Synology (Office) erreichbarkeit nur über Port

[Berndlabo]

Hallo zusammen,

ich habe ein kleines Problem und werde diesem leider nicht herr.
Vorwort: Ich habe einen neuen Server und habe alles neu eingerichtet.
Auf meinem alten gingen beide Links (mit und ohne port) zu Synologyoffice Dateien:
https://xxx.xxx.xxx.xxx:5001/oo/codezurdatei
https://xxx.xxx.xxx.xxx/oo/codezurdatei

Auf der neuen (RS1221RP +) funktioniert es nur noch mit Port egal ob per domain oder direkt per IP.
Funktioniert:
https://xxx.xxx.xxx.xxx:5001/oo/codezurdatei
https://meine.domain.de:5001/oo/codezurdatei
funktioniert nicht
https://xxx.xxx.xxx.xxx/oo/codezurdatei
https://meine.domain.de/oo/codezurdatei
Ansich erstmal nicht schlimm, aber öffnet einer unsere leute auf seinem lokalen system eine lokalen drive Datei per Doppelklick, öffnet Drive es (wie sinnig) im Browser. Aber immer ohne Port, was ja wieder nicht funktioniert Irgendwie muss man es also ändern können, aber wie ist mir leider nicht klar. auch wenn ich bereits 3 mal alle Einstellungen durch gegangen binn aber irgendwo scheint der Wurm drin zu sein.

Hilfe
Grüße Bernd

 

[plang.pl]

Damit es ohne Port erreichbar ist, muss vom Router der Port 443 ans NAS geleitet werden, welches dann eine Umleitung auf 5001 vornimmt (wenn die Webstation nicht installiert ist). Oder noch besser: Man erstellt im Anmeldeportal einen Reverse Proxy für diejenigen Anwendungen, die nach extern erreichbar sein sollen. Dann lauscht Drive / Office zum Beispiel auf https://drive.deinedomain.de(:443). Das Gleiche kann man noch mit diversen anderen Anwendungen abziehen oder auch für Docker Container. Da kommt es halt drauf an, ob du bei deiner Domain Wildcard DNS Auflösung hast und auch ein Wildcard Zertifikat. Mit dem Synology DDNS lässt sich das einfach umsetzen.
Warum sollte man das so machen?
Ich würde nicht den Admin-Port ins Internet hängen. Vor allem nicht auf Port 5001. Wenn man die Dienste per Reverse Proxy erreichbar macht, kann man nur das öffentlich zugänglich machen, was auch von extern benötigt wird.
Je nach Anwendungsfall kann man auch darüber nachdenken, ob nicht VPN (nicht auf dem NAS gehostet) die bessere Wahl ist (was es nicht immer ist).

P.S.: Willkommen hier im Forum!

 

[Berndlabo]

Vielen Dank für deine schnelle Rückmeldung.
Dazu gleich noch eine Frage.

Zwischenzeitlich ist mir aber aufgefallen das wenn man unter Systemsteuerung -> Anmeldeportal ->Anwendungen beim Drive Aliasname und Ports nicht verändert und dann lokal die .osheet datei doppelklickt macht drive es wie folgt auf https://meinedomain.de:meindefinierterDSMport/oo/Dateicode
Was dann funktioniert wie gewünscht. Sofern ich den Port fürs DSM und den für Drive weiterleite.

Jetzt stellt sich mir nach deinem ausführlichen Post natürlich die Frage, ob ich da Sicherheitstechnisch etwas nicht so schlaues gemacht habe?! Aber irgendwie Versteh ich das mit dem reverse Proxi nicht so ganz. Wenn ich den verwende und es mache wie oben beschrieben, dan hängt doch mein 443 Port zugänglich im netz was ja eher nicht so gut wäre?
Nur um noch bischen input zu geben, was ich mir wie so gedacht habe ohne tiefere Ahnung zu haben. Ich habe meine eigenem Domain "server.Meinedomain.de" und mache darüber mein eigenen DYNDNS (mit der Fritzbox) und hab mir dann per DMS mir ein Lets Encrypt zertifikat geholt.

Ich halte fest, ich bin verwirrt^^

 

[plang.pl]

Hinter 443 kann alles lauschen. Den kann man schon ins Netz hängen, wenn man das entsprechend absichert. Es ist auf jeden Fall nicht unsicherer, als den 5001 im Internet zu haben. Ganz im Gegenteil. Dass hinter 5001 eine DS lauscht, weiß jeder sofort. Mit dem MyFritz DynDNS Dienst ist das mit der Subdomain m.W. nicht umsetzbar. Da brauchst du nen Synology DDNS zum Beispiel.

 

[Berndlabo]

Mit dem MyFritz DynDNS Dienst ist das mit der Subdomain m.W. nicht umsetzbar

Du meinst das mit dem Reverse Proxy? Oder das generelle Setup was ich beschrieben habe. Weil das funktioniert jetzt wo ich überall den Aliasnamen rausgenommen hab. Die Frage ist nur ob es so auch sicher ist.

PS: 5001 hab ich natürlich zu einem anderen geändert.

 

[plang.pl]

Das mit dem Reverse Proxy geht dann schon. Nur halt nicht, alle Dienste über 443 zu tunneln. 100% Sicherheit hat man nie. Deshalb würd ich mir eher die Frage stellen: Muss der DSM Admin überhaupt von extern zugänglich sein, damit mein Workflow funktioniert? Wenn nein, dichtmachen.

 

[Berndlabo]

Nein, der DSM Admin muss nicht von extern erreichbar sein. Aber die anderen Mitarbeiter nutzen aktuell den DSM um Chat, Drive, Note und Co zu nutzen.
Kann ich das denn splitten?

PS: Der System default user "Admin" ist deaktiviert und durch einen "neuen" ersetzt.

 

[plang.pl]

Ja, du kannst auch jeder Anwendung einen eigenen Port geben statt einer Subdomain. Das mit den Subdomains ist aber angenehmer und man muss nur einen Port öffnen