Remote Zugriff auf FileStation (https)

[paraxenos]

Hallo zusammen

Ich möchte auf meine DS508 (FileStation) über https zugreifen. In der Konfiguration der DS unter FileStation kann man einen beliebigen Port wählen (Default 7001). Wenn ich den aber in meiner FritzBox unter Freigaben definiere, also Port 443 an 7001 bekomme ich die Fehlermeldung:

FEHLER: Eintrag kollidiert mit interner Regel

und das stimmt so den ich bei einem Zugriff aus dem Web und https (443) meldet sich ja meine FritzBox.

Wie genau komme ich da dran "vorbei"?

Danke & Gruss
Paraxenos

 

[Matthieu]

Habs mal in einen eigenen Thread verschoben. Neue Probleme verdienen neue Diskussionen

MfG Matthieu

 

[xabano]

Ich möchte auf meine DS508 (FileStation) über https zugreifen. In der Konfiguration der DS unter FileStation kann man einen beliebigen Port wählen (Default 7001). Wenn ich den aber in meiner FritzBox unter Freigaben definiere, also Port 443 an 7001 bekomme ich die Fehlermeldung:

FEHLER: Eintrag kollidiert mit interner Regel

Wenn du in den Filestation-Einstellungen für https den Port 7001 eingetragen hast, kannst du über die Adresse: https://meineAdresse.dyndns.org:7001 direkt auf deine Filestation zugreifen.
Dazu musst du in deiner FritzBox noch den Port 7001 freischalten (ohne Umleitung, als von 7001 zu 7001). Damit geht die Verbindung über https. Den Port 443 brauchst du dazu gar nicht.

 

[paraxenos]

Danke Xabano

Nur um sicher zu gehen: Ich habe mal kurz einen PrintScreen der Portfreigabemaske angehängt. Wie würdest Du die Einträge genau vornhemen?

Von Port muss ja ausgefüllt werden (da habe ich mal 7001)
Bis Port leer
an Port ebenfalls 7001 (muss ja ebenfalls einen Wert enthalten)

Vielen Dank & Gruss
Paraxenos

 

[xabano]

Von Port muss ja ausgefüllt werden (da habe ich mal 7001)
Bis Port leer
an Port ebenfalls 7001 (muss ja ebenfalls einen Wert enthalten)

Du willst ja nur einen Port freigeben, also:
Von Port 7001 bis Port 7001
an IP-Adresse: IP-Adresse deiner DS
an Port: 7001

Damit weiss dein Router, dass Anfragen aus dem Web, die auf Port 7001 hereinkommen, auf dem Port 7001 an die DS weitergeleitet werden müssen.

 

[paraxenos]

Thanks xabano

Habe ich nun so eingerichtet. Leider (habs befürchtet) macht mir die Policy @Office einen Strich durch die Rechnung:

Access Denied (connect_method_denied)

Your request attempted a CONNECT to a port "7001" that is not permitted by default.
This is typically caused by an HTTPS URL that uses a port other then the default of 443.

Wenn ich als :7001 anhänge kommt die Meldung oben, wenn ich bloss https://mydndns.org wähle, komme ich direkt auf meine Fritz!Box :-(

Hast Du ev. eine Idee wie ich da weiterkomme?

Danke & Gruss
Paraxenos

 

[Matthieu]

Freigabe ändern in:
von Port 443
an Port 7001

Und dann in der Firma eingeben https://dein-dydndns.org
Ach und eventuell das Interface von außen via https schließen ... kann mich nicht mehr ganz erinnern wies da aussah

MfG Matthieu

 

[paraxenos]

Hmm

Wir drehen uns im Kreis.

Wenn ich die Regel ändere wie vorgeschlagen bekomme ich folgende Meldung

FEHLER: Eintrag kollidiert mit interner Regel

Und das weil eben die Fritz!Box selber schon für Remote Access Port 443 verwendet (wie ich zu Beginn des Posts bereits erwähnte)

Zum verzweifeln :-(

Sonst noch ne Idee?

Gruss
Paraxenos

 

[Matthieu]

Hab bei mir auch eine fritz.box und habs auch deaktiviert ... aber find grad die Option nicht

Kann mir jemand aushelfen? Ich weiß das man das irgendwo einstellen kann ... irgendwo.

MfG Matthieu

 

[paraxenos]

"...ein Königreich für eine Antwort..."

Hoffentlich kann jemand helfen....ich finde auch nicht wo man die Einstellung machen kann

Gruss
Paraxenos

 

[dg2iaq]

"...ein Königreich für eine Antwort..."

Hoffentlich kann jemand helfen....ich finde auch nicht wo man die Einstellung machen kann

Gruss
Paraxenos

Hi Paraxenos,

das geht ganz einfach.

1.)
In der Fritzbox-Portweiterleitung den Port 443 nicht weiterleiten, also in der Liste nicht aufführen ! Damit kommst Du künftig via https://DeineDynDNS.org direkt auf die Fernwartung der Fritzbox. Hier wird keine Portnummer im Link angegeben, somit wird bei https der Standardport 443 verwendet.

2.)
Die https-Bedienung Deines NAS wäre dann via folgender Portweiterleitung möglich:

- andere Dienste
- von Port 5001
- auf IP des NAS
- auf Port 5001

Dann ist Deine NAS-Verwaltung über https://DeineDynDNS.org:5001 erreichbar.

Ohne die angehängte Portnummer im Link geht's nicht ! Das ist Dein derzeitiger Fehler - denn Du läßt die Portnummer weg. Dann wird auch hier der standardmäßige https-Port 443 verwendet....und Du landest wieder bei Deiner Fritzbox.

Du kannst also intern die Standardports vom NAS belassen (hier 5000 und 5001), es kommt auf die externe Umleitung darauf an was daraus wird.

Wenn Du aus Sicherheits- und Hackergründen noch etwas mehr tun willst, nimm "nach außen" einfach einen vom Synology-Standard abweichenden Port.

- andere Dienste
- von Port 50001
- auf IP des NAS
- auf Port 5001 (der bleibt)

Dann lautet der Link wie folgt: https://DeineDynDNS.org:50001

Alles erprobt und läuft einwandfrei.

Gruss
Jochen

 

[Matthieu]

Thanks xabano

Habe ich nun so eingerichtet. Leider (habs befürchtet) macht mir die Policy @Office einen Strich durch die Rechnung:



Wenn ich als :7001 anhänge kommt die Meldung oben, wenn ich bloss https://mydndns.org wähle, komme ich direkt auf meine Fritz!Box :-(

Hast Du ev. eine Idee wie ich da weiterkomme?

Danke & Gruss
Paraxenos

Nein so ging es bei ihm nicht.

Noch ein Wort zum Thema Fernzugriff auf Router: Das ganze ist ohne Sicherheitsvorkehrungen nicht gerade unbedenklich ... wenn du nicht unbedingt Zugriff brauchst, würde ich es lieber sein lassen!

MfG Matthieu

 

[paraxenos]

@dg2iaq

Danke für Deine Tips. Wie mich aber Matthieu richtig zitiert geht eine https Verbindung (vom Office aus) nicht wenn nicht standardmässig via Port 443 und genau da liegt eben das Problem

Wie es aussieht werde ich wohl damit leben müssen.


Danke trotzdem allen für die Unterstützung!

Gruss
Paraxenos

 

[goetz]

Hallo,
lies mal *hier*.

Gruß Götz

 

[paraxenos]

Danke goetz

Kenne die Anleitung bzw. habe die Fritz!Box so konfiguriert. Weiss nicht genau was Du mir damit sagen möchtest. Klar könnte ich da einen alternativen Port angeben, aber ich kann von meiner Arbeitsstation @Office NUR https über Port 443 machen.

Oder habe ich jetzt was übersehen?

Danke & Gruss
Paraxenos

 

[Matthieu]

Willst du etwa beide über https von außen ansteuern? Das würd nicht funktionieren. Ansonsten einfach Port umbelegen und dann mit 443 auf die DS weiterleiten.

MfG Matthieu

 

[goetz]

Hallo,
Du mußt Dich entscheiden was Du an Port 443 haben willst, Fernwartung Fritzbox oder Filestation. Entweder Fernwartung ganz abschalten oder wie Matthieu bereits schieb auf einen anderen Port umlegen.

Gruß Götz

 

[paraxenos]

Willst du etwa beide über https von außen ansteuern?

Genau, das wollte ich eigentlich, aber ich habe verstanden das geht leider nicht => nur entweder oder.

Danke
Paraxenos

 

[h2opolo]

leider keine Antwort, aber ein ähnliches Problem:
Ich möchte auch per https auf die Filesation zugreifen, habe dazu 7001 -> 7001 Weiterleitung im Router eingestellt. Da dies erfolglos war jetzt auch 7000 -> 7000.
Mit
http://FESTE_IP:7000/webUI/login.cgi
kann ich mich nun einloggen, aber mit
https://FESTE_IP:7001/webUI/login.cgi
bekomme ich keine Verbindung.

Was mache ich falsch?

Bei "Benutzerspezifisch anpassen" ist Port 7000 und HTTPS 7001 aktiviert. Das sollte doch passen oder?

 

[ruebezahl]

Ebenfalls kein Zugriff per HTTPS

Ich stehe vor dem gleichen Problem.
Wollte etwas sicherer auf meine File Station zugreifen per Https aber es funktioniert nicht.
Mit http:\\meine Adresse.dyndns.org:7000 funktioniert es wunderbar.
Habe auch im Router eine Portweiterleitung für Port: 7001 gemacht und auf der Ds210j bei den Fileeinstellungen für die File Station unter >benutzerspezifisch Anpassen< das Häckchen bei https aktivieren gesetzt. Was mich dabei wundert ist, das ich sowohl die Option >separate Anmeldung aktivieren kann mit Portanschluß:7000 als auch benutzerspezifisch https mit Portanschluß:7001. Widerspricht sich das eigentlich nicht?
Es kann doch nur ein entweder oder geben, oder? Trotzalledem komme ich von außen nicht auf meine DS.
Unter den Firewalleinstellungen in der DS210j habe ich zum Versuch ersteinmal nichts eingetragen um mich nicht erstmal selbst zu blockieren.

Gruß rübezahl