DSM 6.x und darunter Portfreigaben - Hilfe - Meinungen richtig?

Alle DSM Version von DSM 6.x und älter

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3
Hallo super Synology Community,

erstmal hoffe ich das Mein Thema hie im richtigen Forum gesetzt wird, ansonsten bitte ich die Moderatoren es richtig zu verschieben.

Ich bitte mal um einen Meinungsaustausch, ob meine Portfreigaben am NAS so in dieser Form sinnhafte vergeben sind, oder auch um Meinung was daran umgestellt werden muss z.b. UDP/TCP, was vielleicht überflüssig ist und was vielleicht noch für etwas fehlt.
Ich weiß als Leihe gar nicht welche Ports frei sein müssen und habe einfach mal was gemacht

Herzlichen Dank Euch vorab
 

Anhänge

  • 1.jpg
    1.jpg
    42,1 KB · Aufrufe: 33
  • 2.jpg
    2.jpg
    39,6 KB · Aufrufe: 31

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Die Grundregel ist eigentlich: So wenig Ports wie möglich und wenn, möglichst niemals die Standard-Ports (80, 443, 5000, 5001, ...), zumindest extern, verwenden. Ansonsten bekommst du über kurz oder lang irgendwann man Besuch.
Wenn du allein dein einziger "Kunde" bist, dann lies dich mal zum Thema VPN ein.
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.549
Punkte für Reaktionen
47
Punkte
94
warum das ganze Portforwarding wenn VPN UDP 1194 offen ist?
Selbstständige Portfreigabe würde ich ganz schnell deaktivieren.
 

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3
Die Grundregel ist eigentlich: So wenig Ports wie möglich und wenn, möglichst niemals die Standard-Ports (80, 443, 5000, 5001, ...), zumindest extern, verwenden. Ansonsten bekommst du über kurz oder lang irgendwann man Besuch.
Wenn du allein dein einziger "Kunde" bist, dann lies dich mal zum Thema VPN ein.


Also wäre es besser die internen Port zu lassen, aber extern was freies zu vergeben wie z.b. mal im pic simuliert?
 

Anhänge

  • Bild_2022-02-03_200457.png
    Bild_2022-02-03_200457.png
    10,1 KB · Aufrufe: 12

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3
warum das ganze Portforwarding wenn VPN UDP 1194 offen ist?
Selbstständige Portfreigabe würde ich ganz schnell deaktivieren.


Verstehe ich nicht ganz.
Ich nutze einen VPN als externe Applikation z.b. surfshark, hat aber nichts mit der disk zu tun.

Ich nutze von extern auch mal Open VPN um nicht nach intern zu bewegen.

Eine generelle VPN Verbindung habe ich nicht- auch nicht im heimnetzwerk
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Selbstständige Portfreigabe würde ich ganz schnell deaktivieren.
Uups, klar, weg damit. Das hatte ich ganz übersehen.

Ich nehme extern, wenn es schon sein muss, immer etwas, was sich gut merken lässt, z.B. 50080->80, 50443->443 usw.
Aber wie gesagt, reines VPN wäre besser. Dann reicht die Weiterleitung des VPN-Ports zum internen VPN-Server, und wenn du den VPN-Server des Routers verwendest, entfällt sogar die.

Edit:
Eine andere Alternative wäre noch: Alles über https/443 auf die DS weiterleiten und dann per Name/Reverse-Proxy zu verteilen. Dazu braucht es aber für jeden Dienst einen CNAME im DNS.
 
Zuletzt bearbeitet:

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.549
Punkte für Reaktionen
47
Punkte
94
Eine generelle VPN Verbindung habe ich nicht- auch nicht im heimnetzwerk
das war so nicht klar, ich dachte du hast einen VPN-Server am laufen, dann wäre ja das Portforwarding nicht nötig. Ist auch die sichere Variante als die ganzen Ports zu öffnen.
 

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3
das war so nicht klar, ich dachte du hast einen VPN-Server am laufen, dann wäre ja das Portforwarding nicht nötig. Ist auch die sichere Variante als die ganzen Ports zu öffnen.

Das bedeutet, wenn ich hier was einstelle brauche ich nur den 1194 per UDP zu öffnen?
Was muss ich da dann noch ergänzen?
 

Anhänge

  • 4.jpg
    4.jpg
    27,3 KB · Aufrufe: 10

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3
Genau, sieht bei ihm ja nach ner Fritzbox aus. Wäre also leicht umsetzbar.

Stimmt ist eine Fritz box, heißt wenn ich dort den VPn Server aktiviere, brauche ich gar keine Ports mehr auf der Synology freigeben.

Was muss ich hie rund in der Folger dann eigeben, oder einpflegen? Bitte um Anleitung für nicht Profis ;-)
Danke
 

Anhänge

  • 5.jpg
    5.jpg
    42,3 KB · Aufrufe: 12

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3
Edit:
Eine andere Alternative wäre noch: Alles über https/443 auf die DS weiterleiten und dann per Name/Reverse-Proxy zu verteilen. Dazu braucht es aber für jeden Dienst einen CNAME im DNS.

Sorry das war mir zu hoch - entschuldige, ich weiß nicht was ich machen muss ;-)
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.549
Punkte für Reaktionen
47
Punkte
94

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
@rushida
Bei VPN hängt es etwas vom Client ab (Windows, Android, Apple). Lies mal etwas in der AVM-Wissensdatenbank zum Thema VPN
https://avm.de/service/fritzbox/wissensdatenbank/?product=FRITZ-Box-7590&category=205&query=
Den Beitrag für IOS/Apple hatte ja @tokon schon verlinkt. Bei anderen Clients ist es Fritzbox-seitig ähnlich, aber Clients-seitig anders.

Auch zum Thema "Reverse-Proxy" gibt es mehr als genug Beiträge hier im Forum - einfach mal die Suchfunktion benutzen.

Edit:
Die erste Frage sollte immer sein "Bin ich (oder einige wenige) es allein, die von unterwegs auf mein Heimnetz Zugriff haben sollen?". Wenn ja VPN, wenn nein, Portweiterleitungen & Reverse-Proxy.
 
Zuletzt bearbeitet:

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3

Okay Danke, muss dann der Port 1194 UDP trotzdem noch auf sein, oder braucht man dann für alles gar keine Portweiterleitung mehr?

sorry, ich bin hier erst einmal raus, bevor nicht klar ist wie die Zielsetzungen sind und was du erreichen willst.

Ich will nur prüfen ob meine geöffneten Ports richtig sind, oder zuviel.
Ich nutze die DSM für mehrere Zwecke.

Edit:
Die erste Frage sollte immer sein "Bin ich (oder einige wenige) es allein, die von unterwegs auf mein Heimnetz Zugriff haben sollen?". Wenn ja VPN, wenn nein, Portweiterleitungen & Reverse-Proxy.

Ich alleine, aber von unterschiedlichen Clients. z.B. per Iphone, Laptop, quickconnect, Webdav usw usw

@rushida
Bei VPN hängt es etwas vom Client ab (Windows, Android, Apple). Lies mal etwas in der AVM-Wissensdatenbank zum Thema VPN
https://avm.de/service/fritzbox/wissensdatenbank/?product=FRITZ-Box-7590&category=205&query=
Den Beitrag für IOS/Apple hatte ja @tokon schon verlinkt. Bei anderen Clients ist es Fritzbox-seitig ähnlich, aber Clients-seitig anders.

Client ist Iphone, Ipad, aber auch Laptop (Windows)
Ist es richtig, dass ich auf jeden Client dann den Fritz Box VPN aktiv haben muss und dann auch kein anderes vpn nutzen kann?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Dann probier mal mal VPN (y)
Übrigens: Mit dem kommenden Fritz!OS hält auch "Wireguard" Einzug. Clients gibt's für fast alle Betriebssysteme for free und die Einrichtung geht ratzfatz.
 

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3
Brauch ich dann den Port 1194 noch weiter frei?

Was ist mit mit einem Firmenrechner, wo ich kein client installieren kann und nur über webdav von außerhalb drauf zugreifen möchte. dann fällt die Lösung flach, oder
 
Zuletzt bearbeitet von einem Moderator:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Wireguard nutzt auch einen Port, aber eben nicht als Weiterleitung. Das macht die Fritzbox bei der Einrichtung für dich.

Bei einem Firmenrechner kommt es darauf an, ob alles Proxy läuft oder nicht. Aber da wäre ich eh vorsichtig, ob sowas erlaubt ist - egal in welcher Art.
 

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3
Hallo Zusammen,

kann sonst nochmal jemand über meine Porterweiterungen im Eingangsposting drüber schauen, um zu prüfen, ob diese so sinnhaft sind, TCP & UDP richtig passt, und welche vielleicht überflüssig sind. Mit einem VPN wie hier beschrieben, möchte ich nach einiger Überlegung nicht arbeiten. Danke
 
  • Like
Reaktionen: Frieseba


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat