Webstation

glodecki · 08. Nov 2013

Hallo,

hier ein Synology-Neuling!

Ich habe folgendes anliegen:

Ich habe meine Synology sehr lieb.Doch eines Stört mich...

Stichwort Webstation und Ports.

Ich möchte gerne von außerhalb auf meine Synology drauf. z.b. mit name.dns.com . Es funktioniert beispielsweise zuhause über Wlan -> nur mit geöffneten 5000er Port. Diesen habe ich über Systemsteuerung-Routerkonfiguration freigegeben.
Ich habe eine Fritz-Box und der nimmt sich den Port einstellungen der Synology sehr gut an.
Irgendwo auf diesem Synology Forum habe ich gelesen,dass man Port 5000 nicht auf dem Router offen lassen sollte (aus Sicherheitsgründen) Der ist ja bekanntlich für den Synology Disk Station Manager. 5001 das gleiche nur verschlüsselt (also besser denke ich)
Was ist dann Port 443?Webstation?Was ist das?Ist das das gleiche um vom Internet auf die Synology zuzugreifen (Webstation?) DSM ist dich der Manager wo man alles Einstellen kann... und Webstation der Dienst das man auf die Synology von extern kann oder?
Also wenn ich die Konfiguration : TCP Port 5000 an IP-Adresse meiner Synology an Port 5000 lösche komme ich von Zuhause (Wlan) nicht mehr rein auf die Oberfläche wo man sich einloggen kann (DSM).Aber Port 5000 ist doch unsicher,oder?!Lieber 5001,oder!?!
Ich brauche unbedingt eure hilfe,da ich das Problem schon seit Monaten nicht auf die reihe bekomme....

Das zweite ist:
Ich möchte gerne von der Firma (nicht meine) auch auf die Synology. Über die name.dns.com komme ich gaaar nicht drauf.
Ein Arbeitskollege meinte ich solle den Port 443 -> meine IP Adresse der Synology an 5001 freigeben. Doch das funktioniert auch nicht.

Ich wäre wirklich dankbar,wenn mir bei dem Problem jemand helfen könnte.

Christoph

Anzeige · 08. Nov 2013

Hallo glodecki,

Bücher und Hardware zum Thema gibt es bei Amazon: Webstation

JudgeDredd · 08. Nov 2013

Hallo glodecki,

Ich habe meine Synology sehr lieb.

Na das ist sind doch schonmal sehr erfreuliche Nachrichten

So, dann versuche ich mal etwas Klarheit in die Begrifflichkeiten und Porteinstellungen zu bringen:

Auf der DS laufen 2 Webserver. Auf dem einen läuft die DSM Oberfläche und der andere ist dafür da, eigene Webseiten (Webstation) zu hosten.
Grundsätzlich läuft jede Webseite im Internet auf einem Webserver, der zum erreichen den Port 80 (HTTP) oder 443 (HTTPS) zur Verfügung stellt.
Bedeutet:
Beim Aufruf einer Internetseite mit HTTP wird im Standardfall der Port 80 benutzt und mit HTTPS der Port 443.
Da auf Deiner DS jetzt aber zwei Webserver laufen, wurde dem Admin Webserver (auf dem die DSM Oberfläche läuft) der Port 5000 (HTTP) und Port 5001 (HTTPS) vergeben (ist der Standard und kann auch geändert werden).

Wenn Du nun von außen auf den DSM zugreifen möchtest, musst du über Port 5000 oder 5001 kommen.
Wenn Du nun von außen auf von Dir erstellte Webseiten zugreifen möchtest, musst du über Port 80 oder 443 kommen.

zum Thema Firma:
Da Du ja offensichtlich die Standardkonfiguration verwendest, erfolgt der Aufruf über http://name.dns.com:5000 oder https://name.dns.com:5001
Nun ist es so, das wie oben schon erwähnt, diese Ports (5000 und 5001) NICHT die Standardports sind und es sehr wahrscheinlich ist, das aus Sicherheitsgründen, diese in der Firmenfirewall geblockt sind.

Lösung:
Du erkundigst Dich in der Firma, welche Ports für HTTP/HTTPS Zugriffe erlaubt sind und:
a) änderst in der DSM Konfiguration die Ports für die Adminoberlfäche entsprechend ab
b) Du lässt die Standardports wie sie sind und richtest in Deinem Router eine Weiterleitung ein (z.B. InDerFirmaErlaubterPort->5001)

Wenn in der Firma NUR die Ports 80/443 erlaubt sind, wirds etwas schwieriger:
a) Du verlegst die Ports für die Webstation (80/443) auf andere Ports und gibst der DSM Oberfläche diese (jetzt wären aber von Dir erstellte Webseiten nur mit der Erweiterung ...:<PortDerWebstation> erreichbar)
b) Du verwendest einen Tunnelproxy zum umgehen der Firmenfirewall (dazu sage ich nur SEHR ILLEGAL und wenn Du Dich doch reinarbeiten möchtest schau Dir http://www.your-freedom.net an. Mehr Support gebe ich aber aus genannten Gründen dazu nicht)

So, ich hoffe etwas Klarheit gebracht zu haben ...

Gruß,
Andreas

glodecki · 10. Nov 2013

Hallo Andreas!

Man das ist mal ein richtig langer und ausführlicher Beitrag den ich sehr zu schätzen weiß!!!Erstmal vielen Dank dafür!Habe auch verständniss,wenn ich das noch nicht richtig checke

und habe vielen Herzlichen Dank wenn du diesen Beitrag beantwortest!!!Damit hilfst du mir echt beim verstehen dieser Sache!!!

Ich versuche mal weiter klarzustellen bzw zu erklären was ich gerne möchte

:

Web Station / Photo Station
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Ich habe keine Webseite die ich irgendwie präsentiere oder auf die ich zugreife. Ich möchte nur meine Synology von außen Bedienen bzw. auf sie zugreifen können über DSM mit einlogen (als admin). Zudem über Handy (Iphone) auf die Dateien zugreifen.
Was meinst du mit von mir erstellte Webseiten?
Das sind ja die Ports "443 TCP HTTPS Web Station / Photo Station / Blog (HTTPS)" und "80 TCP HTTP Web Station / Photo Station / Blog " .
Die brauche ich dann ja nicht öffnen,oder müssen die geöffnet sein um auf die Disk Station von außen zuzugriefen?

Synology Disk Station Manager Teil 1
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Also http (5000) und https (5001) sind jeweils Webserver,richtig? Warum kann ich wenn ich denn http (5000) bei mir im router lösche nicht auf DSM drauf, wenn ich nur https (5001) als UPNP geöffneten Port offen habe? muss ich dafür auch den 5000er Port offen haben?

Wenn Du nun von außen auf den DSM zugreifen möchtest, musst du über Port 5000 oder 5001 kommen.

Wenn ich nur 5001 offen habe und keinen 5000 und "http://name.zb.dyndns.biz:5001/" dann sagt mir der Browser:
Bad Request
Your browser sent a request that this server could not understand.
Reason: You're speaking plain HTTP to an SSL-enabled server port.
Instead use the HTTPS scheme to access this URL, please.

Das versteh ich nicht.Also muss ich den Port 5000 auch im Router öffnen?Anders funktioniert das irgendwie nicht.

Synology Disk Station Manager Teil 2
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Da auf Deiner DS jetzt aber zwei Webserver laufen, wurde dem Admin Webserver (auf dem die DSM Oberfläche läuft) der Port 5000 (HTTP) und Port 5001 (HTTPS) vergeben (ist der Standard und kann auch geändert werden).

Macht das Sinn den 5000er Port und/bzw den 5001er Port auf ein anderen Port umzulegen?
Wenn ja,auf welchen am besten?
Wo mache ich das auf der DS?

Web-Dav bzw DS File
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Um von meinem Handy auf die DS (DS-File) zuzugriefen brauche ich doch folgende Ports im Router öffnen:
5005 TCP WebDAV (http) Apache WebDAV (unverschlüsselt)
5006 TCP WebDAV (https) Apache WebDAV (verschlüsselt)

Kann ich den 5005 auch einfach weglassen um nur die verschlüsselten verbindungen zuzulassen?
Welchen Nachteil hat das wenn ich die 5005 weglasse?Komme ich dann evtl auch wieder nicht auf DS-File?

Vielen Dank im Vorraus!!!!!!

Christoph G.

JudgeDredd · 10. Nov 2013

Hallo Christoph,

Web Station / Photo Station
Die brauche ich dann ja nicht öffnen,oder müssen die geöffnet sein um auf die Disk Station von außen zuzugriefen?

Das hast Du richtig verstanden.

Wenn ich nur 5001 offen habe und keinen 5000 und "http://name.zb.dyndns.biz:5001/"

Auch dieses Verhalten ist nachvollziehbar.
Der Aufruf der DSM Oberfläche muss dann "https://name.zb.dyndns.biz:5001/"
lauten.
Da die Verbindung dann über HTTPS (Verschlüsselt) läuft, wird es wahrscheinlich einen Zertifikatsfehler geben.
Dies ist aber nur ein Hinweis und kommt, daher, dass das Zertifikat Deiner DS sich als "synology.com" ausgibt (das ist das Standardzertifikat bei Auslieferung), Du aber "name.zb.dyndns.biz" aufgerufen hast.
Du kannst nun die Warnung akzeptieren, wenn Du sicher bist, das die Aufgerufene URL auf Deine DS verweist (ist natürlich auch so, sofern Du nicht zufällig einen Virus eingefangen hast, der den DNS Servereintrag verändert hat

Aber das lassen wir mal aussen vor.
Aber auch für diese Ausgegebene Warnung gibt es eine Lösung. Du müsstest Dir ein Zertifikat besorgen, für eine SLD (SeconLevelDomain) die Dir gehört. Ist aber ein komplexes Thema und wir lassen es auch erstmal weg.
Also wie gesagt, die Warnung akzeptieren.

Macht das Sinn den 5000er Port und/bzw den 5001er Port auf ein anderen Port umzulegen?

Da gibt es einige Für und Wider ...
Pro:
Ein verlegen auf 80/443 birgt weniger Probleme beim Aufruf aus fremden Netzwerken (Ich habe da Deine Firmengeschichte im Hinterkopf)
Contra:
Sei Dir bewusst, das Du mehrmals am Tag "Besuch" von bösen Buben bekommst (auch wenn Du es nicht mitbekommst), die anklopfen und Passwörter auf den Standardports durchtesten.

Hier kann man es ändern: DSM->Systemsteuerung->DSM-Einstellungen->HTTP-Dienst

Kann ich den 5005 auch einfach weglassen um nur die verschlüsselten verbindungen zuzulassen?

JA

Welchen Nachteil hat das wenn ich die 5005 weglasse?

Fällt mir keiner ein.

Gruß,
Andreas

glodecki · 11. Nov 2013

Hi Andreas!!!

Es funktioniert alles genau so wie du es ge-/beschrieben hast!

Der Aufruf der DSM Oberfläche muss dann "https://name.zb.dyndns.biz:5001/"

Das aber ohne Zertifikatsfehler!
Jetzt versteh ich auch die Fehlermeldung:

Bad Request
Your browser sent a request that this server could not understand.
Reason: You're speaking plain HTTP to an SSL-enabled server port.
Instead use the HTTPS scheme to access this URL, please.

^^der wollte, dass ich HTTPS davor schreibe. Der gespeicherte Link war immer ohne "s". Jetzt Versteht er´s

https://name.dyndns.bla:5001
aber ohne " :5001 " funktioniert die Seite nicht. Muss man also mit angeben.

----------------------------------------------------------------------------------------------------------------------------------------------
Den Port von 5001 auf 443 umzulegen geht nicht so wie du beschrieben hast,da der Port schon für die Systemverwendung reserviert steht da. Kann man da was machen?

Du bist einfach ein Naturtalent im Erklären!!!

Herzlichen Dank dafür!

Wenn ich wieder fragen haben werde, melde ich mich natürlich wieder selbstverständlich bei dir

Ganz dolle Grüße

Chris

JudgeDredd · 11. Nov 2013

Hi Christoph,

Es funktioniert alles

Na das ist doch prima, so war ja der Plan gewesen

aber ohne " :5001 " funktioniert die Seite nicht. Muss man also mit angeben.

Ja, so soll es aber auch sein.
Die Zahl nach dem Doppelpunkt, gibt immer an auf welchem Port Du einen Webserver ansprichst.
Wie schon geklärt, wird im WWW immer 80 oder 443 verwendet.
Als Beispiel sei noch gesagt:
http://www.google.de / https://www.google.de
ist genau das gleiche wie:
http://www.google.de:80 / https://www.google.de:443

Man schreibt es (da es ja Standard ist) nie dahinter, könnte man aber ohne weiteres so machen.

So, dann weiterhin viel Spass mit Deiner DS und ruhig Fragen wenn etwas unklar ist.

Gruß,
Andreas

glodecki · 12. Nov 2013

Hi Andreas,

wie gut das es dieses Forum gibt und wie gut das es jmd wie dich gibt

Also ich habe jetzt alles Verstanden! Selbst das mit der Firma habe ich jetzt hinbekommen! Ich nutze den 443 Port um auf meine Synology rauszukommen. Ich habe auf meiner Fritzbox "443 an Ip adresse meiner DS an 5001 " freigegeben.
Ich habe herausgefunden, dasss ich jetzt nicht https://name.dyndns.bla:5001 sondern https://namedyndns.bla:443 eingeben muss das sich die seite öffnet.
Jetzt komm ich gar nicht mehr über : https://namedyndns.bla:5001 rein

Ist das so Sicher? (https://christoph.no-ip.biz:443) Klar,du hast mir gesagt, dass Böse Menschen auf die Internetseite jetzt zugreifen können...ggf. passwörter durchprobieren. dafür habe ich aber mein Sicheres Passwort,richtig? Kann man das sonst noch irgendwie sicherer machen?Brauch man das?

Was bringt eig. dieses Zertifikat. Der Browser fragt ned mehr wegen dem Sicherheitsrisiko. Ist das aber nur dieser Grund?

Ganz Lieber Gruß

Christoph

JudgeDredd · 13. Nov 2013

Hallo Christoph,

nur kurz zum Thema Sicherheit:
Der von Dir verwendete Port (443) ist eine verschlüsselte Verbindung.
Soweit sogut.
Eine verschlüsselte Verbindung bedeutet aber nur, das wenn Du Dich im DSM anmeldest, Dein Benutzername/Passwort nicht im Klartext über das Internet übermittelt wird.
Wenn Du "nur" eine HTTP Verbindung benutzt, kann theoretisch jeder Server der zwischen Dir und der DSM liegt alles "mitlesen" und protokollieren ... also auch Passwort etc ...
Es schützt Dich auch nicht davor, das der "böse Bube" versucht sich anzumelden, daher auf jeden Fall eine sehr gutes Passwort verwenden.
Grundsätzlich noch der Hinweis, Admin-Oberflächen über das Internet verfügbar zu machen, ist nie eine gute Idee, nur wenn es halt unbedingt erforderlich ist.

Zum Thema Zertifikat:
Wenn eine Verschlüsselte Verbindung aufgebaut wird (HTTPS), dann muss ja der angefragte Server (hier Deine DS) bestätigen, das er auch wirklich "https://christoph.no-ip.biz" ist und nicht nur vorgibt dies zu sein.
Du brauchst also ein Zertifikat, von einer unabhängigen Zertifizierungstelle, die Dir bescheinigt, der Inhaber von christoph.no-ip.biz zu sein.
Das scheidet bei Dir aber aus, da die Domain christoph.no-ip.biz nicht Dir gehört sondern eben dem Unternehmen "no-ip.biz" (bzw. dem, der sie registriert hat).

Wenn Du nun eine eigene Domain hättest, dann könntest Du Dir das von eben einer dieser Stellen "bestätigen" lassen und bekämst ein Zertifikat (digital nicht zum ausdrucken

)
Dann würdest Du auf Deiner eigenen Domain einen Eintrag machen, was den Aufruf an "christoph.no-ip.biz" weiterleitet. Zusätzlich dann das erhaltene Zertifikat auf der DS installieren.
Somit wüsste dann jeder auf dieser Welt (der dieser Stelle auch vertraut), das er durch den Aufruf von https:<DeineDomain> auch wirklich bei Dir landet.

Im Moment (zumindest beim ersten mal) müsste eigentlich ein Aufruf von "christoph.no-ip.biz" eine Warnung erzeugen, die besagt, das man nicht bei "christoph.no-ip.biz" gelandet ist sondern bei "synology.com" (so indentifiziert sich Deine DS wenn der Auslieferungszustand noch nicht geändert wurde).
In manchen Browsern, reicht es dann, einmal zu bestätigen, das einem das egal ist und man der Sache trotzdem vertraut.

Alles verstanden ?

Gruß,
Andreas