Routereinstellung Zyxel Speedlink 5501 von Telekom

[rudi72]

Hallo Experten und Forenteilnehmer,
erst mal ein gutes, gesundes und friedvolles neues Jahr.
Habe mir bei eBay eine DS207 gekauft und bin dabei eine Filestation einzurichten, damit ich auch von unterwegs auf die Dateien zugreifen kann.
User sind eingerichtet und Rechte vergeben.
Die DDNS von Selfhost funktioniert. Vom Lan funktioniert alles.
Im Router habe ich die Ports 80 und 7000 bei Lan und Wan als Weiterleitung eingetragen. Die Diskstation hat eine feste IP.
Wenn ich nun von außerhalb meine Selfhost-Adresse eingebe steht anschließend immer :5000 dahinter und eine Verbindung kommt nicht zustande.
Nur wenn ich nach der Adresse explizid :7000 eingebe lande ich korrekt auf der User-Anmeldeseite.
Welche Ports müssen weitergeleitet werden? 80 und 7000 oder nur 7000

Nicht lachen, befasse mich nun das erste mal mit diesem Thema.
Betriebssysteme sind Linux Mint und gelegentlich XP

Danke schon mal.

 

[frankyst72]

besser wäre es den Port 7001 zu verwenden für die File Station, darüber erfolgt eine verschlüsselte Kommunikation, d.h. das Login und Passwort werden dann nicht im Klartext übertragen wie bei Port 7000. Also Port 7001 am Router auf die DS forwarden. Eigentlich müsste nur der Port 7001 ausreichen. die Adresse lautet dann https://DeineSelHostAdresse.de:7001 < zu beachten ist das "s" bei http !!!!
Was Du noch probieren kannst ist einen Alias anlegen unter Systemsteuerung > Anwendungsportal
Wobei ich mir dann nicht ganz sicher bin über welchen Port das geht. Kann dann auch sein, dass dann noch Port 5001 beteilt ist -> Ausprobieren
Die Adresse lautet dann https://DeineSelfHostAdresse.de/file

Wenn Du allerdings https verwendest, wirst Du ohne Zertifikat einer öffentlichen CA im Browser immer ein Hinweisfenster erhalten (viele halten das für einen Fehler, ist es aber nicht). So ein Zertifikat erhälst Du kostenlos bei Let'sEncrypt direkt über die DSM Oberfläche der DS über Systemsteuerung > Sicherheit > Zertifikat > Hinzufügen.
Damit Du das Zertifikat bekommst und es alle 3 Monate sich von allein erneuert musst Du Port 80 und 443 auf die DS forwarden.

EDIT: Das oben gilt für das aktuelle DSM 6.x. Welche DSM ist auf Deiner DS207? Die ist ja schon älter (10 Jahre), da wird das DSM 6.x vermutlich nicht mehr unterstützt. Da musst Du mal gucken, was bei Dir geht davon. Das mit dem Zertifikat in dieser Form sicher nicht, das musst Du Dir dann anderweitig besorgen und einspielen soweit Du das überhaupt willst.

 

[rudi72]

Vielen Dank für die schnelle Antwort!!
Ist die Portangabe hinter der Adresse unbedingt nötig?
Ist das ohne nicht möglich?
Die Weiterleitung geht doch auf den Port 7000
Wenn ich die Ports 80 und 443 freigebe, kann ich auch noch gleich 8080 dazunehmen. Kann ich dann die Filestation auf 80 legen?

 

[frankyst72]

Ja, in DSM 6.x kann man die File Station auch auf Port 80 legen, bzw. auf Port 443 (443 ist das Gleiche wie Port 80 bei http, aber verschlüsselt für https). Wie und ob das bei Deiner DS geht, weiß ich leider nicht.

Der Internet-Browser ergänzt bei Eingabe einer http-Adresse selbst das ":80", bzw. bei https das ":443" wenn Du keinen Port eingibst. Wenn ein anderer Port notwendig ist, dann muss man ihn explizit angeben, eben z.B. normalerweise ":7000"/":7001" für die File Station.

Was willst Du denn mit Port 8080?

Das Beste wäre nur den Port 443 freizugeben. 443 wird normalerweise in allen Netzen erlaubt. D.h. in der Arbeit sind häufig Ports abweichend von 80 oder 443 gesperrt. Aber 80 und 443 sind eigentlich immer offen und zu erreichen.

Ich hoffe Du hast gute Passwörter, bedenke, auf Deine DS kann dann aus dem gesamten Internet zugegriffen werden und es werden auch welche probieren! Bedenklich finde ich auch, dass Du bezüglich Updates vermutlich auf keinem aktuellen Stand mehr bist ud ggf. Sicherheitslöcher bei der DS nicht gestopft sind.
Ich würde diese alte DS nicht mehr vom Internet aus erreichbar machen.

 

[TheGardner]

Nein, die Filestation liegt standardmäßig auf 7000/7001. Du könntest -wenn Du KEINEN Webserver betreibst- evt. im Router Portweiterleitungen von 80 --> 7000 und 443 --> 7001 anlegen. Dann müsste es machbar sein, dass Du die DS/Filestation tatsächlich ohne Ports aufrufen kannst. Das würde ich aber erst testen!

Nochmal zu franky's Beitrag und da Du diesen wohl nicht ganz verstanden hast:

Ich könnte mich -als Hacker- ans Tor Deiner DS (/Deines Routers) stellen und solange warten, bis Du mal vorbeikommst und Dich auf Deiner DS/Filestation anmelden willst. Machst Du das dann via Port 80/7000/5000, dann läuft das Ganze unverschlüsselt und ich kann sehen, wie Du Deinen User und Dein Passwort eingibst. Ich sehe das praktisch im Klartext !!!!

Es wäre also besser, wenn Du immer die verschlüsselten Varianten 443/7001/5001 verwenden würdest! Da würde jeder Chinese und/oder Russe nur jlhfäQGUävknroghüwo und ophf'ÄEFVU)RBBÖRWOHG" sehen, womit niemand etwas anfangen kann!

 

[frankyst72]

@TheGardener

ich kann doch in der DS den Port der File Station definieren (Systemsteuerung > Anwendungsportal), oder geht hier 443 nicht? Hab ich noch nie ausprobiert



Aber eigentlich finde ich das Vorgehen von TheGardener schöner. Die DS auf Standardports lassen und am Router das Forwarding von 443-Requests intern auf die 7001 weiterzuleiten.
Und die Lösung von TheGardener funktioniert bei Dir auf jeden Fall, egal ob Du den Port an der DS konfigurieren kannst, oder nicht.

 

[TheGardner]

Ja stimmt! Sehe jetzt auch, dass man ja die Ports definieren kann! Ich mach das nie, weil ich die DiskStation immer in ihren Standardports laufen lasse und alles am Router verbiege und*verbohre.

 

[rudi72]

Vielen Dank für Eura Antworten.
Es erlaubt Portänderungen.
Für https benötige ich jedoch ein Zertifikat sonst sperrt Firefox den Zugang. Ein unerfahrener User macht dann zu.
War auf der Seite von Let'sEncrypt. Blick? aber nicht, da mein Englisch nicht so gut ist.
Für das DRM 3.1 muß man erst die beiden Schlüssel speichern und dann importieren.
Wie ich diese beiden Schlüssel erhalte habe ich bisher nicht herausgefunden.

 

[TheGardner]

Jo, wennde Firefox nimmst, ists echt besch.... Habs auch schon gemerkt! Was der an securen Seiten rummeckert, ist nicht mehr normal! Da nehmen IE, Edge, Opera und Chrome das eher klaglos hin!
Kurios ist wieder, dass viele Firefox User schon genau wissen, wie sie die Zertifikats-Meldungen im Firefox aushebeln können. Nen Unerfahrener steht da natürlich da!

 

[rudi72]

Kann mir jemand bitte erklären wie so ein Verbiegen aussieht?
Im Zyxel habe ich die beiden Eingabefelder LAN und WAN.
Dort habe ich bisher in beide 80,7000 eingetragen.
Ohne Zertifikat blockt Firefox erst mal bei 7001.

 

[frankyst72]

irgendwo in diesem Thread ist erklärt, wie man sich ein Let'sEncrypt Zertifikat holen kann (irgendwie über virtuellen Linux-Rechner, etc.), was Du dann auf der DS einspielst.
http://www.synology-forum.de/showth...nlose-SSL-Zertifikate&highlight=let's+encrypt

Die einzig saubere Lösung führt über Zertifikat!

 

[rudi72]

Habs herausgefunden.
Habe die https im DSM und in der Filestation aktiviert.
Im Router unter Lan 7001 und bei Öffentlich 443 eingetragen.
Nun lande ich mit https ohne Portangabe auf der Anmeldeseite.

PS: Kurios!!
Ohne https oder nur www........
lande ich auf der Anmeldeseite des Routers.

 

[TheGardner]

Nicht kurios! Der Router hat natürlich auch nen Webzugriff! Da müsstest Du mal schauen, dass Du über 80 und 443 nicht mit dem kollidierst! Über 80 scheints ja schon zu passieren, wie Du schreibst! Genau schauen, ob 80 (WAN) auch auf 7000 (LAN) zeigt!

Zum Verbiegen:

Bei Dir bedeutet WAN --> aussen und LAN --> innen! Also diese ganzen 5000er und 7000er Ports müssen innen angegeben werden und der ganze 80 und oder 443 Schrutz halt aussen!

 

[rudi72]

Habe nun zwei Regeln eingerichtet:
Port 443 auf 7001
Port 80 auf 7000
In der Filestation http, Port 7000 abgeschaltet.
Nur noch https auf 7001 ist an.
In der DSM http automatisch auf https umleiten aktiv.
Bei Anfragen aus dem Web ohne https:// "Diese Webseite kann nicht angezeigt werden".
So solls sein, und nicht die Anmeldeseite des Routers.

 

[rudi72]

irgendwo in diesem Thread ist erklärt, wie man sich ein Let'sEncrypt Zertifikat holen kann (irgendwie über virtuellen Linux-Rechner, etc.), was Du dann auf der DS einspielst.
http://www.synology-forum.de/showth...nlose-SSL-Zertifikate&highlight=let's+encrypt

Die einzig saubere Lösung führt über Zertifikat!

Warum brauche ich einen virtuellen Linux Rechner?
Ich verwende Linux Mint.
Kann man da nicht eine APP schreiben, die das automatisch macht?
Domain eintragen, email eintragen.

 

[frankyst72]

"Virtuelles Linux" nur für Leute die normalerweise kein Linux haben also die Mehrheit der Winowsler. Wenn Du sowieso schon ein Linux am Start hast, wird das vermutlich auch damit funktionieren. Ich gehöre der Fraktion der Windowsler an ^^ und kenne mich mit Linux nicht aus.