DSM 6.x und darunter Portfreigaben - Hilfe - Meinungen richtig?

Alle DSM Version von DSM 6.x und älter

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.658
Punkte für Reaktionen
5.830
Punkte
524
Das kommt darauf welche Anwendungen von außen erreichbar sein sollen?
Edit: und die UDP sind falsch, bis auf den 1194 den du wahrscheinlich nicht nutzt.
 
  • Like
Reaktionen: rushida

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Das Ganze lässt sich abkürzen. Wenn du, warum auch immer, keinen VPN verwenden kannst oder möchtest: Verwende einen Reverse Proxy und lass deine Dienste über 443 laufen. Damit ist dein NAS für Hacker nicht mehr und nicht weniger interessant als ein stinknormaler Webserver.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Und schalte bitte dieses blödsinnige UPnP (Selbstständige Portfreigabe) ab und mach alle Weiterleitungen auf der Fritzbox direkt.
 
  • Like
Reaktionen: rushida

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.658
Punkte für Reaktionen
5.830
Punkte
524
@Ulfhednir das wurde ihm ja schon vorgeschlagen, ist wenn VPN nicht umgesetzt werden kann, eh das Beste. Man braucht halt eine Domain.
 

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3
@Ulfhednir das wurde ihm ja schon vorgeschlagen, ist wenn VPN nicht umgesetzt werden kann, eh das Beste. Man braucht halt eine Domain.

VPN nicht da;

1) ich einen weiteren VPN - nicht der als Verbindung zum eigenen NAS, sondern NordVPN ebenfalls nutze. Zwei VPN gleichzeitig dürfte nicht gehen
2) Meine Außenkamera über LAN an der Fritz box verbunden und über die Survellion Station bedient kann als Client den VPN nicht nutzen und zumindest dieser Port müsste, aufbleiben, oder?

Was meinst Du mit Domain? Eine DDNS habe ich.

Danke dito
 

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3
Das Ganze lässt sich abkürzen. Wenn du, warum auch immer, keinen VPN verwenden kannst oder möchtest: Verwende einen Reverse Proxy und lass deine Dienste über 443 laufen. Damit ist dein NAS für Hacker nicht mehr und nicht weniger interessant als ein stinknormaler Webserver.

VPN nicht da;

1) ich einen weiteren VPN - nicht der als Verbindung zum eigenen NAS, sondern NordVPN ebenfalls nutze. Zwei VPN gleichzeitig dürfte nicht gehen
2) Meine Außenkamera über LAN an der Fritz box verbunden und über die Survellion Station bedient kann als Client den VPN nicht nutzen und zumindest dieser Port müsste, aufbleiben, oder?

Mit Reverse Proxy muss ich mich noch beschäftigen höre ich als ersten mal, aber hier muss ich dann für jede Freigabe einen eigenen Revers Proxy anlegen, richtig?
 

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3
Kleines Update der Anlagen aufgrund Eurer Hilfen!. Danke
 

Anhänge

  • s1.jpg
    s1.jpg
    28,4 KB · Aufrufe: 17
  • s2.jpg
    s2.jpg
    36,4 KB · Aufrufe: 17

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Mit Reverse Proxy muss ich mich noch beschäftigen höre ich als ersten mal, aber hier muss ich dann für jede Freigabe einen eigenen Revers Proxy anlegen, richtig?

Als erstes solltest du dir eine Domain, z.B. rushida.de bestellen, wo du wiederum für jeden Dienst eine eigene Subdomain einrichten kannst.
In der FritzBox leitest du den Port 443 an die Diskstation.
Im Reverse-Proxy kannst du dann folgendes hinterlegen: WENN du z.B. https://dsm.rushida.de:443 aufgerufen wird, leite automatisch auf https://IP-DEINER-DS:5001 oder wenn surveillance.rushida.de:443 aufgerufen wird, leite automatisch auf https://IP-DEINER-DS:9001.

Der Reverse Proxy fungiert dann hier immer im Zusammenhang mit der aufzurufenden (sub)Domain. Ich habe hier über 20 Anwendungen, die ich darüber verwende. Hierzu benötige ich lediglich eine Portweiterleitung. Bei der Zahl der Anwendungen habe ich allerdings trotzdem ein gesteigertes Sicherheitskonzept
 
  • Like
Reaktionen: ctrlaltdelete

tokon

Benutzer
Mitglied seit
12. Dez 2015
Beiträge
192
Punkte für Reaktionen
41
Punkte
28
VPN nicht da;

1) ich einen weiteren VPN - nicht der als Verbindung zum eigenen NAS, sondern NordVPN ebenfalls nutze. Zwei VPN gleichzeitig dürfte nicht gehen
2) Meine Außenkamera über LAN an der Fritz box verbunden und über die Survellion Station bedient kann als Client den VPN nicht nutzen und zumindest dieser Port müsste, aufbleiben, oder?
1) Glaub eher nicht, aber wenn du dich nach Hause verbindest ist dieser Verbindung ja schon über die eigentliche VPN-Verbindung verschlüsselt. Also macht ein zweites VPN in dieser Situation auch keinen Sinn.
2) Die VPN-Verbindung würde zur Fritzbox bestehen, wäre dann fast so als wärst du im LAN. Sollte also gehen.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Und bitte nicht verwechseln.
NordVPN ist ausgehend, also Zugang ins Internet über VPN-Tunnel und einen Zugangspunkt von NordVPN.
Das andere VPN ist eingehend, als z.B. Zugriff vom Handy aus per VPN aufs eigene Heimnetz.
 

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3
1) Glaub eher nicht, aber wenn du dich nach Hause verbindest ist dieser Verbindung ja schon über die eigentliche VPN-Verbindung verschlüsselt. Also macht ein zweites VPN in dieser Situation auch keinen Sinn.
2) Die VPN-Verbindung würde zur Fritzbox bestehen, wäre dann fast so als wärst du im LAN. Sollte also gehen.

1) Ich will aber nicht immer "nur" Zuhause per VPN sein ;-)
2) Sicher? Jeder Client (auch die Cam)braucht den Tunnel, denke ich, wenn man keine Portweiterleitung hat und über 1194 geht?
 

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3
Und bitte nicht verwechseln.
NordVPN ist ausgehend, also Zugang ins Internet über VPN-Tunnel und einen Zugangspunkt von NordVPN.
Das andere VPN ist eingehend, als z.B. Zugriff vom Handy aus per VPN aufs eigene Heimnetz.
Ja das habe ich soweit verstanden, aber wenn ich Dienste laufen lassen will, ohne Portweiterleitungen muss ich immer im eigehenden VPN bleiben, und kann parallel kein ausgehenden VPN Tunnel zusätzlich aufbauen, rictig?!
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.033
Punkte für Reaktionen
1.615
Punkte
308
1) Glaub eher nicht, aber wenn du dich nach Hause verbindest ist dieser Verbindung ja schon über die eigentliche VPN-Verbindung verschlüsselt. Also macht ein zweites VPN in dieser Situation auch keinen Sinn.
Das zweite VPN hat hier aber sicherlich nicht das heimatliche Intranet zum Ziel.

Ja das habe ich soweit verstanden, aber wenn ich Dienste laufen lassen will, ohne Portweiterleitungen muss ich immer im eigehenden VPN bleiben, und kann parallel kein ausgehenden VPN Tunnel zusätzlich aufbauen, rictig?!
Muss denn unbedingt das NAS die ausgehende VPN-Verbindung aufbauen? Ist das nicht auf dem Client sinnvoller? Zu mal du da wohl auch noch wechselnde Ziele im Auge hast.
 

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3
Muss denn unbedingt das NAS die ausgehende VPN-Verbindung aufbauen? Ist das nicht auf dem Client sinnvoller? Zu mal du da wohl auch noch wechselnde Ziele im Auge hast.
Doch klar nur auf dem Client muss die ausgehenden VPN Verbindung funktionieren.

Wenn ich jedoch die hier besprochene Lösung mit dem Fritz VPN Server mache, brauchen die einzelne Clients auch die eingehende VPN Verbindung.
Wenn ich eine OPEN VPN mit dem Synology VPN Server als Verbindung eingehend zur NAS mache, die auch da ist, kann hier auch nicht gleichzeitig die ausgehende Nord VPN laufen, man muss also immer wechseln und damit laufen die Dienste nicht mehr.
 

tokon

Benutzer
Mitglied seit
12. Dez 2015
Beiträge
192
Punkte für Reaktionen
41
Punkte
28
Nein. Eingehende VPN-Verbindungen hat nur der VPN-Server.
Ist etwas unglücklich ausgedrückt aber er meint wohl:
Er ist unterwegs und mit Smartphone/Notebook/whatever mit NordVPN verbunden. Wenn er sich nun mit dem VPN zur Fritzbox verbinden will muss vorher erst das NordVPN getrennt werden.
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.033
Punkte für Reaktionen
1.615
Punkte
308
Eigentlich sollten auch mehrere VPN-Verbindungen parallel möglich sein. Das Ganze ist dann abhängig von der verwendeten Software und deren Konfiguration.
 

rushida

Benutzer
Mitglied seit
27. Nov 2016
Beiträge
23
Punkte für Reaktionen
1
Punkte
3
Eigentlich sollten auch mehrere VPN-Verbindungen parallel möglich sein. Das Ganze ist dann abhängig von der verwendeten Software und deren Konfiguration.

Einspruch Euer Ehren:

https://avm.de/service/wissensdaten...m-Dienst-FRITZ-Fernzugang-ist-fehlgeschlagen/


2 IPSec-VPN-Programme anderer Hersteller deinstallieren​

Wenn auf dem Computer mit FRITZ!Fernzugang noch andere IPSec-VPN-Programme installiert sind, kann FRITZ!Fernzugang in der Regel nicht genutzt werden.
Hinweis:FRITZ!Fernzugang bindet an den Netzwerkadapter des Computers einen "Intermediate-Treiber", der alle Datenpakete vom und an das IP-Netzwerk der FRITZ!Box filtert. Bei Einsatz weiterer IPSec-VPN-Programme mit Intermediate-Treiber können sich die Treiber gegenseitig beeinflussen und stören.
  1. Deinstallieren Sie am Computer mit FRITZ!Fernzugang alle anderen IPSec-VPN-Programme nach den Vorgaben des jeweiligen Herstellers.
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.033
Punkte für Reaktionen
1.615
Punkte
308
Nur weil das mit FRITZ!Fernzugang nicht geht und FRITZ!Fernzugang darüber hinaus anscheinend auch noch Probleme hat, wenn noch andere VPN-Software installiert ist, heißt das doch noch lange nicht, dass mehrere VPN-Verbindungen gar nicht möglich sind. Sogar AVM beweist, dass das geht, denn ansonsten wäre es nicht möglich 20 Fritz!Boxen per LAN2LAN-Kopplung zu verbinden (Jede mit 19 anderen, insgesamt 190 Verbindungen, allerdings nur 19 pro Fritz!box)
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat