Verständnissfragen: Portfreigabe 5000 für Zugriff auf den Kalender

[nassa]

synology.me Adresse eingerichtet und Zertifikate (auf für die Wildcard) ebenfalls eingerichtet.
Ich kann jetzt mein NAS auch über wildcard erreichen und lande auf der DSM Oberfläche

Jetzt wollte ich die Anwendungen über die Subdomains einrichten und stolpere über CalDAV....

Ich will ja nicht die Kalenderoberfläche mit einem Browser erreichen, sondern mein Handy soll über ein Kalender-Abo das NAS über caldav-protokoll ansprechen.

Die Account-URL im Handy sieht so aus: https://mustermann.myds.me:55234/caldav.php/nasuser1

Muss ich hier dann doch Regeln mit dem revers Proxy aufstellen?

 

[plang.pl]

Dem Calendar kannst du ebenfalls eine eigene Subdomain im Anmeldeportal vergeben. Die Subdomain (auf Port 443) kann dann auch für CalDav genutzt werden. Gleiches gilt für Contacts und CardDav

 

[nassa]

meinst du im Anwendungsportal unter Anwendugen?
Hier experimentiere ich gerade herum und finde nicht den richtigen Eintrag für die Subdomain!




oder meinst du unter Erweitert und dann eine revers Proxy Regeln aufstellen!


am NAS muss ich jetzt nur die subdomain "cal" oder die ganze Domain "cal.mustermann.myds.me" eintragen?

 

[Benares]

Einfach "cal.mustermann.myds.me" bei Synology Calendar als Domain eintragen. Dabei entsteht auch sowas wie ein Reverse-Proxy, ist aber keiner.
Der Zweig unter Erweitert, Reverse Proxy ist eher für Nicht-Standard-Apps gedacht.

 

[nassa]

Ich habe die Domain dort eingetragen und mein kalender funktioniert.
Woher weiß ich, ob er diesen Weg nutzt.

Hintergrund:
Meine Kalender-App URL ist: https://cal.koppis.myds.me/caldav.php/nasuser1

meine Firtz lässt alles auf Port443 zum NAS durch.


Stutzig macht mich, wenn ich die URL in der Kalender-App ändere, dann komme ich ebenso durch.
Also z.B. auf subdmain mit "calle"

Die App nimt also einen weiteren oder anderen Eingang zum NAS.

Irgendwas mache ich falsch bzw. ist falsch eingestellt.

 

[Benares]

knoppis.myds.me ist ein Wildcard-DNS und das Zertifikat ist auch Wildcard.
Wenn ich momentan von extern deinen Link aufrufe, bekomme ich Verbindung und auch ein gültiges Zertifikat, aber "Seite nicht gefunden".
Bist wohl noch am basteln

 

[nassa]

Offensichtlich

Gehe später noch mal dran….

 

[nassa]

Einfach "cal.mustermann.myds.me" bei Synology Calendar als Domain eintragen. Dabei entsteht auch sowas wie ein Reverse-Proxy, ist aber keiner.
Der Zweig unter Erweitert, Reverse Proxy ist eher für Nicht-Standard-Apps gedacht.

das habe ich hier gemacht.


Aber ich komme mit der URL aus dem Kaelnder-Abo aus dem Internet immer auf das Logon Panel des Kalenders. Das NAS lässt jeglichen Subdomains durch. Statt "cal.musterman.myds.me"
kann ich statt cal auch alles andere eintragen. Ich komme auch mit mustermann.myds.me auf den Kalender.

Hierzu ein paar Fragen:
1. Ich habe in der Fritzbox die 443 auf das Nas freigegeben. Ist das korrekt?
2. Was und wo muss ich im NAS was mit den Ports machen?
3. Ist die Subdamin oben an der richtigen Stelle eingetragen? Ich kann die da auch löschen und mein Kalender im Handy kommt trotzdem zum Kalender.
4. was könnte bei mir evtl. nicht stimmen? Wo würdet ihr an meiner Stelle als erstes ansetzen?
5. ich wollte ja, dass die DSM Oberfläche aus dem Netz nicht ansprechbar ist.
Was muss ich hier dazu tun? Eigentlich doch nichts, wenn das NAS nur die Sub-Domains zulässt!

 

[Benares]

1.) DNS: Also "nslookup mustermann.myds.me" löst momentan eine IPv4 und eine IPv6 auf. Die IPv4 müsste die externe IPv4 deiner Fritzbox sein, die IPv6 müsste die IPv6 deiner DS sein. Da es sich bei mustermann.myds.me um eine Wildcard-Domain handelt, löst auch jede Anfrage nach irgendwas.mustermann.myds.me auf diese beiden IPs auf.

2.) Zertifikat: Für das Zertifikat gilt das gleiche. Es ist gültig für mustermann.myds.me aber auch für *.mustermann.myds.me, also auch für irgendwas.mustermann.myds.me.

3.) Browser: Wenn du https://irgendwas.mustermann.myds.me (also ohne Port, Default bei https ist Port 443) aufrufst, wird der Browser die IPv6 bevorzugen und verwenden. Befindet sich dein Handy im heimischen WLAN, geht der Verkehr dann direkt zur DS am Router vorbei. Das geht also immer, auch wenn du im Router alles sperrst. Du musst daher WLAN abschalten, um das zu testen. Auf welcher Anwendung du landest, hängt vom verwendeten Namen ab, den du verwendest. Das wird durch die Eintragung einer Domain im Anmeldeportal für die Standard-Apps verwaltet, für Nicht-Standard-Apps lassen sich unter Erweitert auch Reverse Proxys definieren. Ist dort nichts definiert, landest du normalerweise im DSM (Weiterleitung), oder auf der Willkommensseite der Webstation, falls diese installiert ist.

Wenn ich von hier aus https://cal.mustermann.myds.me aufrufe, komme ich zu deiner DS durch, sehe dein Zertifikat, aber die DS sagt

Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden.​

Warum das nicht funktioniert kann ich nicht sagen. Rufe ich dagegen https://irgendwas.mustermann.myds.me auf werde ich auf https://irgendwas.mustermann.myds.me:5001 also den DSM weitergeleitet, komme aber nicht durch, da Port 5001 auf der Fritzbox nicht freigeschaltet ist (und das ist gut so).

Trag auch mal bei Audiostation z.B. audio.mustermann.myds.me ein, dann müsstest du mit https://audio.mustermann.myds.me auch dort landen. Bei den Aufrufen bitte nichts weiter mitgeben, wie z.B. https://irgendwas.mustermann.myds.me/blablabla, denn das wäre anderer Weg, eine bestimmte App zu adressieren (Alias im Anmeldeportal)

 

[nassa]

das mit dem Audio habe ich gerade geteste.
Wenn ich unter der Ausio-Anwedungen "audio.musterman.myds.me" eintrage, erreiche im im Handybrowser (WLAN aus, also über LTE) im Anmeldbildschirm für die Audio-Anwendung.
Aufgerufnen URL: "https://audio.mustermann.myds.me"

Jetzt geht es plötzlich auch erstaunlicherweise mit dem Kalender.
Jetzt lande ich mit dem "https://cal.mustermann.myds.me" auf der Kalender-Startseite.....

Ein weiter Test:
wenn ich die URL mit fehlerhafter subdomain (https://calllll.mustermann.myds.me) eingebe, bekomme ich jetzt auch die Fehlermeldeseite "Es tut uns leid,. die von Ihnen gesuchte .... nicht gefunden werden"

Kommt diese Rückmeldung vom NAS selbst? Dann funktioniert es ja, da dass NAS jetzt nur die korrekte Subdomain rein lässt!

Nebenbei gefragt:
Ich verschleiere hier jetzt immer meine echte subdomain bzw. meine Domain.
Da ich nur User im NAS eingetragen habe mit 16 bis 20 Zeichen langen crytischen Passwörtern versehen sind, kann doch ein externe Böser nur bis zu den Anmeldeportalen der Dienste kommen.
Ich möchte es natürlich so gut wie nicht veröffentlichen...

 

[Benares]

Ich verschleiere hier jetzt immer meine echte subdomain bzw. meine Domain.

Verstehe ich nicht.
Im Prinzip gibt es nur 3 Wege, eine bestimmte App auf einem Web-Server anzusprechen:
1.) über Sub-Domain, https://audio.mustermann.myds.me
2.) über Port, https://mustermann.myds.me:8081
3.) über Alias, https://mustermann.myds.me/audio

Methode 2.) ist blöd, da man die Ports freigeben müsste. Bei Methode 1.) und 3.) läuft alles über 443.

 

[nassa]

Jetzt noch einen Test im Kalender-Account des Handy (WLAN aus) durchgeführt:

Eintragen habe ich eine falsche Subdomain im Kalender-Account und trotzdem komme ich durch!
URL ist "https://tisch.mustermann.myds.me/caldav.php/User1"
Statt Tisch kann auch alles andere da stehen oder ohne SUB damain.

Kommt die nur durch, weil mit caldav.php nochmals ein spezieller Dienst angesprochen wird?
Das irritiert mich.
Ich dachte, dass ich auch den Kalender nur über die Subdomain "cal" erreiche.

 

[plang.pl]

trotzdem komme ich durch!

Wenn du intern bist oder auch von extern?

 

[nassa]

extern, mit dem Handy. WLAN am Handy ausgeschaltet, also mit LTE von draußen. Ich sitze aber zuhause

 

[Benares]

Wie gesagt, irgendwas.mustermann.myds.me löst korrekt auf, Port 443 ist freigeschaltet, also kommst du durch. Und dein Anhängsel /caldav.php/User1 adressiert die App (in etwa so wie Methode 3 aus #31). Was wundert dich?

 

[nassa]

Mich wundert, dass ich die Anwendungsfreigabe für den Kalender doch gar nicht benötige.
Ich habe den gerade wieder komplett gelöscht und mein Kalender auf dem Handy conneted trotzdem.

Da ich nie den kalender mit einem PC aus der Ferne erreichen möchte.
Dann benötige ich doch diesen zusätzlichen Eingang nicht.

 

[Benares]

Kann ich dir nicht sagen, ich kenne Synology Calendar nicht.