Verständnissfragen: Portfreigabe 5000 für Zugriff auf den Kalender

[nassa]

Hallo,
ich habe eine Verständnisfrage zum Thema Portfreigaben und Zugriff auf einen Familienkalender über CALdav:

Ich habe in meiner Fritzbox den Port 5000 direkt zu meinem NAS als Portfreigabe aufgemacht, damit User 1 und User2 den eingerichteten Kalender zusammen pflegen können.
User1 und User2 haben starken Passwörtern und sind ohne adminrechte.

Irgendwas gefällt mir an dieser Konstellation nicht.
Ich finde es nicht sicher genug, da meine Fritzbox ja alles bis zum NAS durchlässt. Oder muss man genauer sagen, nur URL's mit "IP:5000"?

Meine Fragen:
Besteht hier die einzige Sicherheit darin, dass die Fritzbox nur Anfragen mit Port 5000 zum NAS durchlässt. Also jeder mit IP:5000 kommt bis zum Anmeldebildschirm?
Im Heimnetzwerk kann der User1 sich ja zum Beispiel direkt auf die DSM Oberfläche anmelden. Das geht dann nicht, weil die Anfrage-URL nur mit 5000 durch die Fritzbox kommt?

Wäre es ratsamer, dass ich zwei User eirnchte, die nur Zugriff auf den Kalender haben?
Ich habe auch nicht eine VPN-Tunnel eingerichtet, damit ich die Foto mibles APP erreiche!

Über Rückmledungen würde ich mich sehr feuen. Gerne auch Tipps, wie man es nioch sicherer machen könnte.

Viele Grüße

 

[Thonav]

Also zunächst einmal machst Du bitte den Port 5000 in Deinem Router wieder zu.
Dieses ist ein unverschlüsselter Port (http) - wenn dann nutzt Du verschlüsselte Ports (https) um Deine Apps zu erreichen.

 

[Rotbart]

Wenn du VPN nicht nutzen willst und Photos auch freigibst,dann würde ich den Reverse Proxy nutzen, dann brauchst du auch nur ein Port, es gibt ja genügend andere zur Auswahl, auf jeden Fall kein SynologyStandard.

 

[nassa]

Danke für den Tipp, den Port 5000 hatte ich gestern nur kurz zum testen aufgemacht und danch gelöscht.
Würde dann das ganze oben genannte Prozedere dann mit einem Port 5001 einrichten.

Wenn du VPN nicht nutzen willst und Photos auch freigibst,dann würde ich den Reverse Proxy nutzen, dann brauchst du auch nur ein Port, es gibt ja genügend andere zur Auswahl, auf jeden Fall kein SynologyStandard.

VPN habe ich eingerichtet und nutze es, wenn ich z.B. mit der Foto Mobile App in meinem Netzwerk auf das NAS zugreifen möchte.

Der Kalender würde sich ja nur aktualisieren, wenn ich VPN am Handy einschalte!
Ich denke, dass eine permanente Kalenderanbindung sinnvoller ist. Liege ich hier falsch?

Ist Reverse Proxy denn das, was ich hier benötige?
Mit Synology Standard meinst du die Standdard Ports?

 

[Kachelkaiser]

Schau mal in der Systemsteurrung im Anwendungsportal. Dort kannst du den Kalender einfach nach außen freigeben. Der Reverse Proxy Eintrag wird dabei automatisch erstellt. Im Router musst du nur noch den Port 443, welcher verschlüsselt ist, freigeben.

 

[nassa]

so, jetzt habe ich einge Einstellungen aufgrund eurer Tipps und Hinweise umgesetzt. Habe zwischenzeitlich ein neues NAS erhalten, deswegen erst jetzt die Rückmeldung.

Vielen Dank erst einmal für eure richtigen und guten Tipps. Das hat mir sehr geholfen, um meine Gedankenfehler zu begradigen.

Was habe ich gemacht:
1. Freigabe im Router auf einen nicht genutzten Port (Standard 5001 auf eine freien im 552xy Bereich) direkt auf meine NAS im Netzwerk. Im NAS den Port 5001 auf den frei 552xy Umgeroutet und HTTP auf HTTPS umgeleitet.
2. Alle NAS-User mit einem 16 bis 20 stelligen starken Passwort versehen. (Admin gesperrt)
3. Im NAS für meine Selfhost-Adresse bei Let's Encrypt eien Zertifikat erstellt und aktiviert.


Was nutze ich jetzt erfolgreich:
IOS Kalender und CardDav eingerichtet
DS Photo, DS Note,


Kurz zum NAS Nutzungsprofil
Zwei eingerichtete User nutzen von außen das NAS.
Es werden nur die APP's Photo, Note genutzt und ein gemeinsamer Kalender.
Ich nutze auch noch die Contacte. Also CardDAV und CalDAV.
Fotos habe ich noch nie extern freigeben und möchte es auch in Zukunft nicht tun.
Ich greife niemlas von fremden PC's aus der ferne auf meine NAS zu. Also niemals über WEB.

Alle ioben gannnten Dienste nutzen den Port 5001 bzw. die Umleitung auf 552xy.


Über eine Rückmeldung, bzgl. immer noch vorhandener Risiken, würde ich mich sehr freuen.

 

[nassa]

Wenn du VPN nicht nutzen willst und Photos auch freigibst,dann würde ich den Reverse Proxy nutzen, dann brauchst du auch nur ein Port, es gibt ja genügend andere zur Auswahl, auf jeden Fall kein SynologyStandard.

Ich finde die Lösung mit dem VPN eigentlich sehr gut und auch sehr sicher.
Ich habe in meinem Handy auch eine VPN Verbindung zu meiner Fritzbox eingerichtet. Allerdings muss ich sie dann immer aktivieren, wenn ich z.B. die APP Foto nutzen möchte. Ist vom Aufwand her auch machbar, da ich die APP nicht so oft unterwegs nutze.
Aber wie würde ein Kalendereintrag, den aktualisiert werden. Den kalender nutze ich sehr viel. Jedes mal die VPN Verbindung zu aktivieren, ist mir zu aufwendig.

Das mit dem reverse proxy ist mir noch unklar in Bezug auf meine Nutzung.
Ich habe ja nur einen Port (552xy) in meiner FB freigegeben. Mehr bentögie ich doch nicht.
Ich brauche die 80 nicht und die 443 auch nicht. Alles funktioniert doch nur mit dem obigen Port.

 

[nassa]

Schau mal in der Systemsteurrung im Anwendungsportal. Dort kannst du den Kalender einfach nach außen freigeben. Der Reverse Proxy Eintrag wird dabei automatisch erstellt. Im Router musst du nur noch den Port 443, welcher verschlüsselt ist, freigeben.

Wie meinst du das? Verstehe ich es so richtig:
Alle APP's über vorher eingeschaltete VPN Verbindung über das Handy nutzen (App's nur mit direkter IP des NAS einrichten ohne selfhost-Adresse?)
Nur den Kalender im Anwendungsportal für den Kalender-Account auf dem handy einrichten?

Sind damit dann alle anderen HTTPS-Dienste wie Foto, Video, Note damit nicht mehr erreichbar?
Dann finde ich die Lösung gut.

Mein Gedankenfehler war, dass ich davon ausgegangen bin, dass die Dienste FOTO, VIDEO und Note jeweils einen eigenen Ports nuten, was ja nicht der Fall ist. Alle nutzen den Port 5001 (den ich ja umgeleitet habe)

 

[Rotbart]

Jede App bekommt einen eigenen Namen und ist über diesen erreichbar.Z.B. Photos.meineDomain.me:55213, kalender.meineDomain.me:55213 usw.
D.h. nach aussen ist nur ein Port für alle eingerichteten Dienste gleich, der ReverseProxy erkennt dann welche Adresse auf welchen Dienst zugreift, und leitet das dementsprechend weiter.Wenn DSM nicht freigegeben ist kommst du mit meine.Domain.me:55213 da auch nicht drauf.

 

[plang.pl]

Ich würd das auch mit dem Reverse Proxy lösen. Subdomains statt Ports ist da die Devise.
Hierzu brauchst du aber beim DDNS Anbieter Wildcard DNS und ein Wildcard Zertifikat (vielleicht machbar mit acme.sh)

 

[Kachelkaiser]

Wildcard Zertifikat (vielleicht machbar mit acme.sh)

Ja ist es, habe ich auch

 

[Kachelkaiser]

nach aussen ist nur ein Port für alle eingerichteten Dienste gleich, der ReverseProxy erkennt dann welche Adresse auf welchen Dienst zugreift,

und wenn du den Port 443, der Standardport für https:-Verbindungen ist, benutzt, musst du den auch nicht angeben, d.h. https://photos,meinedomain.me und gut ist

 

[nassa]

ok, dass habe ich soweit theoretisch verstanden und trotzdem kommen die Fragen, damit ich nicht in die falsche Richtung laufe.

Was habe ich bisher getan:
Im DSM ein Zertifikat für meinen Hostnamen mustermann.selfhost.de erstellt bei let's encrypt.

Wo beantrage ich jetzt die wilddcard DDNS? Bei selfhost?
Woher und wie bekomme ich das Wildcard Zertifikat? dann auch wieder über das DSM?

Wo stelle ich die reverseProxy Regeln ein?
Ist das unter Anwendeportal/Anwendungen oder unter Anwendungen/Erweitert/reverseProxy

oder ist es einfacher einen neuen DDNS zu besorgen udn gleich alles einzurichten?

 

[plang.pl]

Wildcard DNS solltest du schon haben. Ein Wildcard-Zertifikat bekommst du allerdings nicht einfach im DSM. Dafür muss zum Beispiel acme.sh eingerichtet werden. Das heißt dann, dass dein Zertifikat für mustermann.selfhost.de und für *.mustermann.selfhost.de gilt.

unter Anwendeportal/Anwendungen

Wenn es um den Zugriff auf Synology Dienste geht, bist du hier richtig. Wenn es um Docker-Container oder andere Dienste / Geräte geht, dann beim Reverse Proxy.

 

[Benares]

Wenn der Name nicht "schön" sein muss, genügt synology.me m.E. allenthalben. Da hat auch ein Anfänger auf Knopfdruck beides - Wildcard-DNS und Wildcard-Zertifikate - und das Zertifikat verlängert sich automatisch.

 

[nassa]

schön sein muss der Name überhaupt nicht. Benutzen eh nur zwei Menschen

das mit dem synology.me ist interesant.
Ich wollte damals aber unbedingt einen Hostnamen bei selfhost oder einem der großen DDNS Anbieter.

Was ich jetzt noch nicht verstehe:
Ich habe bei einem CA (let's encryt) doch ein zertifikat auf mein Mustermann.selfhost.eu!
Muss ich dann nicht auch bei let's encrypt die wildcard mit aufnehmen lassen?
Also das *.mustermann.selfhost.eu dort zertifizieren?

 

[plang.pl]

Ja, das geht. Aber DSM kann das nicht

 

[nassa]

Wenn es um den Zugriff auf Synology Dienste geht, bist du hier richtig. Wenn es um Docker-Container oder andere Dienste / Geräte geht, dann beim Reverse Proxy.

Ja, es geht nur um Synology Dienste. Docker oder ähnliches habe und brauche ich auch nicht.

 

[nassa]

Ja, das geht. Aber DSM kann das nicht

aaaha, ok, verstehe. Dachte ganz naiv, ich melde mich bei let's encrypt an und sage dort, hier ist mein Hostname und könnt ihr die Wildcard hinzunehmen

Ich glaube dann gehe ich mal den Weg mit dem synology.me.
wenn ich dann sofort alle Wildcard's dabei habe und auch die Zertifizierung, dann iost es wirklich für mich am einfachsten.

 

[Rotbart]

Wildcard funktioniert für alle Synology Einträge also auch z.b. myds.me