Synology Drive erstellt unbrauchbare Austausch-Links

[dAtA-TRoN]

Guten Tag Leute,
ich sage es gleich vorweg: ich bin ein Privatanwender und habe nicht sehr viel Ahnung vom "Synology-Fachchinesisch".
Aber keine Angst: bin auch nicht total auf den Kopf gefallen.

Ich habe vor kurzem erfahren, dass die Cloudstation durchSynologys neue Lösung "Drive" ersetzt werden soll.
Also habe ich mich gestern dran gemacht Drive zu installieren. Natürlich habe ich ebenso den PC Client gewechselt
(von Cloudstation zu Drive).
Soweit so gut. Läuft auf den ersten Blick alles wie vorher.

Und dann ist mir doch etwas unschönes aufgefallen:
Wenn ich jetzt im Windows-Explorer einen Rechtsklick auf einen meiner synchronisierten Ordner mache, um einen
Austausch-Link zu erstellen, geschieht das zwar wie gewohnt, nur dass der nun erstellte link unbrauchbar ist.

Dieser sieht jetzt nämlich wie folgt aus:



Nun frage ich mich natürlich, was da genau schief läuft und wie ich dieses Problem beheben kann.

Zur Info:
Selbiges passiert auch in der Weboberfläche und der Smartphone-App Oberfläche von Synology Drive.


Würde mich sehr freuen, wenn ihr mir mit meinem Problem weiterhelfen könnt.

Liebe Grüße und einen schönen Start ins Wochenende.

 

[Fusion]

wie sah der Link den vorher aus?
Hast du den Link verändert, oder ist das ein Originalbild mit dem internen Server-namen?
Systemsteuerung > Externer Zugriff > Erweitert einen Eintrag getätigt?

 

[dAtA-TRoN]

Danke für deine Antwort. Nun, ich bin mir nicht sicher wie die vorher ausgesehen haben. Fakt ist jedoch, dass die Links von der Whatsapp Web App z.B. nicht mehr als solche erkannt werden. Auch führen die Links nur noch ins leere.

 

[Fusion]

Das ist schon mal falsch, da deine DS unter diesem Namen sicher nicht von extern / aus dem Internet erreichbar ist.
Also den Eintrag mal löschen und leer lassen. Ebenso kannst du die Ports leer lassen (da DSM in dem Fall immer davon ausgeht, dass die Ports welche unter Systemsteuerung > Netzwerk > DSM Einstellungen stehen auch von extern erreichbar sind). Die Angabe ist an der Stelle überflüssig da doppelt gemoppelt.

 

[Fusion]

Der Eintrag unter Systemsteuerung > Externer Zugriff > Erweitert bekommt Priorität über einen möglichen DDNS Eintrag im DSM.
Wenn du den Servernamen der DS im lokalen Netz ändern willst geht das glaube via Systemsteuerung > Dateidienste > Servernamen (ungefähr, habs nich nachgeschlagen)

Ports 5000 und 21 würde ich nicht öffnen, da Zugangsdaten im Klartext über die Leitung wandern.
Nur SSL verschlüsselte Dienste nach außen öffnen, wenn nötig.
Also ftps z.B.
Bei 5001 würde ich zudem noch mit Verschleierung arbeiten, damit nicht jeder Scanner der nach Standard DSM Ports sucht dich gleich findet.
Also z.B. 12345 > 5001 als Portweiterleitung.
Für diesen Fall wäre dann der Eintrag unter Systemsteuerung > Externer Zugriff > Erweitert > https Port angebracht, damit der DSM um die Port-Verschleierung im Router weiß.

Die Warnung bezüglich Zertifikat bemängelt, dass es sich um ein selbst-signiertes Zertifikat handelt, das sich Synology/die DS selber ausstellt.
Zusätzlich weicht dann normal der Name im Zertifikat ab von dem Namen in der URL die man im Browser aufruft.
Das läßt sich umgehen indem man sich z.B ein Lets Encrypt Zertifikat holt via Systemsteuerung > Sicherheit > Zertifikat > Hinzufügen
Als Domain/Hostname gibt man die meine.diskstation.me an.
Dafür musst du allerdings Port 80/443 auf die DS weiterleiten (Für die Ausstellung und für die Erneuerung alle 8-12 Wochen, oder man macht es von Hand, wenn man die Ports nicht die ganze Zeit offen lassen will).

Die Verbindung ist aber in jedem Fall sicher wenn dort https steht in der URL, bemängelt wird eben nur das fehlende Vertrauen / falscher Name (zurecht, weil man ja normal sicher sein will bzw. mitbekommen will, wenn sich der Name etc ändert und sich jemand als man in the middle in die Verbindung hängen will.

Neben dem LE Zertifikat kann man sich natürlich auch eines extern kaufen (mit teilweise bis zu drei Jahre laufzeit) und dieses installieren. Kostet halt Geld. So Größenordnung €10 pro jahr und Domain kann man rechnen.
Das bekommt man allerdings nur für eine eigene Domain, nicht für dynDNS Adressen.

Dann bliebe noch das Zertifikat im Client(browser) als Vertrauenswürdig zu deklarieren oder das Zertifikat von der DS zu exportieren und auf dem Client zu importieren

Eleganter wird es noch, wenn man über eine eigene Domain verfügt und Zugriff auf deren DNS Einstellungen hat.
Dann kann man z.B. dsm.meinedomain.de per CNAME auf die meine.diskstation.me setzen und unter Systemsteuerung > Netzwerk > DSM Einstellungen > benutzerdefinierte Domain die dsm.meinedomain.de eintragen.
Dann muss auch nur noch 80/443 offen sein, 5000/5001 braucht es nicht mehr.
Zugriff von extern wäre dann z.B. https://dsm.meinedomain.de und für Share Links vermutlich in der Art https://dsm.meinedomain.de/share/string

 

[dAtA-TRoN]

Oh, jetzt habe ich es versehentlich komplett gelöscht. Wenn irgendetwas von dem wichtig für deine Antwort war, dann sage mir bitte bescheid und ich lade es nochmal hoch, ok?

Im Kern geht es mir nun darum, dass ich meine Disk Station wohl aus Unwissenheit "unsicher" abgesetzt habe. Das würde ich aber sehr gerne ändern, um besser schlafen zu können!

 

[dAtA-TRoN]

Vielen dank für deine sehr ausführliche Antwort .
Aber ich denke, dass das meine Kompetenzen dann doch übersteigt. Kann ich denn die beiden Ports löschen, ohne befürchten zu müssen, dass dann irgendetwas nicht mehr funktioniert?
Ich habe die Disk Station damals mit Mühe & Not mit der Hilfe von YouTube Tutorials eingerichtet (iDomix). Darum weiß ich im grunde genommen nicht wirklich, was ich da nun machen darf und was nicht...

 

[dAtA-TRoN]

Ich habe mal ein detaillierteren Screenshot von meinen Fritzbox Einstellungen gemacht.
Da sind ein paar Checkboxen von denen ich nicht weiß was die tun. Ist das okay so wie es ist?

 

[Fusion]

Das ist nicht so schwierig wie es auf den ersten Blick klingt. Die Online Hilfe im DSM und die Knowledge Base bei Sysology auf der Webseite mit Hilfe-Artikeln und Videos sind schon besser geworden über die Zeit.

Löschen darfst du alles.... die Frage ist welche Dienste du nutzen können willst von extern.

Das ist eben der erste Schritt: Was sind meine Anforderungen. Danach macht man sich an die Umsetzung.
Solange das nicht klar ist, sollte die DS überhaupt nicht von extern zugänglich sein, zu groß (finde ich) das Risiko sich was einzufangen oder einem 0815 script kiddie mit ransomware anheim zu fallen.

Was ich vorher gesehen habe bist du ja schon minimal (auch meine Erläuterungen sind auch, aus meiner Sicht, an den Minimalarbeiten die man für externen Zugriff angehen sollte) unterwegs (DSM, ftp, cloud station (von letzterer kann man leider nur mit IPv4 den Port verschleiern, weil man ihn auf der DS selbst nicht ändern kann))
Aber wenn du davon was von extern nicht brauchst kann man die Ports auch noch schließen.

Der andere Weg mit nur einem Port von extern wäre ein VPN Zugang auf die DS. Dienste auf der DS kann man dann nur nutzen, wenn man sich vorher per VPN in das heimische Netz eingewählt hat.
Das vereinfacht die Portfreigaben, dafür kommt eben der VPN Server auf der DS oder die Entsprechung auf dem Router (manche Router haben ja ebenfalls VPN Server an Bord)

Wenn du sauber formulierst, was du willst, dann kann ich oder andere auch entsprechende Hinweise zu Einstellungen geben.
Weil am Ende bist du der Administrator deines Servers...

Nachtrag:
Die selbstständigen Portfreigaben bitte deaktivieren.
Das ist zwar komfortabel, weil dann manches "von alleine" funktioniert, aber kann auch für Zugang/Löcher von außen sorgen, von denen du nichts weißt und auch nichts mitbekommst.
Lieber die Ports von Hand eintragen.

 

[dAtA-TRoN]

Nochmal danke für deine super ausführlichen Antworten (werde ich mich später auf jeden Fall noch genauer mir auseinander setzten ).
Extern brauche ich nur Zugriff auf "Plex" und "Synology Drive". Mehr eigentlich nicht.

Ist es eigentlich normal, dass ich jetzt nur noch eine IP-Adresse anstelle eines Links sehe in meinem Browser wenn ich auf meine Disk Station zugreife?
Wahrscheinlich schon, oder? Wird wohl erst jetzt "normal" angesteuert, richtig ?



Aber es läuft halt über 5000 und nicht über 5001. Und das macht es "unsicher", oder?
Und dabei habe ich doch eigentlich Port 5000 geschlossen... -Keine Ahnung was da falsch läuft .

 

[NormalZeit]

Mit der IP (192.168.178...) kannst Du nur von intern zugreifen. Extern funktioniert das nicht!

 

[dAtA-TRoN]

Ja, ich wollte ja auch nicht mit dieser IP von außen auf meine Disk Station zugreifen.
Es hat sich nur mittlerweile irgendetwas in den Einstellungen meiner DS verändert,
dass ich nun plötzlich zuhause über diese IP auf meine DS zugreife und nicht mehr
über "https://***********". Das verwundert mich halt.

 

[TeXniXo]

Wenn du dich im Browser via ***** (Domain? DDNS? Quickconnect? usw?) einloggst, siehst du eh dann ***** oben in die Adressleiste statt interne IP, ja?

Falls nein - Systemsteuerung - Externe Zugriffe - Erweitert - was steht da drinnen? ggf löschen.

 

[dAtA-TRoN]

Na das ist ja jetzt sehr merkwürdig.Habe plötzlich wieder eine sichere verbindung. Bin ganz normal über meine quickconnect eingeloggt.



Vorhin sah es halt noch so aus:



Alles sehr merkwürdig... -Warum springt das so hin und her?

Wenn du dich im Browser via ***** (Domain? DDNS? Quickconnect? usw?) einloggst, siehst du eh dann ***** oben in die Adressleiste statt interne IP, ja?

Falls nein - Systemsteuerung - Externe Zugriffe - Erweitert - was steht da drinnen? ggf löschen.

Diesen Schritt habe ich tatsächlich heute schon durchführen müssen. Der User Fusion hatte mich bereits darauf hingewiesen und er hatte recht. Danach habe ich wieder teilbare Links durch die Freigabe erhalten .

 

[Fusion]

Je nachdem, was du in der Browserzeile eingibst wird sich diese Anzeige verändern oder nicht. Und wenn du 2-3 verschiedene Wege jetzt durcheinander würfelst, wird es halt verwirrend.

Offene/geschlossene Ports:
Ports nach extern sind offen, wenn du sie in der Fritzbox einträgst.
Im LAN/WLAN sind Ports solange ebenfalls offen solange du sie nicht in der Firewall der DS blockierst.

QuickConnect: Diese Verbindung läuft von extern über die Synology Server, also nicht direkt, sondern via Umweg. Deshalb wird die Seite auch als grün/sicher deklariert, weil das die Verbindung zwischen zugreifendem Client und Synology ist. Da sorgt Synology dafür. dass dies sauber eingerichtet ist. Von den Synology Servern zu dir läuft es dann zwar auch weiter verschlüsselt mit "rotem Schloss / nicht sicher", aber das bekommst du nicht zu Gesicht.
Wenn du die Verbindung aus dem lokalen Netz aufbaust, erkennt der QC-Dienst, dass du dich im selben Netz wie deine DS befindest. Deshalb springt der Browser auf die lokale IP deiner DS um (du hast ne Fritzbox wie man sieht, an der IP Adresse). Anstatt die Quickconnect Adresse hättest du also auch direkt http://192.168.178.xx:5000 aufrufen können. Das Ergebnis wäre identisch.
Und wenn du die verschlüsselte Variante nimmst https://192.168.178.xx:5001 bekommst du wieder ein rotes Schloß, weil Zertifikate nur auf Namen ausgestellt sind und nicht auf IP Adressen. Heißt die Verbindung ist zwar verschlüsselt, aber der Name kann nicht überprüft werden (weil es keiner ist).
Da Quickconnect mit eingebauten Automatiken arbeitet kann ich dir nicht sagen, wann er die Verbindung wie aufbaut, mal die externe QC Adresse und manchmal die interne IP, weil Automatiken können eben auch versagen (bei der Erkennung von wo nach wo die Anfrage läuft und wie das relativ zum LAN der DS ist).

Für Synology Drive brauchst du Port 6690 (wenn IPv4 und IPv6 gleichzeitig zum Einsatz kommen). Den kann man nur mit einer Portweiterleitung verschleiern, wenn man nur das ältere IPv4 einsetzt. Da du vermutlich ein VDSL Dual Stack Anschluß hast würde ich einfach bei der Port 6690 Kombi-Portweiterleitung bleiben.
Zugriff dann mit der dynDNS diskstation.me Adresse.
Für Plex gilt das gleich nur mit Port 32400.
Solange der Plex Server am Plex Konto angemeldet ist, kannst du auch ohne Portfreigabe zugreifen via plex.tv oder diverse Plex Clients, allerdings nur wieder indirekt, d.h. der Verkehr läuft wieder über die Plex Proxies und das kann/muss aber nicht langsamer sein, als dein eigener Upload.

 

[dAtA-TRoN]

Danke danke.
Ich bin beeindruckt, wie genau du antwortest und wieviel Geduld du mit mir hast.
Ist ja absolut nicht üblich .

Damit ist dann wohl auch der Großteil meiner fragen geklärt für's erste. Ich muss nur zusehen,
dass ich das mit den Zertifikaten verstehe. Für mich ist das Thema im Augenblick noch ein rotes
Tuch. Ich habe natürlich schon 1000 mal davon gehört, aber wieso, weshalb, warum ist mir noch
immer ein Rätsel^^. Aber gut, das werde ich mir anschauen.

Ich sage dann mal nochmals vielen vielen Dank für eure super Hilfe hier. Hat mich sehr gefreut.

Habt ein schönes Wochenende !

Gruß