dort anmelden.
http://123.12.123.123:41954 geht auf die Anmeldung der Fritzbox und das funktioniert sehr gut.

http://123.12.123.123:5000 geht auf die Fritzbox und wird dort auf die interne IP-Adresse des NAS weitergeleitet, wobei der Port 5000 geöffnet ist.
Fehlermeldung: Diese Seite ist nicht erreichbar.

Da muss ich noch einen Fehler darin haben.
 

Syni16

Benutzer
Mitglied seit
16. Apr 2016
Beiträge
111
Punkte für Reaktionen
3
Punkte
18
Glaube Du hast den Link oben übersehen :)

Nein ich denke nicht, denn ich habe auf der Seite "Welche Netzwerkports werden von Synology-Diensten verwendet?" die Angaben gefunden, welche Dienste auf welche Ports laufen und mit welchem Protokoll. Sollte es da noch einen zweiten Link geben? Oder verstehen ich was falsch.
 

Syni16

Benutzer
Mitglied seit
16. Apr 2016
Beiträge
111
Punkte für Reaktionen
3
Punkte
18
So einen ersten Fehler habe ich erkannt! Ich habe die http://123.12.123.123:80 im Webbrowser eingebenen, Das geht natürlich nicht. Als ich diese Info in der App eingeben haben anstelle von der QuickInfo bin ich auf die Photostation gekommen.
Aber der Port 443 ist nicht gegangen, obwohl er auch freigeben ist. Ich möchte eben grundsätzlich mit https arbeiten.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Das mit dem Link ist von blurrrr und hat mir gegolten :) Ich habe ihn aber schon Verstanden, er meint damit das noch viel mehr auf 5000 läuft, das weiß ich auch, aber ich wollte bewusst explizit nur deine geforderten DSM und Filestation nennen.
In welcher APP willst du 443 verwenden?
Am Handy in DS Photo?
Dazu muss zwingend ein gültiges Zertifikat laufen, sonst stellt die APP DS Photo keine Verbindung her!
Dh. wenn du vom PC aus im Browser NICHT das grüne Vorhangschloss siehst bei deiner https Verbindung, wird auch der Zugriff von der handy APP DS Photo via https NICHT funktionieren.
 

Syni16

Benutzer
Mitglied seit
16. Apr 2016
Beiträge
111
Punkte für Reaktionen
3
Punkte
18
1. Habe ich alle Ports für http deaktviert und so müssen die Verbindungen wohl über https reinkommen.
2. dsPhoto geht jetzt über die Windows 10 App und über iPhone.


Aber ich komme immer noch nicht auf DSM und Surveillance. Muss morgen noch einmal schauen.

Danke für die Hilfe.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Du erkennst an deinem Satz oben aber schon deinen Fehler? :)
http deaktiviert und dein Bild zeigt aber Port 5000 = http!
Du musst 5001 für https weiterleiten/aktivieren.
 

Syni16

Benutzer
Mitglied seit
16. Apr 2016
Beiträge
111
Punkte für Reaktionen
3
Punkte
18
Ja das war vor der Deaktivierung der http Ports. Einfach ein Beispiel.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
ah ok.
Dh du hast eine Portweiterleitung von DDNS oder öffentlicher IP:5001 extern, auf die interne IP von deiner DS:5001 eingerichtet und trotzdem wird dir das DSM Anmeldefenster nicht angezeigt?
Kommt da gar nichts, oder eine weiße Seite mit "Es tut uns Leid die von Ihnen angeforderte Seite kann nicht angezeigt werden" ?

Also du tippst im Browser ein https:/ /ddns_oder_oeffentl_IP:5001 und kommst nicht auf die DSM Oberfläche.
 

Syni16

Benutzer
Mitglied seit
16. Apr 2016
Beiträge
111
Punkte für Reaktionen
3
Punkte
18
So nun habe ich die Sache noch einmal probieren können.

Ich gebe ein fixe-IP:5001 oder https://öffentliche-IP:5001 und dann kommt die Meldung:

Diese Website ist nicht erreichbar
öffentliche-IP hat die Verbindung abgelehnt.
Versuchen Sie Folgendes:

Verbindung prüfen
Proxy und Firewall prüfen
ERR_CONNECTION_REFUSED

Ich arbeite im Moment mit dem Administrator. So da sollten keine Probleme diesbezüglich sein...

Verstehe es nicht!
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Deine Firewall in der FB und/oder in der DS sind da die Ports auch als "erlaubt" freigegeben?
Der Administrator ist zu diesem Zeitpunkt noch nicht relevant, da du nach erfolgreichem Verbindungsaufbau erstmal nur auf der DSM-Anmeldeseite sein solltest, dort gibst du dann User und Kennwort ein.

Zur Sicherheit:
DSM > Hauptmenü > Systemsteuerung > Netzwerk > Register "DSM-Einstellungen" > dort hast du bei DSM-Ports die 5000 bzw. 5001 auch eingetragen?
 
Zuletzt bearbeitet:

Syni16

Benutzer
Mitglied seit
16. Apr 2016
Beiträge
111
Punkte für Reaktionen
3
Punkte
18
So habe mal im NAS geschaut. und siehe da, im NAS ist der Port 5010 und 5011 für DSM freigeschaltet. Nun habe ich den Port für https auf 5001 gestellt und nun komme ich über die IP:5001 auf den DSM Anmeldebildschirm. Natürlich noch mit den HTTPS Warnmeldungen aber immerhin.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.101
Punkte für Reaktionen
578
Punkte
194
Jetzt musst du nur noch ein verändertes Port redirection durchführen. Der Port 5001 ist der Standardport für Webdav und wird entsprechend oft von Hackern gescanned. Suche dir einen unbedenklichen Port im 5-stelligen Bereich raus, der im Router nach Aussen zeigt. Intern bleibt alles wie es ist.
Allgemein kann ich nur empfehlen nach Aussen nicht die bekannten Ports zu nutzen.
Das die Firewall angepasst werden muss sollte auch klar sein.
Hier zB eine Liste der bekannten Ports. Suche dir also einen Port aus, der hier nicht enthalten ist. https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports
 

Syni16

Benutzer
Mitglied seit
16. Apr 2016
Beiträge
111
Punkte für Reaktionen
3
Punkte
18
Ich habe nun eine bitte, ob sie erhört wird, weiss ich nicht. :D

Ich habe nur Halbwissen, ich arbeite nach Trail and Error, ich bin unsicher, ob dies was ich tue nicht wieder einen anderen Haken hat...

Nun gibt es niemanden, der eine Anleitung kennt, wie man im Synology NAS systematisch die Einstellungen macht, um das NAS und seine Dienste über die Portweiterleitung einer Fritzbox erreichen zu können. Alles über https und fixer IP vom Internetserviceprovider. Dem betreffenden Helfer würde ich gerne ein Sandwich und was zum Trinken überweisen! Auch muss ich dann wohl Zertifikate runterladen und diese installieren, dass diese böse Meldung nicht mehr kommt.

Die Portweiterleitungen innerhalb von der Fritzbox scheint mir einfach und ich habe das auch schon gemacht. Aber auch da, das systematische Wissen und Vorgehen kenne ich nicht.

Wer kann mir da helfen? Wenn es unverschämt ist, dann verzeiht. Ich kann es auch nicht verstehen, dass Synology dies nicht so bereitstellt. Aber eben, vielleicht irre ich mich in meinen Vorstellungen.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Du bist schon im "systematischen", gehen hast du jetzt schon gelernt. Jetzt geh einfach deinen Weg weiter. Das wird schon.
Als erstes ändere wie von NSFH angeraten den äusseren Port. Du kannst ja nichts kaputt machen im eigentlichen Sinn. Wenn es falsch ist geht es halt nur nicht.
Daher such dir eine Portnummer im oberen "nicht benützten" (ich nenn den jetzt einfach mal so) aus, zB irgendwas zwischen 61001 bis 64999. Irgendeine halt, dann änderst du NUR den externen Port bei deinem FB Eintrag, sonst nichts.
Also von 5001 auf meinetwegen 62599, das war's, mehr ist da nicht.
Du tippst dann ein: https://irgendwas_hier_schon_funktioniert_hat:62599 der Anruf kommt also "von aussen" und die FB weiß dann das sie auf DS Port 5001 weiterleiten soll.

Nächster Schritt dann Zertifikat. HIER geht aber KEINE IP Nummer! Falls du bisher https://123.124.123.123 benützt hast, das geht nicht mehr- es gibt keine Zertifikate auf IP Nummern!
Alles was du brauchst, ist aber auf deiner DS vorhanden.
Richte dir noch eine DDNS ein, such dir eine aus, einfach den Assistenten im DSM starten und loslegen, kostet nichts ausser deiner Zeit.
Für diese DDNS bekommst du dann auch ein Zertifikat, findest du auch im DSM z.B Lets Encrypt.
Also weiterlaufen, das wird schon.

Wenn ich es richtig verstehe müsste das bei dir "Port extern gewünscht sein". Stell halt mal nur eine Nummer um, dann siehst du ja gleich ob du auf der "richtigen" Stelle warst.


PS: die meisten hier (also zumindest ich) wir sind nicht "käuflich", wir (ich!) mache das aus Spaß an der Technik und weil es mich (uns) interessiert.
hmmmmm, vielleicht sollte ich aber nebenberuflich auf "Motivationstrainer" oder so umsteigen :)

Also, stell um auf irgendwas 5stelliges und wenn das läuft, dann nächster Schritt:
DDNS einrichten.
DSM > Hauptmenü > Systemsteuerung > Externer Zugriff > Register DDNS > Hinzufügen anklicken > Neues Fenster > Serviceanbieter - auf das schwarze Dreieck klicken, nehmen wir als Beispiel "Synology" (ist kostenlos).
Hostname: such dir was aus, muss nur "frei" sein (wird autom geprüft), meinetwegen syni16. > nächstes Feld hier wieder aussuchen aus der Liste, meinetwegen DiskStation.me
Nutzungebedingungen akzeptieren, OK anklicken, das war's mehr ist da nicht.
Statt deiner IP gibst du dann ab jetzt ein http_hier_ein_s://syni16.DiskStation.me:62599 > läuft dann auf deine DSM Oberfläche (das https absichtlich verunstaltet weil die Forensoftware das in einen Link umwandeln würde)
syni16 = der Hostname, frei wählbar von dir . hier musst du halt auswählen was dir gefällt also was "hinter" syni16 stehen soll.
Heartbeat kannst du Aktivieren.
Das ist DDNS mehr ist da nicht, deine DS macht jetzt nichts anderes als alle 24 Stunden nachzusehen ob sich deine öffentliche IP geändert hat, falls ja stellt sie automatisch um, so dass trotzdem dein DDNS immer bei dir zu Hause auf der FB/DS landet.
Wen du eine fixe IP hast wird das nicht notwendig sein, die DS macht die Abfrage aber trotzdem.
Mach mal, du kannst nichts kaputt machen, ist wie bisher, wenn was nicht passt kommt halt eine Fehlermeldung, ABER deine DS/FB bleibt erreichbar über die IP.

Wenn das läuft machen wir das Zertifkat und dann ist gut für heute :)
 
Zuletzt bearbeitet:

Syni16

Benutzer
Mitglied seit
16. Apr 2016
Beiträge
111
Punkte für Reaktionen
3
Punkte
18
Zwischenmeldung

Also der Zugriff auf das DSM über http und https funktioniert nun bestens auch über die speziellen Portweiterleitungen.

Ein Gedanke: So könnte ich ja auch die anderen Dienste wie dsPhoto Surveillance etc. über diese speziellen Ports extern aufrufen und intern dann über die regulären Ports weitergehen. So wie ich es ja mit dem DSM gemacht habe.
Macht das Sinn? Wäre doch ein wenig mehr Sicherheit oder?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat