Wie DSM Port auf 80/443 und Webstation Port auf 1234/12345 ?

[iOOi]

Ich gebe oft in der File Station Ordner frei oder nutze die Dateianforderung und sende den Link dann per Email. Leider haben immer mehr Firmen fast alle Ports gesperrt, sodass sie nicht auf die File Station meiner DiskStation gelangen. Die Standardports für http und https funktionieren jedoch überall.


Meine Fragen:

1. Kann ich der File Station einen eigenen Port geben (also nur für die Ordnerfreigabe & Dateianforderung) oder lediglich global dem ganzen DSM?
Es stört mich, dass ich den DSM jedem zugänglich machen muss um Daten austauschen zu können. Daher hätte ich gerne für die File Station einen eigenen Port. Dann kann ich den Port des DSM sperren.

2. Wie sperre ich für die Webstation die Ports 80/443 und gebe ihr z.B. 1234/12345 ?
Damit die www-Ports 80/443 für die File Station frei werden.

3. Kann ich, wenn Punkt 2 gelingt der File Station bzw. dem DSM die http/https Standardports 80/443 zuweisen?
Dann kommt hoffentlich nicht mehr ständig die Antwort, dass mein Link nicht funktioniert.


Anmerkung: Ich nutze den DNS-Server der DiskStation und löse die Geräte im Heimnetz damit auf. Von außen ist die DiskStation über xyz.myds.me erreichbar. Ich glaube man kann für die Filestation einen eigenen Port einstellen. Diese Einstellung ändert jedoch nur die Angabe des Ports im Link. Das scheint dazu gedacht zu sein im Router bei der Portweiterleitung den Port zu ändern. Da ich die Links der File Station immer gerne überprüfe bevor ich sie jemanden sende, würde das dann nicht funktionieren da bei der internen Auflösung der Port dann nicht passt.

LG
iOOi

 

[Ulfhednir]

Der Thread geht die in die selbe Richtung:
https://www.synology-forum.de/threads/subdomain-als-dateianforderung.120761/

Stichwörter: Anmeldeportal und Reverse Proxy

 

[iOOi]

Danke, ich hatte bereits Systemsteuerung » Anwendungsportal » Anwendung probiert:
Ich habe versucht für File Station die Ports 80/443 einzustellen. Das ist nicht möglich, vermutlich weil die durch die Webstation verwendet werden. Als Test habe ich die vorgegebenen Ports 7000 und 7001 aktiviert. Wenn ich mit der File Station einen Link erzeuge, verwendet sie immer noch den Port des DSM, also nicht 7001. Außerdem kann ich von außen die File Station nicht erreichen, obwohl ich den Port in der FritzBox für die Ports 7000 und 7001 zur internen IP der Diskstation freigegeben habe.

Mit Reverse Proxy kenne ich mich nicht aus. Kann ich damit URL verbiegen so wie eine Weiterleitung? Bekäme das die File Station mit, und würde den Link ändern?

 

[iOOi]

Ich möchte einfach nur die Ports tauschen: File Station (und nur diese) auf Standardports und die Webstation auf einen unüblichen Port.

 

[iOOi]

Seit 2 Jahren versuche ich das immer wieder hinzubekommen. Ich habe auch Synology zahlreiche Anfragen geschickt. Leider alles bisher vergeblich. :-(

 

[Ulfhednir]

Als erstes: Du kannst Beiträge editieren. Ein Doppelpost ist nicht förderlich. Besonders, wenn man gerade in dem Moment eine Antwort schreibt.

Zum Thema:

Ich möchte einfach nur die Ports tauschen: File Station (und nur diese) auf Standardports und die Webstation auf einen unüblichen Port.

Der Port für die Webstation ist fest hinterlegt. Diesen kannst du nicht mit Werkmitteln verändern. Ich würde auch dringend davon abraten, das auf Shell-Ebene zu versuchen.

Lassen wir den Reverse Proxy erstmal Beiseite. Als Erstes schlage ich vor, dass du einen Eintrag unter Externer Zugriff - DDNS machst.
Der Freigabe-Link vererbt sich von dieser Stelle. Da kommt dein DynDNS-Provider rein. Du kannst hier auch einen Pseudo-Provider hinterlegen, wenn du eine "echte" Domain verwendest.

 

[iOOi]

Bei Systemsteuerung » Externer Zugriff » DDNS habe ich einen von Synology in Verwendung. Ich kann dort keinen Port einstellen.

 

[iOOi]

Damit wir nicht aneinander vorbei schreiben hier noch mal mein eigentliches Problem:
Jetzt sehen Links, die die Filestation erzeugt z.B. so aus:
https://MeinNAS.i1234.e.me:12345/sharing/okePLFvHe

Da können die wenigsten drauf zugreifen, da alle Ports bis auf die Ports 80/443 gesperrt sind.
Ich benötige also eine Lösung, dass die DiskStation so einen Link erzeugt, der funktioniert:
https://MeinNAS.i1234.e.me:443/sharing/okePLFvHe
bzw.
https://MeinNAS.i1234.e.me/sharing/okePLFvHe

Auf der Diskstation läuft zusätzlich auch die Webstation, die sich die Ports 80/443 genommen hat.



Anmerkung: i1234.e.me ist ein DDNS von Synology. Ich habe auch schon versucht einen weiteren DDNS von Synology speziell für die Diskstation einzurichten. Das erzeugt die Fehlermeldung, dass man nur eine DDNS von Synology einrichten kann.

 

[iOOi]

Der Port für die Webstation ist fest hinterlegt. Diesen kannst du nicht mit Werkmitteln verändern. Ich würde auch dringend davon abraten, das auf Shell-Ebene zu versuchen.

Den habe ich mit Werkmitteln auf einen anderen Port gelegt. für http und https. Wo genau ich das vor einigen Jahren eingestellt hatte weiß ich nicht mehr. Ich vermute hier:

Systemsteuerung » Netzwerk » DSM-Einstellungen



Bei Systemsteuerung » Externer Zugriff » erweitert kann ich auch noch mal die Ports für http und https einstellen. Dort kann ich 80 & 443 einstellen. Der Freigabelink nimmt dann auch den 443 Port doch funktioniert der Link nicht. Ich sehe die 404 Seite.

 

[Ulfhednir]

Dein Problem habe ich verstanden. Du willst es so einrichten, wie es bei mir bereits seit geraumer Zeit funktioniert.

Ich habe nochmal geschaut; zusätzlich muss der externe DSM-Port auf 443 gebogen werden.

 

[iOOi]

Ja, das ist die Einstellung bei

Systemsteuerung » Externer Zugriff » Erweitert​

Wenn ich dort für HTTPS den Port 443 eingebe, sieht ein Freigabelink wie gewünscht z.B. so aus:

https://MeinNAS.i1234.e.me/sharing/okePLFvHe​

Doch leider sehe ich, wenn ich ihn zumindest in meinem Neztwerk anklicke so aus:

404 Die Seite, nach der Sie suchen, kann nicht gefunden werden.

​

Teilerfolg: Von außen funktioniert der Link, da ich in der Fritzbox bei

Internet » Freigaben​

Das hier eingestellt habe:

Protokoll = TCP
Port an Gerät = 12345
Port extern gewünscht = 443​

Doch wie kann ich erreichen, dass der Link mit Port 443 auch innerhalb meines Netzwerkes funktioniert?

 

[iOOi]

Neben dem Problem innerhalb des Netzwerkes ist auch noch offen:

"1. Kann ich der File Station einen eigenen Port geben (also nur für die Ordnerfreigabe & Dateianforderung) oder lediglich global dem ganzen DSM?"

Bei

Systemsteuerung » Anwendungsportal » Anwendung​

kann ich bei

File Station einen benutzerdefinierten Port (z.B. 7001) eingeben.
​

Doch intern erscheint bei https://MeinNAS.i1234.e.me:7001 die Fehlermeldung

ERR_SSL_PROTOCOL_ERROR​

Korrektur: Das funktioniert doch, der Browser hatte http:// verwendet. In der Adresszeile wird das seit langem ausgeblendet, daher hatte ich es nicht bemerkt.

​

Ich habe versucht, ob das zumindest von außerhalb funktioniert und bei der FritzBox bei

Internet » Freigaben​

dem lokalen Port 12345 den externen Port 443 wieder weggenommen und stattdessen den internen Port 7001 mittels dem externen Port 443 erreichbar gemacht. Doch die Seite ist dann nicht erreichbar. Vermutlich ein 404 (wo zeigt das Safari am iPhone an?).

 

[Ulfhednir]

Bei Doppelpost und fiesen Formatierungen verliere ich so langsam die Lust mich hier weiter zu beteiligen.

 

[iOOi]

Bei Doppelpost und fiesen Formatierungen verliere ich so langsam die Lust mich hier weiter zu beteiligen.

Oje! welcher Doppelpost?
Meine Formatierung soll es leichter machen meine Texte zu lesen. Aber wenn es dir nicht gefällt, dann spare ich mir die Mühe, da die Bedienung doch sehr mühsam ist.

Du hast die Links nicht angeführt. Das ist sehr wichtig, damit man sich auskennt worauf du dich beziehst.

 

[iOOi]

Ich verstehe es nicht:
(1) wenn ich bei
Systemsteuerung » Anwendungsportal » Anwendung
für Filestation einen hohen Port angebe (z.B. 12345) dann ist sie auch im Heimnetzwerk nicht erreichbar.
Wenn ich jedoch einen kleinen Port angeben (z.B. 63) dann ist sie im Heimnetzwerk erreichbar.

(2) es funktioniert jedoch die Weiterleitung der Fritzbox einfach nicht für z.B. den Port 63.
Internet » Freigaben
habe ich den 63 von außen mit 443 zugänglich gemacht. Das ist nun auch die einzige Einstellung wo 443 vorkommt, da ich die zuvor eingerichtete Portweiterleitung zum DSM gelöscht habe. Trotzdem ist die Filestation von außen nicht erreichbar.

Woran kann das liegen?

 

[iOOi]

Hurra!
Problem (2) habe ich gelöst: Ich muss natürlich in der Firewall der Diskstation unter
Systemsteuerung » Sicherheit » Firewall
den für die Filestation genutzten Port (63) freigeben.

Nun bleiben nur mehr diese Probleme:
(3) Wie erreiche ich, dass der Freigabelink der Filestation auch innerhalb des Heimnetzes funktioniert?
(4) Wie erreiche ich von außen auch die Webstation über den https Port 443?

 

[Ulfhednir]

Oje! welcher Doppelpost?

Ich bereits unter #6 geschrieben, dass man Beiträge editieren kann. Das Erstellen von mehrfachen Beiträgen, in kurzen Zeitabständen, wird nun einmal nicht gerne gesehen und fällt unter dem Begriff Netiquette. Das Forum ist kein (Live)-Chat.

(4) Wie erreiche ich von außen auch die Webstation über den https Port 443?

Du möchtest den Port 443 für zwei Dienste verwenden. Webstation und FileStation bzw. DSM. Das geht NUR unter Verwendung des Reverse Proxies.
Das heißt: Entweder du nutzt einen zusätzlichen DynDNS oder, besser noch, du mietest dir für einen schmalen Taler eine "richtige" Domain.
Dann könntest du folgendes einrichten:

HTTPS://filestation.deinedomain:443 -> FileStation
HTTPS://www.deinedomain:443 -> Web Station

 

[iOOi]

Das Erstellen von mehrfachen Beiträgen, in kurzen Zeitabständen, wird nun einmal nicht gerne gesehen und fällt unter dem Begriff Netiquette. Das Forum ist kein (Live)-Chat.

Beiträge dieses Forums sollen nicht nur für den Ersteller eines Threads einen Nutzen bringen. Mein Problem um das es in diesem Thread geht, werden auch andere haben, und die werden froh sein, wenn sie die Kommunikation nachvollziehen können. Daher habe ich mir auch die Mühe gemacht und immer den Einstellungspfad angeführt.
Sobald jemand einen Beitrag ändert, nachdem bereits auf diesen Beitrag Bezug genommen wurde, passt die Antwort nicht mehr. Durch die Änderung werden also Beiträge korrumpiert. Ich finde es daher unfair Beiträge inhaltlich (Tippfehler ausbessern ist ok) zu ändern, sobald es darunter bereits eine Antwort gibt.



Zum Problem:
Ich habe sogar noch eine kurze .com Domain die ich seit Jahren nicht nutze. Ich kann mir nicht vorstellen, dass ich die einfach bei einer Reverse Proxy-Regel eintragen kann. Sonst könnte doch jeder meine com Domain auch bei seiner Diskstation verwenden. Das muss doch mittels Passwort abgesichert sein. Bei der Reverse Proxy-Regel kann ich aber kein Passwort eingeben. Meine anderen Domains verwende ich dort wo ich sie auch gemietet habe. Der Anbieter des Servers weiß also, dass es meine ist.

Mir ist Datenschutz ein Anliegen. Ein weiterer Nachteil einer eigenen Domain ist, dass man damit seine Stammdaten (Name, Wohnort, ...) offen legt.

Ich habe versucht auch die Webstation mit dem Port 443 erreichbar zu machen, indem ich einen virtuellen Host mit dem Port 12345 für https eingerichtet habe. Die Webseite ist dann unter https://www.MeinNAS.i1234.me:12345/ erreichbar. Nun wollte ich eine Reverse Proxy-Regel einrichten mit der Quelle www.MeinNAS.i1234.me Port 12345 und als Ziel die IP meiner Diskstation und als Port 443.
Doch kann ich die Regel nicht speichern da die Fehlermeldung kommt, dass die Domain bereits verwendet wird. :-(


Es ist schon faszinierend wie unglaublich kompliziert es ist Portnummern zu tauschen.

 

[Ulfhednir]

Sobald jemand einen Beitrag ändert, nachdem bereits auf diesen Beitrag Bezug genommen wurde, passt die Antwort nicht mehr. Durch die Änderung werden also Beiträge korrumpiert. Ich finde es daher unfair Beiträge inhaltlich (Tippfehler ausbessern ist ok) zu ändern, sobald es darunter bereits eine Antwort gibt.

Es ist auch nicht fair, wenn du demjenigen, der versucht zu helfen, die Arbeit unnötig schwer machst.

Ich habe sogar noch eine kurze .com Domain die ich seit Jahren nicht nutze. Ich kann mir nicht vorstellen, dass ich die einfach bei einer Reverse Proxy-Regel eintragen kann. Sonst könnte doch jeder meine com Domain auch bei seiner Diskstation verwenden. Das muss doch mittels Passwort abgesichert sein. Bei der Reverse Proxy-Regel kann ich aber kein Passwort eingeben. Meine anderen Domains verwende ich dort wo ich sie auch gemietet habe. Der Anbieter des Servers weiß also, dass es meine ist.

Das Ganze basiert ja auch nicht auf irgendwelche Passwörter, sondern auf DNS-Records. Das ist etwas substantielles, auf dem das Internet aufbaut.
Damit die Domain auf deinen Server verweist, musst du daher einen entsprechenden Eintrag erstellen. Das kann dann, wie in meinem genannten Beispiel ein CNAME-Record auf dein DynDNS sein. Im Zweifelsfall kannst du auch einen anderen DynDNS-Provider (Selfhost, No-Ip, etc.) verwenden.

Mir ist Datenschutz ein Anliegen. Ein weiterer Nachteil einer eigenen Domain ist, dass man damit seine Stammdaten (Name, Wohnort, ...) offen legt.

Wenn du anonym bleiben möchtest, solltest du wohl eher auf einen 1-Click-File-Hoster für den Upload zurückgreifen und deine Pläne verwerfen.
Auch über den DynDNS ist deine IP-Adresse öffentlich.

Ich habe versucht auch die Webstation mit dem Port 443 erreichbar zu machen, indem ich einen virtuellen Host mit dem Port 12345 für https eingerichtet habe.

Keine Ahnung warum du am virtuellen Host herumspielst. Wenn du jetzt zusätzlich anfängst dir dein System zu verkonfigurieren, macht es die Lösungsfindung auch nicht einfacher.


Wenn du zwei Domains bzw. DynDNS hast, welche auf deine öffentliche IP verweisen, können wir weitermachen.

 

[iOOi]

Besten Dank für Deine Hilfe.

Ich habe extra eine dynamische IP. Die ist vergleichbar mit einem Autokennzeichen: Nur die Behörde kann den Namen und die Adresse des Halters herausfinden. Alle anderen die das Kennzeichen kennen haben nur einen Hinweis auf eine Region.
Bei einer dynamischen IP könnte auch nur die Behörde über einen Gerichtsbeschluss die Stammdaten desjenigen herausfinden, der die IP zu einem bestimmten Zeitpunkt verwendet hatte. Außerdem ist selbst die aktuelle dynamische IP kaum jemanden bekannt, da es keinen fixe Zusammenhang zwischen der DDNS-Domain und IP gibt.
Bei einer gemieteten Domain kann jedoch jeder sehr einfach alle Daten der Besitzers der Domain einsehen. Somit macht es bezüglich Datenschutz einen großen Unterschied ob man eine Domain verwendet die im eigenen Besitz ist oder eine allgemein Domain nutzt die viele andere auch verwenden.

Den virtuellen Host nutze ich, um verschiedene Ordner der Webstation übersichtlich erreichen zu können.

Ich wollte vor geraumer Zeit schon eine zweite DynDNS einrichten. Da kam beim Serviceanbieter Synology die Fehlermeldung "Sie können nur einen Hostnamen pro DDNS-Anbieter festlegen". Ich hab's dann mit anderen Anbietern probiert, da hat die Diskstation nicht mal die verfügbaren Domains dargestellt. Gestern hatte ich es noch mal versucht und bin wieder gescheitert.