DSM 6.x und darunter verwirrt durch die Portforwarding 5000/5001

[ottosykora]

Habe also Ports 5000 und 5001 im Router auf die DS geleitet.
http und https in den Einstellungen der DS eingeschaltet.

http://mydomain.dyndns:5000

ergibt:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
Reason: You're speaking plain HTTP to an SSL-enabled server port.<br />
Instead use the HTTPS scheme to access this URL, please.<br />
<blockquote>Hint: <a href="https://*:5001/"><b>https://*:5001/</b></a></blockquote></p>
<hr>
<address>Apache/2.2.23 (Unix) mod_ssl/2.2.23 OpenSSL/1.0.1e-fips Server at * Port 5001</address>
</body></html>


https://mydomain.dyndns:5001
ergibt:
Ein Fehler ist während einer Verbindung mit 'mydomain.dyndns':5001 aufgetreten.

SSL hat einen Eintrag erhalten, der die maximal erlaubte Länge überschritten hat.

(Fehlercode: ssl_error_rx_record_too_long)



https://mydomain.dyndns:5000
verbindet mich mit der DS wie gewünscht.


Kann mir jemand erklären warum es nicht direkt mit https auf Port 5001 geht? Oder was mache ich falsch?

 

[Ap0phis]

Prüf´ noch mal deine Portweiterleitungen.
Hast du dich evtl. vertippt? Z.B. aus Versehen Port 5000 auf 5001 geleitet!?

BTW: lösche mal deine echte DYNdns aus deinem Beitrag!

 

[ottosykora]

>Z.B. aus Versehen Port 5000 auf 5001 geleitet!?<

wohl schon, begreife meinen Netopia Router nicht nicht ganz.

Jetzt habe ich es anders probiert, 5000 und 5001 werden auf 5000 geleitet, Synology jedoch macht aus beiden selber https.

Vielen Dank, ich sehe Details noch nicht so schnell.

 

[Ap0phis]

Das ist auch falsch!

Ok, du brauchst eigentlich eh nur eine Portweiterleitung:

-> Port 5001 auf Port 5001 deiner DS

Den Rest löschst du einfach.

Man sollte es immer vermeiden mehrere verschiedene Ports auf einen einzigen anderen Port zuleiten.
Eine Portweiterleitung an sich ist ja schon ein erhöhtes Risiko!

 

[ottosykora]

Ja mit den Routern und Port Weiterleitung bin ich nocht etwas Anfänger.

Bei meinem Router ist immer Port von - bis und dann auf welchen soll es weiteregehen. Habe eben gedacht dann kann man das Zusammenfassen.

Aber OK, werde versuchen immer jeden Port einzeln zu behandeln und für jeden Port eigenen Forward machen.

 

[Puppetmaster]

Habe eben gedacht dann kann man das Zusammenfassen.
Aber OK, werde versuchen immer jeden Port einzeln zu behandeln und für jeden Port eigenen Forward machen.

Das kann dann aber bei passivem ftp z.B. ziemlich viel Arbeit sein!
Normalerweise können die Router das aber, dass sie einen Portbereich auch weiterleiten können.

 

[Ap0phis]

...
Aber OK, werde versuchen immer jeden Port einzeln zu behandeln und für jeden Port eigenen Forward machen.

Wieso "jeden" Port?

Ich hatte doch gepostet, dass der eine Port "5001" reicht für eine https-Verbindung.
Den Port 5000 brauchst du dann nicht mehr! Den kannst du weiterhin auch "ohne Portweiterleitung" benutzen, wenn du zuhause im eigenen Netz bist!

 

[ottosykora]

Na ja, ich brauche nicht nur die 5001 für den Zugang, auch anders, zum Bsp Webdav, also das habe ich auf 5005 und 5006 und auch noch andere Sachen.
Ich habe gedacht es sei keine Problem sagen wir den http und https Port auf den https Port der DS zu leiten. Aber es ist wohl vernünftiger es einzeln zu machen.

Wie es bei dem Passiv FTP dann mit den 55536 etc geht weiss ich noch nicht. Da kämpfe ich derzeit damit noch.
Mein Router hat Eingabe für Port Bereich von -bis und wohin es leiten soll.
Habe bei meinem FTP vorerst alle die 55536-55663 oder was auch immer auf den 55536 geleitet. Also kann nur Bereich auf einzelnen Port aber nicht Bereich auf Bereich leiten. Funktionieren tut es nicht richtig, also muss ich wohl auch hier alle Ports einzeln aufsetzten.

 

[Ap0phis]

Dir ist aber schon klar, dass geöffnete "nicht-https"-Ports immer ein größeres Risiko darstellen, weil da rein gar nichts verschlüsselt abläuft, und deine Zugangsdaten so ganz leicht ausspioniert werden können?

Ich empfehle dir eindringlich, den Zugriff von Ausserhalb wenigstens auf https zu beschränken, oder gar besser nur VPN zu verwenden!

Beim Standard-FTP-Port wäre ich auch äusserst vorsichtig!
Mußt du das wirklich unbedingt haben?

Ich möchte damit nur deine Empfindlichkeit gegen Datenklau erhöhen.
Mach dir wenigstens mal Gedanken darüber!

 

[ottosykora]

Ich bin noch am lernen, die DS ist nichts 'produktives' nur da um ausprobieren und alles mögliche richtig und falsch machen. Sind nur dummy Daten drauf.

Ich muss etwas Praxis haben mit der Einrichtung der diversen Dienste, auch FTP.



Habe eben versucht zum Bsp die Webdav Ports 5005 und 5006 beide auf den 5006 umzuleiten für den Fall wenn ich mal ohne https drauf gehen sollte mich es automatisch auf 5006 zu https schickt.



Wie genau es mit dem FTP geht habe ich noch nicht im Griff.

Habe so weit nun den FTP auf der DS übungshalber auf Port 5021 gesetzt. Im Router schicke ich die Anfrage auf 21 zu 5021. Habe nun auch den normalen FTP in DS den Haken weggenommen, also nur FTPS jetzt.


Dann habe ich nicht begriffen was ich mit dem Port 20 tun soll.
Brauche ich den wirklich?
Habe den vorläufig direkt wieder auf 20 geschickt.
Oder wohin soll der nun gehen?

Habe einige der ersten Passive Ports einzeln durchgeschleift 1:1
Ist das so richtig? Muss ich alle einzeln weiterleiten? Oder genügen nur einige?

Jetzt komme ich auf den FTP via Filezilla und FireFTP, mit Browser geht es nicht mehr, die beherrschen wohl kein FTP-SSL ??



VPN (PPTP) geht schon auch bei mir, nur ist es sehr unstabil aus irgendeinem Grund und bricht dauernd ab.

Bis ich den openVPN im Griff habe wird es wohl noch etwas dauern, bin ziemlicher Anfänger und Gruftie dazu, da geht alles etwas langsamer ;-)