Synology Zertifikat, Web-Zugriff und DSM-Einstellungen

Status
Für weitere Antworten geschlossen.

mezzopiano

Benutzer
Mitglied seit
23. Mrz 2015
Beiträge
74
Punkte für Reaktionen
0
Punkte
6

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.831
Punkte für Reaktionen
1.789
Punkte
314
Lies dir mal die DSM-Hilfe zum Thema "Applikationsportal" durch *klick* Dort findest du auch Einstellungsmöglichkeiten über welche Ports bzw. Alias'e du die Filestation ansprechen kannst. Port 7000 bzw. 7001 muß dafür angehakt sein.

Im Applikationsportal findest du außerdem oben im Fenster einen Botton "Optionen" wo du dann den Haken rausnehmen solltest bei "Banner ausblenden". Ist kein Haken gesetzt, erscheind in der Filestation dann oben rechts eine Möglichkeit zum Abmelden. Ist etwas blöd beschrieben muß ich zugeben.

Tommes
 

mezzopiano

Benutzer
Mitglied seit
23. Mrz 2015
Beiträge
74
Punkte für Reaktionen
0
Punkte
6
Lies dir mal die DSM-Hilfe zum Thema "Applikationsportal" durch *klick* Dort findest du auch Einstellungsmöglichkeiten über welche Ports bzw. Alias'e du die Filestation ansprechen kannst. Port 7000 bzw. 7001 muß dafür angehakt sein.

7001 für https ist bei mir aktiviert, es geht trotzdem nicht. Muss ich eine Portfreigabe im Router vornehmen? Allerdings ist in der FRITZ!Box Port 443 schon vom 5001 reserviert.


Im Applikationsportal findest du außerdem oben im Fenster einen Botton "Optionen" wo du dann den Haken rausnehmen solltest bei "Banner ausblenden". Ist kein Haken gesetzt, erscheind in der Filestation dann oben rechts eine Möglichkeit zum Abmelden. Ist etwas blöd beschrieben muß ich zugeben.

:rolleyes: Gesehen habe ich "Banner ausblenden" schon, nur habe ich damit wirklich nicht gerechnet. Danke
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.831
Punkte für Reaktionen
1.789
Punkte
314
Natürlich musst du auch den Port 7001 im Router freigeben, wie sonst sollte der Router den Port 7001 zu deiner DS sonst durchlassen?

Der Port 443 ist der Standard-HTTPS Port des Webservers
Der Port 5001 ist der Standard-HTTPS Port des DSM
Der Port 7001 ist der Standard-HTTPS Port der Filestation

Und wenn du den Port 5001 auf den Port 443 umgebogen hast dann solltest du das auch erwähnen. Dann ist es ja auch keinen Wunder das bei dir alles aus dem Ruder läuft
 

mezzopiano

Benutzer
Mitglied seit
23. Mrz 2015
Beiträge
74
Punkte für Reaktionen
0
Punkte
6
Lies dir mal die DSM-Hilfe zum Thema "Applikationsportal" durch *klick* Dort findest du auch Einstellungsmöglichkeiten über welche Ports bzw. Alias'e du die Filestation ansprechen kannst. Port 7000 bzw. 7001 muß dafür angehakt sein.

Mir würde reichen, FileStation mit https://meine.domain.de/files aufzurufen. Für unsere Lehrer und Schüler muss ich eh eine kurze Anleitung schreiben, und was darin steht, bleibt mir überlassen. Kennt zufällig jemand :7001, so klappt es dann in unserem Fall eben nicht. Das könnte ja auch gewollt sein und deshalb nicht aktiviert.

Was mir aber gar nicht behagt ist, dass ich durch Löschen von /files doch auf dem DSM lande. Warum also der Aufwand mit FileStation?
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.831
Punkte für Reaktionen
1.789
Punkte
314
Puh... du bist eine harte Nuss!

Schau dir doch einfach noch mal im Applikationsportal unter Filestation die jeweiligen Links an, die dir beim Aktivieren von Alias, Port 7000 und 7001 angezeigt werden. Fällt dir etwas auf?

Genau. Gibst du einen Alias an, dann lautet der Link dazu http://deine-ip:5000/file was bedeutet, das er den Port 5000 oder eben 5001 des DSM verwendest um auf die Filestation zuzugreifen. (Loggst du dich im DSM per https ein, dann steht dort im Applikationsportal nicht 5000 sondern 5001 also halt https://deine-ip:5001/file)

Gibst du jedoch einen http oder https Port direkt an, also 7000 oder 7001, dann lautet dein Link folgerichtig http://deine-ip:7000 oder https://deine-ip:7001 welcher dann nicht über den Port des DSM läuft.

Also öffnest du entweder Port 5000 oder 5001 um dich am DSM anzumelden und darüber dann auch die Filestation zu nutzen (über den Alias) oder eben über Port 7000 oder 7001 um dich nur mit der Filestation, jedoch nicht mit dem DSM zu verbinden.

Alle Klarheiten beseitigt?
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.831
Punkte für Reaktionen
1.789
Punkte
314
Du kannst natürlich hingehen und legst im Router eine Portweiterleitung von "extern" 443 (also https://) nach "intern" 7001 an. Dann kommst du nach Eingabe im Browser von https://deine-domain.de auf die Filestation. Jedoch dann halt nicht mehr zum DSM oder sonstwo hin.

Tommes
 

mezzopiano

Benutzer
Mitglied seit
23. Mrz 2015
Beiträge
74
Punkte für Reaktionen
0
Punkte
6
Alle Klarheiten beseitigt?

Ja, tausend Dank, war ein Denkfehler von mir. :eek: Portfreigabe in der FRITZ!Box auf 7001 und es läuft, inklusive "Abmelden".

Aber dennoch bleibt das Problem, dass ein User auf dem DSM landet, wenn er "einfach" mal die :7001 löscht. Warum dann also das "sicherere" Anmelden bei FileStation?
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.831
Punkte für Reaktionen
1.789
Punkte
314
Oh man... schließ alle Ports im Router und mach nur einen Portumleitung von 443 auf 7001. so wie ich grad im Post #27 beschrieben habe. Dann kommst du auch nicht mehr auf den DSM
 

mezzopiano

Benutzer
Mitglied seit
23. Mrz 2015
Beiträge
74
Punkte für Reaktionen
0
Punkte
6
Oh man... schließ alle Ports im Router und mach nur einen Portumleitung von 443 auf 7001. so wie ich grad im Post #27 beschrieben habe. Dann kommst du auch nicht mehr auf den DSM

Und wie komme ich dann unterwegs mal eben in die Systemsteuerung?
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.831
Punkte für Reaktionen
1.789
Punkte
314
Garnicht!

Du musst dich schon entscheiden, was du möchtest. Endweder einen einfachen Weg bzw. eine einfache URL ohne Portangabe oder Alias, damit deine Benutzer problemlos auf die Filestation... und nur auf die Filestation zugreifen können, oder aber Filestation und DSM.

Außerdem gehört der DSM in meinen Augen eh nicht ins Internet gestellt, egal ob per http oder https. Aber ok, das muß ja jeder für sich entscheiden.

Sicherlich gibt es noch die Möglichkeit, den Standard-DSM-Port auf einen anderen umzuleiten, jedoch wird das dein Problem nich lösen, das vielleicht doch mal irgendwann mal jemand auf den Login-Screen des DSM gelangt. Das ist nun mal so!

Tommes
 

g202e

Benutzer
Mitglied seit
07. Jun 2009
Beiträge
2.293
Punkte für Reaktionen
0
Punkte
82
Garnicht!

Du musst dich schon entscheiden
Das sehe ich anders. Habe gerade mal getestet: Wenn du den Alias "File" NICHT aktivierst und für die Filestation nur den Port 7001 durchlässt, kommt man mit einfachem "Weglöschen" des Ports NIRGENDWOHIN("Seiten-Ladefehler"). Und zwar auch dann, wenn man den Port 5001 offen hat.

DU wärst also jederzeit in der Lage, von außen auf den DSM zuzugreifen und deine 200 externen Benutzer kommen NUR auf die Filestation...
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.831
Punkte für Reaktionen
1.789
Punkte
314
Hm... O.K.

Hast du das auch mal mit aktiver sowie inaktiver Webstation getestet? Vielleicht könntest du das mal freundlicher Weise ausprobieren, da ich meine DS nur per VPN von extern erreichbar habe und jetzt nicht an den Portregeln rumschrauben mag. Für sowas hab ich meinen Pi!

Tommes
 

mezzopiano

Benutzer
Mitglied seit
23. Mrz 2015
Beiträge
74
Punkte für Reaktionen
0
Punkte
6
Garnicht!

Du musst dich schon entscheiden, was du möchtest. Endweder einen einfachen Weg bzw. eine einfache URL ohne Portangabe oder Alias, damit deine Benutzer problemlos auf die Filestation... und nur auf die Filestation zugreifen können, oder aber Filestation und DSM.

Machst Du es Dir da nicht sehr einfach? Für mich ist das eher ein Bug. Bei VPN kommt der User doch auch nur exakt an seinen eigenen Ordner, und sonst nichts.


Außerdem gehört der DSM in meinen Augen eh nicht ins Internet gestellt, egal ob per http oder https. Aber ok, das muß ja jeder für sich entscheiden.

Welche Gefahren siehst Du darin denn konkret? Das könnte die eine oder andere Entscheidung beeinflussen.


Sicherlich gibt es noch die Möglichkeit, den Standard-DSM-Port auf einen anderen umzuleiten, jedoch wird das dein Problem nich lösen, das vielleicht doch mal irgendwann mal jemand auf den Login-Screen des DSM gelangt. Das ist nun mal so!

Sicherlich, aber was soll er denn da ausrichten? Würde er in der FileStation nicht die angelegten User sehen, hätte er überhaupt keine Ahnung, wie die heissen. Das ist für mich sicherheitstechnisch ein absolutes Unding. Aber dann hat er immer noch das Vergnügen, die Passworte zu knacken. Ich kann mir aber nicht vorstellen, dass unsere Lehrer bzw. Schüler die Muße dazu haben. Wir sind eine eher atypische Schule.
 

mezzopiano

Benutzer
Mitglied seit
23. Mrz 2015
Beiträge
74
Punkte für Reaktionen
0
Punkte
6
Das sehe ich anders. Habe gerade mal getestet: Wenn du den Alias "File" NICHT aktivierst und für die Filestation nur den Port 7001 durchlässt, kommt man mit einfachem "Weglöschen" des Ports NIRGENDWOHIN("Seiten-Ladefehler"). Und zwar auch dann, wenn man den Port 5001 offen hat.

DU wärst also jederzeit in der Lage, von außen auf den DSM zuzugreifen und deine 200 externen Benutzer kommen NUR auf die Filestation...

Ich habe gerade mit Chome gegengetestet und konnte auch nicht ausbrechen. Also doch kein Bug. Danke allen für die positive Nachtarbeit.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.831
Punkte für Reaktionen
1.789
Punkte
314
Halt von mir jetzt was du möchtest, aber ich habe keine Lust mehr auf solche Disskussionen einzusteigen. Du wolltest einen "einfachen" Weg damit deine Benutzer ohne viel Klimbim auf deine Filestation zugreifen können und das inkl. SSL-Verschlüsselung. Das hast du doch erreicht, oder? Bitte schön... ich hab dir gerne geholfen. Kein Problem.

Alles weitere kannst du ja jetzt selber frei entscheiden und auch ausprobieren. Wie, ob und warum du irgendwelche Ports und damit Dienste ins Internet frei gibts ist dir überlassen. Auch was das Thema Sicherheit im Internet angeht scheinst du ja bereits gut aufgestellt zu sein. Warum soll ich jetzt noch eine Disskussion losbrechen, ob eine Portumbiegung ein Alheilmittel ist oder nicht. Und ob man als versierter Übeltäter wirklich einen "Benutzernamen" braucht um ein System auszuhebeln... tja... wer weiß, wer weiß!

BTW: ich bezog mich bei dem entweder / oder auf die URL-Eingabe. Also entweder eine einfache URL worüber ich die Filestation erreiche (443 nach 7001) oder halt den DSM und die Filestation (443 nach 5001) das man sowohl Port 5001 als auc 7001 separat weiterleiten kann und sich die Dienste da bicht in die Quere kommen war mir bewusst. Aber hier ging es ja um eine einfache Schreibweise der URL.

Ich geh jetzt schlafen.

Tommes
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Das sehe ich anders. Habe gerade mal getestet: Wenn du den Alias "File" NICHT aktivierst und für die Filestation nur den Port 7001 durchlässt, kommt man mit einfachem "Weglöschen" des Ports NIRGENDWOHIN("Seiten-Ladefehler"). Und zwar auch dann, wenn man den Port 5001 offen hat.

DU wärst also jederzeit in der Lage, von außen auf den DSM zuzugreifen und deine 200 externen Benutzer kommen NUR auf die Filestation...
Ähm, aber da hier alle User wissen, dass sie sich auf einer DS bewegen, ist Port 5001 für das DSM auch kein Geheimnis...
 

g202e

Benutzer
Mitglied seit
07. Jun 2009
Beiträge
2.293
Punkte für Reaktionen
0
Punkte
82
Das ist genausowenig ein Geheimnis, wie die Tatsache, dass es einen Benutzer "admin" gibt. Was sollen wir jetzt, deiner Meinung nach, daraus schlussfolgern?

Niemand zwingt einen, diesen Port 5001 zu nutzen. Falls du dich erinnerst, war ich schon immer dafür, keine Standard-Ports zu verwenden.

Dann nützt es eher wenig, dass alle wissen, dass der Standard-Port 5001 ist. Das ist dann nämlich genauso interessant wie das aktuelle Datum.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ist für mich totaler Unsinn... Auch die ganze Diskussion, die hier geführt wird, um zu verhindern, dass ein Zugreifender "versehentlich" auf der DSM-Seite statt der File Station landet. Kann mich Tommes nur auf ganzer Linie anschließen.
 

g202e

Benutzer
Mitglied seit
07. Jun 2009
Beiträge
2.293
Punkte für Reaktionen
0
Punkte
82
Naja, der TE hat gleich im ersten Satz gesagt, dass er KEIN Problem hat; dass du das als "totalen Unsinn" bezeichnest, ist durch die Meinungsfreiheit erlaubt. Und Tommes war gestern schon müde...:cool:
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat