Synology Calendar mit iPhone und iPad synchronisieren - Wie den DDNS-Hostnamen auf CalDAV beschränken?

[Krabtus]

Hallo,

um die Kalenderdaten eines Synology Calendar mit einem iPhone oder iPad zu synchronisieren, ist ein Synology DDNS -Hostname mit ein Zertifikat von Let's Encrypt einzurichten.

In der Anleitung von Synology steht, das man sicherstellen soll, das der Port 5000 und 5001 geöffnet ist. Hier habe ich aber Sicherheitsbedenken, da man so ja auch von außen auf das DSM bzw. den Loginbereich vom Synology NAS gelangt.

Lässt sich der mögliche Zugriff verhindern aber dennoch mit dem DDNS die Möglichkeit haben CalDAV zu nutzen? Wie kann ich die Sicherheit erhöhen?

 

[eMBae]

Die Frage ist, wann soll sich der Kalender synchronisieren.
Meine Geräte synchronisieren sich, wenn sie im heimischen WLAN sind.
Der Zugriff auf Calender und Contact sind auf iPhone und iPad über die IP der Synology eingetragen.

 

[Krabtus]

@eMBae
Das würde mir ansich auch ausreichen, doch in der Anleitung von Synology steht folgendes.

Ab macOS 10.13 und iOS 12 können nur Serveradressen mit einem vertrauenswürdigen Zertifikat mit dem Mac Calendar synchronisiert werden. Wir empfehlen, einen Synology DDNS -Hostnamen einzurichten und ein Zertifikat von Let's Encrypt zu verwenden.

Genau diese Erfahrung habe ich auch gemacht, direkt mit der IP der Synology lies sich der Kalender nicht synchronisieren.

Jetzt wundere ich mich aber gerade über deinen Screenshot das Du dort unter Account-URL eine Adresse mit https://adresse/caldav.php.. verwendest. Eigentlich ist diese doch wie folgt aufgebaut https://adresse: port/caldav/benutzer

Geht das vielleicht doch ohne DDNS mit der aktuellen IOS Version von Apple ?

 

[Rotbart]

Das geht, unter Systemsteuerung,Anmeldemanager eine Subdomain und ein extra Port für den Kalender einrichten.Wenn du mehrere Dienste freigeben willst kannst du auch unter erweitert den Reverse-Proxy nutzen dann reicht ein offener Port nach aussen.

 

[Krabtus]

Das geht, unter Systemsteuerung,Anmeldemanager eine Subdomain und ein extra Port für den Kalender einrichten.Wenn du mehrere Dienste freigeben willst kannst du auch unter erweitert den Reverse-Proxy nutzen dann reicht ein offener Port nach aussen.

Danke für deine Antwort! Was hälst Du davon den Standard Port vom DSM-Login zu ändern? Standardmäßig verwendet DSM ja den Port 5000 (HTTP) und 5001 (HTTPS) wie der Synology Calendar. Wenn man jetzt den Port ändert und dieser nicht nach aussen offen ist, erhöht dies dann auch die Sicherheit "ausreichend" ?

 

[Rotbart]

Auf jeden Fall, ausreichend ist nicht, dazu gehört auch Firewall,ordentliche Passwörter, 2FA ... .Ich würde DSM nach aussen nur freigeben wenn es wirklich sein muss, da würde ich lieber mit VPN arbeiten, Fritzbox und Wireguard z.b. ist in wenigen Minuten eingerichtet.

 

[Krabtus]

Ich würde das DSM von aussen auch lieber nicht freigeben und eine Lösung per VPN bevorzugen. Doch in der Anleitung von Synology steht folgendes.

Ab macOS 10.13 und iOS 12 können nur Serveradressen mit einem vertrauenswürdigen Zertifikat mit dem Mac Calendar synchronisiert werden. Wir empfehlen, einen Synology DDNS -Hostnamen einzurichten und ein Zertifikat von Let's Encrypt zu verwenden.

Gibt es vielleicht trotzdem eine Möglichkeit ?

 

[plang.pl]

Das hatten wir hier im Forum in letzter Zeit schon öfter. Apple möchte einfach eine https Verbindung mit gültigem Cert haben und das geht nicht mit einer IP-Adresse (zumindest nicht ohne große Umwege). Deshalb braucht man einen DDNS. Ich mache das auch so. Damit ich aber keine Portfreigaben brauche, habe ich einen eigenen DNS-Server, der den DDNS auf die interne IPv4 auflöst.

 

[eMBae]

DSM 7.1.1 - iOS 15.6.1
Alles läuft, ohne irgendwelche Sonderlocken.
Wie oben beschrieben und mit VPN über die FritzBox

 

[Krabtus]

Aber wie lautet der CalDAV Pfad? https://adresse/caldav.php..

Ich kenne das nicht mit der .php Datei.

 

[Rotbart]

Du gehst in die Kalenderapp auf DSM, rechts siehst du deine Kalender und da steht auch der Pfad für die jeweiligen Kalender (rechte Maustaste)

 

[Krabtus]

Wenn man den Standard DSM Port ändert, so scheint dieser auch direkt für den Synology Calendar gültig zu sein.

Weiß hier vielleicht jemand woran das liegt? Ich dachte der Synology Calendar benutzt nach der Änderung einfach weiterhin den Port 5000.

 

[plang.pl]

Nein, der ist immer gleich dem DSM Port. Zusätzlich kannst du dem Calendar aber im Anmeldeportal der Systemsteuerung einen eigenen Port verpassen

 

[Krabtus]

Tatsächlich? Dann muss ich das übersehen haben. Magst Du mir vielleicht verraten, wo ich die Möglichkeit dies einzustellen genau finde?

 

[plang.pl]

https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/system_login_portal_applications?version=7
Musst kucken unter "HTTP-/HTTPS-Ports für Anwendungen anpassen:"

EDIT: Für DSM6 ist das irgendwie besser beschrieben, nur dass es nun nicht mehr Anwendungsportal heißt:
https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/application_appportalias?version=6

 

[Rotbart]

Siehe auch #4

 

[plang.pl]

@Krabtus hast du es nun gefunden? Wenn nicht, hier noch mal 2 Screenshots dazu (sorry bin nicht so der Screenshot Künstler und mein DSM ist auf Englisch, aber für Demo-Zwecke denke ich taugt es):

 

[Krabtus]

@plang.pl
Vielen Dank für den tollen Screenshot! Ja ich habe es gefunden, es funktioniert wie gewünscht.

 

[Krabtus]

Siehe auch #4

Danke. Hast recht. Es funktioniert, danke für deine Hilfe.

 

[plang.pl]

tollen Screenshot!

Naja. das "toll" würde ich weglassen
Danke für die Rückmeldung!