DSM 6.x und darunter Probleme mit EZ-Internet mit DS215j und Fritzbox 7490

[Piti61]

EZ-Internet meldet in meinem Lan:

- Netzwerkumgebungsinfo lassen sich nicht abrufen
- UPnP-Router wurde nicht gefunden (egal ob UPnP freigeschaltet ist auf der FB oder nicht)

Warum bekomme ich diese beiden Meldungen? Die FB7490 steht doch in der Kompatibilität-Liste der DS215j.
Allerdings finde ich, wenn ich in EZ-Internet auf weiter klicke, die FB7490 auch nicht in der Routerliste.

 

[sprengbox]

Mir gehts genauso. Bist also nicht alleine. Ident. Hardwarevorraussetzungen.

 

[Piti61]

Mir gehts genauso. Bist also nicht alleine. Ident. Hardwarevorraussetzungen.

Gut zu wissen. Ich bin mir übrigens ziemlich sicher, dass es vor einigen Wochen schon mal funktioniert hat. Aber vielleicht irre ich mich auch, weil ich damals noch "völlig neu" war.

 

[sprengbox]

Bei mir ging das auch mal, das war aber noch mit DSM 5.x, Jetzt leider DSM 6 drauf.

 

[borbecker]

War bei mir mit FB7490 und DS416j beim ersten Mal genau so, aber nach dem dritten, oder vierten Versuch EZ einzurichten, hat er die Meldung nicht mehr gemacht und die FB erkannt. Fand ich auch ziemlich merkwürdig. Nun greife ich aber mittlerweile über Quickconnect zu, was die Portfreigaben in der FB erübrigt.

 

[Piti61]

Ich habe jetzt testweise mal WebDAV abgeschaltet (und wieder angeschaltet). Seitdem funktioniert EZ-Internet wieder.

 

[schlootie]

HAllo, ich hänge mich hier mal dran:
Möchte EZ einrichten, sagt mir, UPnP nicht gefunden, dabei in der Fritzbox 7490 freigeschaltet. Manuell geht nicht, findet die 7490 nicht in der Liste. Hat jemand ne Idee, was ich noch machen kann?

 

[laserdesign]

Hallo,

Hat jemand ne Idee, was ich noch machen kann?

UPNP in der Fritzbox zu öffnen birgt ein Sicherheitsrisiko, wurde hier im Forum schon öfters erörtert.

Wenn die Fritzbox nicht erkannt wird, wird empfohlen, die Einstellungen die benötigt werden, manuell über den Webfrontend der Fritzbox vorzunehmen.

 

[rednag]

Ich kann mich da meinem Vorredner nur anschließen.
Ports per UPnP zu öffnen ist ekletant. Hier können Programme/Dienste selbständig (!) Ports offnen/weiterleiten, ohne daß ihr darüber informiert werdet.
Macht die Ports manuell auf, dann wisst ihr was ihr getan habt. Auch auf das nötigste reduzieren.
DSM (Port 5000, 5001) gehört per se nicht ins Internet.

 

[schlootie]

Ich kann mich da meinem Vorredner nur anschließen.
Ports per UPnP zu öffnen ist ekletant. Hier können Programme/Dienste selbständig (!) Ports offnen/weiterleiten, ohne daß ihr darüber informiert werdet.
Macht die Ports manuell auf, dann wisst ihr was ihr getan habt. Auch auf das nötigste reduzieren.
DSM (Port 5000, 5001) gehört per se nicht ins Internet.

Daraus folgt, dass deine DSM nicht per Internet zu erreichen sind?

 

[Fusion]

@schlootie, bitte keine Vollzitate. Danke.

Das heißt nur, dass nicht der komplette DSM Desktop von außen erreichbar ist. Es heißt nicht, dass keine Dienste von außen erreichbar sind. 5001 ist nicht der Nabel der Welt sozusagen, der die generelle Erreichbarkeit definieren würde.

 

[schlootie]

@Fusion, sorry, Anfängerfehler

D.h., Zugang über DS Filestation o.ä. wäre ok und sicherer?

 

[rolink]

Moin,

Na klar ist es Möglich Dienste der DS von außen zugänglich zu machen - dafür ist Sie ja auch gemacht.
Der Briefträger darf ja auch Post durch deinen Briefschlitz werfen. Oder gibst Du Ihm gleich den Schlüssel zur Wohnung?

Wie schon die Vorredner sagten - manuelle Einrichtung der FB (Du triffst die Entscheidungen)
EZ-Internet ist meiner Ansicht nach, auch nur ne "Krücke" für (sorry) Anfänger - kein wirklich brauchbares Tool
schon gar nicht in Verwendung mit einer FB

Gruß

 

[Fusion]

Nur begrenzt sicherer. Beides mal kommt man ja bis zum webserver und auf eine Login Maske. Massgeblich ist also die Sicherheit des webservers selber erstmal. Die Beschränkung auf einen Dienst kann, muss aber nicht unbedingt, die Sicherheit erhöhen.
Das zweite sind die Benutzer. Immer auf ein sicheres Passwort achten. Regeln finden sich glaube ich unter Systemsteuerung > Benutzer > Erweitert oder so. Eventuell auch die 2-Faktor Auth aktivieren. Ebenfalls die IP-Blockierung bei zu vielen versuchten Anmeldungen unter Systemsteuerung > Sicherheit glaube ich). Das verlangsamt Angriffe und macht es ebenfalls uninteressanter.
Dann der Punkt mit Ports, z.B. 5001. Dies ist nunmal der gewählte Standardport (Systemsteuerung > Netzwerk > DSM Einstellungen) von Synology. D.h. auch alle möglichen Scanner, z.B. shodan.io und script-kiddies finden hier leichter "Ziele".
Hier nehme ich ganz gerne Verschleierung/Obscurity zu Hilfe. Das ist nicht wirklich ein Sicherheitsgewinn, aber verhindert, dass jeder 0815 Scanner gleich auf meine DS stößt. nach außen nehme ich dann z.B. Port 12345 > 5001 oder gleich 23456 > 23456, wenn ich den Port im DSM selbst auch geändert habe.
Das hilft beim Mailserver z.B nicht mehr, weil hier zwangsweise bestimmte Ports offen sein müssen (Beispiel 25). Da ist alleinig die Sicherheit von postfix/dovecot und Passwort als Barriere vorhanden.

Kritische Dinge können auch gar nicht nach außen geöffnet werden und z.B. nur via VPN zugänglich sein. Wäre meine bevorzugte Variante für alle Dienste auf der DS, wenn die Zahl der Nutzer und Geräte übersichtlich ist, weil dort überall ein VPN Client laufen muss. Dann muss nach außen nur VPN zugänglich sein und sonst nichts.

Das ist alles ein persönliche Abwägung aus Sicherheit/Risiko und Komfort.

 

[schlootie]

Hm, was ist denn nun der sicherste Weg, auf seine NAS von "draußen" zuzugreifen? Mir würde ein Zugang über DS File, DS Phote usw. ja reichen. EZ- Internet? Quickconnect hat bei mir gut geklappt, soll aber ja so langsam sein. Dyndns? DDNS?
Puh, ist das unübersichtlich...

 

[rolink]

DynDNS=DDNS!
Feste IP
oder QC
must Dich wohl entscheiden
...ansonsten hat dir Fusion ja fast eine komplette Anleitung geschrieben ;-)
VG

 

[Fusion]

Der im Vergleich sicherste Weg ist klar VPN, weil dann nur ein Dienst überhaupt nach außen verfügbar macht, der den Client ins lokale Netz einbindet und man die DS nutzen kann wie wenn man vor Ort wäre.

Nächste Stufe Richtung Komfort wäre Portweiterleitungen von Hand zu setzen im Router und Dienste über eigene Ports erreichbar zu machen. Zudem aktiviert man QuickConnect, deaktiviert aber den Relay-Service, so dass QC nur für den Verbindungsaufbau genutzt wird.

Will man dies auch nicht, benötigt man neben Portweiterleitungen noch eine dynDNS Adresse um dann via dynDNS:<port> Verbindung zu bekommen.

Will man Dienste konsolidiert verfügbar machen (Komfort), z.B. nur via Port 443 (also https ohne Portangabe) nimmt man entweder Aliase oder benutzerdefinierte Domains.

Von der Sicherheitsrangfolge würde ich sagen
VPN > Dienste per Port/Name oder konsolidiert, per https > via QC ohne Relay > QC und plain http

Von Automatiken wie EZ-Internet würde ich die Finger lassen. Dier "erleichtern" zwar manche Umsetzung, aber verhindern auch, dass Leute etwas lernen bwz. nachher wissen, was sie getan haben.
Die Automatiken kehren die Risiken unter den Tisch und gaukeln einem eventuell falsche Sicherheit etc. vor.
Ohne Fleiß kein Preis.

 

[rednag]

Daraus folgt, dass deine DSM nicht per Internet zu erreichen sind?

DSM ist bei mir nicht zu erreichen, weil Port 5000 und / oder 5001 nicht im Router freigegeben sind.
Andere Dieste wie z. B. Mailserver, Card,- CalDAV sind schon erreichbar.

Sonst wurde hier ja bereits alles schlüssig und ausführlich geklärt.

 

[schlootie]

Alles klar, vielen Dank erstmal!